2a Vius y antivirus computacionales 103 “hace pocos afios nadie hubiera imaginado que su computado- ra podrfa enfermar... presentar sintomas desconocidos... y mucho menos que esta enfermedad fuera causada por... jun ‘mortifero virus!" Gonzalo Ferreyra Virus en las computadoras, Alfaomega, 1990 Desde antes de 1990 el problema de los virus informaticos se extendia | Nota: | g en el cada vez mas creciente mimero de computadoras PC. Para Conta 0. i de las computor son restar a los virus se cred la Computer Virus Industry Association, CVIA, 0" Ws oe is communes sr ‘comandada entonces por John McAfee (nacido en 1945), en donde se de- face. As como hay programas pata tectaron mas de 500 programas virales, que ya habian infectado a unas [yy diferentes pltaformas de compu 200,000 computadoras sélo en Estados Unidos. Actualmente se considera _tadors, tambien se crean vius nara que existen més de 100,000 virus mas sus variantes, que infectan através cada ura de ellas. Obviarnente hay de Intemet a millones de computadoras. Symantec Antivirus (Norton), de- Muchos mas virus para las PC's que tecta mas de 68,000 virus diferentes, y recibe gran cantidad de informes —Wilzan Windows pero eso fs tna 0 tender ogiea ya que a del sobre amenazas, diariamente. Oe ee et is Peer doutlizan ese sistema operativo. Los virus informéticos son sélo programas; es decir, secuencias de ins- tucciones que realizan funciones especificas al ejecutarse en una compu- tadora. Estén escritos generalmente en lenguaje de maquina o en ensam- blador, y algunas veces en un lenguaje de alto nivel como G++, Turbo Pascal, Delphi o Visual Basic, por lo que se deduce que estén hechos por programadores expertos, se definen como: Figura 2.49 Crear odistibuircopis pias, dems de ser una actividad fuera de ale, puede ser una fuente de distbucibn de virus informs, © 2011 Alfaomega Grupo Editor [Link] CV Gonzalo Ferreyra Cortés104 2 Estructura isica y estructura ldgica de la computadora 2.4.2 Caracteristicas de los virus Estos programas tienen algunas caracteristicas especiales: 1, Son muy pequerios (en muy pocas lineas de cédigo contienen instruc- ciones, parémetros, contadores, etcétera), lo que los hace dificiles de detectar y eliminar. 2, Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creacién. 3. Se reproducen a si mismos en la memoria de la computadora y en las unidades de almacenamiento, 4. Al ejecutarse toman el control de la computadora y modifican otros programas. 5, Ralentizan el funcionamiento de la computadora y los accesos a la in- formacién. [Link] la capacidad de “esconderse” para no ser descubiertos, mutando su forma, o utilizando técnicas de encripeién Hamadas “Stealth” 7. Pueden causar s6lo molestias al usuario, u ocasionar graves dafios a los datos almacenados en las unidades de almacenamiento de la computadora, Algunos virus se alojan en las areas més vulnerables de los discos, como son el sector de carga (Boot sector), la tabla de particiones (en el caso de discos fijos), la tabla de localizacion de archivos (File Aloca- tion Table, FAT), 0 en los sectores que ocupan los archivos de sistema 0 los programas ejecutables 0 aplicaciones. Algunos virus antiguos se reproducian en exceso, de tal manera que “lenaban" el disco hasta sa turarlo. 2.4.3_ Como funcionan los virus informaticos Como todos los programas, los virus informaticos necesitan que alguien los ejecute en la computadora para que reali- cen las tareas para las que fueron programados. De ninguna manera se pueden ejecutar solos. Al ejecutar un programa infectado, se cargan en la memoria RAM y permanecen ahi mientras se mantenga encendida la computadora. Algunos se cargan al ejecutar un programa infectado que llegé como archivo adjunto en un correo electronico. El virus puede actuar de inmediato, o esperar a que se den las condiciones o setiales propicias que fueron progra- madas en su codificacién. Al entrar en accion, el virus infor- matico toma el control de la computadora desde el principio Figura2.50 Algunosvivsesperanuna fechayhoa para «YY @ artir de ese momento, cualquier disco que se inserte, Comenzaradesinirisinfornacion quese guarisenlos -« uedaré infectado, cuando se realiza cualquier acceso de unidades de almacenamiento lectura o escritura de archivos. Gonzalo Ferreyra Cortés © 2011 Alfaomega Grupo Editor S.A. de CW.24 Virus y antivirus computacionales 105 Buscan infectar de inmediato alguna de las Areas criticas de los discos como el area de carga, la tabla de particiones, la tabla de asignacion de archivos, el directorio raiz; o algun archivo ejecutable con extension com, .exe, .dll, bat, .ovr, 0 cualquier otro. Los virus que deben actuar cuando se den ciertas condiciones que se han programado en su cédigo (Figura 2.50), pueden esperar una fecha y hora; la ejecucion de alguna orden, o la realizacion de algun evento es- pecifico, como el Michelangelo. Por ultimo, los hay que en el momento de la infeccién, inician un contador que les indicard el momento de ac tivarse. Otros virus conviven también como macros de documentos de Word, Excel, PowerPoint o correos electrnicos de Outlook. Los que infectan el area de carga, se posicionan en la memoria de la computadora desde el momento de encenderla, porque al iniciar, en lugar de leer el programa de carga, se lee primero el cédigo del virus. Para no alertar a la computadora con un mal funcionamiento, el virus manda leer el programa de carga, que se encuentra en otro sector, donde lo envio el propio virus. De esta manera, el virus ya esta en la memoria, y el usuario ni se entera, porque “aparentemente" no hay problemas, 2.4.4 Clasificacion de los virus de computadoras. Existen muchas clasificaciones de los virus informéticos. Cada compania fabricante de antivirus y cada investigador hacen una clasificacion que desde su punto de vista, debe considerarse como la adecuada. Lo cierto es que los virus se pueden clasificar segiin diversos criterios. 1. De acuerdo con el area que infectan: ‘= Infectores del area de carga inicial. Infectan a las unidades de al- macenamiento, alojandose en el area de carga, que se encuentra en el sector 0, Cambian de lugar al programa de carga, enviandolo a otto sector del disco. Desde el encendido de la computadora to- man el control del sistema. = Infectores de sistema. Infectan a los programas de sistema, que son de los primeros que se cargan en la memoria de la compu- tadora, junto con el virus, obviamente. " Infectores de programas ejecutables. Insertan una copia de si mismos en el codigo de los programas ejecutables, que tienen ex- tensiones .com, .exe, .dll y otros. Son muy peligrosos porque reali- zan una busqueda de archivos ejecutables para infectarlos a todos; cuando estos archivos se desinfectan con un programa antivirus, generalmente quedan inservibles, por lo que hay que instalar nue- vamente los programas y hasta restaurar el sistema operativo. © 2011 Alfaomege Grupo Editor S.A. de CW. Los vs ces computacoras son roxyamas como todos los que conace Asi com hay programas paras, ifeentes platatermas de computadons, tambien secean vis para cada una de elas Obviamente, hay machos mas vis ras PC's queutizan Windows, peo 30 es una tendencia gia, ya que ms el 90% de las computadoras de too e mundo utllvan ese sistema operatno. Gonzalo Ferreyra Cortés106 Gonzalo Ferre 2, Estructura fisica y estructura ldgica de la computadora ra Cortés = Infectores de documentos. Infectan a los documentos de Word, Excel y PowerPoint, alojéndose en el érea de macros. Infectan a to- dos los archivos que tienen las extensiones de los documentos de Office, 2. De acuerdo con su forma de operacién: = Caballos de Troya. Programas que se introducen al sistema mos- trando una apariencia diferente a la de su objetivo final. Muchos investigadores no consideran a los troyanos como virus, aunque la mayoria acta como tales, Su nombre recuerda el episodio del Ca- ballo de Troya (Figura 2.61), que permits el rescate de Helena por las huestes de Menelao. Figura 2.51 Algunos virus actian de manera engaios, con una aparencia ference su comet, por loque se es lama Caballo de Taya = Gusanos. Programas auto replicables, que se diseminan a través de las redes y en la memoria de las computadoras, sin la ayuda de un programa anfitrion ejecutable. Se arrastran literalmente por las areas de la memoria borrando los datos de programas e informacion, pro- duciendo fallas que parecieran ser del sistema. Los gusanos (Worms) se cargan en la memoria de la computadora y se posicionan en una determinada direccion, luego se copian en otro lugar y se borran del que ocupaban, y asi sucesivamente, esto hace que se borren los pro- gramas 0 la informacion que se encuentren a su paso, causando pro- blemas de operacién o pérdida de datos, = Bombas de tiempo. Son programas ocultos en la memoria del sis- tema, en algunas areas de los discos o en programas ejecutables, que © 2011 Alfaomega Grupo Editor S.A. de CY.24 Virus y antivirus computacionales. 107 esperan una fecha y hora determinadas, para explotar; es decir, para ‘comenzar con su actividad virulenta. Algunos no son destructivos, Amici dela dca de os 90 solo exhiben mensajes en la pantalla en el momento de la explosion, Tosvinus ean praciamente otros son bastante perjudiciales. _eonvctos tC * Autorreplicables, Son los programas que realizan las funciones més pn eee eal parecidas alos virus biolgicos, ya que se auto reproducen einfectan | _cabticos,crecidos,descarados, los programas ejecutables que encuentran en el disco. Se ejecutan en Juguetones etcéera en un un determinado momento programado, cada determinado tiempo, al Se llegar un contador a su fin, o cuando “sienten” que se les trata de de- tectar, = Mutantes, Programas que se ocultan y engafian a los antivirus modi- ficando su cédigo mediante esquemas de encriptaci6n o codificacion. Utilizan técnicas llamadas sigilosas (Stealth) o invisibles, para esca- bullirse de la vista de los antivirus. = Macrovirus. Son macroinstrucciones de programas como Word, Excel 0 PowerPoint, que se reproducen en el sistema al abrir un documento infectado. * Virus de correo electrénico o Internet. Se introducen a las computadoras al acceder a paginas Web que ofre- cen archivos y programas gratuitos, o mediante el correo electrénico, como archivos adjuntos. = Secuestradores. Hijackers. Los nuevos programas de malware, actan sobre las aplicaciones de redes e Inter- net, como los navegadores o los programas de mensa- jeria instantanea, secuestrandolos literalmente. Cuando eso sucede, no es posible cambiar de pagina inicial, se presentan ventanas indeseables (Pop-ups) y se bloquean direcciones de paginas Web de empresas de antivirus. = Caza contraseitas. KeyLoggers. Programas que se intro- ducen a las computadoras, residen en la memoria, y en- vian a sus creadores cada una de las pulsaciones que hace el usuario en el teclado, De esta manera, roban con- trasefias y nimeros de cuentas. » Espias. Spyware. Programas que recopilan informacién importante acerca de la identidad de los usuarios, y de Jas actividades que realizan en la computadora, para crear bases de datos y venderlas a empresas que utilizan estos datos para llenar los, buzones con correo electrénico “basura” (Spam), = Esquemas de proteccién. Codigo que puede ser dafiino, introducido en algunos programas comerciales, que detectan si se realizan copias del disco original. Al cabo de algiin tiempo, cuando se han creado bastantes archivos importantes, modifica su estructura y no permite que la computadora siga funcionando correctamente, lo que obliga al usuario a comprar el programa original para recuperarlos. Un ejem- plo claro de este tipo de virus es el Pakistan, como se vera mas ade- lante. Figura 2.52 10s vius burlones, ademésclecometer fecharias en la computador, se butan del usuario, © 2011 Alfaomega Grupo Editor S. [Link] CW. Gonzalo Ferreyra Conés