Virus - Parte 1

1. Que son y qué hacer ante ellos?

Desde hace algunos años los virus son la mayor amenaza para los sistemas informáticos y la principal causa de pérdidas económicas en las empresas. Vale subrayar la importancia de evitar el pánico y de entender que los virus son controlables, y que es posible hacer que nuestra computadora nunca sufra una infección grave. Por este motivo el Departamento de Investigaciones del Instituto Argentino de Computación (IAC) les brinda información para conocer como se originan los virus, qué daño puede producir en nuestra computadora, y como solucionarlo.
Los primeros virus informáticos que alcanzaron un gran nivel de dispersión aparecieron durante la década del 80. Cuando todo esto empezó, quienes escribían aquellos primeros virus eran programadores expertos, que conocían en profundidad lenguajes de programación de bajo nivel como el Assembler y la arquitectura de los procesadores. La poca disponibilidad de memoria y la velocidad de procesamiento de la época exigía programas muy eficientes para poderse ocultar en ese contexto. Hoy en día, se necesitan muchos menos conocimientos para escribir un virus, se pueden generar con cualquier herramienta de programación sencilla, como las incluidas en el Word o el Excel. Además, se cuenta con la ayuda de los más de 35000 web sites de hacking que existen en Internet.

Otro punto que ha potenciado el avance de los virus es su forma de infección, ya que en un principio su dispersión se realizaba por medio del intercambio de disquetes u otros medios físicos, pero hoy en día gracias a Internet, un virus recién desarrollado en Japón puede infectar miles de computadoras en todo el mundo en cuestión de segundos.

2. ¿Qué daño puede hacer un virus a mi sistema?

* Software
o Modificación de programas para que dejen de funcionar
o Modificación de programas para que funcionen erróneamente
o Modificación sobre los datos
o Eliminación de programas y/o datos
o Acabar con el espacio libre en el disco rígido
o Hacer que el sistema funcione mas lentamente
o Robo de información confidencial
* Hardware
o Borrado del BIOS
o Quemado del procesador por falsa información del sensor de temperatura
o Rotura del disco rígido al hacerlo leer repetidamente sectores específicos que fuercen su funcionamiento mecánico

¿Cómo se propagan los virus?

* Disquetes u otro medio de almacenamiento removible
* Software pirata en disquetes o CDs
* Redes de computadoras
* Mensajes de correo electrónico
* Software bajado de Internet
* Discos de demostración y pruebas gratuitos

Síntomas que indican la presencia de Virus....

* Cambios en la longitud de los programas
* Cambios en la fecha y/u hora de los archivos
* Retardos al cargar un programa
* Operación más lenta del sistema
* Reducción de la capacidad en memoria y/o disco rígido
* Sectores defectuosos en los disquetes
* Mensajes de error inusuales
* Actividad extraña en la pantalla
* Fallas en la ejecución de los programas
* Fallas al bootear el equipo
* Escrituras fuera de tiempo en el disco

3. Tipos de Virus de Computación por su destino de infección

Infectores de archivos ejecutables

o Afectan archivos de extensión EXE, COM, BAT, SYS, PIF, DLL, DRV
o Infectores directos

El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas)

Infectores residentes en memoria
El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción

Infectores del sector de arranque
Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en la PC. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar la PC con un disquete que contenga solo datos.....

Macrovirus
Son los virus mas populares de la actualidad. No se transmiten a través de archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro...
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-mails, etc.

De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio web, etc.

De HTML
Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una página web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.

Trojanos/Worms
Los troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de autorreproducción, sino que generalmente son diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusión del virus. (Generalmente son enviados por e-mail)

4. Tipos de Virus de Computación por sus acciones y/o modo de activación

Bombas
Se denominan así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo. (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso, etc.

Camaleones
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.

Reproductores
Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.

Gusanos (Worms)
Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de PC a PC, sin dañar necesariamente el hardware o el software de los sistemas que visitan.
La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso.

Backdoors
Son también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente la PC infectada. Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo vé en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la PC infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....