Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.
El por qué se les llama virus, se debe a que se comportan de igual manera que sus pares biológicos. Se auto-reproducen una vez infectado el cuerpo, son muy pequeños, y terminan perjudicando gravemente a la entidad que los recibe. De hecho, muchas computadoras, pierden toda su información, al ser atacadas por un virus. Muchas veces se debe reformatear la computadora, para limpiarla completamente, lo cual conlleva a instalar todas las aplicaciones nuevamente; esto a su vez ocasiona nuevos problemas, ya que muchas veces no se encuentran los discos originales de instalación. Por estos motivos, los técnicos en computación, recomiendan que de tiempo en tiempo, los dueños de computadoras, vayan respaldando todo aquello que se considere de importancia.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos por que no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
Origen de los Virus
Existen diferentes comentarios de cómo surgió el virus, pero los virus tienen la misma edad que las computadoras. Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T.
El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera.
Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas destinados a dañar en la escena de la computación.
Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la Universidad estadounidense de Delaware notó que tenían un virus porque comenzaron a ver "Brain" como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computación paquistaní que, desde 1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la firma, dar una lección a los piratas. Ellos habían notado que el sector de boteo de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete.
Lograron reemplazar ese código por su propio programa, residente, y que este instalara una réplica de sí mismo en cada disquete que fuera utilizado de ahí en más.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con extensión .COM.
Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque (boot sector). Para ese entonces, ya se había empezado a diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades extraordinarias por muchisima gente alrededor del planeta. Algunos de ellos dicen hacerlo por divertimento, otros quizás para probar sus habilidades. De cualquier manera, hasta se ha llegado a notar un cierto grado de competitividad entre los autores de estos programas.
Características Generales de los virus informáticos.
El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de "booteo" sea leído. De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se replique a sí mismo.
Los más comunes son los residentes en la
memoria que pueden replicarse fácilmente en los
programas del sector de "booteo", menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huésped es cerrado.
Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un virus: downloads de programas de lugares inseguros; e-mail con "attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser dañados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobrescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste fácil de decir que el más extendido de los virus de este tipo se llama MS
Clases de Virus
Existen diversos tipos defunción o la manera en que éste se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están:
virus, varían según su
Troyano: que consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.
Gusano: tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Bombas Lógicas o de Tiempo: son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los ínter nautas novatos.
Síntomas de Infección de virus
a) La velocidad de procesamiento y el rendimiento del equipo se vuelve lenta.
b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor extensión, posiblemente también los macro virus, una vez que hayan cumplido con su efecto reproductor o dañino. El COMMAND.COM es infectado en primer lugar, pero como la función del virus es la de seguir infectando, éste continúa operando. Los archivos ejecutables siguen existiendo pero sus cabeceras ya han sido averiadas y en la mayoría de los casos, su extensión se ha incrementado en un determinado número de bytes.
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter".
d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification".
e) Los archivos ejecutables de los gestores de bases de datos como: BASE, Clipper, FoxPro, etc. están operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador de textos MS-Word, hojas de cálculo de MS-Excel o base de datos de MS-Access (macro virus).
f) La configuración (set-up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como : ExeBug, CMOS-Killer o Anti-CMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS.
g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar "reseteos" aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS que han sido infectados.
h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o tienen un raro comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable Peripheral Interfase).
i) La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como "basura", se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.
j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán "CASCADA".
k) La memoria RAM decrece. El sistema se vuelve muy lento.
l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan.
Función de los Virus
Los virus informáticos están hechos en Assembler, un lenguaje de programación de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente sobre el hardware, esto significa que no es necesario ningún software intermedio –según el esquema de capas entre usuario y hardware- para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas típicas de un lenguaje de alto nivel, sino que también vamos a tener control de cómo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix está programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware están hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.
Sabiendo esto, el virus puede tener control total de la máquina -al igual que lo hace el SO- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario en su sano juicio lo hará, se vale de otros
métodos furtivos. Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados.
Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitará la subida a memoria principal y la posterior ejecución (métodos de infección). Como entidades ejecutables podemos reconocer a los sectores de arranque de los discos de almacenamiento magnéticos, óptico o magneto-ópticos (MBR, BR), los archivos ejecutables de DOSs (.exe, .com, entre otros), las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son fundamentales para garantizar que el virus será cargado cada vez que se encienda la computadora.
Según la secuencia de booteo de las PCs, el microprocesador tiene seteada de fábrica la dirección de donde puede obtener la primera instrucción a ejecutar. Esta dirección apunta a una celda de la memoria ROM donde se encuentra la subrutina POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (función checksum). En este punto sería imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fábrica y no puede modificarse (hoy en día las memorias Flash-ROM podrían contradecir esto último).
Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El MBR contiene la información de la tabla de particiones, para conocer las delimitaciones de cada partición, su tamaño y cuál es la partición activa desde donde se cargará el SO. Vemos que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida. Hasta acá el SO todavía no fue cargado y en consecuencia tampoco el antivirus. El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su posición. Así, cada vez que se inicie el sistema el virus logrará cargarse antes que el SO y luego, respetando su deseo por permanecer oculto hará ejecutar las instrucciones del MBR.
Como detectar infecciones virales
Cambio de longitud en archivos.
Modificación de la fecha original de los archivos.
Aparición de archivos o directorios extraños.
Dificultad para arrancar el PC o no conseguir inicializarlo.
El PC se "re-bootea" frecuentemente
Bloqueo del teclado.
El PC no reconoce el disco duro.
Ralentización en la velocidad de ejecución de los programas.
Archivos que se ejecutan mal.
El PC no reconoce las disqueteras.
Se borran archivos inexplicablemente.
Aparecen nuevas macros en documentos de Word.
La opción "ver macros" se desactiva.
Pide passwords no configurados por el usuario.
Como actúan un virus y medios de llegada el sistema
Un virus puede llegar a nuestro ordenador de varias maneras: o bien a través de un disco (disquete, CD-ROM, DVD, Tape Backup), o bien a través de la red (principlamente Internet). Los que nos llegan por Internet, sin embargo, tienen un mayor potencial de contagio a otros usuarios, ya que algunos pueden autoenviarse a todas las direcciones de nuestra agenda, por ejemplo.
Una vez en nuestro PC, lo primero que hace un virus es autocopiarse en él. Muchas veces no solo se copia en un sitio, sino que se reparte en diversas carpetas con el fin de sobrevivir el mayor tiempo posible en nuestro sistema.
Una vez "seguro", generalmente escribirá en el registro de Windows (que es el archivo donde está contenida toda la información de nuestro sistema, tanto de software como de hardware, y que el ordenador lee cada vez que se inicia). ¿Y porqué hace esto? Muy sencillo: de esta forma, cuando volvamos a encender el ordenador, tomará el control de nuestro sistema, generalmente sin que nos demos cuenta al principio, y acturá según le interese: borrando información, mostrando mensajes, etc.
Otra manera de actuar es la de sobreescribir el sector de arranque de nuestro disco duro. El resultado viene a ser el mismo que el mencionado anteriormente, aunque también es posible que de esta forma nuestro PC ni siquiera arranque, con lo cual el formateo será prácticamente necesario. Por supuesto, si tenemos datos importantes que recuperar tenemos la solución de arrancar con un disco de inicio, e intentar una recuperación
manual.
Los más peligrosos actúan sobre la CMOS de nuestra placa base (motherboard), sobreescribiéndola. La CMOS controla nuestra BIOS: datos del reloj, de nuestras unidades, periféricos, etc. En estos casos es frecuente, incluso, el tener que cambiar la placa base.
Ciclo de vida de un VirusEl ciclo de vida de un virus empieza cuando se crea y acaba cuando es completamente erradicado. A continuación describimos cada una de las fases: CreaciónHasta hace poco tiempo, la creación de un virus requería el conocimiento de lenguajes de programación avanzados. Hoy cualquiera con simples conocimientos de programación básica puede crear un virus. Típicamente son individuos con afán de protagonismo los que crean los virus, con el fin de extender al azar el efecto nocivo de su creación. RéplicaLos virus no suelen ser activos en el momento de su creación, sino que poseen un tiempo de espera (incubación), lo que les permite extenderse ampliamente antes de ser detectados. ActivaciónLos virus con rutinas dañinas se activan cuando se dan ciertas condiciones, por ejemplo, en una determinada fecha o cuando el usuario infectado realiza una acción particular. Los virus sin rutinas dañinas no tienen activación, causando de por si el daño, como la ocupación del espacio de almacenaje. DescubrimientoEsta fase no siempre sigue a la activación. Cuando se detecta un virus, este se aísla y se envía al ICSA en Washington, D.C., para ser documentado y distribuido a los fabricante de software antivirus. El descubrimiento suele realizarse antes de que el virus pueda convertirse en una amenaza para la comunidad informática.
AsimilaciónEn este punto, los fabricantes de software antivirus modifican este para que pueda detectar el nuevo virus. Este proceso puede durar de un día a seis meses, dependiendo del fabricante y el tipo del virus. ErradicaciónSi multitud de usuarios instalan un software de protección actualizado, cualquier virus puede eliminarse definitivamente. Aunque hasta ahora ningún virus ha desaparecido por completo, algunos hace tiempo que han dejado de ser una amenaza.
Ventajas: Una LAN da la posibilidad de que los PC's compartan entre ellos programas, información, recursos entre otros. La máquina conectada (PC) cambian continuamente, así que permite que sea innovador este proceso y que se incremente sus recursos y capacidades.
Técnicas de prevención
Copias de seguridad
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas.
Copias de programas originales
No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido.
Utilice contraseñas
Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
Cómo protegerse de los virus informáticos
Los Virus informáticos se han convertido en una continua pesadilla, especialmente, para los usuarios del correo electrónico. Para su información, seguidamente listamos una serie de normas básicas que le ayudarán a protegerse de los virus informáticos:
Instale en su computador un software Antivirus confiable (ver lista de opciones en la siguiente sección).
Para su información, seguidamente listamos una serie de normas básicas que le ayudarán a protegerse de los virus informáticos:
Instale en su computador un software Antivirus confiable (ver lista de opciones en la siguiente sección).
Actualice con frecuencia su software Antivirus (mínimo dos veces al mes).
Analice con un software Antivirus actualizado, cualquier correo electrónico antes de abrirlo, así conozca usted al remitente.
Analice siempre con un software Antivirus los archivos en disquete o Cd-Rom antes de abrirlos o copiarlos a su computador.
No descargue, ni mucho menos ejecute, archivos adjuntos (attachement) a un mensaje de correo electrónico sin antes verificar con la persona que supuestamente envió el mensaje, si efectivamente lo hizo.
Tenga cuidado con los mensajes alusivos a situaciones eróticas (versión erótica del cuento de Blancanieves y los Siete Enanitos, fotos de mujeres desnudas, fotos de artistas o deportistas famosos, etc.).
Nunca abra archivos adjuntos a un mensaje de correo electrónico cuya extensión [6] sea ".exe", ".vbs", ".pif", ".bat" o ".bak".
Cerciórese que el archivo adjunto no tenga doble extensión. Por ejemplo: "NombreArchivo.php.exe".
Evite el intercambio por correo electrónico de archivos con chistes, imágenes o fotografías.
Antivirus
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y prevenir una infección de los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso.
Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners, exploradores, etc), y módulos de protección de correo electrónico, Internet, etc.
Antivirus populares
Tipos de antivirus
Cortafuegos (Firewall)
Programa que funciona como muro de defensa, bloqueando el acceso a un sistema en particular. Se utilizan principalmente en computadoras con conexión a una red, fundamentalmente Internet. El programa controla todo el tráfico de entrada y salida, bloqueando cualquier actividad sospechosa e informando adecuadamente de cada suceso.
Antiespías (Antispyware)
Aplicación que busca, detecta y elimina programas espías (spyware) que se instalan ocultamente en el ordenador.
Los antiespías pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc).
Antipop-ups
Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups cuando navegas por la web. Muchas veces los pop-ups apuntan a contenidos pornográficos o páginas infectadas.
Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con un sistema antipop-up integrado.
Antispam
Aplicación o herramienta que detecta y elimina el spam y los correos no deseados que circulan vía email.
Funcionan mediante filtros de correo que permiten detectar los emails no deseados. Estos filtros son totalmente personalizables.
Además utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva alguna casilla en particular.
Algunos sistemas de correo electrónico como Gmail, Hotmail y Yahoo implementan sistemas antispam en sus versiones web, brindando una gran herramienta en la lucha contra el correo basura.
En el ambiente de los videojuegos, se conoce como bot a programas que son capaces de jugar por sí mismos el juego en cuestión (también conocidos como borgs). La calidad del bot en este caso viene determinada por su capacidad de vencer (y en qué términos) el videojuego. Los bots para juegos CRPG (computer role-playing games) son particularmente conocidos ya que este tipo de aplicaciones requieren una gran capacidad de estrategia para ganarlos. Es muy habitual también usar este término en los juegos denominados 'shooters', en los que sustituyen a un jugador humano cuando no hay contrincantes disponibles o en juego offline.
Asimismo, otros bots pueden abrir cuentas en sitios de correo electrónico gratuito, por lo que ahora la mayoría de esos sitios cuenta con un paso adicional en el que el usuario debe escribir una palabra presentada en formato gráfico algo muy difícil de interpretar para un bot.
