¿Que es un Virus y Antivirus?
Un virus es simplemente un programa. Una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o a totalidad de los datos almacenados en el disco. De todas maneras, dentro de la expresión "virus informático" se suelen englobar varios tipos de programas, por lo que a continuación se da un pequeño repaso a cada uno de ellos, poniendo de manifiesto sus diferencias. La clasificación es la siguiente:
- Virus "puro"
- Caballo de Troya
- Bomba Lógica
- Gusano o Worm
Todos estos programas tienen en común la creación de efectos perniciosos; sin embargo, no todos pueden ser considerados como virus propiamente dichos.
Virus puro
Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí mismo en soportes diferentes a aquel en que se encontraba originalmente, y por supuesto hacerlo con el mayor sigilo posible y en forma transparente al usuario; a este proceso de autorréplica se le conoce como "infección"; de ahí que en todo este tema se utilice la terminología propia de la medicina: vacuna, tiempo de incubación, etcétera. Como soporte, se entiende el lugar donde el virus se oculta, sea fichero, sector de arranque, o partición, etcétera.
Un virus puro también debe modificar el código original del programa o soporte objeto de la infección, para poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele quedar residente en memoria para poder infectar así de modo transparente al usuario.
Caballo de Troya
A diferencia del virus puro, un Caballo de Troya es un programa maligno que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este último. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocaciones, para causar su efecto destructivo.
Bomba lógica
Se trata simplemente de un programa maligno que permanece oculto en memoria y que sólo activa cuando se produce una acción concreta, predeterminada por su creador: cuando se llega a una fecha en concreto (Viernes 13), cuando se ejecuta cierto programa o cierta combinación de teclas, etcétera.
Gusano o Worm
Por último, un gusano es un programa cuya única finalidad es ir consumiendo la memoria del sistema, mediante la realización de copias sucesivas de sí mismo, hasta desbordar la Ram, siendo ésta su única acción maligna. La barrera entre virus puros y el resto de programas malignos es muy difusa, prácticamente invisible, puesto que ya casi todos los virus incorporan características propias de uno o de varios de estos programas: por ejemplo, virus como Viernes 13 son capaces de infectar otros archivos; siendo así virus puro, pero también realizan su efecto destructivo cuando se da una condición concreta, la fecha viernes 13, característica propia de una bomba lógica; por último, se oculta en programas ejecutables teniendo así una cualidad de Caballo de Troya. De ahí la gran confusión existente a este respecto.
Formas de infección
Antes de nada, hay que recordar que un virus no puede ejecutarse por sí solo; necesita un programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un programa portador necesita modificar la estructura de este para que durante su ejecución pueda realizar una llamada al código del virus. Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de los disquetes (en su momento), la tabla de partición y el sector de arranque del disco duro, y los ficheros ejecutables (*.exe y *.com). Para cada una de estas partes se tiene un tipo de virus, aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema.
En los disquetes, para los computadores antiguos o en la unidad de USB para los más actuales, el sector de arranque es una zona situada al principio del disco que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que se arranca desde el disquete o de la USB. En este caso, al arrancar con un dispositivo contaminado, el virus se queda residente en memoria Ram, y a partir de ahí infectará el sector de arranque de todos los disquetes a los que se acceda, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus.
El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco; a menudo, el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos de posibles accesos, lo que suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo cual una vez residentes en memoria efectúan una llamada al código de arranque original para iniciar el sistema y así aparentar que se a iniciado el sistema como siempre, con normalidad; segundo, este procedimiento puede ser usado como técnica de ocultando.
Normalmente, un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en esta suele copiar una parte de si mismo y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que algunos de los virus no marque estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus. La tabla de partición está situada en el primer sector del disco duro y contiene una serie de bytes de información sobre como se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde el disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores del disco, y para proteger esta zona modifican el contenido de esta tabla para reducir el tamaño lógico del disco. De esta manera, el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades. Con todo, el tipo de virus que más abunda es el de fichero; en este caso usa como vehículo de expansión los archivos de programa o ejecutables, sobre todo .ese y .com, aunque también a veces .ovl, .bin y .ovr. Al ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste, y modificando su estructura en forma que al ejecutarse dicho programa primero llame al código del virus, devolviendo después el control al programa portador y permitiendo su ejecución normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como"engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior el virus, siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus se programe en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria; un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria; un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados.
No todos los virus de fichero quedan residentes en memoria sino que al ejecutarse el portador, éstos infectan a otro archivo, elegido de manera aleatoria de ese directorio o de otros.
En los disquetes, para los computadores antiguos o en la unidad de USB para los más actuales, el sector de arranque es una zona situada al principio del disco que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que se arranca desde el disquete o de la USB. En este caso, al arrancar con un dispositivo contaminado, el virus se queda residente en memoria Ram, y a partir de ahí infectará el sector de arranque de todos los disquetes a los que se acceda, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus.
El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco; a menudo, el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos de posibles accesos, lo que suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo cual una vez residentes en memoria efectúan una llamada al código de arranque original para iniciar el sistema y así aparentar que se a iniciado el sistema como siempre, con normalidad; segundo, este procedimiento puede ser usado como técnica de ocultando.
Normalmente, un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en esta suele copiar una parte de si mismo y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que algunos de los virus no marque estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus. La tabla de partición está situada en el primer sector del disco duro y contiene una serie de bytes de información sobre como se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde el disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores del disco, y para proteger esta zona modifican el contenido de esta tabla para reducir el tamaño lógico del disco. De esta manera, el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades. Con todo, el tipo de virus que más abunda es el de fichero; en este caso usa como vehículo de expansión los archivos de programa o ejecutables, sobre todo .ese y .com, aunque también a veces .ovl, .bin y .ovr. Al ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste, y modificando su estructura en forma que al ejecutarse dicho programa primero llame al código del virus, devolviendo después el control al programa portador y permitiendo su ejecución normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como"engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior el virus, siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus se programe en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria; un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria; un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados.
No todos los virus de fichero quedan residentes en memoria sino que al ejecutarse el portador, éstos infectan a otro archivo, elegido de manera aleatoria de ese directorio o de otros.
Efectos destructivos de los virus
Los efectos perniciosos que causan los virus son variados; entre éstos se encuentran el formateo completo del disco duro, la eliminación de la tabla de partición, la eliminación de archivos, la ralentización del sistema hasta límites exagerados, enlaces de archivos destruidos, archivos de datos y de programas corruptos, mensajes o efectos extraños en la pantalla, emisión de música y sonidos.
Formas de ocultamiento
Un virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o sigilo. Para que estas técnicas sean efectivas, el virus debe estar residente en memoria, puesto que debe monitorear el funcionamiento del sistema operativo. Este sistema y los programas de aplicación se comunican entre sí mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etcétera. Y es aquí donde el virus entra en acción, ya que puede sistituir alguna interrupción del sistema operativo por una suya propia y así, cuando un programa solicite un servicio de esta interrupción, recibirá el resultado que el virus determine.
Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas más claros del ataque de un virus se encuentran en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible.
Estos problemas son indicadores de la posible presencia de un virus, pero mediante la técnica stealh es muy fácil (siempre que se encuentre residente el virus) devolver al sisema la información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo, es fundamental que cuando vayamos a realizar un chequeo del disco de sistema totalmente limpio. La autoencriptación o selfencryption es una de las técnicas víricas más extendidas.
En la actualidad, casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero ocultando en esta forma cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que aprovechan los antivirus para remotorizar el origen de la infección. El mayor avance en técnicas de encriptación viene dado por el poliformismo. Gracias a él, un virus no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta un fichero. De este modo, resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas características se muestra inútil. Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en él, se obtendría este mensaje: "Error de protección contra escritura leyendo unidad A; Anular, Reintegrar, Fallo", por lo que se descrubriría el anormal funcionamiento del equipo. Por eso, al virus le basta con redireccionar la interrupcioón a una rutina propia que evita la salida de estos mensajes, consiguiendo así asar inadvertido.
En la actualidad, casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero ocultando en esta forma cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que aprovechan los antivirus para remotorizar el origen de la infección. El mayor avance en técnicas de encriptación viene dado por el poliformismo. Gracias a él, un virus no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta un fichero. De este modo, resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas características se muestra inútil. Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en él, se obtendría este mensaje: "Error de protección contra escritura leyendo unidad A; Anular, Reintegrar, Fallo", por lo que se descrubriría el anormal funcionamiento del equipo. Por eso, al virus le basta con redireccionar la interrupcioón a una rutina propia que evita la salida de estos mensajes, consiguiendo así asar inadvertido.
Prevención, detección y eliminación.
Una buena politica de prevención y detección puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en el ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio de virus, siendo también una práctica ilegal y que hace mucho daño a la industria del software. Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software mas importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que se ejecute resultará también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto último es muy importante, no solo con el sistema operativo sino también con el resto de disquetes que se posean. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de este modo. Por último, es también imprescindible tener un buen software antivirus, que detecte y elimine cualquier tipo de instrucción en el sistema. A pesar de ello, gran parte de los antivirus incluyen drivers virtuales o controladores VxD capaces de mantener bajo su atenta mirada el sistema en todo momento. De todas maneras, la realización de un driver de este tipo no es una tarea sencilla y acarrea bastantes problemas. Además, es importante que la protección se ofrezca en todo momento, es decir, que se controle la interfaz gráfica, la versión previa del sistema operativo.
Virus de macros
Está entre las novedades surgidas últimamente en el mundo de los virus, aunque no son totalmente nuevos, parece que esperaron hasta 1995 para convertirse en una peligrosa realidad. Por desgracia, ya existe un catálogo número importante de virus de este tipo, escritos en WordBasic, el potente lenguaje incluido en Microsoft Word. Estos virus sólo afectan a los usuarios de Word para Windows y consisten en un conjunto de macros de este procesador de textos. Aunque el peligro del virus se restringe a los usuarios de Word, tiene una importante propagación, ya que puede infectar cualquier texto, independientemente de la plataforma bajo la que éste se ejecute: Mac, Windows 3.X, Windows NT, W95 y OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de documentos en disquete o por red es mucho más común que el de ejecutables.
El primero virus de este tipo que salió a la luz se llamaba WordMacro/DMV y era inofensivo, ya que sólo anunciaba su presencia y guardaba un informe de sus acciones. Escrito por Joel McNamara para el estudio de los virus de macros, fue desarrollado en 1994 pero su autor guardó el resultado hasta cuando observó la aparición del virus conocido por WordMacro/Concept.
Tras ello, McNamara decidió hacer público su desarrollo, esperando que la experiencia adquirida sirviera de enseñanza para todos los usuarios. Y aunque probablemente tenga un efecto negativo, McNamara ha publicado también las pautas para crear virus que afecten a los ficheros de Excel. WinMacro/Concept, también conocido como WW6Infector, WBMV-Word Basic Macro Virus o WWW6 Macro no es demasiado molesto, ya que al activarse infecta el fichero normal.dot y sólo muestra en pantalla un cuadro de diálogo con el texto "1". Microsoft ya tiene disponible un prank.exe que distribuye gratuitamente entre sus usuarios registrados, pero que también puede encontrarse en numerosas BBS, internet o Compuserve. Sin embargo, la evolución de este tipo de virus sigue su camino y ya se han detectado dos nuevas creaciones llamadas WordMacro/Nuclear y WordMacro/Colors. El primero de ellos puede llegar a introducir un virus tradicional en el sistema o modificar la salida impresa o por fax en su momento. El WordMacro/Colors, también conocido por Rainbow o Arco Iris, cambia (cada 300 ejecuciones de la macro) la configuración de colores de Windows.
De momento, las macros conocidas para word no son capaces de infectar las versiones nacionales del programa, los usuarios españoles por ejemplo, pueden estar tranquilos, ya que los comandos del lenguaje de macros han sido traducidos al castellano, y la macros creadas con versiones en inglés no funcionan. No obstante, siempre es posible que alguien traduzca el virus o crear uno nuevo. Por último, aclarar que aunque otros procesadores de texto como WordPerfect o AmiPro son capaces de leer documentos escritos con Word, en estos casos el virus no entra en acción por lo que no se corre ningún peligro.
Comentarios
Publicar un comentario