VIRUS.
Un virus es un pequeño programa con capacidad para efectuar modificaciones en el sistema donde se active, con facultad de autoreproducirse y propagarse por sí mismo.
Todos los virus, en su calidad de programas, necesitan de una orden de ejecución para activarse.
Un virus es un pequeño programa con capacidad para efectuar modificaciones en el sistema donde se active, con facultad de autoreproducirse y propagarse por sí mismo.
Todos los virus, en su calidad de programas, necesitan de una orden de ejecución para activarse.
CARACTERISTICAS DE LOS VIRUS.
Son programas de computadora: En informática programa es sinónimo de Software, es decir el conjunto de instrucciones que ejecuta un ordenador o computadora.
Es dañino: Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador.
Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Imaginemos que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más.
Es subrepticio: Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.
ANTIVIRUS.
Es un programa cuya finalidad es prevenir y evitar la infección de virus, impidiendo también su propagación.
Tiene capacidad para detectar y eliminar los virus y restaurar los archivos afectados por su infección (en principio).
Es dañino: Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador.
Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Imaginemos que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más.
Es subrepticio: Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.
ANTIVIRUS.
Es un programa cuya finalidad es prevenir y evitar la infección de virus, impidiendo también su propagación.
Tiene capacidad para detectar y eliminar los virus y restaurar los archivos afectados por su infección (en principio).
Los virus informáticos se difunden cuando las instrucciones o código ejecutable que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en las computadoras que en sistemas profesionales de grandes ordenadores, porque los programas de las computadoras se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, ocurre lo mismo con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.
La propagación de los virus informáticos a las computadoras personales, servidores o equipo de computación se logra mediante distintas formas, como por ejemplo: a través de disquetes, cintas magnéticas, CD o cualquier otro medio de entrada de información. El método en que más ha proliferado la infección con virus es en las redes de comunicación y más tarde la Internet. Es con la Internet y especialmente el correo electrónico que millones de computadoras han sido afectadas creando pérdidas económicas incalculables.
Hay personas que piensan que con tan sólo estar navegando en la Internet no se van a contagiar porque no están bajando archivos a sus ordenadores, pero la verdad es que están muy equivocados. Hay algunas páginas en Internet que utilizan objetos ActiveX que son archivos ejecutables que el navegador de Internet va ejecutar en nuestras computadoras, si en el ActiveX se le codifica algún tipo de virus este va a pasar a nuestra computadoras con tan solo estar observando esa página.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, ocurre lo mismo con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.
La propagación de los virus informáticos a las computadoras personales, servidores o equipo de computación se logra mediante distintas formas, como por ejemplo: a través de disquetes, cintas magnéticas, CD o cualquier otro medio de entrada de información. El método en que más ha proliferado la infección con virus es en las redes de comunicación y más tarde la Internet. Es con la Internet y especialmente el correo electrónico que millones de computadoras han sido afectadas creando pérdidas económicas incalculables.
Hay personas que piensan que con tan sólo estar navegando en la Internet no se van a contagiar porque no están bajando archivos a sus ordenadores, pero la verdad es que están muy equivocados. Hay algunas páginas en Internet que utilizan objetos ActiveX que son archivos ejecutables que el navegador de Internet va ejecutar en nuestras computadoras, si en el ActiveX se le codifica algún tipo de virus este va a pasar a nuestra computadoras con tan solo estar observando esa página.
Infectores de archivos ejecutables.
Estos también residen en la memoria de la computadora e infectan archivos ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez, comparten con los virus de área de boot el estar en vías de extinción desde la llegada de sistemas operativos que reemplazan al viejo DOS. Los virus de infección de archivos se replican en la memoria toda vez que un archivo infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de haber sido activados, en ese caso se dice que son virus residentes, o pueden ser virus de acción directa, que evitan quedar residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado el programa infectado. Se dice que estos virus son virus de sobre escritura, ya que corrompen al fichero donde se ubican.
Estos también residen en la memoria de la computadora e infectan archivos ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez, comparten con los virus de área de boot el estar en vías de extinción desde la llegada de sistemas operativos que reemplazan al viejo DOS. Los virus de infección de archivos se replican en la memoria toda vez que un archivo infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de haber sido activados, en ese caso se dice que son virus residentes, o pueden ser virus de acción directa, que evitan quedar residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado el programa infectado. Se dice que estos virus son virus de sobre escritura, ya que corrompen al fichero donde se ubican.
Virus multipartitos (Multi-partite).
Una suma de los virus de área de boot y de los virus de infección de archivos, infectan archivos ejecutables y el área de booteo de discos.
Una suma de los virus de área de boot y de los virus de infección de archivos, infectan archivos ejecutables y el área de booteo de discos.
Infectores directos.
El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas).
El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas).
Infectores residentes en memoria.
El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción.
Infectores del sector de arranque.
Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk" o "Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que parecen esconder estos virus, son de una clase que está tendiendo a desaparecer, sobre todo desde la explosión de Internet, las redes y los sistemas operativos posteriores al DOS. Algunos virus de boot sector no infectan el sector de arranque del disco duro (conocido como MBR). Usualmente infectan sólo disquetes como se menciona anteriormente, pero pueden afectar también al Disco Rígido, CD, unidades ZIP, etc. Para erradicarlos, es necesario inicializar la Computadora desde un disquete sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector infectado con el sector de arranque original.
Macrovirus.
El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción.
Infectores del sector de arranque.
Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk" o "Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que parecen esconder estos virus, son de una clase que está tendiendo a desaparecer, sobre todo desde la explosión de Internet, las redes y los sistemas operativos posteriores al DOS. Algunos virus de boot sector no infectan el sector de arranque del disco duro (conocido como MBR). Usualmente infectan sólo disquetes como se menciona anteriormente, pero pueden afectar también al Disco Rígido, CD, unidades ZIP, etc. Para erradicarlos, es necesario inicializar la Computadora desde un disquete sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector infectado con el sector de arranque original.
Macrovirus.
Son los virus más populares de la actualidad. No se transmiten a través de archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros. Por ende, son específicos de cada aplicación, y no pueden afectar archivos de otro programa o archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete Office (Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access) y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos (llamada en el Word normal.dot), de forma que sean infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-mails, etc. Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran variedad de acciones, con diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así:
Se abre el archivo infectado, con lo cual se activa en memoria.
Infecta sin que el usuario se dé cuenta al normal.dot, con eso se asegura que el usuario sea un reproductor del virus sin sospecharlo.
Si está programado para eso, busca dentro de la Computadora los archivos de Word, Excel, etc., que puedan ser infectados y los infecta.
Si está programado, verifica un evento de activación, que puede ser una fecha, y genera el problema dentro de la computadora (borrar archivos, destruir información, etc.)
De Actives Agents y Java Applets.
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página Web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión WWW de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio Web, etc.
De HTML.
Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una página Web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Windows 98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos (llamada en el Word normal.dot), de forma que sean infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-mails, etc. Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran variedad de acciones, con diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así:
Se abre el archivo infectado, con lo cual se activa en memoria.
Infecta sin que el usuario se dé cuenta al normal.dot, con eso se asegura que el usuario sea un reproductor del virus sin sospecharlo.
Si está programado para eso, busca dentro de la Computadora los archivos de Word, Excel, etc., que puedan ser infectados y los infecta.
Si está programado, verifica un evento de activación, que puede ser una fecha, y genera el problema dentro de la computadora (borrar archivos, destruir información, etc.)
De Actives Agents y Java Applets.
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página Web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión WWW de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio Web, etc.
De HTML.
Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una página Web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Windows 98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.
Troyanos.
Los troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.Los troyanos no cumplen con la función de auto reproducción, sino que generalmente son diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusión del virus. (Generalmente son enviados por e-mail). Los troyanos suelen ser promocionados desde alguna página Web poco confiable, por eso hay que tomar la precaución de bajar archivos ejecutables sólo de sitios conocidos y revisarlos con un antivirus antes de correrlos. Pueden ser programados de tal forma que una vez logre su objetivo se autodestruya dejando todo como si nunca nada hubiese ocurrido.
VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIÓN.
Bombas.
Se denomina así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso, etc.
Retro Virus.
Son los virus que atacan directamente al antivirus que está en la computadora. Generalmente lo que hace es que busca las tablas de las definiciones de virus del antivirus y las destruye.
Virus lentos.
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el sistema operativo, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .exe y .com cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.
Virus voraces.
Alteran el contenido de los archivos indiscriminadamente. Este tipo de virus lo que hace es que cambia el archivo ejecutable por su propio archivo. Se dedican a destruir completamente los datos que estén a su alcance.
Sigilosos o Stealth.
Este virus cuenta con un módulo de defensa sofisticado. Trabaja a la par con el sistema operativo viendo como este hace las cosas y tapando y ocultando todo lo que va editando a su paso. Trabaja en el sector de arranque de la computadora y engaña al sistema operativo haciéndole creer que los archivos infectados que se le verifica el tamaño de bytes no han sufrido ningún aumento en tamaño.
Polimorfos o Mutantes.
Encripta todas sus instrucciones para que no pueda ser detectado fácilmente. Solamente deja sin encriptar aquellas instrucciones necesarias para ejecutar el virus. Este virus cada vez que contagia algo cambia de forma para hacer de las suyas libremente. Los antivirus normales hay veces que no detectan este tipo de virus y hay que crear programas específicamente (como son las vacunas) para erradicar dichos virus.
Camaleones.
Retro Virus.
Son los virus que atacan directamente al antivirus que está en la computadora. Generalmente lo que hace es que busca las tablas de las definiciones de virus del antivirus y las destruye.
Virus lentos.
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el sistema operativo, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .exe y .com cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.
Virus voraces.
Alteran el contenido de los archivos indiscriminadamente. Este tipo de virus lo que hace es que cambia el archivo ejecutable por su propio archivo. Se dedican a destruir completamente los datos que estén a su alcance.
Sigilosos o Stealth.
Este virus cuenta con un módulo de defensa sofisticado. Trabaja a la par con el sistema operativo viendo como este hace las cosas y tapando y ocultando todo lo que va editando a su paso. Trabaja en el sector de arranque de la computadora y engaña al sistema operativo haciéndole creer que los archivos infectados que se le verifica el tamaño de bytes no han sufrido ningún aumento en tamaño.
Polimorfos o Mutantes.
Encripta todas sus instrucciones para que no pueda ser detectado fácilmente. Solamente deja sin encriptar aquellas instrucciones necesarias para ejecutar el virus. Este virus cada vez que contagia algo cambia de forma para hacer de las suyas libremente. Los antivirus normales hay veces que no detectan este tipo de virus y hay que crear programas específicamente (como son las vacunas) para erradicar dichos virus.
Camaleones.
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.
Reproductores.
Reproductores.
Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms).
Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de computadora en computadora, sin dañar necesariamente el hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Más allá de los problemas de espacio o tiempo que puedan generar, los gusanos no están diseñados para perpetrar daños graves.
Backdoors.
Son también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente la computadora infectada. Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo ve en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la computadora infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.
"Virus" Bug-Ware.
Son programas que en realidad no fueron pensados para ser virus, sino para realizar funciones concretas dentro del sistema, pero debido a una deficiente comprobación de errores por parte del programador, o por una programación confusa que ha tornado desordenado al código final, provocan daños al hardware o al software del sistema. Los usuarios finales, tienden a creer que los daños producidos en sus sistemas son producto de la actividad de algún virus, cuando en realidad son producidos por estos programas defectuosos. Los programas bug-ware no son en absoluto virus informáticos, sino fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador. En realidad son programas con errores, pero funcionalmente el resultado es semejante al de los virus.
Virus de MIRC.
Al igual que los bug-ware y los mail-bombers, no son considerados virus. Son una nueva generación de programas que infectan las computadoras, aprovechando las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobre escriba con el "script.ini" maligno. Los autores de ese script acceden de ese modo a información privada de la computadora, como el archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms).
Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de computadora en computadora, sin dañar necesariamente el hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Más allá de los problemas de espacio o tiempo que puedan generar, los gusanos no están diseñados para perpetrar daños graves.
Backdoors.
Son también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente la computadora infectada. Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo ve en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la computadora infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.
"Virus" Bug-Ware.
Son programas que en realidad no fueron pensados para ser virus, sino para realizar funciones concretas dentro del sistema, pero debido a una deficiente comprobación de errores por parte del programador, o por una programación confusa que ha tornado desordenado al código final, provocan daños al hardware o al software del sistema. Los usuarios finales, tienden a creer que los daños producidos en sus sistemas son producto de la actividad de algún virus, cuando en realidad son producidos por estos programas defectuosos. Los programas bug-ware no son en absoluto virus informáticos, sino fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador. En realidad son programas con errores, pero funcionalmente el resultado es semejante al de los virus.
Virus de MIRC.
Al igual que los bug-ware y los mail-bombers, no son considerados virus. Son una nueva generación de programas que infectan las computadoras, aprovechando las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobre escriba con el "script.ini" maligno. Los autores de ese script acceden de ese modo a información privada de la computadora, como el archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
Virus Falsos (Hoax).
Un último grupo, que decididamente no puede ser considerado virus. Se trata de las cadenas de e-mails que generalmente anuncian la amenaza de algún virus "peligrosísimo" (que nunca existe, por supuesto) y que por temor, o con la intención de prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico de información innecesaria.
Un último grupo, que decididamente no puede ser considerado virus. Se trata de las cadenas de e-mails que generalmente anuncian la amenaza de algún virus "peligrosísimo" (que nunca existe, por supuesto) y que por temor, o con la intención de prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico de información innecesaria.
TÉCNICAS DE PROGRAMACIÓN DE VIRUS.
Los programadores de virus utilizan diversas técnicas de programación que tienen por fin ocultar a los ojos del usuario la presencia del virus, favorecer su reproducción y por ello a menudo también tienden a ocultarse de los antivirus. A continuación se citan las técnicas más conocidas:
Stealth.
Stealth.
Técnica de ocultación utilizada para esconder los signos visibles de la infección que podrían delatar su presencia. Sus características son:
Mantienen la fecha original del archivo.
Evitan que se muestren los errores de escritura cuando el virus intenta escribir en discos protegidos.
Restar el tamaño del virus a los archivos infectados cuando se hace un DIR.
Modificar directamente la FAT.
Modifican la tabla de vectores de interrupción (IVT).
Se instalan en los buffers del DOS.
Se instalan por encima de los 640 KB normales del DOS.
Soportan la reinicializacion del sistema por teclado.
Encriptación o auto encriptación.
Mantienen la fecha original del archivo.
Evitan que se muestren los errores de escritura cuando el virus intenta escribir en discos protegidos.
Restar el tamaño del virus a los archivos infectados cuando se hace un DIR.
Modificar directamente la FAT.
Modifican la tabla de vectores de interrupción (IVT).
Se instalan en los buffers del DOS.
Se instalan por encima de los 640 KB normales del DOS.
Soportan la reinicializacion del sistema por teclado.
Encriptación o auto encriptación.
Técnica de ocultación que permite la encriptación del código del virus y que tiene por fin enmascarar su código viral y sus acciones en el sistema. Por este método los virus generan un código que dificulta la detección por los antivirus.
Anti-debuggers.
Anti-debuggers.
Es una técnica de protección que tiende a evitar ser desensamblado para dificultar su análisis, paso necesario para generar una "vacuna" para el antivirus.
Polimorfismo.
Polimorfismo.
Es una técnica que impide su detección, por la cual varían el método de encriptación de copia en copia, obligando a los antivirus a usar técnicas heurísticas. Debido a que el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código, tal cual hace la técnica de escaneo. Esto se consigue utilizando un algoritmo de encriptación que de todos modos, no puede codificar todo el código del virus. Una parte del código del virus queda inmutable y es el que resulta vulnerable y propicio para ser detectado por los antivirus. La forma más utilizada para la codificación es la operación lógica XOR, debido a que es reversible: En cada operación se hace necesaria una clave, pero por lo general, usan una clave distinta en cada infección, por lo que se obtiene una codificación también distinta. Otra forma muy usada para generar un virus polimórfico consiste en sumar un número fijo a cada byte del código vírico.
Tunneling.
Tunneling.
Es una técnica de evasión que tiende a burlar los módulos residentes de los antivirus mediante punteros directos a los vectores de interrupción. Es altamente compleja, ya que requiere colocar al procesador en modo paso a paso, de tal manera que al ejecutarse cada instrucción, se produce la interrupción 1, para la cual el virus ha colocado una ISR (interrupt Service Routine), ejecutándose instrucciones y comprobándose si se ha llegado a donde se quería hasta recorrer toda la cadena de ISR’s que halla colocando el parche al final de la cadena.
Residentes en Memoria o TSR.
Residentes en Memoria o TSR.
Algunos virus permanecen en la memoria de las computadoras para mantener el control de todas las actividades del sistema y contaminar todos los archivos que puedan. A través de esta técnica permanecen en memoria mientras la computadora permanezca encendida. Para logra este fin, una de las primeras cosas que hacen estos virus, es contaminar los ficheros de arranque del sistema para asegurar su propia ejecución al ser encendido el equipo, permaneciendo siempre cargado en RAM.
SPAM.
1. Spam es todo aquel correo electrónico que contiene publicidad que no ha sido solicitada por el propietario de la cuenta de e-mail.La actividad de los spammers -aquellos sujetos que se encargan de generar el spam- es considerada poco ética e incluso ilegal en muchos países.Aquellas aplicaciones y herramientas encargadas de detectar o eliminar el spam son llamados programas antispam.El spam puede clasificarse como un tipo de correo electrónico no deseado.2. Por extensión, spam también se aplica a todo tipo de método de publicidad engañosa, no solicitada u oculta.Ejemplos: los métodos de posicionamientos fraudulentos en los buscadores, publicidad no solicitada en foros o libros de visitas, etc.
SPYWARE.
Los programas espía o spyware son aplicaciones que se encargan en recompilar información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas para poder lucrar con estas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software o para las tarjetas de credito. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante.
Los programas espía o spyware son aplicaciones que se encargan en recompilar información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas para poder lucrar con estas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software o para las tarjetas de credito. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante.