- Historia
- Características de los Virus
- Síntomas típicos de una infección
No cabe duda de que los ordenadores son hoy en
día una parte fundamental de la sociedad de la información
en la que vivimos, que sin ellos la vida, tal como la
concebimos hoy por hoy, sería imposible, y que han supuesto
una revolución total en forma de comunicarnos, de llevar a cabo
nuestras necesidades básicas diarias,
de vivir.
Resulta increíble que con tan sólo
pulsar un botón podamos acceder a fuentes de información
inmensas, situadas en cualquier parte del planeta y suministradas
por personas de cualquier tipo. Que nuestro confort y bienestar dependan
de máquinas que la gran mayoría ni conoce ni sabe cómo
funcionan.
Pero esta facilidad de acceso a cualquier tipo de
información y esta comodidad lograda con el uso de los ordenadores
precisa que estas máquinas estén cada vez
más interrelacionadas entre sí, comunicadas en todo momento
con otras muchas, y sin lugar a dudas es Internet el mejor medio para conseguir
esto.
Pero si esta apertura a la red de nuestras máquinas
facilita la intercomunicación, también es cierto que con
ella las situamos al alcance de todo tipo de ataques y
contaminaciones externas, y es en este contexto en el que adquiere
toda su magnitud la palabra clave VIRUS.
Mucho se ha hablado, se habla y se hablará
de los virus. Unos le dan una importancia tal vez excesiva, otros no le
dan ninguna. Aquellos culpan a los hackers de
ser los contaminadores de la red, y estos alegan que ellos sólo
los crean, pero no los difunden.
Casi todos los autores coinciden en señalar
que el padre de lo que hoy se conoce como virus fue el famoso científico
húngaro Louis Von Neumann, quién en
1939 expuso su " Teoría y organización de autómatas
complejos ", en la que demostraba la posibilidad de que un programa tomase
el control de otros de naturaleza
semejante.
Más tarde, en 1949, varios programadores de
la empresa americana Bell Computer crearon una especie de juego, basándose
en las teorías de Neumann, al que
llamaron CoreWar, y que consistía en activar programas dentro
de un ordenador de forma que iban agotando poco a poco la memoria del mismo,
hasta llegar a su
bloqueo total.
Sigue luego un periodo de sosiego (o al menos eso
parece) hasta que en 1972 aparece el que podemos considerar primer virus
verdadero, Creeper, creado por
Robert Thomas Morris, que atacaba los computadores de la marca IBM,
y cuya acción era mostrar en pantalla un mensaje de desafío.
Percatados los técnicos de
la naturaleza del programa, crearon como medida el primer software
antivirus, al que llamaron Reaper, y que desinfectaba los ordenadores atacados
por este virus.
En 1983 Keneth Thompson, creador del sistema operativo
UNIX, volvió a retomar las teorías de Neumann, demostrando
la forma de desarrollar virus
informáticos, y a partir de aquí se produce una verdadera
revolución en el mundo de la creación de programas de este
tipo, hasta que en 1986 aparecen los
primeros virus que infectaban ficheros del tipo EXE y COM.
Como en esa época también empezó
a ganar popularidad el sistema precursor de Internet, ARPANET, se empezaron
a difundir los virus por este medio, con lo
que las infecciones empezaron a tener carácter nacional primero,
e internacional después.
La Red de redes fue creciendo, Arpanet se transformó
en Internet, cada vez había más personas con los conocimientos
necesarios para crear virus, y la mezcla
de todo esto fue tanto la existencia de un flujo de programas infectivos
cada vez mayor como el desarrollo de una gran industria paralela, la de
los antivirus.
Y si los creadores de los virus actuales, programas
cada vez más complejos y estudiados, son conocidos por toda la comunidad
de Internautas, no es menos
cierto que las grandes empresas de software antivirus son cada vez
más rentables, con unos ingresos anuales desorbitantes.
En la actualidad disponer en nuestro ordenador de
un buen programa antivirus, completo y constantemente actualizado es una
necesidad básica si queremos estar
tranquilos en nuestros viajes por Internet, ya que hay una especie
de guerra sumergida entre los creadores de antivirus y los creadores de
virus, de tal forma que
estos últimos buscan burlar completamente la protección
que facilitan estos programas, mientras que especialistas en antivirus
tardan cada vez menos tiempo en
neutralizar los nuevos virus que van apareciendo.
El virus es un pequeño software (cuanto
más pequeño más fácil de esparcir y más
difícil de detectar), que permanece inactivo hasta que un hecho
externo hace
que el programa sea ejecutado o el sector de "booteo" sea leído.
De esa forma el programa del virus es activado y se carga en la memoria
de la computadora,
desde donde puede esperar un evento que dispare su sistema de destrucción
o se replique a sí mismo.
Los más comunes son los residentes en la memoria
que pueden replicarse fácilmente en los programas del sector de
"booteo", menos comunes son los no
residentes que no permanecen en la memoria después que el programa-huesped
es cerrado.
Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y reparación. Como lo hacen:
El virus reorienta la lectura del disco para evitar
ser detectado; Los datos sobre el tamaño del directorio infectado
son modificados en la FAT, para evitar que se
descubran bytes extra que aporta el virus; encriptamiento: el virus
se encripta en símbolos sin sentido para no ser detectado, pero
para destruir o replicarse DEBE
desencriptarse siendo entonces detectable; polimorfismo: mutan cambiando
segmentos del código para parecer distintos en cada "nueva generación",
lo que los
hace muy difíciles de detectar y destruir; Gatillables: se relaciona
con un evento que puede ser el cambio de fecha, una determinada combinación
de tecleo; un
macro o la apertura de un programa asociado al virus (Troyanos).
Los virus se transportan a través de programas
tomados de BBS (Bulletin Boards) o copias de software no original, infectadas
a propósito o accidentalmente.
También cualquier archivo que contenga "ejecutables" o "macros"
puede ser portador de un virus: downloads de programas de lugares inseguros;
e-mail con
"attachments", archivos de MS-Word y MS-Excel con macros. Inclusive
ya existen virus que se distribuyen con MS-Power Point. Los archivos de
datos, texto o
Html NO PUEDEN contener virus, aunque pueden ser dañados por
estos.
Los virus de sectores de "booteo" se instalan en
esos sectores y desde allí van saltando a los sectores equivalentes
de cada uno de los drivers de la PC. Pueden
dañar el sector o sobreescribirlo. Lamentablemente obligan al
formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos
los tipos de Zip de Iomega,
Sony y 3M. (No crean vamos a caer en el chiste fácil de decir
que el más extendido de los virus de este tipo se llama MS Windows
98).
En cambio los virus de programa, se manifiestan cuando
la aplicación infectada es ejecutada, el virus se activa y se carga
en la memoria, infectando a cualquier
programa que se ejecute a continuación. Puede solaparse infecciones
de diversos virus que pueden ser destructivos o permanecer inactivos por
largos periodos de
tiempo.
Podemos distinguir fundamentalmente los siguientes
tipos de virus:
- virus del sector de arranque: que se instalan en
el sector de arranque de los discos duros del ordenador infestado, con
lo que cada vez que se arranca el equipo
el virus se ejecuta y se carga en memoria. Originalmente este tipo
de virus se instalaba en el sector de arranque de DOS, pero ya existen
diversos virus que son
capaces de hacerlo en el registro de arranque principal, como es el
caso de virus MBR.
También entran dentro de este tipo los virus que infectan el
sector de arranque de los disquetes flexibles, aunque actualmente estos
virus son cada vez más difíciles
de encontrar.
- virus de sistema: creados para afectar en primer
lugar al fichero COMMAND.COM y a partir de él extenderse a otras
áreas vitales del sistema, como el sector
de arranque o el Master Boot Record.
- virus parásitos o de fichero: son los más
comunes en la actualidad, e infectan a programas ejecutables, tipo .exe,
.bat o.com. Cuando el programa infectado es
ejecutado por el usuario, a la vez que se carga este se carga también
el virus, quedando residente en memoria, y desde ese momento puede rastrear
la actividad en
el equipo buscando otros programas en ejecución a los que contaminar.
- virus de macro: aparecieron en 1995, y basan su
poder de infección en la asociación a programas o ficheros
que contienen rutinas de código ejecutable
destinadas a hacer más simple su uso por parte del usuario.
Estas porciones de código especial reciben el nombre de macros,
y se pueden encontrar por ejemplo en
los programas comunes de Microsoft Office, como Word, Acces o Excel.
Un virus de este tipo es simplemente una macro diseñada para uno
de estos programas,
que se ejecuta cuando el documento que la contiene es abierto por el
usuario, cargándose en memoria y quedando disponible para infectar
otros documentos
análogos. Estos virus poseen la capacidad de infectarse y propagarse
por sí mismos, sin necesidad de intervención de ningún
programa anfitrión. Aunque están
escritos en lenguajes de macro, pueden no sólo infectar documentos
que las utilicen, si no que pueden estar programados para dar órdenes
directas al sistema
operativo, pudiendo por tanto dar órdenes de borrado de ficharos,
formateo, etc.
- virus multiparticiones: que son un híbrido entre los virus de sector de arranque y los de programa.
- virus polimórficos o mutacionales: que van
cambiando su propio código a medida que se reproduce, de tal forma
que las cadenas que lo forman no son la
misma de una copia a otra. Además, pueden autoencriptarse en
cada modificación, por lo que son los más difíciles
de detectar y eliminar.
- virus anexados: que suelen ir acompañando
a mensajes de correo electrónico, y que aparecieron en 1999. Al
principio había que abrir este fichero anexado al
mensaje de e-mail (como ocurre con el popular virus del enanito), pero
ya se han dado casos de virus que infectan sólo por el hecho de
leer e-mails en formato
HTML, como BubbleBoy.
Estos no son todos los tipos definidos en los diferentes
manuales y artículos sobre los virus que podemos encontrar, pero
si los más representativos. Hay autores
que añaden clasificaciones de acuerdo con el modo de infectar,
con el medio de propagación, etc.
No existe una forma única ni general de
propagación de un virus, teniendo cada tipo de ellos, e incluso
cada uno en particular, su propio sistema de propagación.
En sus primeros tiempos, la vía principal
de expansión de los virus eran los disquetes flexibles. Por entonces
no existían ni el acceso a Internet ni el CD Rom, por
lo que esta era la única forma posible de contagio. Aquellos
virus estaban incrustados en el sector de arranque del disquete, de tal
forma que cuando se usaba el
mismo como disco de inicio, o inadvertidamente arrancaba el ordenador
con este introducido en la disquetera, el virus se hacía con el
control de equipo,
copiándose en el disco duro. Posteriormente, cuando se copiaban
datos a otro disquete en el ordenador infectado, el virus se autocopiaba
en este, quedando así
listo para continuar su labor de infección.
Con la introducción y expansión del
CD Rom, estos sustituyeron a los disquetes flexibles en la labor de medios
portadores de virus, siendo la forma de
contaminación análoga en ambos casos, salvo que en el
CD Rom el virus espera la instalación o ejecución del programa
en que se encuentra oculto.
Otra forma de propagación clásica de
los virus es el correo electrónico, generalmente en forma de archivos
anexos al mensaje de correo. El virus infecta un
programa, y cuando este es enviado por correo y el destinatario lo
abre, el virus se empieza a extender por su equipo. Una modalidad más
inteligente de este tipo
de contagio es cuando el virus es capaz de acceder a las libretas de
direcciones del programa de correo, ya que entonces, la mayor parte de
las veces sin necesidad
de intervención del usuario, el virus empieza a enviar e-mails
a las direcciones presentes en la libreta, enviando a la vez el programa
infectado, con lo que el proceso
de contaminación continúa.
La infección por medio de ficheros ejecutables
no puede realizarse sólo por medio del correo, si no que es posible
coger un virus abriendo cualquier tipo de
programa, generalmente ficheros del tipo EXE, COM o BAT. Así,
podemos descargar un video juego de Internet, o tal vez sea la demo de
un programa cualquiera
que hemos encontrado en el CD Rom, el caso es que al instalar este
programa o al ejecutarlo, el virus que contiene infecta nuestro ordenador,
pudiendo este virus
luego contaminar diferentes programas del mismo, programas que luego
nosotros facilitamos a otras personas, de tal forma que el proceso contaminante
continúa.
Realmente no se trata de virus propiamente dicho,
pero tiene unas ciertas características y funciones en común
con estos programas malintencionados.
Se entiende por Troyano un programa informático
que tiene la capacidad de ocultarse dentro de otro de apariencia inofensiva,
de tal forma que cuando este
programa anfitrión es ejecutado, el troyano se carga en memoria
y realiza la labor dañina para la que fue diseñado. A diferencia
de los virus, los troyanos no se
duplican a sí mismos.
Para activarse, un troyano necesita que se abra el
archivo al que va asociado, al que ha infectado, y una vez que se ha activado
normalmente queda residente en
memoria usando el procedimiento TSR (Terminate and Stay Resident),
quedando así a la espera de que ocurra un determinado evento para
realizar su tarea
destructiva. Su nombre viene de la similitud funcional que poseen con
el famoso caballo de Troya de La Odisea.
A diferencia de los virus, diseñados fundamentalmente
para reproducirse y extenderse, los troyanos son creados muchas veces para
obtener información
privilegiada del ordenador en el que habitan, ya sea accediendo a un
fichero de contraseñas y enviándolo por Internet, bien abriendo
puertas traseras que permiten
luego el acceso a nuestro sistema de personas indeseadas. A este último
tipo pertenecen dos de los programas más usados por los amigos de
lo ajeno: BackOrifice
y NetBus, verdaderos troyanos que abren una puerta trasera en sistemas
Windows, permitiendo el control TOTAL de nuestro ordenador a personas desconocidas.
Se define como Gusano un programa que es capaz de
duplicarse a sí mismo a través de disquetes o de conexiones
a la red, pero no es capaz de infectar a otros
programas. Los gusanos de tipo anfitrión utilizan la red para
copiarse a sí mismos, mientras que los de tipo de red extienden
partes de sí mismos por las redes,
basándose luego en conexiones de red para ejecutar sus distintas
partes. En caso de que el ordenador no está conectado a la red,
los gusanos pueden copiarse en
distintas partes del disco duro.
Otro tipo de software malicioso son los Droppers,
programas diseñados específicamente para evitar su detección
por parte de los antivirus. Su misión principal
es la de transportar e instalar virus.
Estos son algunos de los síntomas mas
habituales que nos indican que tenemos algún tipo de virus residente
en nuestro ordenador:
El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
El tamaño del programa cambia sin razón aparente.
El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.
Si se corre el CHKDSK no muestra "655360 bytes available".
En Windows aparece "32 bit error".
La luz del disco duro en la CPU continua parpadeando
aunque no se este trabajando ni haya protectores de pantalla activados.
(Se debe tomar este síntoma con
mucho cuidado, porque no siempre es así).
No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
Aparecen archivos de la nada o con nombres y extensiones extrañas.
Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).
En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".
En el monitor aparece una pantalla con un fondo de
cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos
de colores y una leyenda en
negro que dice Windows ’98 (No puedo evitarlo, es mas fuerte que yo...!!).
Una infección se soluciona con las llamadas
"vacunas" (que impiden la infección) o con los remedios que desactivan
y eliminan, (o tratan de hacerlo) a los virus de
los archivos infectados. Hay cierto tipo de virus que no son desactivables
ni removibles, por lo que se debe destruir el archivo infectado.
Los antivirus son programas creados por empresas
especializadas que tienen por misión inspeccionar un ordenador en
busca de virus, troyanos y demás software
dañino y, una vez encontrado algún programa de este tipo,
eliminarlo definitivamente del sistema.
Existen muchas empresas dedicadas a la creación
y actualización constante de antivirus (Panda, Norton, etc.), pudiéndose
decir que la mayoría de las empresas
conocidas poseen buenos antivirus.
Estas empresas mantienen una inmensa base de datos
en constante actualización, en la que se recogen la mayoría
de los virus conocidos, su forma de actuar y las
rutinas necesarias para que los programas antivirus puedan detectarlos
y eliminarlos.
Uno de los sistemas que usan los antivirus para localizar
software intruso es el llamado método heurístico, que consiste
básicamente en buscar en el sistema que
analizan cadenas de código que sean similares o afines a las
de los virus conocidos. De esta forma van rastreando todo el sistema operativo
en busca de estas
cadenas, y cuando encuentran una de ellas, si es reconocida como perteneciente
a un virus identificado con seguridad, procederán a informarnos
de ello y
solicitarnos permiso para eliminarlo (muchos antivirus realizan esta
limpieza automáticamente). Si la cadena sospechosa no es identificada
con precisión como
perteneciente a un virus conocido, pero es susceptible de formar parte
de una mutación de alguno de ellos o de un virus desconocido, el
antivirus continuará
rastreando el sistema en busca de repeticiones de esta cadena, ya que
los virus tienen por misión reproducirse en diferentes partes del
disco duro. Si encuentra
repeticiones de cadena, procede como en el caso anterior.
Es pues un método de identificación
de virus por cadenas características, de tal forma que un grupo
de cadenas determinado se asocia a una familia de virus
similares.
La estructura de un programa antivirus, está
compuesta por dos módulos principales: el primero denominado de
control y el segundo denominado de respuesta.
A su vez, cada uno de ellos se divide en varias partes:
- Módulo de control:
Posee la técnica verificación de integridad que posibilita
el registro de cambios en los archivos ejecutables y las zonas críticas
de un disco rígido. Se trata, en
definitiva, de una herramienta preventiva para mantener y controlar
los componentes de información de un disco rígido que no
son modificados a menos que el
usuario lo requiera.
Otra opción dentro de este módulo es
la identificación de virus, que incluye diversas técnicas
para la detección de virus informáticos. Las formas más
comunes de
detección son el scanning y los algoritmos, como por ejemplo,
los heurísticos.
Asimismo, la identificación de código
dañino es otra de las herramientas de detección que, en este
caso, busca instrucciones peligrosas incluidas en programas,
para la integridad de la información del disco rígido.
Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.
Finalmente, el módulo de control también
posee una administración de recursos para efectuar un monitoreo
de las rutinas a través de las cuales se accede al
hardware de la computadora (acceso a disco, etc.). De esta manera puede
limitarse la acción de un programa restringiéndole el uso
de estos recursos, como por
ejemplo impedir el acceso a la escritura de zonas críticas del
disco o evitar que se ejecuten funciones de formato del mismo.
- Módulo de respuesta:
La función alarma se encuentra incluida en todos los programas antivirus
y consiste en detener la acción del sistema ante la sospecha de
la presencia de un
virus informático, e informar la situación a través
de un aviso en pantalla.
Algunos programas antivirus ofrecen, una vez detectado
un virus informático, la posibilidad de erradicarlo. Por consiguiente,
la función reparar se utiliza como una
solución momentánea para mantener la operatividad del
sistema hasta que pueda instrumentarse una solución adecuada. Por
otra parte, existen dos técnicas para
evitar el contagio de entidades ejecutables: evitar que se contagie
todo el programa o prevenir que la infección se expanda más
allá de un ámbito fijo.
Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.
En razón de lo expresado pueden extraerse
algunos conceptos que pueden considerarse necesarios para tener en cuenta
en materia de virus informáticos:
- No todo lo que afecte el normal funcionamiento de una computadora es un virus.
- TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
- Es imprescindible contar con herramientas de detección y desinfección.
- NINGÚN sistema de
seguridad es 100% seguro. Por eso todo usuario de computadoras debería
tratar de implementar estrategias de seguridad antivirus, no
sólo para proteger su propia información sino para no
convertirse en un agente de dispersión de algo que puede producir
daños graves e indiscriminados.
- Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
- UN DISCO DE SISTEMA PROTEGIDO
CONTRA ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo
ejecutable (es
decir, que la máquina pueda ser arrancada desde este disco)
con protección contra escritura y que contenga, por lo menos, los
siguientes comandos: FORMAT,
FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes del MS-DOS).
- POR LO MENOS UN PROGRAMA
ANTIVIRUS ACTUALIZADO: Se puede considerar actualizado a un antivirus que
no tiene más de tres meses
desde su fecha de creación (o de actualización del archivo
de strings). Es muy recomendable tener por lo menos dos antivirus.
- UNA FUENTE DE INFORMACIÓN
SOBRE VIRUS ESPECÍFICOS: Es decir, algún programa, libro
o archivo de texto que contenga la descripción,
síntomas y características de por lo menos los cien virus
más comunes.
- UN PROGRAMA DE RESPALDO
DE ÁREAS CRÍTICAS: Algún programa que obtenga respaldo
(backup) de los sectores de arranque de los disquetes
y sectores de arranque maestro (MBR, Master Boot Record) de los discos
rígidos. Muchos programas antivirus incluyen funciones de este tipo.
- LISTA DE LUGARES DÓNDE
ACUDIR: Una buena precaución es no esperar a necesitar ayuda para
comenzar a buscar quién puede ofrecerla, sino ir
elaborando una agenda de direcciones, teléfonos y direcciones
electrónicas de las personas y lugares que puedan servirnos más
adelante. Si se cuenta con un
antivirus comercial o registrado, deberán tenerse siempre a
mano los teléfonos de soporte técnico.
- UN SISTEMA DE PROTECCIÓN
RESIDENTE: Muchos antivirus incluyen programas residentes que previenen
(en cierta medida), la intrusión de virus y
programas desconocidos a la computadora.
- TENER RESPALDOS: Se deben
tener respaldados en disco los archivos de datos más importantes,
además, se recomienda respaldar todos los archivos
ejecutables. Para archivos muy importantes, es bueno tener un respaldo
doble, por si uno de los discos de respaldo se daña. Los respaldos
también pueden hacerse
en cinta (tape backup), aunque para el usuario normal es preferible
hacerlo en discos, por el costo que las unidades de cinta representan.
- REVISAR TODOS LOS DISCOS
NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no haya sido previamente
utilizado debe ser revisado,
inclusive los programas originales (pocas veces sucede que se distribuyan
discos de programas originales infectados, pero es factible) y los que
se distribuyen junto
con revistas de computación.
- REVISAR TODOS LOS DISCOS
QUE SE HAYAN PRESTADO: Cualquier disco que se haya prestado a algún
amigo o compañero de trabajo, aún
aquellos que sólo contengan archivos de datos, deben ser revisados
antes de usarse nuevamente.
- REVISAR TODOS LOS PROGRAMAS
QUE SE OBTENGAN POR MÓDEM O REDES: Una de las grandes vías
de contagio la constituyen Internet y
los BBS, sistemas en los cuales es común la transferencia de
archivos, pero no siempre se sabe desde dónde se está recibiendo
información.
- REVISAR PERIÓDICAMENTE
LA COMPUTADORA: Se puede considerar que una buena frecuencia de análisis
es, por lo menos, mensual.
Finalmente, es importante tener en cuenta estas sugerencias referentes al comportamiento a tener en cuenta frente a diferentes situaciones:
Cuando se va a revisar o desinfectar una computadora,
es conveniente apagarla por más de 5 segundos y arrancar desde un
disco con sistema, libre de virus y
protegido contra escritura, para eliminar virus residentes en memoria.
No se deberá ejecutar ningún programa del disco rígido,
sino que el antivirus deberá estar en
el disquete. De esta manera, existe la posibilidad de detectar virus
stealth.
Cuando un sector de arranque (boot sector) o de arranque
maestro (MBR) ha sido infectado, es preferible restaurar el sector desde
algún respaldo, puesto que
en ocasiones, los sectores de arranque genéricos utilizados
por los antivirus no son perfectamente compatibles con el sistema operativo
instalado. Además, los virus
no siempre dejan un respaldo del sector original donde el antivirus
espera encontrarlo.
Antes de restaurar los respaldos es importante no olvidar apagar la computadora por más de cinco segundos y arrancar desde el disco libre de virus.
Cuando se encuentran archivos infectados, es preferible
borrarlos y restaurarlos desde respaldos, aún cuando el programa
antivirus que usemos pueda
desinfectar los archivos. Esto es porque no existe seguridad sobre
si el virus detectado es el mismo para el cual fueron diseñadas
las rutinas de desinfección del
antivirus, o es una mutación del original.
Cuando se va a formatear un disco rígido para
eliminar algún virus, debe recordarse apagar la máquina por
más de cinco segundos y posteriormente arrancar el
sistema desde nuestro disquete limpio, donde también debe encontrarse
el programa que se utilizará para dar formato al disco.
Cuando, por alguna causa, no se puede erradicar un
virus, deberá buscarse la asesoría de un experto directamente
pues, si se pidiera ayuda a cualquier
aficionado, se correrá el riesgo de perder definitivamente datos
si el procedimiento sugerido no es correcto.
Cuando se ha detectado y erradicado un virus es conveniente
reportar la infección a algún experto, grupo de investigadores
de virus, soporte técnico de
programas antivirus, etc. Esto que en principio parecería innecesario,
ayuda a mantener estadísticas, rastrear focos de infección
e identificar nuevos virus, lo cual en
definitiva, termina beneficiando al usuario mismo.
Categorías del virus: GUSANO DE CORREO ELECTRÓNICO
¿Reparable?: Si
Descripción breve:
Los días 17 y 18 de Julio del 2001 apareció, en muchos países,
sobretodo en aquellos de habla hispana, dicho gusano. W32/Sircam es un
gusano con una rápida capacidad de propagación masiva, que
se propaga a través del correo electrónico enviándose
a los contactos de la libreta de direcciones de Outlook, infectando los
sistemas operativos de Microsoft Windows 95/98/NT/2000/Me. El gusano escoge
un fichero del equipo afectado para enviarse a sí mismo y le añade
otra extensión. De este modo, el fichero adjunto aparecerá
con doble extensión.
Cuando se ejecuta el archivo
adjunto del mensaje, el gusano se auto-copia al directorio C:\WINDOWS\SYSTEM
con el nombre de SCAM32.EXE y al directorio C:\RECYCLED ("Papelera
de Reciclaje") con el nombre SIRC32.EXE. Este último archivo tiene
el atributo de "oculto" para que no pueda ser visualizado desde el Explorador
de Windows, en el caso de no tener activada la opción "Ver archivos
ocultos o del sistema". Luego modifica el registro de Windows para que
el archivo sea ejecutado la próxima vez se inicie el sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe
Adicionalmente, modifica la llave del registro de Windows:
HKLM\SOFTWARE\Classes\exefile\shell\open\command
Inmediatamente después, SIRCAM busca en la carpeta C:\MIS DOCUMENTOS del sistema infectado, todos los archivos con las siguientes extensiones:
DOC, GIF, JPG, JPEG, MPEG, MOV, MPG, PDF, PIF, PNG, PS, ZIP
Los cuales graba en un archivo llamado SCD.DLL, creado en el directorio C:\WINDOWS\SYSTEM, cuyas extensiones serán usadas en primer lugar, en forma aleatoria.
Asimismo guarda las direcciones de correo obtenidas de las Libretas de Direcciones y de los archivos temporales de Internet, en otro archivo llamado SCD1.DLL, el cual también es creado en el directorio C:\WINDOWS\SYSTEM.
El gusano se agrega al principio de los archivos listados en el archivo SCD.DLL, auto-enviándose en mensajes de correo, con un archivo anexado que también tendrán doble extensión: la del archivo original y la extensión aleatoria, más una de las siguientes extensiones:
BAT, COM, EXE, PIF, LNK
Finalmente el gusano buscará
en las estaciones de trabajo de la red de computadoras con recursos compartidos,
e intentará auto-copiarse dentro del directorio
C:\WINDOWS de cada computador remoto, bajo el nombre RUNDLL32.EXE.
Para realizar esta acción, en primer lugar renombra el archivo rundll32.exe
original como RUN32.EXE, e inmediatamente crea un falso archivo RUNDLL32.EXE.
Si lo logra, el gusano modifica el archivo AUTOEXEC.BAT agregándole
una línea con el falso archivo, que obliga al sistema a ejecutar
los códigos del gusano:
C:\WINDOWS\RUNDLL32.EXE
Este gusano usa sus propias rutinas SMTP (Simple Mail Transfer Protocol) y MIME (Multipurpose Internet Mail Extension), para simular un mensaje y auto-enviarse a todos los buzones de correo de la Libreta de Direcciones de Windows, así como a las direcciones encontradas en el directorio de Archivos Temporales de Internet.
I.Worm/Sircam está escrito en el lenguaje de programación Delphi de Borland y ocupa 137,216 bytes.
El código del virus contiene referencias sobre el origen de autor:
[SirCam Version 1.0 Copyright
© 2001 2rP Made in / Hecho en -
Cuitzeo, Michoacan Mexico]
Dependiendo de ciertas condiciones aleatorias, el virus se auto-copia en la carpeta C:\WINDOWS con el nombre de "ScMx32.exe" y en la carpeta de Inicio, con el nombre de "Microsoft Internet Office.exe".
Después de cada 50 ejecuciones, el virus crea un archivo SIRCAM.SYS en el directorio raiz del disco duro y en él firma de una de las siguientes maneras:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright
© 2001 2rP Made in / Hecho en -
Cuitzeo, Michoacan Mexico]
El texto es escrito en todos
los archivos, hasta llegar a ocupar todo el espacio libre del disco duro.
Metodo de propagación: El gusano llega en un mensaje de correo electrónico, incluido en un archivo adjunto. En la primera línea del mensaje aparece el texto: ¿Hola como estas?. El texto intermedio es variable, pudiendo leerse una de las siguientes frases: ( este texto también puede aparecer en inglés )
'Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste'
Finalmente puede leerse la frase: Nos vemos pronto, gracias
El archivo adjunto, en el que llega incluido el virus, tiene doble extensión. Una de ellas es tomada por el gusano desde el equipo infectado, pudiendo ser la segunda cualquiera de las siguientes: .BAT, .COM, .EXE o .LNK.