1. AO DE LOS DERECHOS DE LAS PERSONAS CON DISCAPACIDAD Y DEL CENTENARIO DEL NACIMIENTO DE JORGE BASADREVIRUSTRABAJO PRESENTADO COMOREQUISITO DE APROBACINDEL CURSO DECOMPUTACINPORJulio 25 del 2003LIMA PERCONCLUSIONESUn virus es un programa pensado para poder reproducirse y replicarse por s mismo, introducindose en otros programas ejecutables o en zonas reservadas del disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un dao importante en el ordenador donde actan. Pueden permanecer inactivos sin causar daos tales como el formateo de los discos, la destruccin de ficheros, etc...BIBLIOGRAFANetwork Associates, Mcaffe Virus Scan, 105 Pine Island Road Suite 205 USA, Versin 4, 338 pp.Internet; www. Nai.com, virus.com, google.com (Virus Informticos, clases de Virus, antivirus).ANEXOSINTRODUCCINEl presente trabajo monogrfico tiene por finalidad dar a conocer los resultados de la investigacin acerca de los Virus Informticos.Muchas veces estos intrusos acaban con archivos importantes guardados en el disco duro. Son ms de 16 000 virus conocidos en circulacin y capaces de atacar sistemas informticos basados en DOS y Windows, es solo cuestin de tiempo, siendo necesario tiempo y esfuerzo para encontrar el origen de la infeccin y eliminar todos sus efectos.Esperamos pues, sirva de ayuda a todos aquellos interesados en este tema, que afecta a muchos usuarios cada da.DEFINICIONQu es un virus informtico?1

2. Definiciones hay tantas como preguntas sin respuesta exacta. Veamos, pues, si cabe la posibilidad de concretar algunos requisitos que cumplen estos agentes vricos: * Son programas de computadora.* Su principal cualidad es la de poder autor replicarse.* Intentan ocultar su presencia hasta el momento de la explosin.* Producen efectos dainos en el "husped".Si exceptuamos el primer punto, los restantes podran aplicarse tambin a alos virus biolgicos. El parecido entre biologa y tecnologa puede llegar a ser en ocasiones ciertamente abrumador. Como el cuerpo humano, el computadora puede ser atacado por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar daos irreparables en ciertas ocasiones. En estas pginas usar comnmente trminos biolgicos. Esto es debido a que pienso que , realmente, los virus informticos son autnticas imitaciones de sus hermanos biolgicos. As pues usar palabras como "explosin", "husped", "peligrosidad tecnolgica o tecnopeligrosidad", "zona caliente", etc... para explicar trminos completamente informticos.Un virus es un agente peligroso que hay que manejar con sumo cuidado. La "contencin" es la primera regla de oro. Desarrollemos un poco los puntos expuestos antes: Un virus informtico es un programa de computadora, tal y como podra ser un procesador de textos, una hoja de clculo o un juego. Obviamente ah termina todo su parecido con estos tpicos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus informtico ocupa una cantidad mnima de espacio en disco (el tamao es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de s mismo e infecta archivos, tablas de particin o sectores de arranque de los discos duros y disquetes para poder expandirse lo ms rpidamente posible. Ya se ha dicho antes que los virus informticos guardan cierto parecido con los biolgicos y es que mientras los segundos infectan clulas para poder replicarse los primeros usan archivos para la misma funcin. En ciertos aspectos es una especie de "burla tecnolgica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo ms desapercibido que puede, intenta evitar que el "husped" se d cuenta de su presencia... hasta que llega el momento de la "explosin". Es el momento culminante que marca el final de la infeccin y cuando llega suele venir acompaado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el dao se ha estado ejerciendo durante todo el proceso de infeccin, ya que el virus ha estado ocupando memoria en el computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado.Cmo surge un virus? Los virus tienen un ciclo de vida muy concreto: * Programacin y desarrollo* Expansin* Actuacin* Extincin o mutacin ( en este ltimo caso el ciclo se repite ) Virii: Con este trmino se hace referencia al estudio y desarrollo de virus informticos. Tras esta palabra se esconde toda una filosofa informtica. En Internet podemos encontrar cientos de pginas que tratan el tema, y tras ellas importantes desarrolladores de virus, en algunos casos organizados en grupos con nombres como 29A , La Vieja Guardia, ... En la cabecera de algunas de estas pginas podemos encontrar un mensaje como "Los autores no se responsabilizan del contenido de estas pginas"... o " solo con fines educativos"... pero cuando damos una vuelta por ellas podemos encontrar cdigo destructivo de lo ms variado, incluso ponen a disposicin de incautos programas ejecutables infectados. Tambin podemos encontrar herramientas de2 3. generacin de virus tales como el Virus Creation Lab, Trojan Horse. Estos grupos se mueven a sus anchas por Internet, participando en los grupos de noticias (ej.: es.comp.virus ) y en los canales de IRC. Las pginas de "La Vieja Guardia" son un ejemplo de las muchas relacionadas con el Underground, un tema que est gozando de un gran auge en Internet. Es justo reconocer que estos grupos hacen casi ms que nadie en la lucha contra los virus informticos, aunque esto pueda parecer una contradiccin. Ciertamente podemos hacer distinciones entre desarrolladores de virus. En su inmensa mayora son personas que intentan superarse a s mismas creando virus cada vez ms complicados, pero cuando alguien necesita ayuda para desinfectar ese virus puede encontrarse con que el propio programador le responda en algn grupo de noticias dicindole lo que tiene que hacer o que antivirus le recomienda. (Ciertamente hacen un doble juego). Normalmente el buen desarrollador de virus maneja con gran perfeccin el lenguaje ensamblador, aunque un virus puede desarrollarse tambin en lenguajes de alto nivel. Se pueden encontrar incluso aplicaciones destinadas a usuarios con pocos conocimientos de programacin para la creacin de virus tales como el Virus Construction Lab, Nowhere Utilities, Vc2000, nada que ver con el Turbo Assembler."Peligro Biolgico": Los trabajadores de hospitales, laboratorios e industrias farmacolgicas saben muy bien lo que significa la "flor de biopeligrosidad"... la gente que trabaja con computadoras no sabe en la mayora de las ocasiones lo que implica el trmino "Virus Informtico". Por que se hace un virus ? La gran mayora de los creadores de virus lo ven como un hobby, aunque tambin otros usan los virus como un medio de propaganda o difusin de sus quejas o ideas radicales, como por ejemplo el virus Telefnica, que emita un mensaje de protesta contra las tarifas de esta compaa a la vez que reclamaba un mejor servicio, o el famossimo Silvia que sacaba por pantalla la direccin de una chica que al parecer no tuvo una buena relacin con el programador del virus. En otras ocasiones es el orgullo o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez ms destructivos y difciles de controlar. Pero que afortunadamente se estn desarrollando mejores antivirus.HISTORIADesde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy en da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se agrav con el advenimiento y auge de Internet. A continuacin se presenta una breve cronologa de lo que ha sido los orgenes de los virus:1949: Se da el primer indicio de definicin de virus. John Von Neumann (considerado el Julio Verne de la informtica), expone su "Teora y organizacin de un autmata complicado". Nadie poda sospechar de la repercusin de dicho articulo.1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de ncleos de ferrita. Consista en una batalla entre los codigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misin era la de acaparar la mxima memoria posible mediante la reproduccin de si mismo. 3 4. 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo ao es creado su antdoto: el antivirus Reaper cuya misin era buscar y destruir al Creeper.1974: El virus Rabbit haca una copia de si mismo y lo situaba dos veces en la cola de ejecucin del ASP de IBM lo que causaba un bloqueo del sistema. 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infeccin fue originada por Robert Tappan Morris, un joven estudiante de informtica de 23 aos aunque segn l fue un accidente.1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los trminos de este juego. Ese mismo ao aparece el trmino virus tal como lo entendemos hoy. 1985: Dewdney intenta enmendar su error publicando otro artculo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". 1987: Se da el primer caso de contagio masivo de computadoras a travs del MacMag Virus tambin llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunin de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llev el disco a Chicago y contamin la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contamin el disco maestro que fue enviado a la empresa fabricante que comercializ su producto infectado por el virus. Se descubre la primera versin del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusaln.1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.1991 Los virus peruanosAl igual que la corriente blgara, en 1991 apareci en el Per el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutacin del virus JerusalemB y al que su autor le agreg una ventana con su nombre y nmero telefnico. Los virus con apellidos como Espejo, Martnez y Aguilar fueron variantes del JerusalemB y prcticamente se difundieron a nivel nacional.Continuando con la lgica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimrficos Rogue II y Please Wait (que formateaba el disco duro). La creacin de los virus locales ocurre en cualquier pas y el Per no poda ser la excepcin.No es nuestra intencin narrar en forma exhaustiva la historia completa de los virus y sus connotaciones, de tal modo que consideramos tratar como ltimo tema, los macro virus, que son las especies virales que rompieron los esquemas de programacin y ejecucin de los virus tradicionales. En el captulo "FAQ acerca de virus", de esta misma pgina web resolvemos preguntas frecuentes acerca de los virus informticos. Y en el captulo "Programacin de virus" tratamos sobre las nuevas tcnicas de programacin de las especies virales.CLASIFICACION Dependiendo del lugar donde se alojan, la tcnica de replicacin o la plataforma en la cual trabajan, podemos diferenciar en distintos tipos de virus. 4 5. Virus de sector de arranque (boot). Virus de archivos. Virus de accion directa. Virus de sobreescritura. Virus de compaia. Virus de macro. Virus BAT Virus del MIRC.VIRUS DE SECTOR DE ARRANQUE (BOOT). Utilizan el sector de arranque, el cual contiene la informacin sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamao de la FAT, sector de comienzo, etc. A todo esto hay que sumarle un pequeo programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar tambin la tabla de particiones como ubicacin. Suelen quedar residentes en memoria al hacer cualquier operacin en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.VIRUS DE ARCHIVOS. Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que estn en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el cdigo del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se contine de modo normal. El Viernes 13 es un ejemplar representativo de este grupo. Dentro de la categora de virus de archivos podemos encontrar mas subdivisiones, como los siguientes: Virus de accin directa. Son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado. Virus de sobreescritura. Corrompen el archivo donde se ubican al sobreescribirlo. Virus de compaa. Aprovechan una caracterstica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extensin el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensin COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicacin original.VIRUS DE MACRO.Es una familia de virus de reciente aparicin y gran expansin. Estos estn programas usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a travs de archivos MSWord (DOC). En la actualidad esta tcnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen nicamente de la aplicacin. Hoy en da son el tipo de virus que estn teniendo un mayor auge debido a que son fciles de5 6. programar y de distribuir a travs de Internet. Aun no existe una concienciacin del peligro que puede representar un simple documento de texto.Porcin de cdigo de un tpico virus Macro: Sub MAIN DIM dlg As FileSaveAs GetCurValues dlg ToolsOptionsSave.GlobalDotPrompt=0 Ifcheckit(0)=0 Then MacroCopy FileName$() + ":autoopen", "global;autoopen" End If VIRUS BAT. Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dainos como cualquier otro tipo virus.En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a cdigo maquina son y no producen ningn efecto que altere el funcionamiento del virus.VIRUS DEL MIRC.Vienen a formar parte de la nueva generacin Internet y demuestra que la Red abre nuevas forma de infeccin. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini". FUNCIONAMIENTO Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del dao real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.PROCESO DE INFECCION.El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el ltimo archivo descargado de Internet. Dependiendo del tipo de virus el proceso de infeccin vara sensiblemente.Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ah esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son ledas por el computadora y procesadas, pero tambin procesa otras instrucciones que no deberan estar ah. El virus comprueba si ya se ha instalado en la memoria. Si ve que todava no est contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo6 7. programa que se ejecute ser contaminado. El virus ejecutar todos los programas, pero despus se copiar a s mismo y se "pegar" al programa ejecutado "engordndolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infeccin ocultan esos bytes de ms para que parezca que siguen teniendo el mismo tamao. El virus contaminar rpidamente los archivos de sistema, aquellos que estn en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. As, cuando el usuario vuelva a arrancar la computadora el virus se volver a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomar otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso. Puede que el virus sea tambin de "Sector de arranque". En ese caso el cdigo del virus se copiar en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el virus no podr cargarse en memoria y no tendr el control. Un caso menos probable es que el virus sea de "Tabla de particin". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminar todo lo que pueda, archivos, sector de arranque...TECNICAS DE PROGRAMACIONTcnicas StealthSon tcnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamao real de los archivos que han contaminado, de forma que si hacemos un DIR la informacin del tamao de los archivos puede ser falsa. Los virus de tabla de particin guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrrsela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecucin de determinados antivirus y descargan de la memoria partes de su propio cdigo "sospechoso" para cargarse de nuevo cuando estos han finalizado su bsqueda.TunnelingEs una tcnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupcin y tener as un control directo sobre esta.Requiere una programacin compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instruccin se produce la interrupcin 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupcin y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quera hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.AntidebuggersUn debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su cdigo en lenguaje original. Los virus usan tcnicas para evitar ser desemsamblados y as impedir su anlisis para la fabricacin del antivirus correspondiente.Polimorfismo o automutacinEs una tcnica que consiste en variar el cdigo vrico en cada infeccin (ms o menos lo que hace el virus del SIDA en los humanos con su capa protica). Esto obliga a los antivirus a usar tcnicas heursticas ya que como el virus cambia en cada infeccin es imposible localizarlo buscndolo por cadenas de cdigo. Esto se7 8. consigue utilizando un algoritmo de encriptacin que pone las cosas muy difciles a los antivirus. No obstante no se puede codificar todo el cdigo del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte ms vulnerable al antivirus.La forma ms utilizada para la codificacin es la operacin lgica XOR. Esto es debido que esta operacin es reversible:7 XOR 9 = 22 XOR 9 = 7En este caso la clave es el nmero 9, pero utilizando una clave distinta en cada infeccin se obtiene una codificacin tambin distinta.Otra forma tambin muy utilizada consiste en sumar un nmero fijo a cada byte del cdigo vrico.TSR Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecucin. Los virus utilizan esta tcnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volver a ser cargado en memoria. CONSECUENCIASEjemplo del Virus "World Cup 98 8 9. Green CaterpillarInversin de la pantalla por el virus HPS Virus MarburgQu dao puede hacer un virus a mi sistema? Software Modificacin de programas para que dejen de funcionar Modificacin de programas para que funcionen errneamente Modificacin sobre los datos Eliminacin de programas y/o datos Acabar con el espacio libre en el disco rgido Hacer que el sistema funcione mas lentamente Robo de informacin confidencial Hardware Borrado del BIOS Quemado del procesador por falsa informacin del sensor de temperatura Rotura del disco rgido al hacerlo leer repetidamente sectores especficos que fuercen sufuncionamiento mecnicoCmo se propagan los virus? Disquetes u otro medio de almacenamiento removible Software pirata en disquetes o CDs Redes de computadoras Mensajes de correo electrnico Software bajado de Internet Discos de demostracin y pruebas gratuitosSntomas que indican la presencia de Virus.... Cambios en la longitud de los programas9 10. Cambios en la fecha y/u hora de los archivos Retardos al cargar un programa Operacin ms lenta del sistema Reduccin de la capacidad en memoria y/o disco rgido Sectores defectuosos en los disquetes Mensajes de error inusuales Actividad extraa en la pantalla Fallas en la ejecucin de los programas Fallas al bootear el equipo Escrituras fuera de tiempo en el discoTipos de Virus de Computacin por su destino de infeccinInfectores de archivos ejecutables Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV Infectores directosEl programa infectado tiene que estar ejecutndose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas)Infectores residentes en memoriaEl programa infectado no necesita estar ejecutndose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destruccinInfectores del sector de arranqueTanto los discos rgidos como los disquetes contienen un Sector de Arranque, el cual contiene informacin especfica relativa al formato del disco y los datos almacenados en l. Adems, contiene un pequeo programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Nonsystem Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rgido, infectando luego cada disquete utilizado en la PC. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar la PC con un disquete que contenga solo datos.....MacrovirusSon los virus mas populares de la actualidad. No se transmiten a travs de archivos ejecutables, sino a travs de los documentos de las aplicaciones que poseen algn tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y tambin el Corel Draw.Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro... Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuracin del sistema operativo, borrar archivos, enviar emails, etc.De Actives Agents y Java Applets10 11. En 1997, aparecen los Java applets y Actives controls. Estos pequeos programas se graban en el disco rgido del usuario cuando est conectado a Internet y se ejecutan cuando la pgina web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rgido a travs de una conexin www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, enven informacin a un sitio web, etc.De HTMLUn mecanismo de infeccin ms eficiente que el de los Java applets y Actives controls apareci a fines de 1998 con los virus que incluyen su cdigo en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una pgina web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las ltimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.Trojanos/WorksLos troyanos son programas que imitan programas tiles o ejecutan algn tipo de accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el cdigo daino.Los troyanos no cumplen con la funcin de autorreproduccin, sino que generalmente son diseados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusin del virus. (Generalmente son enviados por email)Tipos de Virus de Computacin por sus acciones y/o modo de activacinBombas Se denominan as a los virus que ejecutan su accin daina como si fuesen una bomba. Esto significa que se activan segundos despus de verse el sistema infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condicin lgica del equipo. (bombas lgicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lgicas son los virus que se activan cuando al disco rgido solo le queda el 10% sin uso, etc.Camaleones Son una variedad de virus similares a los caballos de Troya que actan como otros programas parecidos, en los que el usuario confa, mientras que en realidad estn haciendo algn tipo de dao. Cuando estn correctamente programados, los camaleones pueden realizar todas las funciones de los programas legtimos a los que sustituyen (actan como programas de demostracin de productos, los cuales son simulaciones de programas reales). Un software camalen podra, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algn archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camalen.Reproductores Los reproductores (tambin conocidos como conejosrabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema. La nica funcin de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propsito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.11 12. Gusanos (Worms) Los gusanos son programas que constantemente viajan a travs de un sistema informtico interconectado, de PC a PC, sin daar necesariamente el hardware o el software de los sistemas que visitan.La funcin principal es viajar en secreto a travs de equipos anfitriones recopilando cierto tipo de informacin programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso.Backdoors Son tambin conocidos como herramientas de administracin remotas ocultas. Son programas que permiten controlar remotamente la PC infectada. Generalmente son distribuidos como troyanos. Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso no se lo v en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la PC infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....Estrategias de infeccin usadas por los virusAadidura o empalme:El cdigo del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas especficas y luego entregue el control al programa. Esto genera un incremento en el tamao del archivo lo que permite su fcil deteccin.Insercin: El cdigo del virus se aloja en zonas de cdigo no utilizadas o en segmentos de datos para que el tamao del archivo no vare. Para esto se requieren tcnicas muy avanzadas de programacin, por lo que no es muy utilizado este mtodo.Reorientacin: Es una variante del anterior. Se introduce el cdigo principal del virus en zonas fsicas del disco rgido que se marcan como defectuosas y en los archivos se implantan pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamao del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminacin es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos.Polimorfismo: Este es el mtodo mas avanzado de contagio. La tcnica consiste en insertar el cdigo del virus en un archivo ejecutable, pero para evitar el aumento de tamao del archivo infectado, el virus compacta parte de su cdigo y del cdigo del archivo anfitrin, de manera que la suma de ambos sea igual al tamao original del archivo. Al ejecutarse el programa infectado, acta primero el cdigo del virus descompactando en memoria las porciones necesarias. Una variante de esta tcnica permite usar mtodos de encriptacin dinmicos para evitar ser detectados por los antivirus.Sustitucin: Es el mtodo mas tosco. Consiste en sustituir el cdigo original del archivo por el del virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el virus, para disimular este proceder reporta algn tipo de error con el archivo de forma que creamos que el problema es del archivo.Ejemplos de virus y sus acciones 12 13. Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet. Melissa: Macrovirus de Word. Se enva a s mismo por mail. Daa todos los archivos .doc Chernobyl (W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a formatear el HD. Adems intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril. Michelangelo: Virus de boot sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable. WinWord.Concept: Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word. FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rgido. Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de informacin. Permite tomar control remoto de la PC o del servidor infectados, con la posibilidad de robar informacin y alterar datos. VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y se activa inmediatamente despus de que el usuario abra el mail. No genera problemas serios.Virus falsos: HOAXQu son? Falsas alarmas de virus Ejemplos: Join The Crew, Win a Holiday, Solidaridad con BrianQu no hay que hacer?Responder esas cadenas, ya que crea saturacin de los servidores de mail y, adems son usadas para levantar direcciones de emails para luego enviar publicidades. Email Bombing and SpammingDescripcin Email bombing es el envo reiterado de un mismo mail a una cuenta en particular.Email spamming es una variante del bombing, es el envo de email a cientos o miles de usuarios. El problema se acrecienta si alguien responde el mensaje a todos.Spamming y bombing pueden ser combinados con email spoofing, que consiste en alterar la direccin del emisor del destinatario, haciendo imposible conocer quien origin la cadena. Cuando una gran cantidad de mensajes son dirigidos a un mismo servidor, este puede sufrir un DoS (Denial of Service), o que el sistema se caiga como consecuencia de utilizar todos los recursos del servidor, o completar el espacio en los discos.Qu puede hacer usted? En principio es imposible de prevenir ya que cualquier usuario de email puede spam cualquier otra cuenta de email, o lista de usuarios. Se deben activar las opciones de filtrado de mensajes Prctica de seteo de opciones de filtrado de mensajesQu no debe hacer? Responder esas cadenas, ya que crea saturacin de los servidores de mail y adems son usadas para levantar direcciones de emails para luego enviar publicidades. 13 14. Email con attachments Qu hacer cuando se reciben? No lo abra a menos que necesite su contenido En este caso, primero grbelo en el HD y luego psele un antivirus.Qu hacer si debe enviarlos? Si es un documento de texto grbelo con formato RTF De lo contrario ejecute su antivirus antes de adosar el archivoContenido activo en el email Qu es? Pginas con xml, java, Actives objects, etc.Cundo se ejecuta? Al visualizar la pginaCmo me protejo? Solo se puede limitar el riesgo con las opciones de la Zona de Seguridad empleada. Practica de cambiar opciones de seguridad..... Web scripts malignosQu son?Un "script" es un tipo de programa de computacin usado en la programacin de sitios web. (Ej.: Javascript, Perl, Tcl, VBScript, etc). Un script consiste en comandos de texto. Cada vez que el browser recibe estos comandos, los interpreta y los ejecuta. Esto significa que un script puede ser incluido en cualquier pgina web como si fuese texto. En principio un script no es necesariamente un programa maligno, sino que se utiliza su funcionalidad con fines malignos.Cmo me llegan? Al visitar una pgina web que contenga en su cdigo algn script.Qu pueden hacer?Monitorear la sesin del usuario, copiar datos personales a un tercer sitio, ejecutar programas de forma local, leer las cookies del usuario y reenviarlas a un tercero, etc. y todo esto sin que el usuario se entere en absoluto.Cmo se soluciona este problema? Deshabilitando todos los lenguajes de script en las opciones de seguridad del explorador.Cmo afecta mi navegacin esta solucin?Indudablemente va a limitar su interaccin con algunos web sites. Cada da se utilizan ms los scripts para dotar a las pginas de un site de un comportamiento personalizado y ms dinmico. Tal vez lo recomendable es deshabilitar estas opciones al visitar pginas de sitios no confiables.Prctica en Explorer para deshabilitar estas opciones... Seguridad en Internet..... CookiesMedidas antivirus 14 15. Nadie que usa computadoras es inmune a los virus de computacin. Un programa antivirus por muy bueno que sea se vuelve obsoleto muy rpidamente ante los nuevos virus que aparecen da a da. Desactivar arranque desde disquete en el setup para que no se ejecuten virus de boot. Desactivar compartir archivos e impresoras. Analizar con el antivirus todo archivo recibido por email antes de abrirlo. Actualizar antivirus. Activar la proteccin contra macrovirus del Word y el Excel. Sea cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio es seguro) No enve su informacin personal ni financiera a menos que sepa quien se la solicita y que sea necesaria para la transaccin. No comparta discos con otros usuarios. No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otro. Ensee a sus nios las practicas de seguridad, sobre todo la entrega de informacin. Cuando realice una transaccin asegrese de utilizar una conexin bajo SSL Proteja contra escritura el archivo Normal.dot Distribuya archivos RTF en vez de DOCs Realice backupsLOS ANTIVIRUSLos programas antivirus son una herramienta especfica para combatir el problema virus, pero es muy importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia no combate a los virus. Cuando se piensa en comprar un antivirus, no se debe perderse de vista que, como todo programa, para funcionar correctamente, debe esta bien configurado. Adems, un antivirus es una solucin para minimizar los riesgos y nunca ser una solucin definitiva, el principal es mantenerlo actualizado. La nica forma de mantener su sistema seguro es mantener su antivirus actualizado y estar constantemente leyendo sobre los virus y las nuevas tecnologas. La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. ste es el aspecto ms importante de un antivirus, pero, las empresas deben buscar identificar tambin las caractersticas administrativas que el antivirus ofrece. La instalacin y administracin de un antivirus en una red es una funcin muy compleja si el producto no lo hace automticamente, pero eso no es el tema de ese artculo. Es importante tener en claro la diferencia entre "detectar" e "identificar" un virus en una computadora. La deteccin es la determinacin de la presencia de un virus, la identificacin es la determinacin de qu virus es. Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su capacidad de deteccin, pues las capacidades de identificacin estn expuestas a muchos errores y slo funcionan con virus conocidos.IdentificacinEl modelo ms primario de las funciones de un programa antivirus es la deteccin de la presencia de un virus y, en lo posible, su identificacin. La primera tcnica que se populariz en los productos antivirus fuera la tcnica de rastreo (scanning). Los rastreadores antivirus representan la mayora de los productos de actualidad. La desventaja de los rastreadores es que stos no consiguen reconocer los virus "desconocidos"; o sea, todo nuevo virus necesita ser descubierto y analizado antes de que un rastreador pueda reconocerlo. La velocidad de actualizacin de un rastreador depende en mucho de los laboratorios de cada fabricante; cuantos ms laboratorios haya en el mundo, mas ingenieros investigadores locales estarn trabajando en la localizacin de un virus, haciendo as un trabajo mas rpido y eficiente para la solucin del antivirus. Rastrear es el mtodo conocido para localizar un virus despus de que ste haya infectado un sistema. Cabe mencionar que los rastreadores tambin pueden identificar los virus por nombre, mientras otros mtodos no pueden.Deteccin 15 16. Debido a las limitaciones de la tcnica de rastreo, los productores de programas antivirus han desarrollado otros mtodos para deteccin de virus informticos. Estas tcnicas buscan identificar los virus por funciones bsicas comunes en los virus, reconociendo el virus por su comportamiento y no por una pequea porcin de cdigo como hace los rastreadores. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dainas pertenecientes a un virus informtico. El mtodo de monitoreo del sistema (tambin conocido como rulebased) es la mejor alternativa de proteccin en tiempo real para PCs individuales o para estaciones de trabajo. Estos sistemas antivirus permanecen residentes en la memoria y quedan a la expectativa en caso de actividades virulentas. Por ejemplo, si un programa en memoria intentara infectar un archivo en el disco, un producto antivirus de monitoreo de sistema percibir dicho intento y alertar al usuario.McAfeeVIRUS SCANEl nombre VirusScan se aplica tanto a la serie completa de componentes de programas antivirus de escritorio descritos en la Gua del Usuario como a un componente concreto de dicha serie: Scan32.exe o explorador requerido de VirusScan. Requerido significa que, como usuario de VirusScan usted decide cundo debe iniciar y finalizar una operacin de exploracin, qu objetivos debe examinar, qu debe hacer cuando detecta un virus o cualquier otro aspecto del funcionamiento del programa. Por el contrario, otros componentes de VirusScan funcionan automticamente o de acuerdo con un programa establecido por usted. Al principio, VirusScan estaba formado nicamente por un explorador manual. Las caractersticas integradas en el programa desde entonces proporcionan ahora un grupo de funciones antivirus que le ofrecen la mxima proteccin contra los virus y los ataques de software perjudicial.El componente requerido de VirusScan funciona en dos modos: la interfaz de clsica de VirusScan prepara su sistema en muy poco tiempo, precisa un nmero mnimo de opciones de configuracin, pero que le ofrece toda la potencia del sistema de exploracin antivirus de VirusScan; de modo avanzado de VirusScan aade flexibilidad a las opciones de configuracin del programa y permite, por ejemplo, realizar ms de una exploracin simultneamente.Inicio de VirusScanPara Iniciar VirusScan:Inicie la consola VirusScan y, a continuacin haga clic en explorar en la parte izquierda de la ventana. Haga clic en iniciar y seleccione ejecutar en el men que aparece. Escriba scan32.exe en el cuadro de dilogo de Ejecutar y haga clic en Aceptar.VSHIELDVShield explora el sistema en segundo plano, mientras usted trabaja con sus archivos, para protegerlos de virus contenidos en disquetes, introducidos desde de la red, incluidos en los archivos que se anexan a los mensajes de correo electrnico o cargados a la memoria. VShield se inicia cuando se arranca su computadora y permanece residente en memoria hasta que la apaga. Incluye tambien tecnologa que protege de los applets de Java y controles del ActiveX perjudiciales y que impide la conexin de la computadora a sitios de internet peligrosos. La proteccin mediante contraseas de su configuracin previene la introduccin de modificaciones no autorizadas.UTILIZACION DE ASISTENTE DE CONFIGURACION DE VSHIELDUna vez instalado VirusScan y reiniciada la computadora, VShield se carga inmediatamente en la memoria y 16 17. comienza a funcionar con un conjunto de opciones predeterminadas que proporcionan una proteccin antivirus bsica. A menos que desactive VShield uno de sus mdulos (o lo detenga completamente), nunca tendra que preocuparse de iniciar o planificar tareas para que les realice.Sin embargo, para garantizar un nivel de seguridad mas alto, debe configurar VShield para que funcione con el software cliente de correo electrnico y hacer que examine minuciosamente el trfico de internet en busca de virus y software daino. El asistente de configuracin de VShield puede ayudarle a configurar muchas de estas opciones inmediatamente; luego podr adaptar el programa para que funcione mejor en su entorno a medida que se familiarice con VShield y la susceptibilidad del sistema al software daino.CMO ELEGIR EL MEJOR ANTIVIRUSDebe ofrecer: Mximo ndice de deteccin y eliminacin de virus avalado por las principales certificaciones internacionales. Actualizaciones permanentes va Internet y otros soportes. Gestin centralizada y versiones especficas para todas las plataformas. Alcance y capacidad para incorporar con rapidez todos los nuevos virus a nivel mundial. Respaldo de un equipo de profesionales con experiencia que proporcione solucin inmediata a los nuevos virus.VIRUS INFORMATICOS DEL 2003Motivos para crear un virus.A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de computadora no ocurren en forma natural, cada uno debe ser programado. No existen virus benficos. Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando un mensaje humorstico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa dao real, quin sabe realmente la causa? Aburrimiento? Coraje? Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores.Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificacin.Cmo Evitarlos? Sospecha de los programas activos todo el tiempo (residentes en memoria). Los virus tienen la mala costumbre de quedarse en memoria para realizar sus fechoras. Sospecha de cualquier programa gratuito (shareware, freeware; fotos, videos, rutinas, patchs) que bajes de Internet. Los fabricantes de virus colocan frecuentemente en estos sus nocivos productos. Obtn una lista de los virus mas comunes y verifica contra esta lista cualquier programa nuevo que tengas. Fjate en el tamao de los archivos del sistema [COMMAND.COM principalmente]. Sospecha si es diferente del original. Haz una copia de la Tabla de Localidades para Archivo [File Allocation Table] y CMOS si te es posible. Te ahorrar mucho tiempo, dinero y esfuerzo el copiarla de nuevo si algn virus la da. Al estar buscando un virus, y si tienes disco duro, bloquea el acceso a este temporalmente. Actualiza mensualmente tu AntiVirus. Si no lo tienes puedes conseguir una copia gratuita en: Symantec Corp., Network Associates Inc., Command Software Systems, Inc., Aladdin Knowledge Systems, Data Fellows, Norman Data Defense Systems, Panda Software International, Sophos Inc., entre otros.17