Tipos de Virus

¿Qué es un virus en la computadora?

Suele utilizarse el término virus para designar diferentes tipos de comportamientos

maliciosos que se transmiten por Internet. Todos los días surgen nuevos virus, que
pueden llegar a propagarse en las computadoras de todo el mundo en cuestión de
segundos o pueden quedar en un intento fracasado de protagonismo por parte de sus
creadores. En cualquier caso se trata de una amenaza de la que ninguna computadora
está libre de estos virus.

Un virus es un programa o secuencia de instrucciones que una computadora es capaz de

interpretar y ejecutar. Los virus han de ser programados y realizados por expertos en
computación. Las posibles vías de transmisión de los virus son: los discos, el cable de
una red y las memorias USB y nunca incluyen el nombre del autor, ni el registro, ni la
fecha. Se reproducen a si mismos y controlan y cambian otros programas. Al problema no
se le tomo importancia hasta que llego a compañías grandes y de gobierno entonces se le
busco solución al problema.

Se dice que es un programa parásito porque el programa ataca a los archivos o sectores
de arranque (booting) y se replica a sí mismo para continuar su esparcimiento. Existen
ciertas analogías entre los virus biológicos y los de computadoras: mientras los primeros
son agentes externos que invaden células para alterar su información genética y
reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces
de infectar archivos de computadoras, reproduciéndose una y otra vez cuando se accede
a dichos archivos, dañando la información existente en la memoria o alguno de los
dispositivos de almacenamiento del computadora. Tienen diferentes finalidades: Algunos
sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes.
Pero el fin último de todos ellos es el mismo: PROPAGARSE

La definición más simple y completa que hay de los virus corresponde al modelo D. A. S.,
y se fundamenta en tres características, que se refuerzan y dependen mutuamente.
Según ella, un virus es un programa que cumple los siguientes puntos: Hace daño, se
autoreproduce y es subrepticio.

Asimismo, se pueden distinguir tres módulos principales de un virus de computadora;

Módulo de Reproducción , Módulo de Ataque y Módulo de Defensa

El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de

entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el
virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del
sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a
través de algunos de estos archivos.

El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar

las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo,
además de producir los daños que se detallarán más adelante, tiene un módulo de ataque
que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones
la rutina actúa sobre la información del disco rígido volviéndola inutilizable.

El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de

ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo
aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.

Surgimiento y evolución de los virus, algo de Historia.

En 1949, el matemático estadounidense de origen húngaro John Von Neumann, en el

Instituto de Estudios Avanzados de Princenton (nueva Jersey), planteó la posibilidad
teórica de que un programa se reprodujera poniéndose en evidencia en su ensayo titulado
"Theory and Organization of Complicated Automata" (Teoría y Organización de un
Autómata Complejo). Esta teoría se comprobó experimentalmente en la década de 1950
en los Laboratorios Bell, donde se desarrollo un juego llamado Core Wars que los
jugadores creaban minúsculos programas informáticos que atacaban y borraban el
sistema del oponente e intentaban propagarse a través de el. En 1970 John Soch y John
Up elaboraron, en el Palo Alto Research Center (PARC) de Seros, programas que se auto
reproducían y que servia para controlar la salud de las redes informáticas. Uno de ellos se
llamo "El gusano vampiro" porque se escondía en la red y se activaba por las noches. El
nombre fue tomado de una novela de ficción llamada "The Shockwave Rider" y en la cual
un programa llamado gusano o "tenia" se reproducía hasta el infinito y no podía ser
eliminado.

En 1983, Ken Thompson da a conocer las "Guerras del Núcleo" y anima a la

experimentación con esas pequeñas "criaturas lógicas". La revista Scientific American dio
difusión a las "Guerras del núcleo", lo que provocó que muchos de sus lectores
experimentaran con ellas, con lo que aparecieron los primeros virus experimentales. En
1983 el ingeniero eléctrico estadounidense Fred Cohen, que entonces era un estudiante
universitario, acuño el termino de "virus" para describir un programa informático que se
reproducía a si mismo. De hecho esta historia se remonta al 3 de noviembre de 1983, que
fue cuando el primer virus fue concebido como un experimento para ser presentado en un
seminario semanal de Seguridad Informática. El concepto fue introducido por el propio
Cohen y el nombre virus fue dado por Len Adleman. Tuvieron que pasar 8 horas de
trabajo en una Vax 11/750 hasta el 10 de noviembre de ese año, en que después de
obtener las autorizaciones necesarias y concluir cinco experimentos el virus fue mostrado.

En el año 1985 aparecen los primeros virus de MS-DOS como los clásicos "Brain" y "Pin-
Pon". Su propagación en aquellos tiempos era lenta, de diskette a diskette, cuando aún la
mayoría de las maquinas de entonces ni siquiera contaban con disco duro. Los discos se
los pasaban unos amigos a otros para intercambiar programas y la capacidad de
expansión de los virus eran limitadas.

En este mismo año aparecieron los primeros caballos de Troya, disfrazados como un
programa de mejora de gráficos llamados EGABTR y un juego llamado NUKE-LA. Pronto
le siguieron un sinnúmero de virus cada vez mas complejos

En 1986 apareció el virus llamado "Brain", nació en Pakistan, de la mano de dos

desarrolladores llamados Basit y Amjads, que crearon u programa llamado Ashar, no
dañino, que mas tarde evolucionó en el Brain, virus que infectaban los antiguos diskettes
de 5,25 pulgadas. Este virus sobrescribía el sector de arranque y desplazaba el sector de
arranque original a otra posición del disco. Aunque el virus apenas provocaba daños
llamaba la atención su capacidad de ocultación ya que era el primer programa que
utilizaba la técnica invisible haciendo que el disco tuviera una apariencia normal. Por esta
razón, el virus no fue descubierto hasta un año después, en 1987.

El 2 de noviembre de 1988 Internet, entonces aún llamada ARPAnet, sufrió un grave

ataque que provocó que toda la red se colapsara a causa de un gusano que se comía la
memoria de todas las computadoras conectadas a la red y ralentizaba su funcionamiento.
En tres horas, un gusano se hizo conocer por prácticamente todos los administradores de
sistemas de Estados Unidos. En pocas horas se descubría que las copias del gusano
llegaban y se difundían a través del correo electrónico, pero el gusano ya había infectado
las computadoras de un gran número de universidades y de importantes instituciones
científicas como la NASA, el laboratorio de Inteligencia Artificial del MIT (Massachusetts
Institute of Technology), la red del Departamento de Defensa norteamericano (MILNET), y
más. Toda la red Internet estaba afectada, y las soluciones tardarían varios días en llegar.
El costo de la erradicación del gusano ascendió a un millón de dólares, unidos a los daños
provocados por el colapso de la red. Se descubrió que el gusano afectaba a gestores de
correo electrónico Sendmail, programa que a causa de un error permitía que el gusano
fuera enviado junto con los propios mensajes de computadora a computadora. También
se supo que el gusano no provocaba daño alguno a los datos.

Los técnicos de Berkeley crearon un parche para el error del Sendmail que solucionó la
infección. Finalmente se detuvo al autor, Robert Morris Jr., un graduado de Harvard de 23
años que reconoció su error y lo calificó de "fallo catastrófico", ya que su idea no era
hacer que las computadoras se ralentizaran. Curiosamente, Morris era hijo de Robert
Morris, uno de los tres programadores de las "guerras del núcleo" sobre lo que ya se ha
hablado. De hecho, Morris Jr. utilizó parte del código utilizado por su padre en las "guerras
del núcleo" muchos años atrás. El 13 de enero de 1989, se produjo la primera infección de
una importante institución, lo que produjo que la prensa convirtiera los avisos de las casas
antivirus en un auténtico acontecimiento.

En 1989 aparece el primer antivirus heurístico, y los primeros virus con nuevas
técnicas de:

Ocultamiento. En 1989 apareció el primer antivirus heurístico, capaz de detectar, no sólo

los virus que ya eran conocidos, sino aquellos virus que surgieran en el futuro y que
reprodujesen patrones sospechosos. La heurística monitoriza la actividad de la
computadora hasta el momento en que encuentra algo que puede ser identificado como
un virus. Frente a esta innovación surgieron virus con nuevas formas de ocultación, como
el full stealth y surgieron nuevas técnicas para acelerar la velocidad de las infecciones.
Esto se logró haciendo que los virus atacasen los archivos que fueran abiertos y no sólo
aquellos que se ejecutaban. Un ejemplo de esta época son Antictne, alias Telefónica, el
primer virus español que se extendió por todo el mundo, ó 4096, alias FRODO, el primer
virus en usar el efecto tunneling, una técnica utilizada posteriormente por los propios
antivirus para sistemas anti-stealth. En el ámbito técnico, fue todo un fenómeno entre los
expertos en virus.

En 1990 Virus de infección rápida provenientes de Bulgaria: el virus Dark Avenger.

En 1990 aparecieron gran cantidad de virus provenientes de Bulgaria. El máximo
representante de esa nueva ola fue Dark Avenger, uno de los más famosos autores de
virus, que introdujo los conceptos de infección rápida (el virus se oculta en la memoria e
infecta, no sólo los archivos ejecutados, sino también los leídos, extendiendo la infección
a gran velocidad), y daño sutil (por ejemplo, el virus 1800 sobreescribía ocasionalmente
un sector del disco inutilizando la información, algo que el usuario no es capaz de detectar
fácilmente hasta algún tiempo después). Además, Dark Avenger utilizaba las BBS para
infectar los programas antivirus shareware facilitando la rápida extensión de sus virus.

En 1991 Aparecen los primeros paquetes para la construcción de virus

En 1991 surgieron los primeros paquetes para construcción de virus, lo que no hizo sino
facilitar la creación de virus y aumentar su número a mayor velocidad. El primero fue el
VCL (Virus Creation Laboratory), creado por Nowhere Man, y más tarde apareció el
Phalcon/Skism Mass-Produced Code Generator, de Dark Angel. Estos paquetes
facilitaban la tarea de crear un virus a cualquier usuario de computadora medianamente
experimentado, así que en unos pocos meses surgieron docenas de virus creados de esta
forma. A mediados de la década de los noventa se produjeron enormes cambios en el
mundo de la informática personal que llegan hasta nuestros días y que dispararon el
número de virus en circulación hasta límites insospechados. A finales de 1994 el número
de virus, según la Asociación de Seguridad Informática (ICSA), rondaba los cuatro mil, en
los siguientes cinco años esa cifra se multiplicó por diez, y promete seguir aumentando.
La razón principal de este desmesurado crecimiento es el auge de Internet, que en 1994
ya comenzaba a popularizarse en Estados Unidos y un par de años más tarde empezaría
a generalizarse en el resto del mundo. Para principios del nuevo milenio, la cifra de
personas que se conectan habitualmente a la red se estima en trescientos millones. Por lo
tanto, las posibilidades de creación y de expansión de los virus se han desarrollado hasta
límites inimaginables hace tan solo unos años. En primer lugar, porque los creadores de
virus tienen a su disposición toda la información y las herramientas que necesitan para
llevar a cabo sus creaciones. También pueden entrar en contacto con otros
programadores. Finalmente, pueden hacer uso de toda una serie de herramientas cuando
desean dar a conocer sus criaturas a un mercado potencial de varios cientos de millones
de usuarios.

El correo electrónico es probablemente el medio principal de difusión de virus, aunque hay

otras muchas vías mediante las cuales una computadora puede llegar a infectarse por
medio de la red. Los grupos de noticias son un medio que se suele utilizar habitualmente
por la facilidad que supone enviar un mensaje con un archivo adjunto infectado a un grupo
leído por cientos de miles, tal vez millones de personas. La infección está garantizada.

En 1995 El nacimiento de los virus de Macro: el virus Concept.

Microsoft Windows 9x trajo toda una serie de novedades al mundo de los virus. En primer
lugar, los virus de sector de arranque dejaron de tener efectividad con el nuevo sistema
operativo. Sin embargo, Windows 95 y el paquete ofimático Office 4.2 (también de
Microsoft) propiciaron el nacimiento de los virus de macro, virus que hacen uso del
lenguaje de comandos de los programas del paquete ofimático para configurar nuevos
virus. Los virus de macro, se han extendido muy fácilmente porque los archivos que los
incluyen son, en apariencia, archivos de datos (que, en teoría, no era posible infectar),
aunque incluyen las secuencias de comandos de macro que los convierten en otra
amenaza más para nuestro computadora.

En 1995 apareció el primer virus "salvaje", llamado Concept. El virus contiene 5 macros y
afecta a aquellos archivos que son guardados con el comando "Guardar como...". De este
virus existen numerosas variantes y además fue convertido al formato de Word 97 por lo
que su difusión ha sido imparable y aún hoy es causa de numerosas infecciones. Hoy día
los virus de macro son los más peligrosos y extendidos, y gracias a Internet han cobrado
mayor relevancia. Hoy día, un 64 % de los desastres informáticos están causados por
virus de macro, lo que les convierte en la mayor amenaza contra la seguridad informática
del mundo.

En 1997 Aparece el virus Lady Di

En 1997 apareció un nuevo virus de macro sin características especiales ni efectos

dañinos destacables, pero que tuvo una amplia repercusión en la prensa, debido a que
tiene el anecdótico interés de haber sido escrito en memoria de la princesa Diana
Spencer, fallecida el 31 de agosto de 1997 en accidente de tráfico en pleno centro de
París. El efecto del virus es la reproducción en pantalla, el día 31 de cada mes, de la letra
de la canción Candle In The Wind, escrita por Elton John originalmente en memoria de
Marilyn Monroe, pero que fue reescrita especialmente para el funeral de la princesa en la
abadía de Westmister de Londres.

En 1998 Aparecen los primeros virus de macro para Excel y Access

Excel es el programa de hoja de cálculo más utilizado del mundo y Access la base de
datos más utilizada. Naturalmente, tarde o temprano tenían que ser objeto de atención por
parte de los creadores de virus. El virus Laroux fue el primer virus de macro para Excel y
ha sido ampliamente copiado e imitado. Aún hoy se sitúa entre los virus que provocan
más infecciones, tal vez porque su carga dañina es nula. El primer virus de Access fue el
AccessiV. El virus reemplaza el macro autoexec y copia módulos adicionales a la base de
datos.

En Agosto de 1998 Aparece el primer virus de Java: el virus Strange Brew

El virus Strange Brew es el primer virus conocido de Java. Este virus es capaz de
replicarse únicamente en caso de que se le permita acceso a los archivos del disco, es
decir, que sólo funcionará bajo ciertas condiciones como aplicación Java, y no como
applet. No es en absoluto peligroso e infectarse por medio de él es muy difícil. En
definitiva, las posibilidades de extensión de este primer virus de Java son muy limitadas.

En 1999 Aparecen los virus de tercera generación: los virus de Internet

1999 fue un año decisivo en el fenómeno vírico, ya que supuso la aparición de la llamada
tercera generación de virus. La primera generación fue la de los virus convencionales
(virus de archivo, virus del sector de arranque, etc.), la segunda apareció en 1995 con los
virus de macro y la tercera ha aparecido en 1999 con todos los virus capaces de viajar por
medio de Internet, virus que no son pasivos en su replicación, sino que están diseñados
para explotar los recursos de la red para llevar a cabo una rápida propagación.
Ejemplares como Melissa, Happy99 o Explore. Zip son sólo ejemplos de lo que puede ser
un virus de nueva generación. El virus Happy99 fue el primer gusano de correo
electrónico que adquirió notoriedad a principios del año 1999. El virus [Link]
(también llamado [Link]) es probablemente el más peligroso de los gusanos del
correo electrónico. Surgió a mediados de junio de 1999 y en pocos días había infectado
numerosas redes corporativas y miles de computadoras en todo el mundo. La infección se
inició en los grupos de noticias, donde el autor del virus publicó un mensaje con una
copia.

En Mayo 2000 VBS/Loveletter –alias "ILOVEYOU"© – el gusano con mayor

velocidad de propagación de la historia

VBS/LoveLetter –alias "ILOVEYOU"– es un gusano creado en el lenguaje VBS (Visual

Basic Script) que se envía por IRC (Chat) y correo electrónico. Miles de usuarios de todo
el mundo –entre los que se incluyen grandes multinacionales e instituciones públicas se
vieron infectados por este gusano. El virus I LOVE YOU llega al usuario en un correo
electrónico que tiene por Asunto: "ILOVEYOU" e incluye un archivo llamado "LOVE-
[Link]". La clave de la rápida propagación de este virus, está en
que utiliza la libreta de direcciones de Outlook para reenviarse a todas las direcciones que
se encuentran en ella. Las consecuencias de este virus y sus variantes fueron más de 3
millones de computadoras infectadas, causando pérdidas en todo el mundo que superan
los 2.000 millones de dólares.

A esta cifra hay que añadir la que apunta Computer Economics: 6.700 millones de dólares
debidos al descenso registrado en la productividad. Las estadísticas confirmaron que el
sector corporativo fue el más afectado, tanto en el aspecto Cuantitativo-número de
infecciones, cómo en el cualitativo –daños derivados de la infección. En dichos entornos
VBS/LoveLetter, además de borrar archivos en las PCs, afectó a los servidores de correo
que sufrieron colapsos por la actividad del gusano. De hecho, algunos servidores
quedaron temporalmente fuera de servicio –para así evitar que siguiera propagándose–,
lo que implicó la paralización de la actividad.

En Junio 2000 VBS/Timofonica, un virus que envía mensajes a móviles

VBS/Timo fónica es un virus de origen español realizado en Visual Basic Script, y que al
igual que el virus ILOVEYOU utiliza la libreta de direcciones de Outlook para reenviarse a
todas las direcciones que se encuentran en ella. Una vez ejecutado, el virus manda un
mensaje a móviles de telefonía, cuyo número genera de manera aleatoria, utilizando la
dirección [Link]. El virus también crea un troyano que lleva por nombre
[Link], que se ejecutará la siguiente vez que se reinicie el equipo impidiendo que el
equipo pueda volver a arrancar.

En Junio 2000 Un nuevo y complejo gusano, VBS/Life_stages, que utiliza técnicas

de ocultamiento y posee una gran capacidad de propagación

VBS/Life_stages es un gusano que emplea técnicas de ocultación y posee una gran

capacidad de propagación, ya que se transmite a través de correo electrónico; unidades
de red, e IRC (Canales de Chat).Este virus se destaca por su complejidad. Utiliza el
formato SHS (Shell Scrap) de empaquetado con el objetivo de engañar al usuario –ya que
Windows, por defecto, no muestra su extensión real. Además, para dificultar su estudio y
detección por parte de los antivirus, el código malicioso está cifrado.

Se reenvía por correo electrónico –en clientes de Outlook–, a todos los contactos que
encuentra en la libreta de direcciones del usuario cuyo computadora ha infectado, siempre
y cuando el número de contactos sea menor que 101. Si la cifra es mayor, escoge,
aleatoriamente, 100 direcciones y se envía en un correo-e que tiene las características
anteriormente mencionadas. Utiliza una técnica de ocultación para engañar al usuario y
proceder a la infección del computadora. En concreto, y aunque el archivo adjunto que
envía tiene la extensión "SHS" se aprovecha de que, por defecto, no se muestre al
usuario dicha extensión. Por el contrario, el archivo aparecerá como "TXT", junto con el
icono que acompaña a los auténticos archivos con esa extensión. Para no levantar
sospechas, si no es ejecutado desde el directorio de inicio, muestra un texto de bromas
que es, en definitiva, lo que espera encontrar el usuario cuando abre el archivo adjunto.

Este virus presenta las siguientes características:

Asunto: "Fw" y uno de los siguientes tres textos: "Life Stages", "Funny" o "Jokes; o "text"
Cuerpo del mensaje (en texto plano o en formato HTML):"The male and female stages of
life" o "Bye." Un archivo adjunto denominado: "LIFE_STAGES.[Link]"

A partir del 2001 se puede ver un termino que engloba cualquier programa, documento o
mensaje y es el denominado "malware", un ejemplo son los virus: Gusanos, Troyanos, el
Spam, Dialers, las Hacking Tools, los Jokes y los Hoaxes. Son susceptibles de causar
perjuicios a los usuarios de los sistemas informáticos-, se adapta a los avances
tecnológicos con el objetivo de difundirse mas rápidamente. Un ejemplo de esto fue la
aparición en este mismo año del virus Nimba un ejemplo claro de esta adaptación.

Tipos de virus más frecuentes.

Numerosas fuentes dan amplia información de los tipos de virus mas frecuentes
reportados a nivel mundial, los virus macro han ocupado los primeros lugares, mientras
que las estadísticas demuestran que son creados mas de 130 mensualmente con un
índice de crecimiento superior al de los virus del DOS, que infectan programas y sectores
de arranque. Ejemplos: concept, colors, laraux, green, stripe macro virus development
kit, cap, nightshade, slovak dictator, anarchy6093, navhr, accesiv, strange days, class

La plataforma más afectada ha sido el Word de Microsoft para Windows. Se debe

fundamentalmente a que lo que más se intercambia en el mundo es información que se
encuentra contenida en documentos creados con este editor de textos.

En los siguientes dos años los gusanos encabezaron mes tras mes las listas de los
reportes de Afectaciones por Programas Malignos. Si en el año 2001 triplicaban el trabajo
de los investigadores, el año anterior siguieron dando que hacer, eclipsando a otros tipos
de ataques, viéndose como sus características subían aun 42,5% en el 2002, lo que
representa 1.789 incidentes investigados. Muestra de los más propagados durante el
2003 son los siguientes:
W 32/sobig-F (19,9%), W 32/blaster-A (15.1%), W 32/Nachi-A (8.4%), W 32/Gibe-F
(7.2%), W 32/Dumaru-A (6.1%), W 32/Sober-A (5.8%), W 32/Mimail-A (4.8%) y otros con
menos porcentaje de daño.

Los más propagados en la historia, desde sus fechas de detección son: My Doom.A
Sobig.F, Klez.H, Swen.A, Netsky.B, Yaha.E, Dumaru.A, Mimail.A, SirCam.A, Klez.E

¿Cómo atacan los virus a las PCs?

Una vez que el virus sea activo dentro del sistema, puede copiarse a sí mismo e infectar
otros archivos o discos a medida que el usuario acceda a ellos. Los diversos tipos de virus
infectan las PC de maneras distintas; los tipos más comunes son los virus de macro, de
arranque y los parásitos.

Los virus se difunden cuando las instrucciones —o código ejecutable— que hacen
funcionar los programas pasan de un computadora a otra. Una vez que un virus está
activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en
programas legítimos o a través de las redes. Estas infecciones son mucho más
frecuentes en las PC que en sistemas profesionales de grandes computadoras, porque
los programas de las PC se intercambian fundamentalmente a través de discos flexibles,
memorias USB o de redes no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. .
Normalmente, un usuario no ejecuta conscientemente un código potencialmente nocivo;
sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o
al usuario para que ejecute el programa viral.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión

puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se
ejecuta dicho programa, ocurre lo mismo con el virus. Los virus también pueden residir en
las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se
arranca la computadora, por lo que dichos virus se ejecutan automáticamente.

En las redes, algunos virus se ocultan en el software que permite al usuario conectarse al
sistema. Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y
reparación. Como lo hacen:

a. El virus re-orienta la lectura del disco para evitar ser detectado;

b. Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para
evitar que se descubran bytes extra que aporta el virus;
c. Cifrado: el virus se cifra en símbolos sin sentido para no ser detectado, pero para
destruir o replicarse debe descifrarse siendo entonces detectable;
d. Polimorfismo: mutan cambiando segmentos del código para parecer distintos en
cada "nueva generación", lo que los hace muy difíciles de detectar y destruir;
e. Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una
determinada combinación de tecleado; una macro o la apertura de un programa
asociado al virus (Troyanos).

Los virus se transportaban a través de programas tomados de BBS (Bulletin Boards) o

copias de software no original, infectadas a propósito o accidentalmente, mediante las
memorias USB. También cualquier archivo que contenga "ejecutables" o "macros" puede
ser portador de un virus: Bajar de Internet programas de lugares inseguros; e-mail con
"attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus
que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html no pueden
contener virus, aunque pueden ser dañados por estos.

Los virus de sectores de arranque (booting) se instalan en esos sectores y desde allí van
saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el
sector o sobreescribirlo. Lamentablemente obligan al formateo del disco del drive
infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M.

En cambio los virus de programa, se manifiestan cuando la aplicación infectada es

ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa
que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden
ser destructivos o permanecer inactivos por largos periodos de tiempo.

Síntomas Típicos de una infección

El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.

El tamaño del programa cambia sin razón aparente.

El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea
necesariamente así.

Si se corre el CHKDSK no muestra "655360 bytes available".

En Windows aparece "32 bit error".

La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni
haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado,
porque no siempre es así).

No se puede arrancar desde el Drive X, ni siquiera con los discos de rescate.

Aparecen archivos de la nada o con nombres y extensiones extrañas.

Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta
advertido).

Los caracteres de texto se caen literalmente a la parte inferior de la pantalla

(especialmente en DOS).

En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo
hambre. Introduce un Big Mac en el USB".

En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas
difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que
dice Windows ’98 (No puedo evitarlo, es mas fuerte que yo...!!)
Propagación de los virus.

Daños ocasionados por virus.

Se define daño como una acción indeseada, y se clasifica según la cantidad de tiempo
necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los
virus, de acuerdo a la gravedad.

a. Daños triviales.

Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día
18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse
del virus implica, generalmente, segundos o minutos.

b. Daños menores.

Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar después de que el virus
haya infectado la memoria residente. En el peor de los casos, tendremos que
reinstalar los programas perdidos. Esto llevará alrededor de 30 minutos.

c. Daños moderados.

Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table -Tabla de Ubicación de Archivos), o sobreescribe el disco rígido.
En este caso, se sabe inmediatamente qué es lo que está sucediendo, y se puede
reinstalar el sistema operativo y utilizar el último backup. Esto quizás lleve una
hora o más.

d. Daños mayores.

Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar

desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al
último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que
infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este
contador llega a 16, elige un sector del disco al azar y en él escribe la frase:
"Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el
día en que detectemos la presencia del virus y queramos restaurar el último
backup notaremos que también él contiene sectores con la frase, y también los
backups anteriores a ese.

Puede que logre encontrar un backup limpio, pero será tan viejo que muy
probablemente se haya perdido una gran cantidad de archivos que fueron
creados con posterioridad a ese backup.
 e. Daños severos.

Los daños severos son hechos cuando un virus realiza cambios mínimos,
graduales y progresivos. No se sabe cuándo los datos son correctos o han
cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es
decir, no se puede buscar la frase Eddie lives ...).

f. Daños ilimitados.

Algunos programas como CHEEBA, [Link] y GP1 entre

otros, obtienen la clave del administrador del sistema y la pasan a un
tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de
CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el
nombre del usuario y la clave. El daño es entonces realizado por la tercera
persona, quien ingresará al sistema y haría lo que quisiera.

Los daños ocasionados por los programas malignos son evaluados a través de las
implicaciones económicas que representan la pérdida parcial o total de los recursos y
horas hombre-máquina invertidos tanto durante el proceso de diseño, puesta a punto e
implantación de las aplicaciones y sus datos, como las que se derivan de los gastos en
que se incurran durante el proceso de recuperación de un sistema infectado. Los gastos
en el proceso de recuperación dependen de los daños ocasionados por el programa
maligno tanto en su fase de infección como en la de activación, así como del nivel de
organización en la salva de la información que tenga el usuario. Además, existen algunos
que son difíciles de detectar y que de una forma muy solapada alteran la información
almacenada en los discos.

Tipos de Antivirus.

Dr. Solomon´s Antivirus Toolkit.

Certificado por la NCSA. Detecta más de 6.500 virus gracias a su propio

lenguaje de detección llamado VirTran, con una velocidad de detección
entre 3 y 5 veces mayor que los antivirus tradicionales.

Uno de los últimos desarrollos de S&S es la tecnología G. D. E. (Generic

Decription Engine, Motor de Descifrado Genérica) que permite detectar
virus polimórficos sin importar el algoritmo de cifrado utilizado.

Permite detectar modificaciones producidas tanto en archivos como en la

tabla de partición del disco duro. Para ello utiliza Checksums Criptográficos
lo cual, sumado a una clave personal de cada usuario, hace casi imposible
que el virus pueda descubrir la clave del cifrado.

Elimina virus en archivos en forma sencilla y efectiva con pocas falsas

alarmas, y en sectores de arranque y tablas de partición la protección es
genérica, es decir, independiente del virus encontrado.
Norton Antivirus.

Certificado por la NCSA. Posee una protección automática en segundo

plano. Detiene prácticamente todos los virus conocidos y desconocidos (a
través de una tecnología propia denominada NOVI, que implica control de
las actividades típicas de un virus, protegiendo la integridad del sistema),
antes de que causen algún daño o pérdida de información, con una amplia
línea de defensa, que combina búsqueda, detección de virus e
inoculación (se denomina 'inoculación' al método por el cual este antivirus
toma las características principales de los sectores de arranque y archivos
para luego revisar su integridad. Cada vez que se detecta un cambio en
dichas áreas, NAV avisa al usuario y provee las opciones de Reparar -
Volver a usar la imagen guardada - Continuar - No realiza cambios -
Inocular - Actualizar la imagen.

Utiliza diagnósticos propios para prevenir infecciones de sus propios

archivos y de archivos comprimidos.

El escaneo puede ser lanzado manualmente o automáticamente a través

de la planificación de fecha y hora. También permite reparar los archivos
infectados por virus desconocidos. Incluye información sobre muchos de
los virus que detecta y permite establecer una contraseña para aumentar
así la seguridad.

La lista de virus conocidos puede ser actualizada periódicamente (sin

cargo) a través de servicios en línea como Internet y el Microsoft Network
entre otros.

Virusscan.

Este antivirus de McAfee Associates es uno de los más famosos. Trabaja

por el sistema de scanning descrito anteriormente, y es el mejor en su
estilo.

Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix
Scanning, Escaneo de Matriz de Código) y CTS (Code Trace Scanning,
Escaneo de Seguimiento de Código).

Una de las principales ventajas de este antivirus es que la actualización de

los archivos de bases de datos de cadenas (strings) es muy fácil de
realizar, lo cual, sumado a su condición de programa shareware, lo pone al
alcance de cualquier usuario. Es bastante flexible en cuanto a la
configuración de cómo detectar, reportar y eliminar virus.
Virus en el futuro.

"En los sistemas modernos hay demasiados tipos de archivos ejecutables, programas que
pueden acceder a los componentes de la computadora. También es muy complicado que
un sistema no tenga problemas, incluyendo agujeros de seguridad. Por todo ello, creo que
los virus seguirán existiendo aunque el entorno contemple la seguridad basada en
certificados digitales. .... Es posible desarrollar un entorno completamente protegido por la
comprobación de firmas digitales, ¡pero los usuarios no lo usarán!, porque un entorno de
este tipo no es lo suficientemente amigable... demasiadas limitaciones, demasiados
avisos, demasiadas preguntas." Eugene Kaspersky.

La inmensa mayoría de las infecciones por virus actualmente se deben a infecciones por
gusanos (programas que se transmiten a través de las redes e Internet) y troyanos (los
cuales suelen ejecutar acciones ocultas e indeseables) realizadas en su mayoría de las
veces a través del correo electrónico. Estos virus se activan mediante la ejecución de
adjuntos en el correo electrónico o simplemente mediante la lectura de correos recibidos
con código malicioso dentro de HTML.

Existe la posibilidad que en el futuro aparezcan nuevos virus similares al Nimda o al Klez,
los cuales podrán tomar ventaja de las vulnerabilidades existentes o de las que lleguen a
presentarse. La educación y la conciencia basada en estrategias adecuadas de seguridad
es la única forma de prevenir los posibles daños. Un posible colapso de la Internet (debido
a una saturación del tráfico, a causa de los virus) no tiene tanto sustento a priori, pues sus
límites antes que ser tecnológicos tienden a ser más bien culturales y ante una situación
de esta naturaleza todavía se tienen elementos para prevenirla.

Hoy en día, dado lo sofisticado que son estos programas, uno solo de ellos tiene la
característica que no le piden nada a sus antecesores, constituyendo de esta manera, la
principal causa de los estragos producidos. El gusano Nimda (que llegó como troyano y
destruye el sistema como un virus) y el Klez abren todo un abanico de posibilidades y
sorpresas inesperadas que ponen a tambalear nuestros esquemas clásicos de protección.

Virus, Troyanos, y Gusanos han existido desde los inicios de los sistemas operativos
actuales y de Internet. La contienda "virus - antivirus" ya tiene varias décadas y nada
indica que vaya a terminar. No se puede descartar, por ejemplo, que en un futuro cercano
los virus atacarán teléfonos celulares programables y se propagarán cuando encuentren
algún vínculo abierto entre dos aparatos. La principal vía de contagio, tal como hoy ocurre
con las computadoras, será el correo electrónico, que ya está disponible en el mundo de
la telefonía móvil.

Remarcando esto, los virus del futuro no sólo harán blanco en computadoras y servidores
sino que serán diseñados para atacar teléfonos celulares inteligentes y asistentes
digitales personales. Estos códigos maliciosos se prevé (esto es solamente un escenario
o conjetura muy al estilo de Julio Verne) que incluso podrían llegar a grabar
conversaciones y enviarlas vía correo electrónico a otros usuarios sin el consentimiento
del dueño del aparato, suprimir o alterar estados financieros almacenados en los
celulares, o incluso cambiar los números telefónicos contenidos en la memoria de estos
artefactos y reemplazarlos con otros números de larga distancia, con el fin de generar
cuentas y débitos de proporciones enormes.

Más aún, no es descabellado (no, al menos del todo) que las guerras del futuro cercano
entre países desarrollados tendrán lugar entre dos redes, en las bolsas y mercados
financieros interconectados, entre naves no tripuladas y satélites. De hecho, mientras el
capitalismo prevalezca y esta situación alcance, las armas convencionales solamente se
llegarían a utilizar con los países subdesarrollados.

Si se mira un poco al futuro y se piensa en la domótica (control de edificios, casas, etc.,

mediante hardware y software), se vislumbra ya la introducción de Internet en la vida
doméstica. De hecho, ya se tiene la disponibilidad de Internet a través de la televisión. De
modo que tal vez dentro de poco, junto con la televisión se tenga que incluir algún tipo de
dispositivo antivirus. Y no sólo en la televisión, ya que otros electrodomésticos también
serán alcanzados por los largos tentáculos de Internet.

El futuro augura mayor número de virus y más sofisticados y. algunas posibles tendencias
pueden ser las siguientes:

1. Gran incremento en el número de virus, gusanos o backdoors. La frecuencia

avasalladora con que van apareciendo nuevas variantes de malware (códigos
maliciosos) predispone a mantener una política coherente y adecuada de
actualizaciones. A la hora de escoger un software antivirus se ha de tener en
cuenta la capacidad de actualización y la velocidad de respuesta de los
laboratorios de las empresas, así como las capacidades heurísticas (detección de
posibles virus nuevos) que tengan integradas estos productos.
2. Java y Actives. Ambos de estos componentes gozan presumiblemente de
mecanismos de seguridad para evitar la difusión de virus pero tienen algunos
agujeros (no son la panacea, pues de ser así, Windows sería una promesa
verdaderamente mesiánica). La seguridad de ActiveX se basa en que sólo puede
ejecutarse código autenticado. Eso es mejor que nada pero aún deja mucho que
desear, no se puede apostar a que autenticar sea una garantía absoluta o infalible.
3. Más conectividad. La demanda de mayor ancho de banda incrementa con cada
vez más información en circulación. A mayor intercambio de información, mayor
intercambio de todo tipo de programas o archivos incluyendo a los diversos
gusanos que vayan surgiendo.
4. Lenguaje de macros más potente, universal y manejable. Los fabricantes de
software incluyen cada vez lenguajes de macro más potentes y sencillos de utilizar
pero como contrapartida, más vulnerables a los ataques o incorporación de
códigos no necesariamente benévolos. Aparentemente los virus de macro ya no
son los que dominan la escena, pero bien podrían irse acompañando en el
ciberespacio de gusanos cada vez más potentes.
5. Más virus destructivos. El código fuente del virus CIH (capaz de sobrescribir en
determinadas circunstancias el BIOS y dejar la máquina absolutamente
inoperante), los más diversos kits de creación de virus y otras tantas linduras están
al alcance de todo mundo en Internet. Esta información alienta a otros
programadores de virus a generar otros, e incluso a auténticos aficionados (
hackers y crackers) a sentirse como niños en dulcería con el simple hecho de
jugar con estas cosas.
Lo anterior lleva a pensar (sin mucho temor a equivocarse) que el futuro de los antivirus
está fundamentalmente en el desarrollo sólido de la heurística, y en la integración de
éstos hacia una estructura más sólida de software que contemple a antivirus, cortafuegos,
detectores de intrusos y autenticación como un solo producto.

En este estudio se describe, de forma hipotética, como podrían ser los gusanos de
siguiente generación, a los que denomina "Warhol" y "Flash". Unos virus capaces de
infectar todos los computadoras vulnerables de Internet en menos de 15 minutos.

El estudio demuestra que las técnicas que utilizan los gusanos actuales para propagarse
son extremadamente ineficientes. En cambio, según este estudio, los "gusanos Warhol"
utilizarían técnicas altamente optimizadas para buscar computadoras vulnerables: "hitlist
scanning" (lista de servidores vulnerables elaborada previamente) para la propagación
inicial y "permutation scanning" (técnica que intenta encontrar todos las computadoraas
vulnerables en el menor tiempo posible) para conseguir propagarse de forma auto-
coordinada y completa.

El principal problema de este tipo de gusanos es que causaría el daño máximo antes de
que fuese posible la respuesta humana. Para cuando los laboratorios de las casas
antivirus fuesen capaces de desarrollar, probar y poner a disposición de los usuarios la
solución, el virus ya habría terminado su trabajo.

A pesar de que afortunadamente en la actualidad los gusanos todavía no emplean este

tipo de técnicas para propagarse, en Enero de 2003 el virus SQLSlammer infectó 100.000
computadoras vulnerables en menos de media hora, y la mayor parte de ellos en los 15
primeros minutos. El SQLSlammer no es propiamente un gusano de tipo Warhol, pues no
utiliza las técnicas descritas en el estudio, pero aún así, consiguió demostrar que es
posible crear un virus que se propague a todos los computadoraes vulnerables en un
tiempo tan corto que no es viable la respuesta humana.

Se puede concluir que el futuro de la seguridad en redes y computadoras necesita un

nuevo enfoque. Las amenazas son cada vez mayores y más rápidas, obligando a que las
empresas antivirus redoblen esfuerzos y reaccionen cada vez más rápidamente para
evitar las epidemias. Las actuales soluciones de seguridad son extremadamente
eficientes combatiendo amenazas conocidas, pero la exigencia es cada vez mayor y el
hecho de que las actuales soluciones de seguridad sean inherentemente reactivas,
supone una pérdida de tiempo que ahora puede ser vital. Es necesario ser también
proactivos y adelantarse al problema.

La proactividad en la seguridad informática se debe basar en combatir las nuevas

amenazas que acechan a los sistemas sin necesidad de conocer previamente cuáles son.
Los comportamientos de los códigos maliciosos deben poder preverse, pero para ello no
es suficiente la tecnología actual, es necesario analizar directamente el protocolo TCP/IP,
descubrir intentos de desbordamientos de buffer, inyecciones de código, cubrir nuevos
vectores de propagación, etc...

Dentro de las tecnologías proactivas, destacan las de análisis de comportamiento, que en

pruebas reales han demostrado ser muy efectivas contra virus y otras amenazas
desconocidas. Gracias a estas tecnologías los usuarios, podrán contar en breve con
soluciones que no exijan una reacción, sino que se adelantarán a la amenaza de malware
que intenta llevar a cabo acciones maliciosas.

También dentro de poco podríamos asistir a nuevos escenarios de infecciones víricas; La

convergencia de tecnologías que se está produciendo hoy en día conseguirá que dentro
de poco no podamos distinguir dónde termina un computadora y dónde comienza un
teléfono, o si la propagación de un virus se produce a través de una red inalámbrica o
mediante conexiones directas entre dos sistemas.

Caballos de Troya

¿Que son los Caballos de Troya?

Un Caballo de Troya es un programa ideado para que, bajo una apariencia inofensiva y
útil para el usuario, afecte muy negativamente al sistema al incluir un módulo capaz de
destruir datos. Junto con los virus es uno de los tipos de programas malignos más
conocidos y empleados. Por su similitud en la forma de operar le debe su nombre al
famoso caballo de la mitología griega.

El caballo de Troya era un enorme caballo de madera que los griegos dejaron a las
puertas de Troya como oferta de paz después de una larga batalla. Los troyanos abrieron
sus puertas e introdujeron tal obsequio en la ciudad. Sin embargo, al caer la noche, un
grupo de griegos salió de su interior y abrieron las puertas de Troya para que su ejército la
invadiese. Bien, pues un caballo de Troya en redes es lo mismo. Mucha gente los
confunde con los virus o con otros programas malignos, pero un Caballo de Troya es un
programa que, bajo la apariencia de una aplicación útil para el usuario (el caballo de
madera), es diseñado deliberadamente para llevar dentro de sí cierto código dañino (los
soldados de su interior).

Se diferencian de los populares virus en que estos últimos infectan cualquier programa de
la computadora sin que el programa anfitrión tenga nada que ver con el virus. Además, al
contrario que los virus, los caballos de Troya no se reproducen.

Cuando un usuario poco precavido recibe un caballo de Troya no se da cuenta del peligro
hasta que se ha producido el daño. Generalmente se recibe un programa con un nombre
sugerente: Información SIDA, Comecocos, Quinielas... y al ser ejecutado o tras cierto
número de ejecuciones se empiezan a realizar las acciones para las que en realidad
dichos programas fueron diseñados, como por ejemplo destruir los datos del
computadora; Incluso llegaron a circular algunos programas antivirus que en realidad son
Caballos de Troya, como las versiones 78 y 79 del popular Scan. Un caballo de Troya
muy conocido fue el denominado SIDA. Distribuido como información divulgativa sobre la
enfermedad, atacaba ferozmente las máquinas en las que era ejecutado.

Con el advenimiento de Internet, los Caballos de Troya en forma de mensajes con

contenidos útiles o divertidos destruyen la información del disco del receptor
aprovechando agujeros de seguridad del sistema. El caso más conocido fue el I Love
You. Un tipo de Caballos de Troya beneficiosos son aquellos que, aprovechando la
inexperiencia e inconsciencia del usuario que ejecuta alegremente programas no
solicitados, presentan en pantalla mensajes simulando el borrado de datos para,
finalmente, burlarse del usuario por su estupidez y recomendarle que en futuro sea más
cuidadoso con los programas que ejecuta en su computadora. Su fuerza didáctica está
fuera de toda duda. Un pariente muy cercano de los caballos de Troya son los
camaleones, con los que a veces son confundidos.

Hay mucha controversia sobre lo que es un troyano. Mucha gente confunde virus con
troyanos, y ni mucho menos se parecen. En realidad no tienen nada en común. El virus es
destructivo (salvo raras excepciones), actúa de forma premeditada y su acción es siempre
la misma en todos los computadoraes que infecta. En cambio el troyano no se comporta
así. Se puede afirmar que un troyano no es ni benigno ni maligno. Sencillamente no está
programado para destruir nada en la computadora infectada. No se puede hablar
entonces de una amenaza en el propio software. En el caso del troyano la malevolencia
viene de la persona que lo utiliza.

El nombre troyano proviene de la Guerra de Troya, que fue un instrumento de guerra

usado por los griegos para acceder a la ciudad de Troya. Según cuenta la historia, "al
pasar diez años de la guerra troyana, los griegos todavía no podían entrar en la ciudad de
Troya porque las paredes de la ciudad la hacían impenetrable. Así, desarrollaron un
caballo gigante de madera en el que un puñado de griegos armados se escondieron
mientras el resto de los griegos abordaron los barcos y zarparon dejando atrás el caballo
como regalo de Victoria. Luego de la gran celebración de los troyanos, en la cual se
emborracharon, los griegos que estaban dentro del caballo salieron, mataron a todos los
centinelas que estaban en las puertas de la ciudad y abrieron las puertas para que entrara
un carnicero ejército griego".

Un troyano es entonces un programa malicioso insertado en un PC sin consentimiento de

su dueño que permite el control de esa PC y/o el acceso a sus datos por parte de una
persona no autorizada.

Un troyano puede ser una de las siguientes cosas:

Instrucciones no autorizadas dentro de un programa legítimo. Estas instrucciones

ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el
mismo.
Un programa legítimo que ha sido alterado por la colocación de instrucciones no
autorizadas dentro del mismo, probablemente como consecuencia del ataque de un virus.
Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no
deseadas por el mismo.
Cualquier programa que aparentemente haga una función deseable y necesaria
pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales
ejecutan funciones desconocidas para el usuario. Cualquier programa que contenga otro
subprograma con instrucciones no deseadas o virus. Cualquier programa que permita
operaciones de monitoreo y/o control remoto del computador sin conocimiento del
usuario. Este tipo de programas son llamados también "Backdoor" lo que se traduce a
Puerta Trasera.
Los troyanos funcionan mejor en computadoras sin muchas restricciones para los
usuarios, ya que en ambientes restringidos no pueden hacer mucho daño; sin embargo,
en los ambientes de servidor, que son muy restringidos pero hay troyanos que han sido
muy dañinos.
A diferencia de los virus, los caballos de Troya o troyanos están diseñados para obtener
información privilegiada del computadora donde son ejecutados. Así pues existen
troyanos que únicamente consiguen contraseñas, otros que graban secuencias metidas
en el teclado, otros que abren puertas traseras al computadora, etc.

Entonces, un troyano es un programa simple que facilita el control remoto de una

computadora, se les incluye dentro de la denominación "malware" y realmente no son
más que aplicaciones de gestión remota, que al ser totalmente gratuitos, al contrario de
otros, están muy difundidos y suelen utilizarse para el acceso a otras computadoras sin el
permiso de sus dueños a través de la red. La primera puntualización que se debe hacer
es que a esos programas que hacen exactamente lo mismo pero son comerciales no se
les considera como peligrosos mientras que los demás son considerados como
herramientas de hacker y los eliminan los antivirus. La segunda es que aunque permitan
manejar otras computadoras es necesario que estos tengan un pequeño servidor
ejecutándose en ellos, para ello cuentan con un pequeño instalador que se encarga de
modificar el registro de Windows para que los ejecute cada vez que se arranca Windows.
Normalmente suelen ocultar su presencia, de forma que el servidor carece de cualquier
cosa visible y ni siquiera se puede ver en la lista de tareas.

Daños ocasionados por los caballos de Troya

El enemigo en casa

La información que intercambia un servidor Web seguro y un navegador se cifra utilizando

un algoritmo de clave pública. Este método asegura la confidencialidad de los datos y su
integridad, además de confirmar la identidad del servidor Web. Muchos bancos ofrecen un
servidor seguro a sus clientes para realizar todo tipo de operaciones bancarias. Entonces,
¿cómo es posible que un pirata informático conozca las claves de acceso al banco, las
transferencias que se han realizado y el número de la tarjeta de crédito? En primer lugar,
hay instalado un caballo de Troya en la computadora; en concreto, la parte del servidor.
Una de las nuevas características de estos programas consiste en volcar toda la
información que se introduce a través del teclado en un archivo. Absolutamente todo. Por
ejemplo, cuando se teclea el número de la tarjeta de crédito para realizar una compra a
través de un servidor seguro, los datos viajan cifrados por la Red, pero no entre el teclado
y el navegador. Y es ahí dónde está escuchando el caballo de Troya. El atacante se
sienta a esperar a que se escriban la clave de acceso al ISP, la del buzón de correo, la
clave PGP, etc. No tiene ninguna prisa, ya que el caballo de Troya trabaja discretamente,
sin que se note nada. Hasta que llegue la factura del banco.

El equipo de delincuencia informática de la policía necesita, en muchos casos, la

colaboración de los proveedores de acceso a Internet. Los archivos donde quedan
reflejados el identificador y el número de teléfono asociados a una IP determinada y a una
hora determinada, son fundamentales para conocer la identidad de las personas que han
cometido delitos en la Red. Cuando se inicia una conexión en la Red a través de la ISP,
los datos quedan asociados a una dirección IP. En principio, todas las acciones que se
realicen durante esa conexión son responsabilidad del usuario. Un pirata informático
puede ocultar la verdadera dirección IP utilizando sofisticadas técnicas de ocultación, pero
estos métodos son complicados y poco flexibles. Parece más sencillo utilizar la conexión
que se acaba de establecer, con una flamante dirección IP que lo identifica solamente a la
víctima.
Los nuevos caballos de Troya permiten encauzar todo el tráfico que llega a un puerto
hacia otra máquina y otro puerto. Por ejemplo, el atacante configura la PC para que el
puerto 80 de la máquina conecte con el puerto 80 de [Link]. Recordar que los
servidores Web escuchan por el puerto 80. Esto significa que si el atacante escribe en el
navegador la dirección IP que tiene en ese momento asignado a la PC, se conectará con
el Web de XXX. Para el servidor Web, la IP que está solicitando las páginas HTML es la
de la víctima. Cualquier fechoría que cometa el pirata en ese servidor, aparecerá como
realizada desde esa conexión. Y, por último, consultando al PSI, reflejará el nombre y
apellido. La víctima no notará nada, hasta que reciba la visita de la policía.

Aunque no lo parezca

La gran baza de los nuevos caballos de Troya reside en su sigilosa forma de actuar. El
programa servidor casi no consume recursos. Cada vez que se arranca el PC, el troyano
se ejecuta de forma automática y se queda residente en memoria. Un pequeño proceso
que apenas consume un 1% de CPU, pero que abre las puertas del computadora —una
vez conectado a la Red— a cualquiera que tenga instalado la parte cliente del caballo de
Troya en su máquina.

A esto se debe añadir otras dos características que convierten a estos "virus" en
verdaderas amenazas para los amantes de Internet. La primera consiste en lo fácil que
resulta engañar a la víctima para que instale el caballo de Troya en su máquina (mas
adelante, en el cuadro "Uso obligatorio del antivirus" se explican los métodos utilizados
para introducir el troyano en una PC de forma silenciosa) . La segunda característica, y
quizá la más peligrosa, consiste en la enorme facilidad de manejo de la parte cliente del
virus. La aplicación que maneja el atacante, aquella que se conecta al servidor que corre
en la PC de la víctima, tiene una pasmosa sencillez de uso .

Los nuevos caballos de Troya son una amenaza constante para aquellas personas que
estén utilizando sistemas operativos de Microsoft, en especial para Windows. La rapidez
de difusión de los troyanos pensados para esas plataformas se debe a dos razones: la
mayoría de las computadoras utilizan sistemas Microsoft y sus caballos de Troya cumplen
de sobra las características antes indicadas. Se cuentan por centenas de miles las copias
de los caballos de Troya para plataformas Windows95/9.

Caballos de pura sangre

NetBus y Back Orifice tienen muchos puntos en común. Ambos son caballos de Troya
basados en la idea de cliente-servidor. Han sido creados para sistemas Microsoft, pero
Back Orifice sólo funciona en Windows 9x y siguientes, mientras que NetBus también lo
hace sobre NT y posteriores. El programa servidor, en ambos casos, debe ser instalado
en la computadora de la víctima. Como se ha explicado, esta tarea se ha simplificado, ya
que el atacante puede ocultar el troyano dentro de cualquier programa o aplicación.
Incluso puede mandar el virus por correo y ser instalado con sólo abrir el mensaje. Una
vez instalado, el servidor abre un puerto de comunicaciones y se queda escuchando las
peticiones del oyente. Es decir, los comandos que le envía el programa cliente que está
utilizando el atacante desde su computadora remota. NetBus abre un puerto TCP,
mientras que Back Orifice utiliza un puerto UDP. Se puede cambiar el número del puerto
por el que atiende el servidor en ambos casos. También se puede proteger el acceso al
servidor mediante una clave. De esta forma, ya no es suficiente con tener instalado el
cliente del Troya y conocer la IP de la máquina infectada. También será necesario
conocer la clave que autoriza el acceso al servidor.

Ya se ha indicado una de las grandes diferencias entre estos dos troyanos: Back Orifice
no corre en Windows NT. Por otra parte, Back Orifice es capaz de cifrar la comunicación
entre el cliente y el servidor, algo que no hace NetBus. En cambio, este último permite
ciertas detalles adicionales, como abrir y cerrar la unidad de CDROM o modificar las
funciones de los botones del ratón. Otra diferencia importante es el tamaño del servidor.
La última versión del servidor de NetBus (NetBus Pro 2. 0 supera los 600 Kb, mientras
que el servidor Back Orifice 1. 2, sólo ocupa 122 Kb. El tamaño resulta importante cuando
el atacante quiere ocultar el caballo de Troya dentro de una aplicación. Resulta menos
sospechoso un aumento de 122 Kb que uno de 600 Kb, con respecto a la aplicación
original. Por último, la versión más reciente de NetBus presenta nuevas opciones, pero es
su nueva ventana de gestión del cliente, con ayuda en línea incluida, donde marca la
diferencia con respecto a Back Orifice. La instalación y la aplicación resultan tan
profesionales, que su frase de presentación casi parece cierta: "NetBus Pro es una
herramienta para la administración remota de computadoras, de fácil uso y con un
amigable entorno de gestión".

¿Creados para utilizar la Red?

Microsoft afirma que Windows 9x han sido creados pensando en Internet. En especial,
Windows 98 y mas actuales "hace más fácil el acceso a Internet y al mundo de la
comunicación digital". Cierto, más fácil y mucho más peligroso que con otros sistemas.
Los nuevos caballos de Troya aprovechan las enormes facilidades de acceso a los
recursos del sistema que ofrece Windows. El programa servidor tiene control sobre todos
los elementos de la PC: dispositivos, archivos, protocolos de red, etc. Estos troyanos
muestran (y demuestran ) que cualquier aplicación que se instale sobre Windows, cuyo
código fuente casi nunca se facilita, puede ser una puerta abierta a los delincuentes
informáticos.

Internet, por su propia naturaleza, es inseguro. Igual ocurre con la red viaria. La
plataforma que más se utiliza en Internet, pensada para trabajar en redes de
computadoras y anunciada como la mejor solución para conectarse a la Red, se parece a
un coche sin cinturones de seguridad. Las maniobras peligrosas, como el comercio
electrónico, deben hacerse con mucho cuidado. Pero si se utiliza Windows, debe extremar
las precauciones. Los usuarios que viajan por las autopistas de la información con
vehículos muy poco preparados, pensando que están usando un sistema seguro, son los
primeros objetivos de los piratas informáticos.

¿Cuántos caballos tiene la computadora?

La computadora puede estar infectada con uno o varios caballos de Troya. Los nuevos
troyanos conviven en una misma PC sin ningún problema. Se instalaron Back Orifice y
dos versiones distintas de NetBus en la misma máquina, y los tres servidores funcionaban
perfectamente. Por fortuna, cualquier persona tiene a su alcance las herramientas
necesarias para saber si tiene un caballo de Troya instalado en su computadora.

Los procedimientos que se van a explicar no reemplazan a un buen programa antivirus. Al

contrario, son el complemento ideal de la labor de protección y desinfección. Por ejemplo,
el antivirus utilizado en un laboratorio detecta a Back Orifice, pero no a NetBus. Aquí se
tienen las claves para saber si la computadora está libre de esos caballos de Troya. Y, en
caso contrario, cómo librarse de ellos.

Tanto NetBus como Back Orifice se arrancan automáticamente al iniciar Windows. Y los
dos abren un puerto de comunicaciones para recibir las peticiones de los clientes. Por
tanto, se tiene un proceso ejecutándose continuamente en la computadora y un puerto de
comunicaciones siempre abierto . Para descubrir ese proceso, se puede utilizar WinTop,
una estupenda utilidad que ofrece Microsoft dentro de un paquete llamado ‘Kernel Toys’ .
WinTop está indicado para Windows9x..

WinTop muestra los procesos que están corriendo en la máquina y permite identificar los
ejecutables sospechosos (además de ofrecer una nueva visión de lo que se cuece en la
PC). Con respecto al puerto de comunicaciones abierto por el caballo de Troya, la
herramienta más indicada para descubrirlo es netstat, sobre todo para puertos UDP (el
utilizado por Back Orifice). Abrir una ventana DOS y ejecutar este comando: netstat –an |
find " UDP ". Si la respuesta de este programa muestra actividad, sobre todo en el puerto
31337 (el puerto por defecto donde escucha Back Orifice) , es muy probable que la
máquina esté infectada . Además de netstat, para revisar los puertos TCP (en busca de
NetBus) se puede usar HAR’s Protector: Esta pequeña utilidad controla todos los puertos
de la máquina, tanto TCP como UDP. NetBus utilizaba, en las versiones antiguas, el
puerto TCP 12345. Netbus Pro utiliza ahora el 20034, pero el atacante puede configurar
el servidor para que escuche por cualquier puerto. Por tanto, se deben controlar todas las
conexiones, y HAR’s Protector lo hace.

Si se ha encontrado algún proceso sospechoso o algún puerto abierto que no debería

estarlo, el siguiente paso consiste en buscar en el registro de Windows. La manipulación
del registro de Windows es siempre una tarea delicada. Estas dos páginas ayudarán,
paso a paso, a detectar la presencia de Back Orifice y Netbus. Explican, con la ayuda de
estupendos gráficos, qué debe buscar y cómo debe modificar el registro.

Si no se atreve a modificar el registro (es complicado) o no está muy seguro de la calidad

de la limpieza realizada, debe acudir a programas comerciales: Panda Antivirus, Norton
Antivirus, Mcafee VirusScan, etc. También existe la posibilidad de utilizar un programa no
comercial, pero siempre bajo la propia responsabilidad.

Uso obligatorio del antivirus

Si se navega por la Red, se debe instalar y mantener actualizado un buen antivirus.

Merece la pena repetirlo: si se conecta a Internet se tiene que utilizar un programa
antivirus. Los caballos de Troya pueden llegar a la computadora de muchas formas: a
través de la Red, No pensar que se está a salvo por utilizar un sistema operativo distinto a
Windows. Todas las plataformas tienen sus propios caballos de Troya. Un poco menos
conocidos que Back Orifice o NetBus, pero igual de peligrosos.

Aunque la peor parte se la llevan los usuarios de sistemas Microsoft. Pensar que en sólo
unos meses han aparecido cuatro nuevas versiones de NetBus. O que se han escrito
varias herramientas para Back Orifice que permiten ocultarlo dentro de cualquier
programa. La aplicación resultante instala el troyano en primer lugar y seguidamente el
programa original. También pueden mandar un correo al atacante (o un mensaje a un
canal de IRC), anunciando la dirección IP de la computadora infectada cada vez que se
conecta a la Red. Estos troyanos se han difundido de tal manera que ya han aparecido
programas que no sólo eliminan el virus de la computadora, sino que pasan al ataque.
Localizan la dirección IP de la PC que se está ejecutando la parte cliente y tratan de
dejarlo fuera del juego. Contra Netbus se ha creado Net búster members . tripod .
com/deltasitez/netbustertext . html y BackFire surf . to/leebros aparece, a modo de
venganza, contra Back Orifice .

Pero no confundirse, la verdadera solución contra los virus en general y los caballos de
Troya en particular, reside en la protección que ofrecen los antivirus comerciales. Sobre
todo para plataformas tan poco seguras como Windows.

Estos programas, como ya se mencionò, llevan un pequeño instalador de forma que una
vez ejecutado sin ninguna advertencia se instalan, pero hay que ejecutarlos, la mayoría
de las veces suelen llegar por el IRC o en algún correo y como se ejecuta todo sin fijarse
se instala sin darse cuenta, solo hay extrañeza al ver que al ejecutarlo no pasa nada.

Otra opción es que venga junto con otro programa, esto se realiza con una serie de
programas gratuitos que consiguen mezclar dos archivos ejecutables en uno de forma
que solo se vea el resultado de uno de ellos, por lo que puede que solamente con instalar
algún programa que no se haya bajado de la red ya se ha podido instalar. De todas
formas no debe preocupar ya que no hay demasiados programas por la red con troyanos,
es mucho mas normal a través del IRC.

Los siguientes efectos en la PC pueden ser por el ataque de un troyano.

Aparición y/o desaparición de archivos.

Ralentización del sistema.
Aparición de archivos temporales sin justificación. Al instalar programas lo normal
es que se creen archivos en las carpetas temporales referentes a los archivos
utilizados en la instalación.
Bloqueos continuos del PC.
Reinicios continuos del PC.
Desconexiones continúas del MODEM.
Inicialización/Finalización de programas sin justificación.
La bandeja del CD se abre/cierra sin motivo alguno.
El teclado deja de funcionar.
Actividad en el MODEM cuando no se está realizando ningún tipo de
comunicación vía red. Las luces parpadeantes del MODEM (externo) o el LED de
actividad del disco duro (interno) pueden indicar este tipo de actividad.
El servidor de Internet no reconoce el nombre y contraseña o indica que ya está
siendo utilizado. Lo mismo con el correo.
Aparición en el cliente de correo de mensajes enviados y desconocidos por el
usuario.
Ejecución de sonidos sin justificación.
Presencia de archivos TXT o sin extensión en el HD (normalmente en "c:\") en los
que se reconocen palabras/frases/conversaciones/comandos,... que se han escrito
anteriormente (captura del teclado por parte del atacante).
Presencia de archivos y/o carpetas con caracteres extraños, como por ejemplo "|î
ìäñòó càïóñêà", que es el path por defecto del NetBus 2.X.
 Aparición de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO".
Este ya es un síntoma muy claro de una infección de troyano.

Propagación de los Caballos de Troya

Para que un troyano se instale en una PC atacada necesita de la actuación del usuario de
la PC en cuestión, ya que éste debe ejecutarlo personalmente. La forma habitual es la de
enviar el servidor del troyano a la PC que se quiere atacar, habitualmente por medio de un
e-mail o a través de un intercambio de archivos vía IRC, ICQ, FTP,... con la intención de
que la víctima lo ejecute. Normalmente se utilizan dos formas de engañar al usuario para
que ejecute el servidor del troyano en la PC.

La primera consiste en enviar el servidor renombrado y con extensión doble,

aprovechando la peculiaridad de los sistemas Windows para ocultar las extensiones
conocidas (opción por defecto). Es decir, que si se tiene en la PC un archivo "[Link]", el
usuario tan sólo verá "foto". Sin embargo, si el archivo se llamara "[Link]" (extensión
doble) se vería "[Link]". En este caso la última de las dos es la extensión real del archivo
pasando la primera de ellas a formar parte del nombre en sí (archivo de nombre "[Link]"
y extensión ".gif").

Volviendo al tema, el servidor del troyano se envía al usuario al que se va a atacar como
un archivo renombrado y con extensión doble. Por ejemplo, si el servidor del troyano se
llamase "[Link]", el atacante lo podría manipular fácilmente para que se llamase
"[Link]", en cuyo caso se vería en la PC tan sólo "[Link]". De esta forma, el usuario
atacado piensa que el archivo en cuestión es una foto, cuando en realidad es un
programa. Ahora solo hay que esperar a que el incauto abra la foto y el troyano se instale
en la PC. Con este método lo que observa el atacado es que le ha sido enviada una foto y
que, cuando intenta visualizarla, ésta no se ve. Lo cual es lógico porque el archivo no es
en realidad una foto. Este sistema suele venir acompañado de una técnica de ingeniería
social que suele diferir poco de este ejemplo resumido:

1. Vía IRC o ICQ, bien, se manda el troyano camuflado como un archivo con doble
extensión tipo [Link], pelí[Link], [Link], [Link],... etc, pudiendo
enviarse, por ejemplo, un archivo fotográfico con cualquier extensión conocida por
windows, tal que bmp, jpg, gif, ... Lo mismo sucede con los demás tipos de
archivos (sonidos wav, mid, mp3,... vídeos avi, mov, mpg,...). O simplemente se
envía un archivo tipo "[Link]" resultando que a simple vista aparezca
"[Link]".
2. El que ha recibido el archivo lo ejecuta y observa que el archivo en cuestión no
funciona, por lo que pide explicaciones a la persona que se lo ha mandado.
3. La persona que lo ha enviado se disculpa alegando un error en el envío, en la
transmisión, que se ha corrompido el archivo, que se ha comprimido mal,... y lo
vuelve a enviar. Esta vez, la foto, película, sonido, salvapantallas,... en cuestión sí
que funciona (el atacante envía esta vez el archivo real) por lo que el "pequeño"
problema en la ejecución del primer archivo recibido queda en el olvido del
atacado.
La segunda forma de enviar el troyano es más limpia que la primera, ya que el atacado no
nota nada raro. Este sistema consiste en adherir el troyano a un archivo real (hay
programas que hacen esto) de forma que se fundan dos archivos en uno sólo, sin
embargo, resultando los dos 100% operativos. El archivo resultante se llamará igual que
el archivo que no es el troyano (sería de tontos hacerlo al revés). De esta forma cuando el
atacado ejecuta el archivo en realidad ejecuta los dos a la vez, pero como el archivo que
sirve de "portador" del troyano es completamente funcional, el atacado no nota nada.

Un ejemplo práctico de este sistema. El atacante posee un archivo "[Link]" de

200KB y a él le une el "[Link]" del troyano de 100KB. El resultante es un archivo
"[Link]" de unos 300KB, que en realidad está formado por los otros dos archivos
anteriores. Partiendo del hecho que el archivo "[Link]" original es efectivamente un
sonido, cuando el atacado ejecute el "[Link]" de 300KB, portador de un troyano, se
oirá el sonido en cuestión, pero además se instalará el troyano (hecho que el atacado no
es consciente).

Una variante de este método, cada vez en mayor uso, es la inclusión del troyano en
archivos ejecutables de un supuesto desarrollo reciente. Se ha puesto de moda en foros,
chats, tablones de noticias,... la aparición de sujetos que dicen haber desarrollado
recientemente tal o cual programa, que siempre resulta muy apetecible, y pide a los
internautas que lo prueben para detectar posibles fallas en su funcionamiento, para lo cual
el sujeto en cuestión facilita la adquisición del programa, bien sea enviándolo chat o e-
mail, bien sea a través de una página web. Cuando los usuarios (normalmente un gran
número de ellos) se hacen de él y lo prueban, descubren que, o bien el programa no
funciona, o bien sus prestaciones son ridículas.

Este hecho se notifica al desarrollador del programa, que pide perdón y promete mejorar
el producto. A partir de entonces, ya no se vuelve a saber nada más este sujeto y un gran
número de PCs han sido infectados con un troyano (o con un virus).

Una variante de este sistema es la de adherir un troyano a una pequeña aplicación ya

existente y completamente funcional, que sea habitualmente muy solicitada por los
internautas. En este caso, la aplicación original puede perder sus propiedades resultando
que a la vista del atacado el programa no funcione. Este es el caso que se ha dado con
una herramienta de Micro Trend (desarrolladores del antivirus PC-cillin) especializada en
la eliminación del virus Nimda y que fue utilizada por algún desaprensivo para crear una
versión gemela que en realidad contenía un troyano. Por este motivo, la seguridad se une
a la recomendación de las más importantes casas expertas en seguridad de adquirir el
software vía internet desde páginas oficiales o, en su defecto, de sitios de reconocido
prestigio. Apurando mucho, incluso de personas de confianza, si bien esto no garantiza
que la fuente inicial del software haya sido una fuente confiable.

Otro método de envío de un troyano, mucho menos utilizado, consiste en hackear una PC
y por medio de recursos compartidos, meter el troyano en la PC atacada, esperando o
bien, que en un momento dado dicho archivo sea ejecutado por el usuario infectado o
bien instalarlo directamente. En el primer caso (activación por parte del infectado) queda a
la imaginación del atacante la forma, nombre del archivo y colocación en una u otra
carpeta de la PC atacada para asegurar la ejecución del troyano por parte del infectado.
Usualmente se procede a sustituir un archivo ejecutable de la PC atacada por el troyano
renombrado como aquél, esperando que tarde o temprano el usuario ejecute ese archivo.
En este caso, se notaría que esa aplicación (ahora troyano) que tantas veces se ha
ejecutado, misteriosamente ha dejado de funcionar.

Aunque es posible que la sustitución se haya realizado reemplazando el archivo original

por otro similar pero con el troyano adherido y, por lo tanto, por un archivo también
funcional. Esta técnica requiere de bastantes conocimientos de la computación por parte
del atacante, del conocimiento de la IP de la PC atacada por parte del agresor, del nivel
de privilegios que logre alcanzar y de una serie de características en la configuración de
dicha PC que la hacen bastante complicada de llevar a cabo si no se es un experto, por lo
que es un sistema relativamente poco utilizado, si se basa en las estadísticas.

Antivirus para los troyanos

Las soluciones: si se trata de un troyano conocido cualquier antivirus será capaz de

localizarlo, pero por si acaso, se explica la forma manual que es efectiva con casi todos
los troyanos: Hay que abrir el registro de Windows y para ello se va a Inicio/Ejecutar y se
teclea regedit. Una vez ejecutado se abren las siguientes ramas del registro
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion y se observan las
fichas : Run y RunServices, En ellas se encuentran todos los nombres y localizaciones de
los programas que se ejecutan al arrancar Windows y es probable que se tengan varias y
no por eso se tienen troyanos, solo se debe quitar el que se sepa seguro que es un
troyano, para ello se deben utilizar otros programas que se pueden encontrar por la red
como el The Cleaner o algunos parecidos que buscan en la computadora cientos de
troyanos y si encuentran alguno lo avisan, para deshacerse de ellos, fijándose en el
nombre del archivo que diga el programa y quitar esa llave del registro de Windows, de
esta forma ya no se ejecutará al arrancar pero seguirá teniendo el archivo servidor, para
eliminarlo debe hacerse desde MSDOS porque están preparados para que no se puedan
borrar.

Los síntomas: probablemente nadie necesita estar pasando el anti-troyanos cada

semana, pero lo que si conviene es saber algunas cosas para poder descubrir su
existencia. Estos programas solo pueden hacer que entre gente a la computadora
mientras se está conectado a Internet. Uno de los síntomas mas claros es la aparición de
ventanas con textos que no tienen razón de ser o la apertura y cierre del lector de CD, y
tener en cuenta que la persona que entra a la máquina controla mas cosas que como
usuario directo, puede abrir ventanas, abrir programas, formatear el disco duro, cortar la
conexión, incluso algunos troyanos permiten ver al usuario si se tiene una camara. Por
eso si se dan cuenta que de repente baja la velocidad de la conexión y aparecen
extraños mensajes en la pantalla, buscar a ver si se trata de un troyano y limpiarlo cuanto
antes.

Claro está que muchas de estas acciones pueden ser debidas a otros motivos (problemas
con la conexión de Internet, tareas trabajando en segundo plano, algún problema de
hardware o software,...) así que tampoco conviene ponerse nervioso y achacarlas a un
troyano directamente si algunas de ellas se muestran en la PC.

Básicamente la desinfección consiste en la eliminación física del troyano. Hay que

eliminar los archivos y/o carpetas que ha creado el troyano, sus entradas de registro y las
líneas añadidas en los archivos de sistema. Esta tarea la realizan los antivirus y
antitroyanos, ya sean genéricos o que estén especializados en un troyano en concreto.
Existen utilidades diseñadas para eliminar uno o unos pocos troyanos en concreto como
el Back Orifice, el NetBus, el SubSeven,... de la misma forma que existen utilidades para
la eliminación de un virus en concreto.

También es posible la eliminación de un troyano manualmente. No existe un método

genérico para hacerlo ya que cada troyano tiene algunas características propias. Sin
embargo se suelen seguir tres pasos en la eliminación manual de todo troyano:

1. Eliminación de las entradas de registro del troyano y líneas de comando en los

archivos de sistema.
2. Reinicialización del sistema.
3. Eliminación de ejecutables y librerías.

En las entradas de registro y archivos de sistema modificados por los troyanos se hace
referencia a todos los archivos pertenecientes al troyano, tanto el servidor como las
librerías dependientes de él y a sus ubicaciones en el disco duro de nuestro computadora.
Se recomienda realizar la limpieza del registro y arhivos de sistema (paso 1) tras
inicializar Windows en modo A PRUEBA DE FALLAS, de esta forma se limitará la carga
de programas en el proceso de arranque del sistema operativo. Tras la eliminación de
estos elementos y el reinicio del sistema (paso 2), que se aconseja se realice esta vez en
modo MS-DOS y evitar así la carga de windows y, por lo tanto, una posible activación del
troyano, se pasa a eliminar los archivos del troyano (paso 3), los cuales se deben
encontrar en las ubicaciones señaladas en el registro de Windows, por lo que se aconseja
haberlos copiado previamente en un papel ya que a veces las ubicaciones pueden llegar
a ser difíciles de recordar, e incluso podría resultar que el troyano constara de bastantes
archivos, resultando igualmente difícil memorizarlos.

¿Por qué hay que reiniciar la computadora antes de efectuar la eliminación del ejecutable
y las librerías? Pues porque si el troyano está activo, lo cual es normal al tratarse de un
programa residente en memoria, windows no permitirá su eliminación ya que avisará de
que es un programa actualmente en uso. Por lo cual primeramente habrá que desactivarlo
y después pasar a su eliminación.

Excepcionalmente la eliminación de un troyano puede resultar especialmente dificultoso

(como en algunos casos con el SubSeven) y es frecuente recurrir al uso del cliente del
propio troyano para lograr su eliminación, ya que una de las opciones que pueden
presentar los troyanos es la de auto eliminarse (remove). Lo normal es acudir a algún sitio
WEB y hacerse con las instrucciones de eliminación de tal o cual troyano en particular, o
usar un buscador Web para encontrar un manual apropiado (a veces no es suficiente).

Para algunos troyanos concretos existen herramientas que actúan sobre el servidor del
troyano que capacitan para enviar información falsa de la PC al cliente del troyano e
incluso obtener información de él, aprovechando un "agujero" en la capacidad de estos
troyanos de poder ser editados en line. Curiosa situación teniendo en cuenta que la
mayoría de los troyanos se aprovechan precisamente de agujeros de los sistemas. Alguna
otra herramienta permite supuestamente incluso convertir el cliente del troyano en
servidor y así poder contraatacar.

Ejemplo de eliminación manual de un troyano: Borrar el NetSphere, Ver, por ejemplo,

cómo se desinfecta el troyano NetSphere. Se debe conocer con anterioridad las
características propias de este troyano respecto a su integración en el sistema operativo.
Ver ahora cuales son:

Servidor por defecto: [Link], que se instala en windows/system

Entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Puertos por defecto: 30100, 30101 y 30102 con conexión TCP.

Se puede apreciar que éste es un troyano de instalación básica. Sólo tiene una entrada
de registro y no ha modificado archivos de sistema como el [Link], [Link], etc.
Además, tan sólo consta de un archivo ([Link]). No debería dar mayores
complicaciones. Ahora aplicar los tres pasos de la limpieza.

1. Eliminación de las entradas de registro del troyano.

Primero reiniciar el sistema en modo A PRUEBA DE FALLAS y se realizará la limpieza de

las entradas de registro que ha manipulado el troyano. En este caso se trata tan sólo de
una entrada de registro típica, la del campo RUN. Para ello abrir el Regedit de Windows
(inicio-ejecutar-regedit) y en el campo de la izquierda ir abriendo menús hasta situarse en
el lugar donde se instala este troyano:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Y se desplegarán en el campo de la derecha una serie de entradas de registro. Una de

ellas la ha metido el troyano para hacer referencia a su archivo servidor [Link]. Se
muestra además la ubicación de ese archivo en el disco duro:
(C\WINDOWS\system\[Link]). Seleccionar esa entrada de registro para situarse
encima de "[Link]" y se elimina, bien con la tecla SUPR, bien con la opción Edición-
eliminar.
 2. Reinicialización del sistema. Eliminada la entrada de registro, cerrar el Regedit
y se apaga la PC, pasando a reiniciarlo (en modo DOS para mayor precaución).

3. Eliminación del ejecutable (servidor del troyano).

Una vez reiniciado el sistema ir a Windows\system usando el comando "CD

c:\windows\system" y borrar el archivo [Link] usando el comando "del [Link]".

El troyano NetSphere ha sido eliminado del computadora.

Hay que apuntar que hay troyanos que tienen, entre muchas de sus habilidades, la de
impedir la inutilización del Regedit, por lo que si en alguna ocasión se encuentra en esta
circunstancia, podría tratarse de un troyano.

Gusanos.

¿Qué son los gusanos?

Un gusano es un programa que hace copia de si mismo, por ejemplo, de una unidad de
disco a otra y que puede enviar estas copias utilizando correos electrónicos o cualquier
otro mecanismo de transporte. Otras fuentes definen un gusano como un código maligno
cuya principal misión es reenviarse a si mismo. Por ello, los gusanos son códigos que, en
principio, no afectan la información de los sistemas que contagian, aunque si consumen
amplios recursos de los mismos y los utilizan como lanzaderas para infectar a otros
equipos. Son programas malignos que funcionan en los sistemas de computo y se
propagan rápidamente a través de las redes de comunicaciones. Estos códigos
ejecutables hacen gran uso de los recursos de la red, por lo que a veces provocan
bloqueos o descensos en su velocidad de funcionamiento.

Daños ocasionados por los Gusanos.

El mayor efecto de los actuales gusanos es su capacidad para saturar e incluso bloquear
por exceso de tráfico a los sitios Web. Incluso si están adecuadamente protegidos por un
antivirus actualizado. Y precisamente cuando tienen protección aumenta la sobrecarga,
debido a los procesos necesarios para analizar e intentar la eliminación de una cascada
de correos en los que se detecta la infección.

Salvo algunos sistemas especializados de protección, los antivirus convencionales

intentarán eliminar la parte virulenta y dejar el resto; que en general no es nada útil, sino
la simple pantalla bajo la que se oculta el gusano. Pero esto conlleva más trabajo que
simplemente eliminar un mensaje, cuya única "información" es… un gusano.

En caso de mensajes salientes, también algunos sistemas cuentan con optimización, ya

que son capaces de analizar y eliminar, o incluso destruir totalmente, un grupo de correos
de una sola operación. Así, por ejemplo, el clásico mensaje de gusano, que se envía a
toda la libreta de direcciones del sistema infectado, no necesitará ser procesado de forma
individual, tantas veces como remitentes, sino que será analizado una sola vez, detectado
como un envío múltiple y eliminado en su núcleo, en lugar de hacerlo sobre las copias
individuales.
El objetivo de los gusanos no es modificar otros programas o destruir información. Su
objetivo básico es reproducirse y alcanzar el máximo de distribución entre los equipos de
la red. Como máximo, los gusanos tienden a replicarse en tal medida que saturan los
recursos de las computadoras, provocando un ataque "por denegación de servicio (DoS) y
la caída del sistema. No obstante, algunos gusanos pueden incluir como parte de su
código algún virus informático, bomba lógica, troyano o puerta trasera, que actúe sobre
los equipos en los que se logren establecer.

Los gusanos y La Ingeniería Social.

En los últimos años los Gusanos informáticos han encabezado mes tras mes las listas de
los reportes de afectaciones por Programas Malignos y muestra de ello es la gráfica de
los más propagados durante el 2003 según la empresa antivirus británica SOPHOS.

Las estadísticas reportadas por la compañía MessgeLabs incluye a varios de ellos entre
los mas diseminados históricamente, los que a su vez forman el elenco de las cepas o
familias causantes de perdidas económicas por valores superiores al millar de millones de
dolares: Mydoom, Sobig, Netsky, Klez, Mimail, Letin, Swen, LoveLetter, Bugbear, Dumaru,
Code Red, Sircam, Melissa y ExplorerZip.

Estas cifras no son de extrañarse, si se tiene en cuenta que en promedio, la caída de una
red de PCs puede costar a una corporación unos 10 000 dólares o más por hora, mientras
que para las compañías financieras y de Comercio Electrónico estos miles pueden
convertirse fácilmente en millones.

Por su parte, la empresa Trend Micro estimó que los ataques por programas malignos
costaron 55 000 millones de dólares a nivel global en el 2003, cifra superior a los 30 000
millones del 2002 y los 13 000 millones del 2001. Por si fuera poco, MYDOOM.A,
reportado en el mes de enero del 2004, en pocos días se convirtió en el más dañino de
todos.

Las estadísticas también señalan que cerca del 99 % de los incidentes causados por
códigos maliciosos son originados por el usuario al ejecutar un archivo anexo a un
mensaje recibido por e-mail o al no tener actualizados los parches correspondientes a las
vulnerabilidades detectadas en el Sistema Operativo y las Aplicaciones que utiliza. Las
técnicas mas utilizadas por los creadores de gusanos, para lograr altos niveles de
propagación de sus engendros, son precisamente la explotación de esas vulnerabilidades
y lo que se ha dado en llamar Ingeniería Social, muy empleada en el caso de los que
viajan por medio del correo electrónico.

La ingeniería social no es más que la habilidad de aprovecharse del comportamiento

humano para abrir brechas de seguridad y lograr que la propia víctima sea la que actúe
aún cuando esté consciente del riesgo potencial de su acción. En el caso de los correos
electrónicos se manifiesta por medio de la creatividad en el uso del Asunto, Cuerpo del
mensaje, Nombre del Anexo y el Remitente, herramientas con que cuenta el creador para
timar al receptor. Luego solo queda esperar el resultado.

La mayoría de los escritos en idioma inglés. El LOVELETTER, técnicamente sencillo, tuvo

éxito a partir de la buena dosis de ingeniería social empleada, pues muchos usuarios no
pudieron evitar la tentación de abrir la "carta de amor" que prometió el nombre del anexo,
entre ellos no faltaron los administradores de redes de computadoras. Ni que decir de
KLEZ.H, SWEN.A y MIMAIL.A

El primero presentó al anexo como la solución técnica más efectiva para contrarrestar al
KLEZ.E, el segundo simuló ser enviado por varios servicios de Microsoft, como MS
Technical Assistance y Microsoft Internet Security Section e incluso existió una versión en
HTML que aparentó una página oficial de Microsoft y solicitó al usuario la instalación del
"importante parche" en el archivo adjunto. El último aparentó ser enviado por el
administrador de servicio de correo electrónico y orientó ejecutar el anexo para resolver el
problema de la expiración de la cuenta de correo, indicación contenida en el texto del
mensaje.

Anexos

Al fijarse en los Adjuntos, independientemente de los insinuantes nombres, se aprecia la

doble extensión, trampa utilizada para disfrazar la verdadera extensión ejecutable. La
primera de ellas, que no corresponde a un ejecutable, es la que el usuario considera
como válida, pero es la segunda la realmente peligrosa.

Es posible realizar una pequeña demostración con ayuda del explorador de Windows:
renombrar el archivo correspondiente a la Calculadora ([Link]), que se encuentra en la
carpeta Windows o de Sistema (Windows System o System 32, según la versión de
Sistema Operativo) como [Link]. Seguidamente dar doble clic sobre él y se verá que
se ejecuta, es decir, la doble extensión no afecta su comportamiento. Incluso en Windows
9x, por defecto, el explorador solo muestra el nombre y la primera extensión. Algunos
gusanos van más allá, pues la doble extensión se combina con caracteres en blanco,
ejemplo:

[Link] .pif y resulta más efectivo el engaño.

El creador de SIRCAM empleó un truco más sofisticado. Cuando el usuario receptor del
mensaje ejecutó el anexo, lo que observó en la pantalla fue la ventana correspondiente a
la aplicación que se encontraba enlazada al tipo de archivo correspondiente a la primera
de las extensiones. Por ejemplo, en el caso de un archivo .[Link] fue el Libro de Notas
([Link]), pues es la aplicación por defecto, relacionada implícitamente con los
archivos .txt. Lo que no supo el usuario fue que de manera oculta se ejecutó el código del
gusano. ¿Por qué sucedió así? Esto se debió a que el programa maligno, una vez
ejecutado en la PC, tomó un archivo del disco y lo adicionó a su código, es decir, creó un
único archivo que los contuvo a ambos y que anexó al mensaje por el creado: Esta unión
fue realizada de forma tal que al ser ejecutado el anexo, el gusano tomaba el control,
copiaba hacia el disco el archivo robado e intentaba su apertura. La divulgación del
contenido de este último lo convirtió en un peligro potencial para la confidencialidad de la
información almacenada en las PCs, pues esta pudo ser conocida por todas las personas
que ejecutaron el anexo.

Remitente

Otro detalle que no debe olvidarse por su importancia: los supuestos remitentes de los
mensajes se encuentran en la mayoría de los casos ajenos a esta situación. Los gusanos
una vez instalados en las PCs obtienen direcciones de correo de las libretas de
direcciones y otros archivos en los discos: *.WAB, *.DBX, *HTM, *.HTML, *.EML, *.TXT,
con dos fines fundamentales, uno, utilizarlas como direcciones de destino y el otro como
direcciones de origen.

Sobran los ejemplos de mensajes portadores de gusanos que son recibidos desde
personas conocidas. El NAVIDAD.B o EMMANUEL, muy "popular" hace unos años, tuvo
la osadía de responder a mensajes no leídos de la Bandeja de Entrada, (Inbox) de los
clientes de correo, que contenía anexos, utilizando como dirección de destino aquellas
que venían en el propio mensaje, mientras que mantuvo el Asunto y Cuerpo. Engaño
total, pues los receptores ejecutaron con confianza el anexo recibido.

Sin embargo, existen otras variantes muy exitosas y es la de los "remitentes reconocidos".
Este método fue visto inicialmente en el año 1999, a partir de los mensajes creados y
enviados por el FIX 2001. En este caso el receptor recibió un mensaje con el mismo
dominio de su cuenta de correo y la cadena "Admin." Delante del carácter "[arroba]". Por
ejemplo, si el gusano instalado en una PC, detectaba en un mensaje que era enviado a
xx@.[Link], creaba otro con dirección de origen Admin@.[Link] el texto hacíá
referencia al anexo y lo enviaba al destinatario. Del otro lado, el usuario xx recibía el
mensaje, supuestamente del administrador de la red de la empresa y no dudaba en darle
el control al adjunto. SWEN. Es un ejemplo más actualizado.

Unido a los ardides antes expuestos, varios de ellos aprovecharon la oportunidad de

propagarse por las redes, fundamentalmente a archivos compartidos, pues sus creadores
conocen que hay usuarios tan confiados que comparten discos enteros con todos los
permisos. Aquí se cumple que aunque se sea un usuario celoso en el uso de las medidas
de seguridad para trabajar con el correo, pero comete el error de compartir archivos con
derechos de escritura, y otro compañero del centro de trabajo ejecuta un adjunto con el
gusano, la PC también puede ser afectada.

Además, gusanos como el KLEZ y BUGBEAR, también se valen de una vulnerabilidad "I-
Frame" de los clientes de correo Outlook Express y Microsoft Outlook para ejecutar sus
códigos cuando los mensajes son abiertos, es decir, no necesitan que el usuario ejecute
el anexo, por lo que aquellos que tengan actividad la Vista Previa estarán expuestos a
sufrir este problema. Su efectividad está más que demostrada…ocho de los 10 gusanos
más reportados en el 2003 y el 100% de los más propagados en la historia, la utilizaron.
Indudablemente y no hay casualidad.

Medidas a tomar para contrarrestarlos.

1. No ejecutar anexos que no se hayan solicitado, sin previa comprobación

con el remitente.
2. En el caso de necesitar enviar un anexo, una vez revisado con un antivirus
actualizado, especificar características como nombre, extensión y tamaño.
3. Desactivar la opción Vista Previa en el cliente de correo. Por ejemplo, en
Outlook Express 6 seleccione la opción Ver del menú principal,
seguidamente Diseño y dentro de la ventana Propiedades de distribución
de ventanas desactivar la opción Mostrar panel de vista previa.
Es posible leer el contenido del mensaje sin abrirlo, siempre que la opción Vista Previa
esté deshabilitada.

4. Evitar el envío de mensajes con formato HTML, no solo porque dsiminuye

en tamaño algo que ayuda en la economía, sino por evitar el envío de
códigos maliciosos.
5. Solicitar a los remitentes que envíen los mensajes en texto normal, plano ó
claro siempre que sea posible.
6. Activar las protecciones estándar del cliente de correo.
7. Activar las protecciones estándar del navegador de Internet.
En la actualidad los creadores de estos programas dedican tiempo a la ingeniería social,
no por gusto les dan tanta importancia, y ejemplo de ello es el hecho de que conociendo
que en la actualidad los administradores de redes han establecido como política no
permitir la entrada de mensajes con anexos ejecutables en una empresa, aunque si
archivos comprimidos. ZIP, las nuevas variantes de gusanos se están transmitiendo en
anexos de este tipo y logra éxito, de lo que son las familias MYDOOM, MYDOOWN o
NETSKY y BAGLE buenos ejemplos. Y esto es posible a pesar de que los usuarios tienen
que descomprimir los anexos para ejecutar su contenido.

Utilizar de manera segura los servicios que brinda la tecnología disponible, es la mejor
opción, pero consiente de que el punto mas vulnerable de un sistema de seguridad es
precisamente el factor humano.

Propagación de los Gusanos.

A diferencia de la mayoría de los virus, los gusanos se propagan por sí mismos, sin
modificar u ocultarse bajo otros programas. Así mismo, y por su propia definición, no
destruyen información, al menos de forma directa. Aunque, estas definiciones se aplican a
los gusanos como tales; algunos códigos de malware son principalmente gusanos, pero
pueden contener otras propiedades características de los virus. El mayor efecto de los
actuales gusanos es su capacidad para saturar e incluso bloquear por exceso de tráfico a
los sitios Web. Incluso si están adecuadamente protegidos por un antivirus actualizado. Y
precisamente cuando tienen protección aumenta la sobrecarga, debido a los procesos
necesarios para analizar e intentar la eliminación de una cascada de correos en los que
se detecta la infección.
La gran capacidad de propagación de este tipo de código malicioso y, por otra, la gran
facilidad con que pueden ser creados. De hecho, hasta hace poco tiempo, proliferaban en
Internet varias herramientas que permitían confeccionar un código malicioso de este tipo
sin necesidad de tener amplios conocimiento en cuanto a técnicas de propagación.
Precisamente, utilizando una de esas herramientas un adolescente holandés creó el
gusano Kournikova que provocó una de las mayores epidemias conocidas hasta ahora.
La mayoría de los gusanos informáticos se propagan utilizando el correo electrónico. Lo
más habitual es que lleguen incluidos en un archivo adjunto a un correo electrónicol. Si el
usuario ejecuta dicho archivo, el gusano se envía a los contactos que se encuentran
almacenados en la libreta de direcciones del cliente de correo electrónico o a direcciones
que pueda encontrar en otras aplicaciones o archivos. Sin embargo, a medida que los
usuarios se han ido familiarizando con esta manera de proceder, cada vez se hace más
difícil conseguir que el virus se propague de forma masiva. Por ello, los creadores de virus
han ido introduciendo modificaciones encaminadas a conseguir esto último. Como
resultado, en el momento actual pueden distinguirse varios tipos de gusanos atendiendo a
su forma de propagación:

Gusanos que utilizan la "Ingeniería Social" o técnicas que tratan de engañar al usuario
para conseguir que ejecuten el archivo que contiene el código malicioso. Sin duda,
LoveLetter es el mejor representante de este tipo de virus que, con una frase tan simple
como "I Love You", fue capaz de atacar cientos de miles de computadoraes de todo el
mundo. Se trata de una técnica muy utilizada, ya que, por desgracia, aun se muestra muy
efectiva.

Gusanos que se envían utilizando su propio motor SMTP. Esto permite que el código
malicioso pueda reenviarse de forma oculta para el usuario y sin dejar rastros de sus
acciones. Pueden emplear tanto el servidor SMTP que el propietario del equipo utilice
habitualmente como alguno predeterminado por el creador del gusano. Como ejemplo de
este tipo de virus se encuentra Lentin.L que, sin depender del cliente de correo, se envía
a todas las entradas de la libreta de direcciones de Windows, MSN Messenger, .NET
Messenger, Yahoo Pager, y a las direcciones de correo que localiza en el interior de todos
los archivos con extensión HTM que se encuentren en el equipo.

Gusanos que aprovechan vulnerabilidades del software de uso habitual. Están

diseñados para utilizar agujeros de seguridad descubiertos en programas cuya utilización
se encuentre muy extendida, tales como clientes de correo electrónico, navegadores de
Internet, etc. De esta manera, pueden realizar acciones muy diversas, si bien la más
peligrosa es la posibilidad de ejecutarse de forma automática.

En este caso podrían citarse a los gusanos Nimda y Klez.I, los cuales aprovechan una
vulnerabilidad del navegador Internet Explorer para auto ejecutarse simplemente con la
vista previa del mensaje de correo electrónico en el que llegan al equipo. Otros gusanos
pueden utilizar vulnerabilidades en servidores. Así, CodeRed, ataca servidores IIS
mientras que Slammer hace lo propio con servidores SQL.

Los gusanos suelen propagarse por sí mismos, sin modificar u ocultarse bajo otros
programas. Por ende, no destruyen información, al menos de forma directa. Pero claro,
esto solamente se aplica a los gusanos como tales; algunos códigos de malware
(programas o códigos dañinos, ya sea por destrucción de datos o por consumir recursos
del sistema) son principalmente gusanos, pero pueden contener otras propiedades
características de los virus.

Los gusanos, o worms, son programas independientes capaces de auto replicarse. Los
gusanos se desarrollan y actúan en entornos de red, y se dedican a reproducirse y viajar
entre las distintos equipos y su nombre probablemente provenga del hecho de que "se
arrastran" por la red viajando de una computadora a otra.

Al contrario de lo que ocurre con los virus informáticos (en el sentido estricto, son
programas que tienen la capacidad de copiarse a sí mismos y de modificar el código de
programas para infectarlos), los gusanos son programas completos que pueden funcionar
por sí solos, y que por tanto no necesitan afectar el código de otros programas para
replicarse y, su presencia y permanencia se basa normalmente en errores (fallas) o
debilidades (vulnerabilidades) de los protocolos de red o de los programas incluidos en los
sistemas operativos que los utilizan. Es decir, los gusanos tienen por finalidad copiarse
así mismos tantas veces hasta saturar la memoria del sistema.

El objetivo de los gusanos no es modificar otros programas o destruir información. Su

objetivo básico es reproducirse y alcanzar el máximo de distribución entre los equipos de
la red. Como máximo, los gusanos tienden a replicarse en tal medida que saturan los
recursos de las computadoras, provocando un ataque "por denegación de servicio (caída
del sistema)". No obstante, algunos gusanos pueden incluir como parte de su código
algún virus informático, bomba lógica, troyano o puerta trasera, que actúe sobre los
equipos en los que se logren establecer.

Los Gusanos o Worms se difunden a través de programas de gestión de correo

electrónico como el Outlook u Outlook Express, o aplicaciones de "Chat" como el IRC o el
ICQ y, su denominación tiene su origen en una novela de ciencia-ficción (The Shockwave
Rider – John Brunner, 1975), en la que el protagonista se enfrenta al totalitarismo
introduciendo en su red de comunicaciones un programa llamado tapeworm. Esta obra en
sí, hace referencia a programas capaces de viajar por sí mismos a través de redes de
cómputo para realizar cualquier actividad una vez alcanzada una máquina; aunque esta
actividad no tiene porqué entrañar peligro, los gusanos pueden instalar en el sistema
alcanzado algún tipo de código maligno, atacar a este sistema como haría un intruso
(hacking), o simplemente consumir excesivas cantidades de ancho de banda en la red
afectada.

Varios tipos de gusanos y su forma de propagación:

1.- Gusanos de correo electrónico: Suelen propagarse a través de los mensajes

valiéndose de la utilización de ciertos programas clientes, reenviándose automáticamente
a los contactos de la libreta de direcciones. Algunos de los gusanos más recientes
(SirCam, Nimda, Klez, BugBear), pueden incluso, llegar a enviarse a cualquier dirección
de correo que encuentren en caché, con lo cual, si en una página visitada se ha incluido
una dirección de correo, puede ser utilizada por el gusano, al tener éste la capacidad de
rastrearlas.

2.- Gusanos de IRC: Estos se propagan a través de canales de IRC (Chat), empleando
habitualmente para ello al mIRC y al Pirch. En este apartado cabe recomendar tener
precaución con las transferencias que uno acepte.
3.- Gusanos de VBS (Visual Basic Script): Son gusanos escritos o creados en Visual
Basic Script y para su prevención es importante considerar la sugerencia de hacer visibles
todas las extensiones en nuestro sistema (para poder identificar y rechazar los archivos
que vengan con doble extensión, como es el caso de anexos de correos infectados por
SirCam).

4.- Gusanos de Windows 32: Son Gusanos que se propagan a través de las API
(Application Programming Interface) de Windows, las cuales son funciones pertenecientes
a un determinado protocolo de Internet. Las API corresponden al método específico
prescrito por un sistema operativo o por cualquier otra aplicación de aplicación mediante
el cual un programador que escribe una aplicación puede hacer solicitudes al sistema
operativo o a otra aplicación.

Finalmente, cabe mencionar que gusanos como el Nimda, tienen capacidad para colocar
su código en una página Web, propagando la infección con el simple hecho de que uno la
visite sin la protección adecuada (un buen antivirus bien configurado y debidamente
actualizado). Para que esto sea factible, este gusano aprovecha una falla de seguridad
del navegador Internet Explorer (misma que ya ha sido resuelta por Microsoft), en sus
versiones anteriores, lo cual le permite accionarse automáticamente al entrar a la página
infectada o al ver el mensaje de correo.

Principales antivirus de los Gusanos.

Es necesario tomar medidas de Seguridad Informática y que los usuarios conozcan del
problema.

No ejecutar anexos, que no se hayan solicitado, sin previa comprobación con el remitente.
En el caso de que se necesite enviar un anexo, una vez que se haya revisado con un
antivirus actualizado, especificar características como nombre, extensión y tamaño.
Desactivar la opción de "Vista previa" en el cliente de correo electrónico.
Es posible leer el contenido del mensaje sin abrirlo, siempre que la opción de "Vista
previa" esté deshabilitada.

Evitar el envío de mensajes con formato de HTML, no solo porque el mensaje disminuye
en tamaño, algo que ayuda a la economía, sino porque se evita el envío de código
malicioso. Hacerlo en texto plano. Solicite a los remitentes que envíen los mensajes en
texto plano, siempre que sea posible.

Activar las protecciones estándar del cliente de correo.

Activar las protecciones estándar del navegador de Internet.

Activar las protecciones estándares del MS-Office.

Revisar vulnerabilidades e instalar, siempre que sea posible, los parches de seguridad
correspondientes.

Utilizar filtros de correo electrónico, que no sólo revisan los correos buscando códigos
malignos sino que posibilitan establecer políticas de seguridad por las características de
los mensajes. Se ha convertido en un problema el envío de advertencias, que realizan los
filtros de correo a los supuestos emisores de códigos malignos, así como a
los receptores, creando confusión en los primeros, porque generalmente sus PCs no se
encuentran comprometidas. Es preferible no activar esta opción y en el caso de las
empresas, las advertencias deben ser enviadas al Responsable de Seguridad Informática
y/o al administrador de la red.

No bajar la guardia, en la actualidad los creadores de estos programas dedican tiempo a

la ingeniería social y no por gusto le dan tanta importancia.

Por lo tanto, no dejarse engañar, utilizar de manera segura los servicios que brinda la
tecnología disponible, pero estar conscientes de que el punto más vulnerable en un
sistema de seguridad es precisamente el factor humano y es ahí hacia donde se dirige
este ataque.

A la hora de los gusanos atacar una PC, como se produce esa afectación, es deci,r
como se evidencia que se infectó la máquina.

Esto es un poco más complicado. Los que se envían por correo alteran registros del
Sistema para ejecutar los archivos que copian en el disco, generalmente una imagen del
propio gusano, y así garantizar su ejecución cada vez que el Sistema se inicie.
Es decir, se va a ver nuevos archivos en el disco, modificaciones en los registros y
procesos desconocidos ejecutando en memoria.

En muchas ocasiones, dado que intentan el envío masivo de mensajes, el administrador

de correo puede detectar el envío desmedido de mensajes desde su PC.
Puede ser que el gusano presente errores en su código que provoquen que la PC trabaje
más lentamente o se bloquee. En ocasiones colocan mensajes en pantalla, pero no es lo
normal porque la idea es pasar inadvertidos.

De los internacionales el Kaspersky Antivirus es para muchos el mejor. Algunos lo vienen

siguiendo desde 1989 o 1990 aproximadamente. Es el que más formato de archivos
reconoce, por lo que en ocasiones se considera más lento. Además, es en muchas
ocasiones el primero en detectar nuevas técnicas de propagación, incluso es el mas
reconocido por los creadores de programas malignos. En general, se utilizan bastante el
Norton Antivirus, el de McAfee y algunos el Panda, que es español.

El virus Netsky apareció por primera vez en febrero y con el correr del tiempo sufrió al
menos 30 mutaciones. La versión Netsky-P fue vista por primera vez hace algunos años.
Según los expertos de Sophos, el hecho de que los virus Netsky y Safi-B tengan varios
meses de existencia y aún continúen infectando máquinas indica la falta de prevención,
en especial de los usuarios finales.

Para Sophos, la distribución masiva que siguen teniendo estos códigos maliciosos
demuestran que existe una gran proporción de usuarios que no se molestan en actualizar
su antivirus periódicamente.
Curiosamente, dos de los tres virus más difundidos del año de 2004, Netsky y Sasser,
fueron creados por una misma persona, Svan Jaschan. El joven alemán está en custodia
de la policía de su país, siendo llevado a juicio a principios de 2005. Paradójicamente,
aunque su autor este detenido, los códigos que escribió siguen siendo los que más
circulan por Internet, aún 8 meses después de haber sido reportados.

Sophos espera que el número de virus se mantenga relativamente estable, aunque es

probable que los creadores de códigos maliciosos desarrollen nuevas tácticas para
obtener réditos económicos de sus "criaturas". Los expertos confían que esta ambición de
ganancias hará que cada vez más se tienda a juzgar y encarcelar a los autores de virus
en diversas partes del mundo. Como era previsible, los 10 códigos maliciosos más
difundidos atacan exclusivamente a los usuarios de Windows. El trabajo de Sophos prevé
que esta tendencia no cambiará.

Por otro lado, el informe anual de la empresa cubre otros incidentes relacionados con la
seguridad. Por ejemplo, Sophos advierte sobre la profundización del phishing, y sobre la
aparición de nuevas técnicas en este sentido. En especial, alerta sobre un nuevo tipo de
phishing que no está basado en cartas engañosas, sino en troyanos que se instalan en la
PC y recogen la información de las transacciones electrónicas.

Finalmente, sobre el tema del spam, el informe concluye que los arrestos de spammers
alrededor del mundo son importantes, aunque considera que –lejos de disminuir- el
problema tenderá a aumentar.

El uso de nombres de personajes conocidos es un recurso muy empleado por autores de

virus para difundir sus creaciones.

Aprovechando el impacto mundial provocado por la agonía y muerte del dirigente

palestino Yasser Arafat, un gusano informático circuló por la red en correos electrónicos
masivos que llevan como asunto la inquietante frase "Latest News about Arafat"
(Últimas noticias sobre Arafat). Dicho correo adjunta dos archivos. Uno de ellos es un
archivo auténtico de imagen mostrando una escena de los funerales del político
recientemente fallecido. Sin embargo, el otro archivo contiene un código diseñado para
aprovechar una vulnerabilidad del navegador Internet Explorer. A través de esta, se
instala automáticamente en el equipo el gusano Aler. A

Asimismo se han detectado mensajes en algunos grupos que anuncian noticias como la
captura del terrorista Bin Laden (¨Osama Bin Ladin was found hanged¨), ¨Osama Bin
Ladin fue encontrado ahorcado¨, el supuesto suicidio de Arnold Schwarzenegger o la
aparición de fotografías íntimas del futbolista David Beckham.

Estos mensajes suelen incluir enlaces desde los que supuestamente se pueden
descargar archivos con información sobre dichos sucesos que, en realidad, contienen
algún tipo de virus.

En estos casos, sin embargo, no se trata de mensajes generados por el propio gusano,
sino por el propio usuario malicioso. El peligro de esta táctica se debe a que, de esta
manera, puede propagarse todo tipo de malware, desde gusanos hasta virus altamente
destructivos, pasando por spyware, dialers, etc.
Según los expertos, todos estos son ejemplos de las llamadas técnicas de ¨Ingeniería
Social¨ para propagar los virus informáticos, y que básicamente consiste en introducir un
texto en el cuerpo del correo electrónico, afirmando que el archivo que se acaba de
recibir contiene algo atractivo, como puede ser una aplicación, fotografías, etc. En el caso
de que dicho texto consiga engañar al usuario, éste lo ejecutará de forma que el virus se
instalará en el sistema y realizará sus acciones maliciosas.

Según el gerente general de Panda Software-Chile, Luis Valenzuela, la elección del

nombre a utilizar depende, principalmente, de la actualidad informativa para lograr un
mayor efecto. Y recordar que uno de los virus que más rápida y masivamente consiguió
propagarse fue SST, conocido popularmente como Kournikova. Como reclamo, los
correos electrónicos en que este gusano llegaba a las computadoras afirmaban contener
fotos muy sugerentes de la popular jugadora de [Link]én artistas de moda, como
Jennifer López, Shakira o Britney Spears, han servido como reclamo de virus informáticos
como [Link]. MyLife.M o Chick.

Los nombres de los famosos no solamente son utilizados por códigos maliciosos que se
propagan por correo electrónico, sino también, en muchas ocasiones, por otros diseñados
para distribuirse a través de redes de intercambio de archivos P2P (peer to peer-punto a
punto), como Kazaa. Para ello, suelen realizar un gran número de copias de sí mismos,
en los directorios donde se almacenan los archivos compartidos que usan este tipo de
aplicaciones, con nombres que simulan videos musicales o pornográficos relacionados
con algún personaje de moda. Según Valenzuela ¨lo más conveniente es estar siempre en
guardia con este tipo de mensajes, sea cual sea su procedencia o contenido, ya que lo
más probable es que lo que se tenga enfrente sea un virus informático.

TAREA.
Investigar sobre nuevos virus como los mencionados arriba y
las características actuales. Buscar, por ejemplo, en la empresa
Sophos y ver actualidades y estadísticas.