Sistemas Operativos

UN POCO DE HISTORIA...

El primer virus fue creado como parte de una tesis doctoral de un ingeniero electrónico. Luego una competencia de estudiantes cuyo objetivo fue crear un programa que consumiera la memoria del computador para convertirse en el ganador, también crearon nuevos programas del tipo virus.

En la década de los 80' y hasta mediados de los 90' los virus se propagaban por medio de los disquete, ya que era la forma de intercambiar información. Los virus de arranque como el Michelangelo, que apareció en en Asia en 1991, infectaban las computadoras mediante la lectura de un disquete infectado. El Michelangelo tardó 2 años en llegar a América.

En la actualidad Internet se ha convertido en la autopista de la información y en el principal medio de propagación de la nueva generación de virus.

En 1999 en virus Melissa provocó pérdidas por más de 80 millones de dólares y en el 2000 el famoso virus I Love You, afectó a miles de computadoras en todo el mundo, provocando pérdidas por más de 15 mil millones de dólares. su difusión fue masiva gracias a Internet y el correo electrónico.

En el 2001, el virus Kournikova tardó sólo dos horas para dar la vuelta al mundo por medio del correo electrónico.

Con el auge de Internet los virus a progagarse a velocidades increibles, siendo el correo electrónico la forma más utilizada para propagar virus.

Miles de archivos infectados con virus viajan a través de Internet en todo momento, principalmente por emails dentro de los archivos adjuntos o anexados (attached).

Mientras que para un usuario de Pc doméstico, una infección infección puede causarle desde un dolor de cabeza hasta perder la información de su Pc; para las grandes empresas y organismos estatales, el ataque de un virus puede causar pérdidas millonarias.

DAÑOS QUE OCACIONAN

Salvo los códigos que expertos denominan JOKER a los virus que sólo son burlas o chistes, los virus por lo general sólo tienen una finalidad: provocar daños o alteraciones en los sistemas.

Los otros objetivos comunes de los virus:

- áreas vitales del sistema: la memoria, el sector de arranque (boot sector), la Tabla de Particiones o el sector absoluto del disco llamado Master Boot Record (MBR).

- archivos ejecutables de aplicaciones: con extensión .EXE o .COM, y se podrían incluir las librerías de windows .DLL

- archivos de datos: son los que crea el usuario usando las aplicaciones.

Dependiendo del tipo de virus, un software antivirus puede reparar y reconstruir los archivos y áreas afectadas del sistema. Algunos virus por su accionar no pueden ser removidos de los archivos infectados o sus daños no pueden recuperarse.

No existe algún código de virus que sea capaz de dañar el Hardware de la computadora! Salvo producir desgaste del disco duro por revoluciones innecesarias.

________________________________________________________________________________________________

¿Qué es exactamente un virus informático?
Definiciones hay tantas como preguntas sin respuesta exacta. Veamos, pues, si cabe la posibilidad de concretar algunos requisitos que cumplen estos agentes víricos:

* Son programas de computadora.
* Su principal cualidad es la de poder autorreplicarse.
* Intentan ocultar su presencia hasta el momento de la explosión.
* Producen efectos dañinos en el "huésped".

Si exceptuamos el primer punto, los restantes podrían aplicarse también a alos virus biológicos. El parecido entre biología y tecnología puede llegar a ser en ocasiones ciertamente abrumador. Como el cuerpo humano, el computadora puede ser atacado por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar daños irreparables en ciertas ocasiones. En estas páginas usaré comúnmente términos biológicos. Esto es debido a que pienso que , realmente, los virus informáticos son auténticas imitaciones de sus hermanos biológicos. Así pues usaré palabras como "explosión", "huésped", "peligrosidad tecnológica o tecnopeligrosidad", "zona caliente", etc... para explicar términos completamente informáticos.

Un virus es un agente peligroso que hay que manejar con sumo cuidado. La "contención" es la primera regla de oro. Desarrollemos un poco los puntos expuestos antes:

Un virus informático es un programa de computadora, tal y como podría ser un procesador de textos, una hoja de cálculo o un juego. Obviamente ahí termina todo su parecido con estos típicos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus informático ocupa una cantidad mínima de espacio en disco ( el tamaño es vital para poder pasar desapercibido ), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de sí mismo e infecta archivos, tablas de partición o sectores de arranque de los discos duros y disquetes para poder expandirse lo más rápidamente posible. Ya se ha dicho antes que los virus informáticos guardan cierto parecido con los biológicos y es que mientras los segundos infectan células para poder replicarse los primeros usan archivos para la misma función. En ciertos aspectos es una especie de "burla tecnológica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo más desapercibido que puede, intenta evitar que el "huésped" se dé cuenta de su presencia... hasta que llega el momento de la "explosión". Es el momento culminante que marca el final de la infección y cuando llega suele venir acompañado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el daño se ha estado ejerciendo durante todo el proceso de infección, ya que el virus ha estado ocupando memoria en el computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado.

* Programación y desarrollo
* Expansión
* Actuación
* Extinción o mutación ( en este último caso el ciclo se repite )

Virii: Con este término se hace referencia al estudio y desarrollo de virus informáticos. Tras esta palabra se esconde toda una filosofía informática. En Internet podemos encontrar cientos de páginas que tratan el tema, y tras ellas importantes desarrolladores de virus, en algunos casos organizados en grupos con nombres como 29A , La Vieja Guardia, ... En la cabecera de algunas de estas páginas podemos encontrar un mensaje como "Los autores no se responsabilizan del contenido de estas páginas"... o " solo con fines educativos"... pero cuando damos una vuelta por ellas podemos encontrar código destructivo de lo más variado, incluso ponen a disposición de incautos programas ejecutables infectados. También podemos encontrar herramientas de generación de virus tales como el Virus Creation Lab, Trojan Horse, ... Estos grupos se mueven a sus anchas por Internet, participando en los grupos de noticias ( ej.: es.comp.virus ) y en los canales de IRC.
Las páginas de "La Vieja Guardia" son un ejemplo de las muchas relacionadas con el Underground, un tema que está gozando de un gran auge en Internet.

Es justo reconocer que estos grupos hacen casi más que nadie en la lucha contra los virus informáticos, aunque esto pueda parecer una contradicción. Ciertamente podemos hacer distinciones entre desarrolladores de virus. En su inmensa mayoría son personas que intentan superarse a sí mismas creando virus cada vez más complicados, pero cuando alguien necesita ayuda para desinfectar ese virus puede encontrarse con que el propio programador le responda en algún grupo de noticias diciéndole lo que tiene que hacer o que antivirus le recomienda. ( Ciertamente hacen un doble juego ).
Normalmente el buen desarrollador de virus maneja con gran perfección el lenguaje ensamblador, aunque un virus puede desarrollarse también en lenguajes de alto nivel. Se pueden encontrar incluso aplicaciones destinadas a usuarios con pocos conocimientos de programación para la creación de virus tales como el Virus Construction Lab, Nowhere Utilities, Vc2000, nada que ver con el Turbo Assembler.

"Peligro Biológico":
Los trabajadores de hospitales, laboratorios e industrias farmacológicas saben muy bien lo que significa la "flor de biopeligrosidad"... la gente que trabaja con computadoras no sabe en la mayoría de las ocasiones lo que implica el término "Virus Informático".

¿ Por que se hace un virus ?
La gran mayoría de los creadores de virus lo ven como un hobby, aunque también otros usan los virus como un medio de propaganda o difusión de sus quejas o ideas radicales, como por ejemplo el virus Telefónica, que emitía un mensaje de protesta contra las tarifas de esta compañía a la vez que reclamaba un mejor servicio, o el famosísimo Silvia que sacaba por pantalla la dirección de una chica que al parecer no tuvo una buena relación con el programador del virus.

En otras ocasiones es el orgullo, o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez más destructivos y difíciles de controlar. Pero que afourtunadamente se estan desarrollando mejores antivirus.

esta información fue sacada de http://www.geocities.com/ogmg.rm/QueSon.html
_______________________________________________________________________________________________

¿Cómo se que tengo un virus?: es posible sospechar sobre la existencia de un virus en nuestro ordenador, pero sólo tendremos la certeza completa cuando lo detectemos utilizando alguna herramienta antivirus (programas que detectan y eliminan virus). Alguna de las acciones que puede llevar a cabo un virus es lo suficientemente representativa como para ser conscientes de ello: se muestran mensajes en pantalla, se ralentiza el trabajo, cambian las características de algunos archivos, desaparecen archivos y/o carpetas, el ordenador no arranca, se pierde todo el contenido del disco infectado,... etc.

En ocasiones (cada vez más) los virus llegan incluidos en mensajes de correo electrónico, por lo que es importante eliminar todos aquellos mensajes sospechosos y/o no solicitados. Sin embargo, los denominados hoax son mensajes de correo que nos alertan sobre la existencia de un posible virus, pero NO son virus.

¿Qué elementos infectan los virus?: el objetivo primordial de los virus son los ficheros que se encuentran en un medio de almacenamiento como los discos duros o disquetes. Más concretamente serán infectados todos aquellos archivos, ficheros o documentos (los tres términos indican el mismo concepto, en general) que tengan la característica de ser programas. Un programa no es más que un fichero cuya extensión es EXE o COM, que se puede ejecutar para que realice determinadas operaciones.

También existen virus que se encargan de infectar ficheros que no son programas. No obstante, estos ficheros contendrán elementos, denominados macros, incluidos en ellos. Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de archivos.

Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios de almacenamiento. De esta forma, atacando a los lugares en los que se guardan ficheros, el daño provocado afectará a toda la información contenida en ellos.

¿Cómo surgieron los virus?: en los años 60, algunos científicos desarrollaron un juego para programadores denominado CoreWar. El objetivo de éste era colocar en memoria unos programas que hacían que los restantes ejecutasen ciertas instrucciones. El objetivo final era saturar la memoria y que cada uno de estos programas actuase por su cuenta, realizando determinadas acciones.

La primera pregunta que debemos plantearnos es: ¿a través de qué medios un virus puede introducirse en nuestro ordenador, o atacarlo?. Si conocemos perfectamente la respuesta, seremos capaces de proteger esas posibles vías de entrada para impedir posteriores infecciones. Los virus utilizan los siguientes medios para ello:

Algunos posibles medios de entrada para los virus
Unidades de disco extraibles
Redes de ordenadores
Internet
Correo electrónico
Páginas web
Transferencia de ficheros (FTP)
Descargas
Grupos de noticias

Unidades de disco extraibles. Las unidades de disco son aquellos medios de almacenamiento en los que se guarda información, mediante ficheros, documentos, o archivos. Con ellos se puede trabajar en un ordenador para, posteriormente, utilizarlos en otro diferente. Algunos de estos medios de almacenamiento pueden ser los disquetes, CD-ROMs, unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos discos especiales con mayor capacidad que los disquetes. Si alguno de ellos se encontrase infectado y trabajásemos con él en un ordenador, éste podría ser igualmente infectado. Dentro de una unidad almacenamiento, también se pueden almacenar mensajes de correo electrónico y éstos podrían estar infectados.

Los virus pueden llegar a nuestro ordenador mediante disquet, CD-ROM y otras unidades de disco extraíbles
Los disquetes (u otras unidades de disco extraibles), pueden almacenar programas, archivos, páginas web (HTML), mensajes de correo que incluyen archivos infectados, ficheros comprimidos,... Cualquiera de estos elementos podría estar infectado. De la misma forma, el disco podría tener infectado el denominado "sector de arranque", debido a un virus de Boot . Aunque todavía tienen lugar, hoy en día las infecciones producidas a través de disquetes han disminuido considerablemente hasta un 10%. Éste medio de propagación ha dejado paso a otros mucho más rápidos, como el correo electrónico.

Aunque en un principio las unidades de CD-ROM solamente podían leer el contenido pero no escribir nada en el disco, actualmente es posible tanto la lectura como la escritura (grabación) de un CD-ROM. Esto, unido a la gran cantidad de información que se puede almacenar en ellos, ha producido gran número de infecciones. Además, muchos de los ordenadores actuales permiten ser arrancados mediante CD-ROM. Esto último puede incrementar el número de infecciones.

Los virus también pueden llegar a través de CD-ROM

Redes de ordenadores: una red es un conjunto o sistema de ordenadores conectados entre sí físicamente (a través de cable, módem, routers,... etc), para facilitar el trabajo de varios usuarios. Esto quiere decir que existen conexiones entre cualquiera de los ordenadores que forman parte de la red. De este modo será posible transferir información entre ellos y/o acceder a la información que contiene uno de ellos, desde los restantes. Si la información (programas, archivos, documentos,...) a la que se accede -o la que es transmitida- de un ordenador a otro estuviese infectada, los ordenadores que acceden a ella -o que intervienen en su transferencia-, podrían infectarse igualmente.

Los virus pueden introducirse en una red a través de las estaciones y/o servidores de la misma

Éstas conexiones pueden ser locales y/o remotas, pudiendo conectar los ordenadores y portátiles a través de cable, una Intranet, módem,... etc. En resumidas cuentas, esto hace que se tenga acceso a la red por numerosos puntos. Comencemos pensando en un sólo ordenador y los medios a través de los cuales pueden introducirse virus en él. Esto hay que ampliarlo o multiplicarlo al número de ordenadores que pueden forman parte de una red. Además, tenemos que tener en cuenta los posibles equipos móviles (como portátiles) que se podrían conectar a dicha red. Todo ello nos da una idea sobre la gran cantidad de "lugares" o "caminos" a través de los cuales pueden introducirse los virus en una red.

Internet: cada día más se utilizan las posibilidades que brinda Internet para obtener información, realizar envíos y recepciones de ficheros, recibir y publicar noticias, o descargar ficheros. Internet se ha convertido en la mayor vía de entrada de virus. Todas estas operaciones se basan en la transferencia de información, así como en la conexión de diferentes ordenadores en cualquier parte del mundo. Por tanto, cualquier virus puede introducirse en nuestro ordenador al mismo tiempo que la información recibida. A través de Internet la infección podría realizarse empleando diferentes caminos como los siguientes:
Correo electrónico
Páginas web
Transferencia de ficheros (FTP)
Descargas
Grupos de noticias

Correo electrónico: en un mensaje enviado o recibido se pueden incluir documentos o ficheros (fichero adjunto o anexado o atachment). Estos ficheros podrían estar infectados. Al abrir el mensaje y ejecutar o abrir el archivo incluido en él, el ordenador del destinatario del mensaje será infectado. Las características más importantes de las infecciones a través de correo electrónico, son las siguientes:

Elevada capacidad de replicación y propagación. El virus se puede extender a miles de ordenadores de todo el mundo, en cuestión de minutos.
Almacenamiento de mensajes. Éstos se guardan en bases de datos especiales (por ejemplo, ficheros PST), difíciles de analizar con antivirus que no están especialmente diseñados para sistemas de correo electrónico.
Elevada capacidad de conexión. Es posible enviar y recibir mensajes entre casi cualquier tipo de ordenador/plataforma.

A diario se intercambian millones y millones de mensajes de correo en todo el mundo. El tiempo transcurrido entre el envío de un mensaje y su recepción, es mínimo. Además, un mismo mensaje de correo electrónico puede tener un número elevado de destinatarios. Esto confiere al correo electrónico las condiciones más apetecibles para los creadores de virus: extrema rapidez de propagación y un gran número de destinatarios.

Por otra parte, los virus actuales pueden producir la infección y tienen capacidad para volver enviarse a sí mismos (autoenviarse) a otros ordenadores (sin que el usuario infectado sea consciente de ello). En este caso los nuevos destinatarios del virus podrán ser todas las personas que el usuario infectado tenga incluidas en su Libreta de Direcciones de correo.

En la gran mayoría de las ocasiones, las infecciones a través de e-mail no ocurren cuando se abre el mensaje correspondiente, sino cuando se ejecuta o abre el archivo incluido en él. No obstante, existen excepciones. Algunos virus, la minoría, pueden producir su infección cuando se abre el mensaje de correo (sin necesidad de ejecutar el fichero adjunto).

Ejemplo de un mensaje de correo electónico (recibido y abierto con el programa de correo, Microsoft Outlook 97, de la empresa Microsoft), correspondiente al virus VBS/Tqll.A.

Para evitar las infecciones a través de correo electrónico, podríamos tener en cuenta los siguientes criterios o consejos:

Contar con antivirus específico para analizar correo electrónico.
No abrir mensajes sospechosos, cuyo destinatario sea desconocido, que contengan textos extraños,... etc.
No ejecutar ni abrir los ficheros incluidos en mensajes de correo sospechosos.
Si sospechamos que el mensaje está infectado, lo deberíamos eliminar y avisar de ello al remitente del mismo.
Páginas Web: la mayoría de las páginas que visitamos en Internet son ficheros de texto o imágenes escritos en un lenguaje denominado HTML. No obstante también pueden contener programas denominados Controles ActiveX y Applets de Java, que son programas. Éstos sí pueden estar infectados y podrían infectar al usuario que se encuentre visitando esa página. Si una de estas páginas incluye un virus de código HTML que incluye secciones de código dinámico (que ejecuta programas, o realiza determinadas acciones), sólo con visitarla podríamos infectarnos.

La navegación por páginas Web puede aprovechar las deficiencias de nuestro navegador, mediante los Controles Active-X, los Applets de Java, el código HTML y/o JavaScript, además de otros métodos. De esta forma los virus podrían "colarse" en nuestro ordenador.
Transferencia de ficheros (FTP): el término FTP significa File Transfer Protocol. Es decir, Protocolo de Transferencia de Ficheros. Mediante él se pueden colocar documentos en ordenadores que se encuentran en cualquier parte del mundo (upload) o copiar ficheros de estos ordenadores al nuestro (bajar ficheros o download). En la descarga, un archivo se copia directamente desde un determinado lugar, hasta nuestro ordenador. Estos ficheros pueden contener virus que infectarán nuestro ordenador.

Muestra de acceso a un directorio para la transferencia de ficheros (FTP), mediante el programa cliente de FTP, denominado WS_FTP LE (Limited Edition).

Una de las actividades más realizadas por los usuarios en Internet, es la descarga de programas (shareware), documentos,... etc; además de las descargas de software en lugares concretos. Por este motivo, es muy importante descargar ficheros solamente de aquellos lugares o sites que cuenten con las suficientes garantías.

Descargas (download): aunque la descarga de archivos a través de Internet guarda cierta similitud con la transferencia de ficheros (FTP), no es lo mismo. Mientras que mediante FTP podemos tanto bajar (descargar - download) como subir (upload) archivos, mediante la descarga simplemente podremos obtener archivos (que se copiarán desde un determinado Website a nuestro ordenador). Generalmente estas descargas son seguras y están libres de virus, pero podría ser que el fichero a descargar estuviese infectado. Existen páginas especialmente preparadas para realizar descargas de software o herramientas informáticas.
Una de las actividades más realizadas por los usuarios en Internet, es la descarga de programas (shareware), documentos,... etc; además de las descargas de software en lugares concretos. Por este motivo, es muy importante descargar ficheros solamente de aquellos lugares o sites que cuenten con las suficientes garantías.

Grupos de noticias (News o Newsgroups): mediante las denominadas "News" es posible debatir sobre un determinado tema con cualquier otra persona del mundo y recibir correo electrónico con nuevas noticias sobre ese tema. En estos grupos trabajaremos de forma similar a lo que ocurre con los tablones de anuncios. Cada usuario va dejando sus comentarios, dudas, o notas sobre determinados temas y otros usuarios pueden responderle, opinar, resolver dudas,... etc. Estos mensajes con noticias pueden tener documentación adjunta infectada que permita la introducción de virus en nuestro ordenador.

Dentro de los grupos de noticias, corremos igualmente riesgos frente al ataque de los virus. Cuando nos conectamos a un grupo de news, se descargan los archivos con cada uno de los artículos existentes (de forma similar al correo electrónico). Estos archivos podrían estar infectados.
Para finalizar, mostramos una tabla en la que se puede apreciar la evolución de los medios de infección utilizados por los virus, a lo largo de cuatro años. Es evidente que el medio preferido por los creadores de virus, es el correo electrónico.

Un virus utiliza sus propias medidas de ocultamiento, pudiendo "esconderse" de los antivirus en diferentes lugares y utilizando diferentes técnicas para ello. Algunos de estos escondites, podrían ser los siguientes:

En memoria principal: en este caso el virus se colocará automáticamente en la memoria principal (memoria RAM) esperando que se ejecute algún programa (fichero con extensión EXE o COM) para infectarlo. Ese tipo de virus, se denomina residente.
Documentos con macros: por regla general, los ficheros que no sean programas, no son infectados por ningún tipo de virus. Sin embargo, existen determinados tipos de documentos (ficheros o archivos) con los que el usuario puede trabajar, o que puede crear, que permiten incluir en ellos lo que se denomina macro. Una macro es un conjunto de instrucciones o acciones que otro programa puede llevar a cabo. Pues bien, estas macros pueden formar parte del documento (texto, hoja de cálculo o base de datos) y por tratarse de programas pueden ser infectados por los virus (virus de macro).
Sector de arranque (Boot y Master Boot): el sector de arranque es una sección concreta de un disco (disquete o disco duro) en la que se guarda la información sobre las características de disco y sobre el contenido del mismo. Cuando hablamos del sector de arranque de un disquete utilizamos el término BOOT, mientras que si se trata del sector de arranque de un disco duro, emplearemos el término Master BOOT (MBR). En ocasiones, esta sección de un disco contiene un programa que permite arrancar el ordenador. Algunos virus (los virus de Boot) se esconden en este lugar infectando ese programa y haciendo, en el arranque del ordenador, que se ejecute el virus.
Ficheros adjuntos a los mensajes de correo electrónico: cada vez más se utiliza el correo electrónico para el envío de ficheros. Estos ficheros acompañan al mensaje (ficheros adjuntos, anexos o attachments) de texto que se envía, pudiendo estar infectados. Generalmente, al recibirlos, el destinatario no sospecha que el fichero recibido puede contener un virus o serlo, pero al abrir el mensaje y posteriormente abrir el fichero que dentro de él se incluye podría llevarse una sorpresa desagradable.
Páginas Web en Internet: las páginas que se visitan a través de la navegación por Internet, son ficheros que por regla general no deberían estar infectados ya que se trata de documentos de texto (texto, imágenes, sonido). Sin embargo éstas pueden incluir otros elementos denominados Applets de Java o Controles ActiveX. Estos son programas que dotan a la página Web de mayor dinamismo, presentaciones y en definitiva, posibilidades. Por tratarse de programas pueden estar infectados e infectar al usuario que visita la página que los contiene.

Los virus que existen en la actualidad, se pueden clasificar o agrupar en función de unas determinadas características. Dependiendo de éstas, algunos de ellos pertenecerán a un determinado grupo, pero otros podrán incluirse en varios de ellos. Algunos de los criterios que se tienen en cuenta a la hora de clasificar a los virus, son los siguientes:

Medio a través del cual realizan su infección.
Técnicas utilizadas para infectar.
Técnicas utilizadas para ocultarse y evitar a los antivirus.
Tipos de archivos que infectan.
Lugares en los que se esconden, tras la infección.
Plataforma o sistema operativo al que atacan.
Acciones que realizan.
Adicionalmente, pueden existir otras características que permitan a agrupar a los virus por en otras categorías (medio de propagación, condiciones de activación,... etc).

Aunque bastantes de ellos tendrán una característica especial por la que se asociarán a un tipo concreto dentro de esta clasificación, otros podrán formar parte de varios grupos diferentes.

A continuación se muestra una clasificación que agrupa parte de los tipos de virus más habituales:

Virus de Fichero
Virus Residentes
Virus de Acción Directa
Virus de Sobreescritura
Virus de Compañia
Virus de Boot
Virus de Macro
Gusanos
Troyanos (caballos de Troya)
Bombas Lógicas
Encriptados
Multipartites
Residentes
Polimórficos

Virus de Fichero: este tipo de virus se encarga de infectar programas o ficheros ejecutables (archivos con extensiones EXE o COM). Al realizar la ejecución de uno de estos programas, de forma directa o indirecta, el virus se activa produciendo los efectos dañinos que le caractericen en cada caso. La mayoría de los virus existentes son de este tipo, pudiéndose clasificar cada uno de ellos en función de las acciones que realizan cada uno de ellos en cada caso.

Virus Residentes: cuando se ponen en marcha o activan, la primera acción que realizan consiste en comprobar si se cumplen todas las condiciones (fecha, hora,... etc.) para atacar. De no ser así, se colocan en una zona de la memoria principal (memoria RAM), esperando que se ejecute algún programa. Ocuparán un espacio en memoria de 200 a 5000 Bytes. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable (programa) no infectado, el virus lo infectará. Para ello, el virus se añadirá al programa que infecta, añadiendo su código al propio código del fichero ejecutable (programa). Pueden considerarse como virus de fichero.

Este tipo de virus puede considerarse como virus de fichero. Cuando el virus consigue colocarse en la memoria como residente, intentará permanecer en ella hasta que se apague o reinicie el ordenador (ya que este tipo de memoria es volátil -pierde su contenido cuando se le quita la alimentación-). Algunos virus de este tipo realizan modificaciones en la configuración del sistema (en el Registro de Windows, entre otros), para volver a colocarse en la memoria como residentes, siempre que se vuelva a encender o reiniciar el ordenador.
Desde su condición de residentes, interceptarán determinados servicios del sistema operativo. Dichos servicios pueden ser utilizados por los programas, cuando se están ejecutando. Esto quiere decir que los virus residentes podrán interferir en las acciones que lleven a cabo los programas que se estén ejecutando en un determinado momento. El resultado es que el virus puede alterar los servicios que necesita el programa, para que apunten o ejecuten partes del código correspondiente al propio virus. Esto implica que el virus residente se ejecutará siempre que un programa necesite y acceda a los servicios del sistema operativo.

Este tipo de virus puede pertenecer además a cualquiera de los tipos anteriormente comentados. Su característica principal es la de colocarse en la memoria RAM, de forma permanente, cuando es ejecutado. El motivo de esta acción es controlar e interceptar todas las ejecuciones de programas u operaciones llevadas a cabo por el sistema operativo. De este modo podrá infectar todos aquellos archivos y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados,... etc.

Representación de un virus residente

Estos virus permanecen en la memoria hasta que, de algún modo, se eliminan de ella. Esto sólo es posible eliminando el proceso activo correspondiente al virus (mediante la combinación de teclas CTRL+ALT+SUPR), siempre y cuando sea posible (en raras ocasiones lo es). Por tratarse de un virus que se coloca en la memoria RAM, éste desaparecerá de ella siempre que se apague o reinicie el ordenador. Esto es así porque la memoria RAM es volátil (cuando se elimina la alimentación -corriente eléctrica-, desaparece todo lo que hay en ella). Sin embargo, existen virus residentes que toman las medidas oportunas para volver a colocarse en la memoria, cuando el ordenador arranque. El virus puede llevar a cabo sus acciones cuando se cumple su condición de activación, o continuar en la memoria de forma permanente, hasta que esta tenga lugar.

A continuación puede consultar la información sobre algunos de estos tipos de virus. Si desea obtener más información acceda a las listas de virus de la Enciclopedia, donde puede encontrar las descripciones de un gran número de ellos.
AntiCMOS
AntiEXE
Barrotes

Viernes 13
Babylonia
CIH (Chernobyl)

Virus de Acción Directa: en el momento de su ejecución, el virus trata de replicarse, o reproducirse. Esto quiere decir que creará copias de sí mismo. Cumpliéndose unas determinadas condiciones, particulares y específicas en cada caso, se activará y pasará a realizar infecciones dentro del directorio o carpeta en el que nos encontremos y dentro de los directorios que se encuentran especificados en la línea PATH (camino o ruta de directorios) dentro del fichero AUTOEXEC.BAT -este fichero se encuentra siempre en la raíz del disco duro, siendo un fichero de proceso por lotes que realiza ciertas operaciones cuando se enciende el ordenador-. Es posible llevar a cabo la desinfección, de los ficheros afectados por el virus, dejándolos en un estado correcto.

Este tipo de virus puede ser considerado como un virus de fichero ya que buscan ficheros que puedan ser sus víctimas, para infectarlos. El motivo de que estos virus realicen copias de sí mismos o se reproduzcan, es debido a que no son residentes y por lo tanto no permanecen ejecutándose en memoria. Esto les obliga a reproducirse y actuar directamente.

Virus de Sobreescritura: este tipo de virus se caracteriza por no respetar la información contenida en los ficheros que infecta, haciendo que estos queden inservibles posteriormente. Pueden encontrarse virus de sobreescritura que además son residentes y otros que no lo son. Aunque la desinfección es posible, no existe posibilidad de recuperar los ficheros infectados, siendo la única alternativa posible la eliminación de éstos. Este tipo de virus puede ser considerado como virus de fichero.

Una característica interesante es que los ficheros infectados por virus de sobreescritura, no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero infectado. Esto es debido a que dicho tipo de virus se coloca encima del contenido del fichero infectado, no se incluye de forma adicional en una sección del mismo.

El efecto que producen estos virus sobre los ficheros infectados, es la pérdida parcial o total de su contenido. Éste será irrecuperable.

Virus de Compañía: los virus de compañía pueden considerarse como virus de fichero, pudiendo además ser residentes o de acción directa. Su nombre es debido a que "acompañan" a otros ficheros que ya existían en el sistema, cuando el virus llega a él. Es decir, para efectuar sus operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve a cabo la ejecución de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos (virus de acción directa).

Al contrario que los virus de sobre escritura o que los residentes, los virus de compañía no modifican los ficheros que infectan. Cuando el sistema operativo está trabajando (ejecutando programas) puede ocurrir que éste (el sistema operativo) tenga que ejecutar un programa con un nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con diferentes extensiones (uno con extensión EXE y otro con extensión COM), el sistema operativo ejecutará en primer lugar el que lleve la extensión COM. Esta peculiaridad del sistema operativo es aprovechada por los virus de compañía.

En caso de existir un fichero ejecutable con un determinado nombre y extensión EXE, el virus se encargará de crear otro fichero con el mismo nombre pero con extensión COM haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. Este fichero que crea será el propio virus y el sistema operativo, al encontrarse con dos ficheros que llevan el mismo nombre, ejecutará en primer lugar el de extensión COM, siendo éste el virus que en ese preciso instante realizará la infección. Tras realizarse la ejecución del fichero COM correspondiente al virus, éste devuelve el control al sistema operativo para que ejecute el fichero EXE. De esta forma el usuario no tendrá conocimiento de la infección que en ese preciso instante ha tenido lugar. En definitiva, un virus de compañía, seguirá los siguientes pasos:
1. Elige como víctima de su infección a un determinado fichero, con extensión EXE.

2. Crea un fichero con el mismo nombre que el fichero víctima, pero con extensión COM.

3. Se incluye a sí mismo en el fichero con extensión COM (éste será el propio virus).

4. Oculta o esconde el fichero que acaba de crear (el COM), para no levantar sospechas.

A partir de este punto, cuando se intente ejecutar el fichero con extensión EXE, ocurrirá lo siguiente:

6. El sistema operativo será consciente de que existe otro fichero con el mismo nombre, pero con extensión COM.

7. El sistema operativo ejecutará el fichero con extensión COM, que será el virus.

Por estos motivos, pueden existir diferentes formatos correspondientes a los virus de compañía:

Virus de compañía en MS-DOS. Aprovechan la característica del intérprete de comandos de MS-DOS y ejecutan en primer lugar los ficheros COM, antes que los EXE (si en un directorio existen dos archivos con el mismo nombre, pero uno con extensión COM y otro con extensión EXE).
Virus de compañía en Windows. Funcionan de forma similar a los virus de compañía en MS-DOS. La única diferencia es que éstos no crean un fichero con extensión COM y el mismo nombre que el fichero víctima. Por el contrario, cambian la extensión del fichero víctima, de EXE a COM. Posteriormente, el virus puede quedar como residente en memoria e infectar todos los programas que son ejecutados.
A continuación puede consultar la información sobre algunos de estos tipos de virus. Si desea obtener más información acceda a las listas de virus de la Enciclopedia, donde puede encontrar las descripciones de un gran número de ellos.

Virus de Boot (sector de arranque): el término Boot o Boot Sector representa lo que también se denomina "sector de arranque". Se trata de una sección muy importante en un disco (disquete o disco duro), en la cual se guarda la información sobre las características de ese disco, además de incluir un programa que permite arrancar el ordenador con ese disco, determinando previamente si existe sistema operativo en el mismo.

Este tipo de virus de Boot, no afectan a los ficheros por lo que el contenido del disco no estará en peligro a no ser que se intente arrancar el ordenador con dicho disco. Si esto ocurre, el virus realizará la infección siguiendo una serie de pasos habituales:

1. Reserva un determinado espacio en memoria para que éste no sea
ocupado por ningún otro programa.

4. Siempre que una aplicación del sistema operativo llame a una función
de acceso a ficheros, el virus toma el control.

5. Se comprueba si el disco al que se accede esta infectado. Si no lo está, lo
infecta.

8. De esta forma el virus cede el control al sistema operativo. Así
parecerá no haber ocurrido nada. No obstante el virus seguirá actuando.

Las infecciones de virus de Boot se suelen realizar mediante disquetes siendo la protección contra escritura en él, el mejor método de protección.

Si introducimos un disquete infectado por un virus de Boot en la disquetera de un ordenador, la infección podría extenderse o propagarse al disco duro. En tal caso, se vería afectado el MBR (Master Boot Record) del disco duro (o de los discos duros existentes en el equipo). Esto implica que todos los tipos de discos (disquete, CD-ROM, unidades Zip, Unidades Jazz,...) que utilicemos posteriormente en el ordenador infectado, serán igualmente infectados.

Estos virus se encargan de guardar una copia del Boot original, pero cada uno de ellos lo puede hacer de una forma diferente. Algunos los copiarán en una determinada sección del disco y la marcarán como defectuosa. Otros lo almacenan en una sección del disco donde ya hubiese información, perdiéndose esta (y siendo imposible de recuperar dicha información). Finalmente los más agresivos o peligrosos sobreescriben el boot original, impidiendo el arranque del ordenador con dicho disco.

Para finalizar diremos que (siempre y cuando no se necesite escribir en un disquete) el mejor método para que éste no se infecte por un virus de boot, es protegerlo contra escritura.

Anti-Telefónica
CMOS.Erase
Cruel

Diablo
Empire
Form

Michelangelo
Parity Boot
Tequila

Virus de Macro: a diferencia de los tipos de virus comentados anteriormente, los cuales infectan programas (ficheros EXE o COM) o aplicaciones, los virus de macro realizan infecciones sobre los ficheros (documentos, libros, presentaciones y/o bases de datos) que se han creado con determinadas aplicaciones o programas. Cada uno de estos tipos de ficheros puede tener adicionalmente unos pequeños programas, denominados macros. Una macro no es más que un micro-programa que el usuario asocia al fichero que ha creado con determinadas aplicaciones. Éste no depende del sistema operativo sino de acciones determinadas que el usuario puede realizar dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos de operaciones para que se lleven a cabo como una sola acción del usuario de forma independiente sin necesidad de realizarlas una a una manualmente.

Pues bien, estas macros podrían estar infectadas o infectarse, lo que significa que los virus (más concretamente los de macro) pueden fijar sus objetivos de infección en ellas. En este caso, al abrir un documento que contenga macros, éstas se cargarán de forma automática (ejecutándose o esperando que el usuario decida ejecutarlas). En ese instante o posteriormente, el virus actuará realizando cualquier tipo de operación perjudicial. Al diferencia de lo que se piensa habitualmente, los virus de macro pueden realizar acciones dañinas de bastante importancia, propagándose en poco tiempo de forma muy rápida.

Por otra parte, estos virus pueden infectar las plantillas genéricas o globales (a través de las macros) que las herramientas (procesadores de texto, hojas de cálculo,...) utilizan. Al abrir un documento, hoja de cálculo o base de datos con la plantilla infectada, éstos se infectarán. Este es el método más habitual que emplean los virus de macro para extender sus infecciones.

Este tipo de virus, como ya hemos comentado, actúan sobre los documentos, hojas de cálculo o libros, bases de datos y/o presentaciones con macros. Por lo tanto, su objetivo serán los ficheros creados con herramientas que permiten utilizar macros. Esto quiere decir que no existe un sólo tipo de virus de macro, sino uno para cada tipo de herramienta:
Virus de macro para Microsoft Word
Virus de macro para Microsoft Excel
Virus de macro para Microsoft Access.
Virus de macro para Microsoft PowerPoint

Virus de macro Multiprograma o Multi Macro Partite
Virus de macro en archivos .RTF
Virus de macro para Lotus Ami Pro.
Virus de macro para Corel Draw.

No obstante, no todos los programas o herramientas que permitan la gestión de macros serán objetivo de este tipo de virus. Las herramientas que son atacadas por los virus de macro, deben cumplir una serie de condiciones:
Las macros pueden transportarse (a través de cualquier medio) de un ordenador a otro, por estar incluidas en el propio fichero infectado (documento, hoja de cálculo, presentación, base de datos,...).
Se pueden obtener, incluir y utiliza en un fichero las macros que se han creado e incluido en otros.
Las macros pueden ejecutarse automáticamente (al abrir o cerrar el fichero, por ejemplo), sin que esto dependa del usuario.
Los tipos de virus de macro más comunes, son los siguientes:

Virus de macro para Microsoft Word. Son los virus más comunes en la actualidad, siendo su objetivo los documentos de texto creados y manipulados con Microsoft Word (archivos con extensión. DOC -documentos-). Para identificarlos como tal, sus nombres suelen ir precedidos de los siguientes prefijos: WM (virus de macro para Word 6.0 y/o Word 95), W97M (virus de macro para Word 97), o W00M (virus de macro para Word 2000). En estos casos las macros estarán escritas en Visual Basic, además de las macros automáticas.

Mensaje que muestra el procesador de textos Microsoft Word 97 (de la empresa Microsoft) cuando se abre un

documento con macros y la seguridad antivirus en macros está activada. Será posible activar las macros del documento, no activarlas, o no abrir el documento.

Los métodos más utilizados para la propagación de sus infecciones son las propias macros, la plantilla global de Word (fichero NORMAL.DOT) y otros tipos de plantillas personales y el directorio INICIO de Microsoft Word.

Virus de macro para Microsoft Excel. El objetivo de estos virus son los libros u hojas de cálculo creadas y manipuladas con Microsoft Excel. Para identificarlos como tal, sus nombres suelen ir precedidos de los siguientes prefijos: XM (virus de macro para Excel 6.0 y/o Excel 95), X97M (virus de macro para Excel 97), o X00M (virus de macro para Excel 2000). En estos casos las macros estarán escritas en Visual Basic, además de las macros automáticas.

Mensaje que muestra la hoja de cálculo Microsoft Excel (de la empresa Microsoft) cuando se abre un libro con macros y la seguridad antivirus en macros está activada. Será posible activar las macros del libro, no activarlas, o no abrir la hoja de cálculo.

Los métodos más utilizados para la propagación de sus infecciones son las propias macros y el directorio INICIOXL de Microsoft Excel.

Virus de macro para Microsoft Access. Aunque no son tan comunes como los dos tipos anteriores, existen algunos. También a diferencia de los tipos anteriores no utilizan macros, sino los denominados módulos propios de Microsoft Access. Su objetivo serán las bases de datos creadas y manipuladas con Microsoft Access (archivos con extensión .MDB).

Virus de macro para Microsoft PowerPoint. El objetivo de estos virus son las presentaciones creadas y manipuladas con Microsoft PowerPoint (archivos con extensión .PPT -presentaciones-). Los métodos más utilizados para la propagación de sus infecciones son las propias macros, la plantilla global de PowerPoint.

Mensaje que muestra la herramienta de presentaciones Microsoft PowerPoint (de la empresa Microsoft) cuando se abre una presentación con macros y la seguridad antivirus en macros está activada. Será posible activar las macros incluidas en la presentación, no activarlas, o no abrir la presentación.

Virus de macro Multiprograma o Multi Macro Partite. Existen virus de macro cuyo objetivo no es únicamente una determinada herramienta de Microsoft Office, sino varias de ellas (por ejemplo, pueden atacar documentos de Word y hojas de cálculo de Excel). Para diferencias estos virus de los virus de Word o Excel, se utilizan los siguientes

prefijos: OM (virus de macro para Office 95), O97M (virus de macro para Office 97).

Esta es una estrategia utilizada para dar confianza al usuario. Éste es consciente de que un archivo RTF no debería contener macros. Por lo tanto lo abrirá y, si se trata de un falso RTF, podría producirse la infección (del mismo modo que si fuese un DOC).

Virus de macro en archivos .RTF. Los archivos RTF pueden ser creados con Microsoft Word, pero no pueden contener macros. Sin embargo si tuviésemos un archivo con extensión DOC (documento de Word) que contiene macros y cambiásemos su extensión para que fuese .RTF, las macros del DOC original sí se mantendrían. El resultado sería lo que se denomina un "falso RTF".

Virus de macro para Lotus Ami Pro. Este tipo de virus es bastante reducido en la actualidad. El objetivo de estos virus son los archivos creados y manipulados con el procesador de textos Lotus Ami Pro (archivos con extensión .SAM -el documento de texto- y archivos con extensión .SMM -archivo que contiene macros y otras informaciones-).

El método utilizado por estos virus para propagarse consiste en la búsqueda de otros archivos.

Virus de macro para Corel Draw. El objetivo de estos virus son los archivos creados y manipulados con la herramienta para la creación de gráficos, Corel Draw. Para realizar sus infecciones, localizan los archivos de script correspondientes a Corel Draw (archivos con extensión .CSC, donde se almacenan elementos similares a las macros). Entonces averiguan si éstos llevan en su interior la línea "REM Virus". Si no es así, proceden a infectar el archivo.

Virus de enlace o de directorio: los ficheros son los documentos que contienen la información real en la que se ha trabajado (textos, bases de datos, hojas de cálculo, imágenes, sonido,... etc.) o programas (ficheros con extensiones EXE y COM) y otros tipos de "elementos" que hacen posible la ejecución de éstos. Cuando hablamos de un fichero, podemos emplear indistintamente éste término, o el de documento, o el de archivo. Para organizar toda esta información, se crean directorios o carpetas que son quienes contienen a los ficheros, pudiendo contener también otras carpetas o directorios (subcarpetas o subdirectorios). De esta forma, la estructura de un disco se puede ver como una gran carpeta clasificadora en la que los ficheros son guardados en determinadas secciones (directorios o carpetas). Otra forma diferente de presentar este concepto es pensar que el disco es una mesa de despacho en la que tenemos cajones. Estos cajones son los directorios, dentro de los cuales guardamos hojas (que representarían a los documentos, ficheros o archivos), pero que también pueden contener subsecciones (subcarpetas o subdirectorios). En definitiva el documento, fichero o archivos es el contenido y las carpetas o directorios son el continente que alberga dicho contenido.

Pues bien, el sistema informático deberá conocer en todo momento información sobre un determinado fichero, como el nombre que tiene y el lugar (carpeta o directorio) en el que se encuentra (en el que se ha guardado). Para ello le asignará una dirección a la que se debería acceder en caso de desear utilizar ese determinado fichero.

Los virus de enlace o directorio se encargan de alterar estas direcciones para provocar la infección de un determinado fichero. Si un programa (fichero con extsnsión EXE o COM) se encuentra en una dirección concreta, para ejecutarlo habrá que acceder a dicha dirección. Sin embargo, el virus de enlace o directorio la habrá modificado con anterioridad. Lo que hace es alterar esta dirección (dentro de la FAT) para que apunte al lugar en el que se encuentra el virus, guardando en otro lugar la dirección de acceso correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se hará realmente es ejecutar el virus. En definitiva, este tipo de virus funcionan del siguiente modo:
0. Modifican la dirección que hace referencia al lugar en el que se encuentra el fichero infectado. Ésta apuntará ahora al lugar en el que se encuentra el virus.

1. Cuando se pretende ejecutar el fichero, realmente se ejecutará el virus (ya que la dirección de acceso al mismo, se habrá modificado para que apunte a la del virus).

Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los ficheros del disco (disco duro), su capacidad para infectar TODOS éstos es real. De este modo, los virus de enlace o directorio pueden infectar toda la información contenida en un disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los ficheros infectados. En caso de realizar un análisis del disco en busca de errores (mediante programas como SCANDISK o CHKDSK), se detectarán grandes cantidades de errores que identifican todos los enlaces a los ficheros que el virus ha modificado. No obstante, en este caso sería mejor no recuperarlos ya que podría producirse un caos en lo que al sistema de almacenamiento de la información se refiere, que sería más perjudicial si cabe.

Byway

E sta información fue sacada de http://www.uam.edu.ni/2002/antivirus/virusdef.htm

..::O.S.Net 2::..