Daniel Merchán López. 2013

133 Historia del software en computación aplicado a la informática educativa.

4. Virus y antivirus informáticos.

Hablando de software no podemos olvidarnos del software diseñado para atacar a otro software, los virus informáticos. Un virus es un programa elaborado accidental o intencionadamente que tiene por objeto instalarse en una computadora sin el conocimiento o permiso del usuario. Dicho de otro modo, los virus pueden corromper o destruir parte, o la totalidad, de los datos almacenados en el disco de manera intencionada, aunque también existen otros más inofensivos que solo se caracterizan por ser molestos. Todos los tipos de virus tienen la misma finalidad que es la creación de efectos nocivos en el computador. Se dice que es un programa parásito porque ataca a los archivos o sectores de arranque y se reproduce a sí mismo para continuar su esparcimiento.

Unos solo se multiplican, mientras que otros pueden producir serios daños y afectar a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo flotando en el sistema, ya que el fin último de todo virus informático es propagarse por la computadora.

Un virus informático funciona de manera simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones por desconocimiento y sin permiso del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.

Para contrarrestar a los virus se han diseñado los antivirus. Un antivirus en un software cuya finalidad consiste en la detección, bloqueo y/o eliminación de un virus de las mismas características. Este software debe estar en constante evolución puesto que los virus evolucionan constantemente y diariamente nacen virus nuevos.

Todos los antivirus no funcionan igual, sin embargo su comportamiento normal se basa en contar con una lista de virus conocidos y su forma de reconocerlos, las llamadas firmas o vacunas analizan contra esa lista, los archivos almacenados o

Daniel Merchán López. 2013

134 Historia del software en computación aplicado a la informática educativa.

transmitidos desde y hacia un ordenador. Aparte de esto, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuales son potencialmente dañinas para el ordenador, con técnicas como Heurística, o el sistema de prevención contra intrusiones (HIPS).

Normalmente, un antivirus tiene un componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras un usuario lo está utilizando. Aparte de esto, cuentan con un componente de análisis bajo demanda (los conocidos escáner, exploradores, etc.), y módulos de protección de correo electrónico, Internet, etc. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar a un ordenador y bloquearlas antes de que puedan infectar un equipo, así como poder eliminarla tras la infección.

4.1. Historia de los virus.[54][55][56][57]

En realidad, no se sabe el momento preciso en el que aparecieron los virus. Pero ya en el año 1949, el matemático John Louis Von Neumann, de origen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos", donde demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura.

Hacia finales de los años 60, Douglas McIlory, Víctor Vysottsky y Robert Thomas Morís, programadores de los laboratorios Bell de AT&T, idearon un juego al que llamaron Core War (Guerra en el núcleo, aludiendo a la memoria de la computadora) inspirándose en la teoría de Von Neumann y convirtiéndose en su pasatiempo. El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera. Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas destinados a dañar en el campo de la computación.

En 1971 aparece el primer virus, aunque todavía no se le había asignado el nombre de virus a ese tipo de software. Fue un programa auto replicante escrito por Bob Thomas en la BBN (Bolt, Beranek and Newman technologies). No estaba diseñado para causar

Daniel Merchán López. 2013

135 Historia del software en computación aplicado a la informática educativa.

daño sino para comprobar si se podía crear un programa que se moviera entreordenadores. Este virus fue llamado Creper y atacó a una IBM serie 360. El programa emitió el siguiente mensaje en la pantalla («¡I'm a creeper... catch me if you can!» (¡Soy una enredadera... agárrame si puedes!). Para solucionar este problema se creó el primer antivirus llamado Reaper (Cortadora). Se dice que no es un antivirus en si porque en realidad era un virus que se auto replicaba y se extendía a través de la red. Su funcionamiento consistía básicamente en analizar cadenas de código en el sistema que fuesen similares o afines a las del virus. De esta forma van rastreando todo el sistema operativo en busca de esta cadena, y si lo encontraba lo eliminaba.

Fue Keneth Thompson, que en 1969 creó el sistema operativo UNIX, quien resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y, en 1983, siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático. Fred Cohen al año siguiente, en un discurso, incluyó las pautas para el desarrollo de un virus.

En 1983 sale al mercado el sistema operativo de Microsoft MS-DOS, y, debido a sus múltiples vulnerabilidades, en 1986 se infecta con el virus Brain, un código malicioso originario de Pakistán que infecta los sectores de arranque de los discos de forma que impide acceder a su contenido. Otros virus importantes de esta época son el Bouncing Ball y Marihuana que fueron las primeras especies representativas de difusión masiva.

Estas 3 especies virales tan sólo infectaban el sector de arranque de los disquetes.

Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.

Fig. 82. Computador infectado con el virus Brain.

El primer troyano, llamado en aquella época caballo de troya, aparece en 1986. Se llamaba PC-Write y se presentaba como una supuesta versión shareware de un procesador de textos. Si era ejecutado, un procesador de textos funcional se presentaba en pantalla. El problema era que, al tiempo que el usuario escribía, el troyano se encargaba de borrar y corromper archivos del disco duro.

Daniel Merchán López. 2013

136 Historia del software en computación aplicado a la informática educativa.

Los autores de virus se dan cuenta de que infectar archivos puede causar aun más daño. Así, en 1987 aparece Suriv-02, un virus que infectaba ficheros COM y que dio origen al famoso virus Jerusalem (el primero que se propaga en España) o Viernes 13. Pero lo peor aún estaba por llegar, y en 1988 hace su aparición el famoso “gusano de Morris” que llegó a infectar 6000 ordenadores. Fue creado por Robert Tappan Morris, hijo de uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell y difundido a través de ArpaNet, la precursora de Internet.

A partir de 1995 nacen los virus que conocemos hoy en día. Estos virus no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables, podían auto-copiarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos. En 1997 se esparce a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access.

Con el uso masivo de Internet y el correo electrónico los autores de virus encuentran otras vías para propagarlos. Así, aparece en 1999 el virus Melissa (Fig. 83), el primer código malicioso que provocó una epidemia a nivel mundial, y que inauguró una nueva era para los virus informáticos.

Fig. 83. Virus Melissa.

A finales de Noviembre de 1999 apareció el BubbleBoy, primer virus que infectaba los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se encontró el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensión .SHS. En 2002 surge el primer virus diseñado para atacar archivos Shockwave Flash de Macromedia y aparece winux, primer virus para ejecutables tanto de Windows como de Linux

Daniel Merchán López. 2013

137 Historia del software en computación aplicado a la informática educativa.

4.2. Tipos de virus.[54][55][56][57]

Como hemos visto en la historia, hay varios tipos de virus diferentes ente los que se encuentran los troyanos, el gusano, las bombas lógicas o de tiempo, los hoax y los Joke.

Un troyano es un virus que roba información o alterar el sistema del hardware y en un caso extremo permite que un usuario externo pueda controlar el equipo.

El gusano tiene la propiedad de duplicarse a sí mismo. Utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

Las bombas lógicas o de tiempo son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.

Los hoax no son virus propiamente dichos, son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos.

Los joke tampoco se pueden considerar virus. Se trata del malware que menos daño hace a nuestro ordenador y su objetivo es crear algún efecto molesto o humorístico. Cualquier joke puede ser cerrado con el Administrador de Tareas (Windows) o el Monitor del Sistema (Linux-Gnome).

Hay otros tipos de virus más complejos, en los cuales las empresas antivirus trabajan constantemente para erradicarlos. Son los virus polimórficos, metamórficos y de

ocultamiento del punto de entrada. Los virus de ocultamiento de entrada son los última generación. Son códigos maliciosos que no actúan como los otros tipos de virus, es decir, inmediatamente después de ser ejecutados, sino que insertan su código en medio de otros archivos. De esta manera, el virus lleva a cabo únicamente su función cuando una parte muy concreta del archivo en el que se encuentra insertado es ejecutada, como por ejemplo cuando se accede a un fichero de disco.

Fig. 84. Ejemplo de Hoax.

Daniel Merchán López. 2013

138 Historia del software en computación aplicado a la informática educativa.

Es un proceso similar al que llevan a cabo algunos virus biológicos.

Los virus polimórficos disponen de una capa externa, denominada polimórfica, que hace que modifiquen su apariencia. A través de esta capa pueden cambiar las instrucciones cada generación del virus. Por ejemplo, pueden cifrar su código con una clave distinta cada vez, añadiendo al mismo tiempo a su propio código la rutina de descifrado correspondiente. De esta forma, cada vez tendrán un aspecto diferente, aunque su contenido seguirá siendo el mismo. Por su parte, los metamórficos disponen de otra característica añadida, ya que, además de modificar su aspecto externo, también cambian su interior hasta el extremo de poder variar su propio código vírico.

4.3. Tipos de antivirus. Una forma de clasificar los antivirus sería la siguiente:

Antivirus preventores: Este tipo de antivirus se anticipa a la infección, previniéndola. De este modo, permanecen en la memoria de la computadora, monitoreando ciertas acciones y funciones del sistema.

Antivirus identificadores: Esta clase de antivirus tiene la función de identificar determinados programas infecciosos que afectan al sistema. Los virus identificadores también rastrean secuencias de bytes de códigos específicos vinculados con dichos virus.

Antivirus descontaminadores: Esta clase de antivirus descontaminan un sistema que fue infectado, a través de la eliminación de programas malignos. El objetivo es retornar dicho sistema al estado en que se encontraba antes de ser atacado por lo que debe contar con una exactitud en la detección de los programas malignos.