Los virus de las computadoras, también llamados virus informáticos , son en primer lugar, un atentadoVIRUS
Definición
1 m. p. us. Humor
maligno.
2 MED. Agente
infeccioso, comúnmente invisible y filtrable, capaz de
reproducirse
en el seno de células vivas específicas, siendo sus
componentes
esenciales ácidos nucleicos y proteínas.
3 fig. Moralmente,
lo que es origen de contagio.
4 fig. Mal,
en general.
5 INFORM. Programa
que provoca intencionadamente el mal
funcionamiento
de un ordenador. Pl. virus
Origen de los
Virus
Los virus tienen la misma edad que las computadoras. Ya en 1949 John
Von Neumann, describió
programas que se reproducen a sí mismos en su libro "Teoría
y Organización de Autómatas
Complicados". Es hasta mucho después que se les comienza a llamar
como virus. La característica
de auto-reproducción y mutación de estos programas, que
las hace parecidas a las de los virus
biológicos, parece ser el origen del nombre con que hoy los
conocemos.
Antes de la explosión de la micro computación se decía
muy poco de ellos. Por un lado, la
computación era secreto de unos pocos. Por otro lado, las entidades
gubernamentales, científicas o
militares, que vieron sus equipos atacadas por virus, se quedaron muy
calladas, para no demostrar la debilidad de sus sistemas de seguridad,
que costaron millones, al bolsillo de los contribuyentes.
La empresa privadas como Bancos, o grandes corporaciones, tampoco podían decir nada, para no perder la confianza de sus clientes o accionistas. Lo que se sabe de los virus desde 1949 hasta 1989, es muy poco.
Se reconoce como antecedente de los virus actuales, un juego creado
por programadores de la
empresa AT&T (mamá Bey), que desarrollaron la primera versión
del sistema operativo Unix, en los años 60. Para entretenerse, y
como parte de sus investigaciones, desarrollaron un juego, "Core War",
que tenía la capacidad de reproducirse cada vez que se ejecutaba.
Este programa tenía instrucciones destinadas a destruir la memoria
del rival o impedir su correcto funcionamiento.
Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía
las copias hechas por
Core Ware. Un antivirus o antibiótico, al decir actual. Conscientes
de lo peligroso del juego,
decidieron mantenerlo en secreto, y no hablar más del tema.
No se sabe si esta decisión fue por
iniciativa propia, o por órdenes superiores.
En 1982, los equipos Apple II comienzan a verse afectados por un virus
llamado "Cloner" que
presentaba un mensaje en forma de poema.
El año siguiente, 1983, el Dr. Ken Thomson, uno de los programadores de AT&T, que trabajó en la creación de "Core War", rompe el silencio acordado, y da a conocer la existencia del programa, con detalles de su estructura, en una alocución ante la Asociación de Computación.
La Revista Scientific American a comienzos de 1984, publica la información
completa sobre esos
programas, con guías para la creación de virus. Es el
punto de partida de la vida pública de estos
aterrantes programas, y naturalmente de su difusión sin control,
en las computadoras personales.
Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostración
en la Universidad de
California, presentando un virus informático residente en una
PC. Al Dr. Cohen se le conoce hoy día, como "el padre de los virus".
Paralelamente aparece en muchas PCs un virus, con un nombre similar a Core
War, escrito en Small-C por un tal Kevin Bjorke, que luego lo cede a dominio
público. ¡La cosa comienza a ponerse caliente!
El primer virus destructor y dañino plenamente identificado que
infecta muchas PC’s aparece en
1986. Fue creado en la ciudad de Lahore, Paquistán, y se le
conoce con el nombre de BRAIN.
Sus autores vendían copias pirateadas de programas comerciales como Lotus, Supercalc o Wordstar, por suma bajísimas. Los turistas que visitaban Paquistán, compraban esas copias y las llevaban de vuelta a los EE.UU. Las copias pirateadas llevaban un virus. Fue así, como infectaron mas de 20,000 computadoras. Los códigos del virus Brain fueron alterados en los EE.UU., por otros programadores, dando origen a muchas versiones de ese virus, cada una de ellas peor que la precedente. Hasta la fecha nadie estaba tomando en serio el fenómeno, que comenzaba a ser bastante molesto y peligroso.
Comienza la lucha contra los virus
En 1987, los sistemas de Correo Electrónico de la IBM, fueron
invadidos por un virus que enviaba
mensajes navideños, y que se multiplicaba rápidamente.
Ello ocasionó que los discos duros se llenaran de archivos de origen
viral, y el sistema se fue haciendo lento, hasta llegar a paralizarse por
mas de tres días. La cosa había llegado demasiado lejos y
el Big Blue puso de inmediato a trabajar en los virus su Centro de Investigación
Thomas J. Watson, de Yorktown Heights, NI.
Las investigaciones del Centro T. J. Watson sobre virus, son puestas en el dominio público por medio de Reportes de Investigación, editados periódicamente, para beneficio de investigadores y usuarios.
El virus Jerusalem, según se dice creado por la Organización
de Liberación Palestina, es detectado
en la Universidad Hebrea de Jerusalem a comienzos de 1988. El virus
estaba destinado a aparece el 13 de Mayo de 1988, fecha del 40 aniversario
de la existencia de Palestina como nación. Una
interesante faceta del terrorismo, que ahora se vuelca hacia la destrucción
de los sistemas de
cómputo, por medio de programas que destruyen a otros programas.
El 2 de Noviembre del 88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Mas 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigación públicos y privados se ven atacados.
Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan
los 100, y la epidemia
comienza a crear situaciones graves. Entre las medidas que se toma,
para tratar de detener el avance de los virus, es llevar a los tribunales
a Robert Morís Jr. acusado de ser el creador de un virus que infectó
a computadoras del gobierno y empresas privadas. Al parecer, este muchacho
conoció el programa Core Ware, creado en la AT&T, y lo difundió
entre sus amigos. Ellos se encargaron de diseminarlo por diferentes medio
a redes y equipos. Al juicio se le dio gran publicidad, pero no detuvo
a los creadores de virus. La cantidad de virus que circula en la actualidad
es desconocida.
McAfee y Asociados , una empresa creada por John McAfee y dedicada a
la producción de
programas anti-virales, que distribuye sus trabajos por medio del sistema
shareware, o programas de uso compartidos identificaba a comienzos de 1996
los siguientes:
Virus Principales Conocidos...... 534
Variaciones de esos Virus..........729
Total de Virus Identificados ....1,263
Por ejemplo, del virus Stoned se conoce mas de 26 versiones diferentes,
del virus Dark Avenger se identifica mas de 11 versiones, del virus Paquistaní
Brain 8 versiones y del virus Plastique 9
versiones.
John McAfee es un nombre importante en la corta historia de la guerra
contra los virus y en el
desarrollo de programas preventivos (vacunas) y programas curativos
(antibióticos). Sus esfuerzo en la identificación y destrucción
de virus informáticos merece todo el respeto y apoyo de la comunidad
de usuarios de computadoras.
¿Por qué llamarlos Virus?
La gran similitud entre el funcionamiento de los virus computacionales y los virus biológicos, propició que a estos pequeños programas se les denominara virus.
Los virus de las computadoras no son mas que programas; y estos virus
casi siempre los acarrean las copias ilegales o piratas. Provocan desde
la pérdida de datos o archivos en los medios de
almacenamiento de información (diskette, disco duro, cinta),
hasta daños al sistema y, algunas veces, incluyen instrucciones
que pueden ocasionar daños al equipo.
Estos programas tienen algunas características muy especiales:
· Son muy pequeños.
· Casi nunca incluyen el nombre del
autor, ni el registro o copyright, ni la fecha de
creación.
· Se reproducen a sí mismos.
· Toman el control o modifican otros
programas.
Los científicos del área de la computación discutieron por primera vez la posibilidad de un programa capaz de duplicarse a sí mismo y extenderse entre las computadoras desde los 50. Pero no fue sino hasta 1983 que un software de virus real fue creado, cuando un estudiante en la Universidad de California, Fred Cohen, escribió una tesis de doctorado sobre el tema.
Motivos para crear un virus. A diferencia de los virus que causan resfriados
y enfermedades en
humanos, los virus de computadora no ocurren en forma natural, cada
uno debe ser programado. No existen virus benéficos. Algunas veces
son escritos como una broma, quizá para irritar a la gente desplegando
un mensaje humorístico. En estos casos, el virus no es mas que una
molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién
sabe realmente la ausa? ¿Aburrimiento? ¿Coraje? ¿Reto
intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores.
Un virus de computadora típico ejecuta dos funciones
1. Se copia a sí mismo a un programa, no infectado.
2. Ejecuta cualquier instrucción que el autor del virus incluyó
en él. Las instrucciones las puede
ejecutar en una fecha predeterminada, o luego de un número de
ejecuciones. También lo puede hacer en forma alterna e imprevista
(random).
Dependiendo de los motivos que tuvo el autor para crearlo, las instrucciones
de un virus pueden ser de cualquier tipo. Desde desplegar un inocente mensaje
en la pantalla a borrar y/o alterar
completamente la información almacenada en un medio magnético
(disquete, disco fijo). En algunos
casos, un virus puede contener instrucciones que no sean destructivas,
pero puede causar daño al
replicarse a sí mismo, utilizando recursos limitados del sistema,
como espacio en discos, tiempo de la memoria principal o conexiones de
una red.
Existe una cantidad de problemas similares a los virus de computadoras.
Tienen nombres como
bacterias, lombrices, conejos, etc. Todos ellos comparten la propiedad
común de replicarse a sí
mismos, dentro de los sistemas de cómputo.
Clasificación
* Virus de Macros/Código Fuente.
Se adjuntan a los programas Fuente de los
usuarios y, a las macros utilizadas por: Procesadores
de Palabras (Word, Works,
WordPerfect), Hojas de Cálculo (Excell,
Quattro, Lotus).
* Virus Mutantes. Son los que
al infectar realizan modificaciones a su código, para
evitar ser detectados o eliminados (NATAS
o SATÁN, Miguel Angel, por mencionar
algunos).
* Gusanos. Son programas que
se reproducen a sí mismos y no requieren de un
anfitrión, pues se "arrastran" por
todo el sistema sin necesidad de un programa que los
transporte.
Los gusanos se cargan en la memoria y se posicionan
en una determinada dirección,
luego se copian en otro lugar y se borran
del que ocupaban, y así sucesivamente. Esto
hace que queden borrados los programas o la
información que encuentran a su paso por
la memoria, lo que causa problemas de operación
o pérdida de datos.
* Caballos de Troya. Son aquellos
que se introducen al sistema bajo una apariencia
totalmente diferente a la de su objetivo final;
esto es, que se presentan como
información perdida o "basura", sin
ningún sentido. Pero al cabo de algún tiempo, y
esperando la indicación programada,
"despiertan" y comienzan a ejecutarse y a mostrar
sus verdaderas intenciones.
* Bombas de Tiempo. Son los programas
ocultos en la memoria del sistema o en los
discos, o en los archivos de programas ejecutables
con tipo COM o EXE. En espera de
una fecha o una hora determinadas para "explotar".
Algunos de estos virus no son
destructivos y solo exhiben mensajes en las
pantallas al llegar el momento de la
"explosión". Llegado el momento, se
activan cuando se ejecuta el programa que las
contiene.
* Autorreplicables. Son los virus
que realizan las funciones mas parecidas a los virus
biológicos, ya que se autorreproducen
e infectan los programas ejecutables que se
encuentran en el disco. Se activan en una
fecha u hora programadas o cada
determinado tiempo, contado a partir de su
última ejecución, o simplemente al "sentir"
que se les trata de detectar. Un ejemplo de
estos es el virus del Viernes 13, que se
ejecuta en esa fecha y se borra (junto con
los programas infectados), evitando así ser
detectado.
* Infectores del área de carga
inicial. Infectan los diskettes o el disco duro,
alojándose inmediatamente en el área
de carga. Toman el control cuando se enciende la
computadora y lo conservan todo el tiempo.
* Infectores del sistema. Se
introducen en los programas del sistema, por ejemplo
COMMAND.COM y otros que se alojan como residentes
en memoria. Los comandos
del Sistema Operativo, como COPY, DIR o DEL,
son programas que se introducen en
la memoria al cargar el Sistema Operativo
y es así como el virus adquiere el control
para infectar todo disco que sea introducido
a la unidad con la finalidad de copiarlo o
simplemente para ver sus carpetas (también
llamadas: folders, subdirectorios,
directorios).
* Infectores de programas ejecutables.
Estos son los virus mas peligrosos, porque se
diseminan fácilmente hacia cualquier
programa (como hojas de cálculo, juegos,
procesadores de palabras).
La infección se realiza al ejecutar
el programa que contiene al virus, que en ese
momento se posiciona en la memoria de la computadora
y a partir de entonces
infectará todos los programas cuyo
tipo sea EXE o COM, en el instante de ejecutarlos,
para invadirlos autocopiándose en ellos.
Aunque la mayoría de estos virus ejecutables "marca" con un byte especial los programas infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos (como el de Jerusalén) se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.
¿Cómo Evitarlos?
1. Sospecha de los programas activos
todo el tiempo (residentes en memoria). Los
virus tienen la mala costumbre de quedarse
en memoria para realizar sus fechorías.
2. Sospecha de cualquier programa gratuito
(shareware, freeware; fotos, videos,
rutinas, patchs) que bajes de Internet. Los
fabricantes de virus colocan frecuentemente
en estos sus nocivos productos.
3. Obtén una lista de los virus
mas comunes y verifica contra esta lista cualquier
programa nuevo que tengas.
4. Fíjate en el tamaño
de los archivos del sistema [COMMAND.COM principalmente].
Sospecha si es diferente del original.
5. Haz una copia de la Tabla de Localidades
para Archivo [File Allocation Table] y
CMOS si te es posible. Te ahorrará
mucho tiempo, dinero y esfuerzo el copiarla de
nuevo si algún virus la dañó.
6. Al estar buscando un virus, y si
tienes disco duro, bloquea el acceso a este
temporalmente.
7. No permitir a nadie que traiga software
para ser utilizado en los equipos de la
empresa, que no este debidamente probado como
libre de virus, por una persona
autorizada y confiable de la organización.
8. Mantener respaldos (backup) de programas e información.
9. Revisarse periódicamente los
sistemas de seguridad para determinar e identificar
debilidades.
10. Controlar y limitar el acceso del
personal a las computadoras, de modo que el uso
de ellas este de acuerdo con sus responsabilidad
y tareas, y a las políticas de la
organización.
11. Debe hacerse que conocer sobre seguridad,
sea un requisito para el uso de las
computadoras.
12. Poner personas que sepan sobre como
tratar a los virus, a cargo de cualquier
incidente en que se sospeche infección.
Estas personas pueden ser de la organización
misma o externas a ella. Esa persona o personas
tendrán a su cargo instruir al personal
y hacerse cargo de erradicar la infección
viral que se presente.
13. Asegurarse que cada empleado que
tiene acceso a las computadoras, sepa con
quién comunicarse cuando se sospeche
incidente en que este envuelto un posible virus.
14. Desarrollarse un Plan de Acción
para tratar con los virus, antes que ocasionen un
problema serios.
15. Minimizar los riesgos de infección
ya sea proveniente de fuentes internas o
externas.
16. Establecer mecanismos destinados
a detectar cualquier infección, a la brevedad
posible.
17. Erradicar la práctica de
"utilizar juegos" en la empresa. Es por medio de ellos que
gran parte de los virus se ha propagado profusamente.
(Los equipos no son para jugar).
Prevención es la mejor medicina contra los virus de computadora.
Es conveniente entender que los
virus ya forman parte de la cultura computacional. No hay que asustarse
demasiado, pero tampoco
hay que disminuirles importancia. Es preferible, en cualquier caso,
mantenerlos muy alejados de los
equipos.
Para tener una información actualizada diariamente de los virus
que pueden aparecer en tu
ordenador, puedes consultar la página www.alerta-antivirus.es
en la cual te informan de los nuevos
virus encontrados en los últimos días, semanas, meses
… Es una pagina de gran utilidad en la
prevención ya que para prevenir lo más importante es
la información del “enemigo”.
Síntomas de la existencia de virus
El comportamiento de los virus es bastante errático. Cada uno de ellos realiza funciones distintas, por lo que son difíciles de detectar. Muchos virus pueden permanecer en la computadora sin hacer nada por mucho tiempo. Lo único que se sabe de ellos es que no son confiables. Hay que ver cómo nos deshacemos de ellos lo antes posible.
Hay algunos síntomas que pueden indicar (sin ninguna seguridad)
la existencia de virus en nuestros
equipos, algunos de ellos:
Problemas en la inicialización (booteo).
Aumento del tamaño de archivos ejecutables.
Al correr el programa CHKDSK, da menos de 655,360 bytes de memoria
total. Por ejemplo: 642,800
En todo caso la mejor forma de salir de dudas sobre el origen de nuestros
problemas, es hacer una
revisión del sistema, con un programa que busque la existencia
de virus en la memoria y en todas las unidades de disco (A:,B:,C:, etc.).
Disquete destructor de virus
El primer paso en la detección y lucha contra virus, que se instalan
en un sistema de computo, es
preparar un disquete que contenga los programas del sistema operativo
necesarios para inicializar el sistema desde la unidad A y los que contenga
los programas Antivirales necesarios, para eliminarlos.
El disquete anti-virus deberá contener al menos, los siguientes
programas:
IBMBIOS.COM
IBMDOS.COM
COMMAND.COM
y los PROGRAMAS ANTIVIRALES
Este disquete debe protegerse contra grabación. Todos los programas
antivirus, mencionados, se
distribuyen bajo el concepto de shareware, por lo cual son fáciles
de conseguir en tiendas de venta de software o directamente de los autores.
Rastreando y Eliminando Virus
Hay numerosos programas que realizan la función de detectar virus
en un sistema. Uno de los
programas reconocidos como de los mejores, para realizar esta función,
es el programa de McAfee y Asociados, llamado VSCAN. De este programa salen
versiones actualizadas cada dos meses. Cada nueva versión está
capacitada para detectar nuevos virus que aparecieron desde la versión
anterior.
El programa VScan tiene un sistema de validación, que revisa el programa, cuando se le activa, para detectarse alguna modificación causada por virus (VALIDATE.COM).
El programa Scan revisa primero en la memoria RAM, y luego en todas
las uni dades de
almacenamiento, directorio por directorio, archivo por archivo, la
existencia de virus conocidos.
En caso de encontrar algún virus, el programa da un mensaje que
indica el directorio, nombre del
archivo y nombre del virus, que se encontró:
\DOS\COMMAND.COM se encontró DARK AVENGER [DAV]
\LOTUS\123.EXE se encontró MICHELANGELO [MICH]
\WP51\WP.EXE se encontró STONED [STONED]
El primer mensaje indica que al revisar el programa del COMMAND.COM,
se encontró que el Virus Dark Avenger, había incrustado en
él algunas instrucciones ajenas. De igual modo, MICH y
STONED modificaron los ejecutables de Word Perfect y Lotus.
Si al hacer su revisión, el programa SCAN, no encuentra virus
en el sistema, lo señala, dando un
mensaje, que pone muy felices a los que tenemos la dicha de verlo,
cuando ejecutamos Scan:
"Su sistema y unidades de disco están libres de virus". Este
mismo programa destruye los virus, haciendo la función de antibiótico.
Aparte de otros comandos, este programa tiene una opción llamada
CLEAN, cuya función es destruir los virus descubiertos. Se activa
fácilmente dando el comando:
SCAN /CLEAN
El antibiótico o antivirus saca el virus parásito del
programa ejecutable, dejándolo limpio.
Lamentablemente en muchas ocasiones el programa queda dañado,
por lo que no correrá en el
futuro.
Otro programa facil de utilizar, dado que está basado en menús,
es F-PROT que produce, y
distribuye bajo el concepto shareware, la empesa Frisk Software, de
Iceland.
Una vez activado, este programa presenta un menú con opciones
para buscar virus en las unidades
de disco, configurar las opciones del programa, u una lista de los
virus comunes con explicación de
sus características. Procedimiento Recomendado
1. Apagar la computadora sospechosa por lo menos 5 minutos.
2. Iniciar el sistema desde unidad A, utilizando el disquete especialmente
preparado, y que esté
completamente libre de infecciones.
3. Correr desde a el programa detector y eliminador de virus.
4. Seguir las instrucciones del programa y del manual correspondiente.
NOVEDADES en VIRUS
GONER, gusano que para infectar deshabilita Antivirus y Firewalls.
Goner, es un gusano propagado en los primeros dias de Diciembre del 2001 en los Estados Unidos, de gran difusión masiva a traves de mensajes de correo electrónico vía Internet, con un archivo anexado denominado GONE.SCR simulando ser un protector de pantalla de una extensin de 39kb.
Este gusano tiene la particular y eficiente caracteristica de deshabilitar los antivirus y Firewalls de los servidores, estaciones de trabajo, equipos individuales y PC domésticos.
Infecta los sistemas operativos Microsoft Windows 95/98/NT/2000/Me,
incluyendo los servidores
NT/2000.
Goner ha sido desarrollado en lenguaje Visual Basic 6.0 y está
comprimido con el utilitario UPX
(Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Haciendo uso de las funciones de las libreras MAPI (Messaging Application
Programming
Interface), una vez que un sistema es infectado, Goner se auto-envia
a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje
de correo
También se propaga a través del ICQ (I Seek You), el revolucionario y popular sistema de Chat en Internet.
http://web.icq.com
Intenta deshabilitar los software antivirus y otras aplicaciones de seguridad como Firewalls, instalados en el equipo infectado. Pará lograr este objetivo el gusano hace una búsqueda de los siguientes procesos en memoria:
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
PCFWallIcon.EXE
PW32.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
Si cualquiera de los procesos antes mencionados es encontrado, lo hace terminar y luego borrar todo el contenido de la carpeta que contenga dicho proceso.
Además, si encuentra la carpeta C:\Safeweb, borrar todos los archivos que se encuentren en ella. Si durante las acciones anteriores no pudiese borrar algún archivo, crear el archivo Wininit.ini, con el objetivo de eliminarlo luego de reiniciar el equipo.
Adicionalmente, con el propósito de asegurarse de ser ejecutado
la próxima vez que reinicie
Windows se auto-copia al directorio C:\Windows\System con el nombre
de GONE.SCR y crear la siguiente llave de registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
C:\Windows\System\gone.scr
Finalmente, dentro del cuerpo de su cdigo viral se lee:
Comentarios: Power Puff girls rulz! ;>
Nombre del producto: pentagone
Nombre interno: gone
Nombre original del archivo: gone.scr
W32.Gokar.A@mm Gusano, Puedes llegar a contaminarte navegando.
Se distribuye usando el correo electrónico (Microsoft Outlook),
IRC (mIRC Client Script) y
servidores de red (Microsoft Internet Information Server o Personal
Web Server). Los usuarios que naveguen por servidores de Internet infectados
con este virus contraerán la infección.
Descripción:
El virus llega en un mensaje con las siguientes características:
Asunto:
"I were God and didn't belive in myself would it be blasphemy" ó
"Just one kiss, will make it better. just one kiss, and we will be
alright." ó
"I like this calm, moments before the storm" ".. and there's no need
to be scared, you re always on
my mind. " ó "
The horizons lean forward, offering us space to place new steps of
change." ó
"The A-Team VS KnightRider ... who would win ?" ó
"I can't help this longing, comfort me." ó
"And I miss you most of all, my darling ... " ó
"... When autumn leaves start to fall " ó
"I will always be with you sometimes black sometimes white ... " ó
"The air will hold you if you try, trust my wings of desire. Glory,
Glorified....... " ó
"Darling, when did you fall..when was it over ? " ó
"You just take a giant step, one step higher." ó
"It's dark in here, you can feel it all around. The underground"
Cuerpo del mensaje:
"Happy Birthday Yeah ok, so it's not yours it's mine :) still cause
for a celebration though, check out
the details I attached %Nombre del Emisor del Mensaje %" ó
" Hey: They say love is blind ... well, the attachment probably proves
it. Pretty good either way
though, isn't it ? Happy Birthday %Nombre del Emisor del Mensaje %"
ó
"You should like this, it could have been made for you speak to you
later %Nombre del Emisor del
Mensaje %"
Archivo adjuntos:
(combinación aleatoria de letras y números).bat
(combinación aleatoria de letras y números).com
(combinación aleatoria de letras y números).exe
(combinación aleatoria de letras y números).pif
(combinación aleatoria de letras y números).scr
¿ Qué hace el virus?
El virus se copia a si mismo al directorio Windows con el nombre: Karen.exe,
creando una entrada
en el registro de sistema, para asegurarse la carga cada vez que se
inicia el equipo:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Karen=C:\WINDOWS\karen.exe"
El virus intenta reproducirse utilizando scripts de mIRC.
Asimismo el virus se autoenvía usando las direcciones válidas
que el propio virus extrae de la libreta
de direcciones de Microsoft Outlook.
Si el usuario está corriendo un servidor de Internet (Microsoft
IIS o Personal Web Server), el virus
se autoenvía a todos los usuarios que visiten ese servidor.
El virus se copia como:
"c:\inetpub\wwwroot\web.exe" y crea el archivo: "c:\inetpub\wwwroot\default.htm"
Síntoma de la presencia del virus
La existencia del archivo: Karen.exe, denota la presencia del virus.
¿ Qué versiones de antivirus detectan a este virus ?
Los siguientes programas antivirus que detectan este virus:
1. Total Virus Defense, de McAfee:
i. Versión 4.5 o superior
ii. Motor: 4070 o superior
iii. Base de Datos: 4176 o posterior. o usando el extra.dat provisto
por McAfee.
2. Sophos Antivirus: Versiones posteriores a la 3.54 o con el IDE respectivo
3. Norton Antivirus actualizando las definiciones de virus al 13/12/01.
Protección avanzada: Para usuarios de filtro de correo
Los filtros de correo que permiten una análisis granular (MailSweeper,
Tumbleweed) pueden lograr
el mejor nivel de protección rechazando archivos ejecutables
(por formato no por extensión) excepto aquellos provenientes de
direcciones específicas seguras (desarrolladores contratados, proveedores).
RST.b, Virus bajo LINUX
La infeccion fue descubierta en diciembre pasado por varios usuarios de Linux y luego fue ratificada por Ryan Russell, uno de los investigadores de la empresa de seguridad SecurityFocus. Este virus es una variante del conocido RST (Remote Shell Troyan), el cual fue creado a mediados de 2001.
El virus se conecta a un servidor web a traves del protocolo "user datagram" y luego, infecta archivos ejecutables y binarios reemplazandolos con sus propias instrucciones. Una vez hecho esto la maquina queda a merced de quien lo desee, pudiendo ingresar incluso nuevas instrucciones que podrian destruir el sistema.
Investigadores de SecurityFocus advirtieron acerca de la peligrosidad
de RST.b, ya que junto con
infectar la maquina, abre sus puertas para que hackers hagan suyo un
computador ajeno.
Los expertos tomaron contacto con el ISP que aloja al servidor que toma
el control de los
computadores infectados. Segun Ryan Russell, el proveedor habria contestado
solo que "la cuenta
sindicada habia sido eliminada hace algunas semanas", pero no quisieron
responder a mas detalles, los cuales habian sido requeridos por SecurityResponse.
Lion, un peligroso gusano que ataca a Linux
Un nuevo gusano llamado Lion actúa de forma similar al virus
Ramen. Sin embargo este virus es
mucho más peligroso según advierte SANS Institute
Este gusano roba passwords, instala troyanos en el sistema infectado y utiliza esto para buscar otros servidores que atacar.
Lion consigue infectar los servidores Linux explotando las conocidas
vulnerabilidades del DNS de
BIND . Se sabe que las máquinas que trabajen con las versiones
8.2, 8.2-P1, 8.2.1, 8.2.2-Px de
BIND son vulnerables a este virus.
Lion se expande por la Red por medio de una aplicación llamada
"randb". Randb repasa
aleatoriamente las redes sondeando el puerto 53 TCP. Así, Lion
consigue encontrar sistemas
vulnerables.
Cuando Lion consigue infectar un sistema:
Envía los contenidos de /etc/passwd. /etc/shadow y configuraciones
de red a una dirección en
china.com
Borra el /etc/hosts.Deny, permitiendo así que puedan acceder
al sistema máquinas que tenían el
acceso bloqueado.
Instala puertas traseras en los puertos 60008/tcp y 33567/tcp via el
daemon inetd.
Instala una versión del SSH troyanizado en el puerto 33568/tcp.
Acaba con el syslogd impidiendo con lo que no se generan logs del sistema.
Instala una versión troyanizada del login que permite entrar
en el sistema y convertirse en root.
Además la detección de este virus es complicada ya que
Lion reemplaza varios binarios del sistema
(du, find, ifconfig, in.telnetd, in.fingerd, login, ls, mjy, netstat,
ps, pstree, top) para esconder su
presencia en el sistema.
Sans Institute ha elaborado una herramienta llamada Lionfind que permite
saber si este destructivo
gusano se ha instalado en nuestro sistema. De momento, esta herramienta
no consigue erradicar este
virus del sistema. La única forma de defenderse de este peligroso
gusano es actualizar las versiones
vulnerables de BIND.
OTROS TIPOS DE VIRUS
Surge virus "pro Linux"
El virus, el cual fue desarrollado por un hacker quien se hace llamar
"The Penguin", llega adjunto en
un correo electrónico con el tema: "A great Shockwave Flash
movie". Una vez que el programa es
ejecutado, el virus envía copias de si mismo a todos los destinatarios
de la libreta de direcciones de
Outlook.
Asimismo, el programa se autocopia en el disco C: en el directorio raíz
y en el archivo de inicio de
Windows. Después envía una notificación por correo
electrónico a una dirección anónima en el mail de
yahoo.com, la cual se presume es la dirección del autor del virus,
con el mensaje: "Got yet another idiot" (“Cayó otro idiota”).
Después el virus busca en un disco duro local por los archivos
con extensiones .ZIP, .MP3 y .JGP, y los mueve al directorio C:. Y añade
a los nombres de los archivos "change at least now to LINUX", según
se informó. De acuerdo a la información, el virus señala
a la víctima que “podría haber sido peor”, explicando que
no aprovechó la posibilidad de borrar su disco duro. También
deja un archivo que en el que se señalan instrucciones sobre como
limpiar el virus del sistema.