http://www.Trucalia.com

Artículos
    
  Trucalia.com Artículos VIRUS: Su mundo, vida, acciones y reacci...
    Mapa del Sitio

VIRUS: Su mundo, vida, acciones y reacciones.

VBS, multipartes, Worms, Bug, macro... muchos son los tipos de virus que existen en la actualidad. Y van en aumento, tanto en tipos de ellos como en ejemplares de los mismos. Os explicamos los tipos principales, así como síntomas de una infección y métodos para evitarnos disgustos con una infección.
 
Anterior Artículo Siguiente Artículo

¿Qué es un virus?, ¿Qué hace?, ¿Para qué sirve?, ¿Cómo funciona?... son preguntas típicas que últimamente mucha gente se hace gracias a los medios de comunicación y sus noticias sobre las famosas infecciones de los virus MyDoom o Blaster, entre otros.

En este artículo trataré de explicar de forma concisa, breve y amena, qué es un virus, como funciona, como evitarlos y como levantarnos y sacudirnos el polvo si alguno de ellos nos infecta y caemos “enfermos”.

Antes de nada, deciros que esto es un artículo personal, sobre mis aventuras y desventuras con virus informáticos desde que comencé en el mundo informático. Por eso os digo, que “cada maestrillo tiene su librillo”, yo os daré mis consejos, que pueden ser mejores o peores que otros, pero orgulloso que estoy de ellos, ya que no he sufrido una sola infección (a excepción del Blaster por no seguir mis consejos con otro PC) en mis ordenadores desde el fatídico “Barrotes 1310” de 1994 con mi ya “retirado en un asilo” 386SX.

Definición de virus:

“Los virus son programas capaces de auto reproducirse copiándose en otro programa al que infectan, todo ello sin conocimiento del usuario."

"Los virus tienen la misión que le ha encomendado su programador, con lo que seria difícil decir que los virus tienen una misión común. Lo único común es que deben pasar desapercibidos el máximo tiempo posible para poder cumplir su misión. Si son detectados el usuario puede eliminar el virus y controlar el contagio“.

Técnicamente se puede decir que son un tipo de software que, escondido en dispositivos de almacenamiento, correo electrónico..., se sirve como rémora de otro programa principal (generalmente un software de usuario o un archivo) una vez infectado éste, se intentará propagar al resto de programas... como la gripe, te infecta y se intenta contagiar a otros.

Lamentablemente en el mundo de los virus podemos encontrar varios tipos, cada uno con sus problemas para la desinfección y detección:

  • Acompañante:

Estos virus basan su principio en que MS-DOS, ejecuta el primer archivo COM y EXE del mismo directorio. El virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE a infectar.

Después de ejecutar el nuevo archivo COM creado por el virus y cede el control al archivo EXE.

  • Archivo:

Infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso *.BAT. Este tipo de virus se añade su maligno código al principio o al final de las líneas de instrucción de estos archivos. Se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código vírico y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de que hayan sido activados.

Este tipo de virus de dividen el dos:

    • Virus de Acción Directa: que son aquellos que no se quedan residentes en memoria y se replican en el momento de ejecutar el fichero infectado.
    • Virus de Sobrescritura: que corrompen el fichero donde se ubican al sobrescribirlo.
  • Bug:

Bug-ware es el termino dado a programas informáticos legales diseñados para realizar funciones concretas. Debido a una inadecuada comprobación de errores o a una programación confusa causan daños al hardware o al software del sistema.

Muchas veces los usuarios finales aducen esos daños a la actividad de virus informáticos. Los programas bug-ware no son en absoluto virus informáticos, simplemente son fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador.

  • Macro:

Siguiendo los datos de la ISA (Asociación Internacional para la Seguridad), forman el 80% de todos los virus y son los que más rápidamente han crecido en toda la historia de los ordenadores. A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, downloads, transferencia de archivos y aplicaciones compartidas.

Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word virus macro puede infectar un documento Excel y viceversa.

En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.

Escritos en Visual Basic, son muy fáciles de crear. Pueden infectar diferentes puntos de un archivo en uso cuando éste se abre, se graba, se cierra, se borra impidiendo el borrado... Modifican la plantilla maestra (normal.dot) para ejecutar varias macros insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros "víricas".

Posteriormente y para poderse transformar en un virus convencional (do me Macro) pueden cambiar un ejecutable o una DLL para que se quede residente en el sistema.

  • Multi-Partes:

Los virus multi-parte pueden infectar tanto el sector de arranque como los archivos ejecutables, suelen ser una combinación de todos los tipos existentes de virus, su poder de destrucción es muy superior a los demás y de alto riesgo para nuestros datos. En teoría deberían ser fáciles de detectar ya que, su inusual tamaño nos alarmaría, actuando en consecuencia.

  • Sector de Arranque:

Este tipo de virus infecta el sector de arranque de un disquete y se esparce en el disco duro del usuario, el cual también puede infectar el sector de arranque del disco duro (MasterBootRecord). Una vez que el MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete que se inserte en el sistema ,ya sea una CD-R, una unidad ZIP o cualquier sistema de almacenamiento de datos.

Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les permite tomar total control de las interrupciones del DOS y así, pueden diseminarse y causar daño.

Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con su propio contenido y mueven el sector a otra área en el disco. Para deshacernos de un virus de MBR lo más usual es arrancar el PC o con un disco de inicio limpio y ejecutar el antivirus,o con los discos de “rescate” que la mayoría de los antivirus son capaces de crear. La otra forma es encontrar el sector de arranque y cambiar los datos por los originales lo infectados. Si tenemos un virus de MBR, podremos borrarlo "manualmente". En http://www.galbox.com/windows/taller/vertaller.php?IdTaller=9 se os muestra como.

  • VBS:

Son los remitidos (generalmente) a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS

El antiguo DOS (Disk Operating System) empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con la llegada de Windows 95/98/NT/Me/2000/XP, este tipo de archivos dejó de ser empleado y fue reemplazado por los Visual Basic Scripts.

Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada.

Los Scripts pueden ser interpretados y ejecutados por infinidad de sistemas operativos y software, de ahí su peligro.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión.VBS.

Actualmente existen 2 medios de mayor difusión de virus en VBS:

    • Infección de canales IRC

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, pIRCh, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o más canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o más canales (los chateros son los que probablemente sufren más infecciones, aunque no lo sepan).

Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el código viral sobre-escribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal.

Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98.

    • 2. Re-envío de mensajes de la libreta de direcciones Microsoft Outlook.

Office 95/97/2000/XP, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.

Hay muchos más tipos de virus más, aquí se han explicado que son y como funcionan los menos habituales, se ha preferido no extender mucho más el texto con definiciones de troyanos, keyloggers... que ya su propio nombre dice lo que son. Además, gracias a la TV e infecciones de virus famosos como el Blaster todo el mundo más o menos sabe lo que son.

Hasta aquí la teoría, ahora la práctica, ¿Cómo sé si mi PC está infectado por un virus informático?. He aquí unos típicos síntomas que te pueden orientar.

  • Reducción del espacio libre en la memoria o disco duro.
  • Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el código del virus.
  • Aparición de mensajes de error no comunes por ejemplo muchas BSD (Blue Screen of Death) seguidas y si haber tocado nada.
  • Fallos en la ejecución de programas.
  • Frecuentes caídas del sistema
  • Tiempos de carga mayores.
  • Las operaciones rutinarias se realizan con mas lentitud.
  • Aparición de programas residentes en memoria desconocidos.
  • Actividad y comportamientos inusuales de la pantalla.
  • Muchos de los virus eligen el sistema de vídeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus.
  • El disco duro aparece con sectores en mal estado, no siempre, ya que puedes tener el disco duro “tocao”.
  • Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos.
  • Cambios en las características de los ficheros ejecutables
  • Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infección.
  • Procesos en ejecución que consumen mucha memoria (algunos Troyanos crecen y crecen en su afán por conseguir más memoria).

¿Cómo estar “protegidos” (nunca se está del todo) contra los virus?

Entre las tareas de prevención podemos encontrar el respaldo continuo de datos, en el que es importante considerar a los archivos con la información más valiosa, pues es más importante lo que tenemos guardado en la máquina, que la máquina en sí misma. Esto se puede hacer de muchísimas maneras, sin embargo, las más recomendables son: la creación de una copia de seguridad para los archivos que guardamos y el mantener un respaldo en algún floppy como una herramienta extra para poder estar siempre 100% seguros de que nuestra información no corre ningún riesgo.

Es también muy importante acostumbrarnos a revisar los discos cada vez que los vayamos a introducir en el pc , con mucha más razón si este disco es de procedencia dudosa o si lo prestaste.

Debemos de considerar potencialmente peligros toda la información que recibimos, ya sea por correo electrónico, por vía MÓDEM o por cualquier otro. Por eso es muy importante que nunca abramos un archivo del que podamos tener alguna duda.

Finalmente, diario debemos de llevar a cabo un rastreo para poder revisar todos los días que no corramos riesgo alguno de ser infectados, además, las computadoras ya incluyen esta función, así que nada perdemos con aprovecharla instalándola. Muchas infecciones se evitan de este modo.

Es tedioso llevar a cabo todo este tipo de rutinas, pero es necesario que pongamos atención a todos estos pequeños detalles para poder estar siempre preparados para hacerle frente a un contratiempo, sino después... sería complicado arreglar un problema grave.

Autor: Jacobo A. Rodríguez Rodríguez
 
 
Anterior Artículo Siguiente Artículo Arriba / Top

Ver Más Artículos


Últimos artículos
Javier de la Cueva, abogado y autor del proyecto Kelsen - Entrevista
Google Base: catálogos web
Barrapunto, democracia informática
'Hoax', bulos en Internet

 
Recomendamos

Compilación de un CD de instalación desantendida de Windows XP

 


TrucosPrácticoArtículosNoticias Arriba / Top
www.Trucalia.com