CLASIFICACIÓN

Debido a la gran cantidad de virus que existen en la actualidad, éstos se pueden clasificar en función de sus características. El problema aparece cuando algunos de ellos pueden ser incluidos en más de un grupo. Algunos de los criterios que se tienen en cuenta a la hora de clasificar a los virus, son los siguientes:

Medio a través del cual realizan su infección.

Técnicas utilizadas para infectar.

Técnicas utilizadas para ocultarse y evitar a los antivirus.

Tipos de archivos que infectan.

Lugares en los que se esconden tras la infección.

Plataforma o sistema operativo al que atacan.

Acciones que realizan.

Teniendo en cuenta todos ellos, a continuación se elabora una clasificación que agrupa a los tipos de virus más usuales:

1) Infectores del sector de arranque(boot)

2) Virus de fichero

Residentes
De acción directa
De sobreescritura
De "compañía"
De enlace
De macro

Además de estos tipos también existen otros programas informáticos nocivos similares a los virus, pero que no cumplen los requisitosfundamentales de los virus. Estos programas se dividen en cuatro categorías:

3) Virus de e-mail (hoax)
4) Caballos de Troya
5) Bombas lógicas
6) Gusanos

1) Infectores del sector de arranque(boot)

Estos virus residen en la primera parte del disco, conocida como sector de arranque inicial. Se trata de una sección muy importante en un disco, en la cual se guarda la información sobre las características de ese disco, además de incluir un programa que permite arrancar el ordenador con ese disco, determinando previamente si existe sistema operativo en el mismo.

Este tipo de virus, no afectan a los ficheros, por lo que el contenido del disco no estará en peligro a no ser que se intente arrancar el ordenador con dicho disco. Si esto ocurre, el virus realizará la infección siguiendo una serie de pasos:

Se oculta en un determinado sector del disco infectado.
Reserva un determinado espacio en memoria para que éste no sea ocupado por ningún otro programa.
Se coloca en esa zona reservada de la memoria.
Desde esa posición de memoria, intercepta servicios del sistema operativo.

A partir de este momento, ocurre lo siguiente:

Siempre que una aplicación del sistema operativo llama a una función de acceso a ficheros, el virus toma el control.
Se comprueba si el disco al que se accede esta infectado. Si no lo está, lo infecta.
El virus vuelve a colocar el sector de arranque original (sin infectar).
Se modifica el sector de arranque original, escribiendo el código vírico en él.

Entonces, el virus cede el control al sistema operativo, así parecerá no haber ocurrido nada. No obstante, el virus seguirá actuando. Las infecciones de virus de boot se suelen realizar mediante disquetes siendo la protección contra escritura en él, el mejor método de protección.

Estos virus se encargan de guardar una copia del boot original, pero cada uno de ellos lo puede hacer de una forma diferente. Algunos lo copian en una determinada sección del disco y la marcan como defectuosa. Otros lo almacenan en una sección del disco donde ya hubiese información, perdiéndose esta (y siendo imposible de recuperar dicha información). Finalmente los más agresivos o peligrosos sobreescriben el boot original, impidiendo el arranque del ordenador con dicho disco.

2) Los virus de fichero

Este tipo de virus se encarga de infectar programas o ficheros ejecutables. Al realizar la ejecución de uno de estos programas, de forma directa o indirecta, el virus se activa produciendo los efectos dañinos que le caractericen en cada caso. La mayoría de los virus existentes son de este tipo, pudiéndose clasificar en función de las acciones que realizan cada uno de ellos en cada caso, o de la forma y punto de actuación. Estos virus no modifican el contenido del programa en el que aparecen, pero se adhieren a él de tal forma que el código del virus se ejecuta en primer lugar.

a) Residentes

Un virus residente se oculta en la memoria del ordenador e infecta un programa determinado, cuando se

ejecuta dicho programa. Cuando se activan, la primera acción que realizan consiste en comprobar si se cumplen todas las condiciones de activación para atacar. De no ser así, se colocan en una zona de la memoria principal (memoria RAM), esperando que se ejecute algún programa. Cada vez que el sistema utiliza un fichero o programa no infectado, el virus lo infecta añadiendo su propio código al de éste. Algunos virus de este tipo realizan modificaciones en la configuración del sistema, para volver a colocarse en la memoria como residentes, ya que ésta es volátil, siempre que se vuelva a encender o reiniciar el ordenador.

Desde su condición de residentes, interceptan determinados servicios del sistema operativo. Dichos servicios pueden ser utilizados por los programas, cuando se están ejecutando. Esto quiere decir que los virus residentes podrán interferir en las acciones que lleven a cabo los programas que se estén ejecutando en un determinado momento. El resultado es que el virus puede alterar los servicios que necesita el programa, para que apunten o ejecuten partes del código correspondiente al propio virus.

b) De acción directa

Un virus de acción directa selecciona uno o más programas para infectar cada vez que se ejecuta. En el momento de su ejecución, el virus trata de reproducirse, creando copias de sí mismo. Al igual que los residentes, se activará y pasará a realizar infecciones dentro del directorio o carpeta en el que nos encontremos y dentro de los directorios que se encuentran especificados en la ruta de directorios dentro del fichero AUTOEXEC.BAT -este fichero se encuentra siempre en la raíz del disco duro, siendo un fichero de proceso por lotes que realiza ciertas operaciones cuando se enciende el ordenador-. Es posible llevar a cabo la desinfección de los ficheros afectados por el virus, dejándolos en un estado correcto.

La diferencia con los virus residentes es sustancial. El motivo de que los virus de acción directa realicen copias de sí mismos es debido a que no son residentes y por lo tanto no permanecen ejecutándose en memoria. Esto les obliga a reproducirse y actuar directamente.

c) De sobreescritura

Este tipo de virus se caracteriza por no respetar la información contenida en los ficheros que infecta, haciendo que estos queden inservibles posteriormente. Pueden encontrarse virus de sobreescritura que además son residentes y otros que no lo son. Aunque la desinfección es posible, no existe posibilidad de recuperar los ficheros infectados, siendo la única alternativa posible la eliminación de éstos.

Hay que tener en cuenta que los ficheros infectados por virus de sobreescritura, no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero infectado. Esto es debido a que dicho tipo de virus se coloca encima del contenido del fichero infectado, no se incluye de forma adicional en una sección del mismo. El efecto que producen estos virus sobre los ficheros infectados, es la pérdida parcial o total de su contenido. Éste será irrecuperable.

d) De "compañía"

Los virus de compañía no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al SO para que lo ejecute. Éstos pueden ser además residentes o de acción directa. Su nombre es debido a que "acompañan" a otros ficheros que ya existían en el sistema, cuando el virus llega a él. Es decir, para efectuar sus operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve a cabo la ejecución de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos (virus de acción directa).

Al contrario que los virus de sobreescritura o que los residentes, los virus de compañía no modifican los ficheros que infectan. Cuando el sistema operativo está trabajando (ejecutando programas) puede ocurrir que éste tenga que ejecutar un programa con un nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con diferentes extensiones (uno con extensión .EXE y otro con extensión .COM), el sistema operativo ejecutará en primer lugar el que lleve la extensión .COM. Esta peculiaridad del sistema operativo es aprovechada por los virus de compañía.

En caso de existir un fichero ejecutable con un determinado nombre y extensión .EXE, el virus se encargará de crear otro fichero con el mismo nombre pero con extensión .COM haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. Este fichero que crea será el propio virus y el sistema operativo, al encontrarse con dos ficheros que llevan el mismo nombre, ejecutará en primer lugar el de extensión .COM, siendo éste el virus que en ese preciso instante realizará la infección. Tras realizarse la ejecución del fichero .COM correspondiente al virus, éste devuelve el control al sistema operativo para que ejecute el fichero .EXE. De esta forma el usuario no tendrá conocimiento de la infección que en ese preciso instante ha tenido lugar.

e) De enlace

Los virus de enlace, conocidos también como virus de vínculo, modifican la forma en que el SO encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio de un ordenador, y cualquier programa ejecutable al que se acceda en dicho directorio ejecutará el virus. El proceso transcurre de la siguiente manera: el sistema informático asigna a cada archivo o fichero una dirección a la que se debería acceder en caso de desear utilizar ese determinado fichero. Los virus de enlace se encargan de alterar estas direcciones para provocar la infección de un determinado fichero. Si un programa se encuentra en una dirección concreta, para ejecutarlo habrá que acceder a dicha dirección. Sin embargo, el virus de enlace la habrá modificado con anterioridad. Lo que hace es alterar esta dirección (dentro de la FAT) para que apunte al lugar en el que se encuentra el virus, guardando en otro lugar la dirección de acceso correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se hará realmente es ejecutar el virus.

Los virus de enlace pueden infectar toda la información contenida en un disco duro, pero les es imposible realizar infecciones en unidades de red o agregarse a los ficheros infectados. En caso de realizar un análisis del disco en busca de errores se detectarán grandes cantidades de errores que identifican todos los enlaces a los ficheros que el virus ha modificado. No obstante, en este caso sería mejor no recuperarlos ya que podría producirse un caos en lo que al sistema de almacenamiento de la información se refiere, que sería más perjudicial si cabe.

f) De macro

Para entender el modo de actuación de estos virus, primero se debe definir qué es una macro.Una macro no es más que un micro-programa que el usuario asocia al fichero que ha creado con determinadas aplicaciones. Éste no depende del sistema operativo sino de acciones determinadas que el usuario puede realizar dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos de operaciones para que se lleven a cabo como una sola acción del usuario de forma independiente sin necesidad de realizarlas una a una manualmente.

Pues bien, estas macros pueden estar infectadas o infectarse. En este caso, al abrir un documento que contenga macros, éstas se cargarán de forma automática (ejecutándose o esperando que el usuario decida ejecutarlas). En ese instante o posteriormente, el virus actuará realizando cualquier tipo de operación perjudicial. Por otra parte, estos virus pueden infectar las plantillas genéricas o globales (a través de las macros) que las herramientas (procesadores de texto, hojas de cálculo,...) utilizan. Al abrir un documento, hoja de cálculo o base de datos con la plantilla infectada, éstos se infectarán. Éste es el método más habitual que emplean los virus de macro para extender sus infecciones.

Otra característica de los virus de macro es que sus acciones están destinadas exclusivamente a un tipo de documento, hoja de cálculo o archivo de base de datos, creados en Microsoft Word, Excel, ...Un documento creado en otro procesador de texto, como Word Perfect o Ami Pro, no será contagiado al leer o cargar un documento infectado de Word, debido a que éstos no pueden ejecutar las macros que son propias de Word.

No todo tipo de herramientas que utilizan macros pueden verse afectadas por estos virus. Existen virus de macro para Word, Excel, Access, y cualquier tipo de herramienta similar que maneje bases de datos, plantillas, hojas de cálculo,... No obstante, no todos los programas o herramientas que permitan la gestión de macros serán objetivo de este tipo de virus. Las herramientas que son atacadas por los virus de macro, deben cumplir una serie de condiciones:

Las macros pueden transportarse de un ordenador a otro, por estar incluidas en el propio fichero infectado (documento, hoja de cálculo, presentación, base de datos,...).
Se pueden obtener, incluir y utiliza en un fichero las macros que se han creado e incluido en otros.
Las macros pueden ejecutarse automáticamente (al abrir o cerrar el fichero, por ejemplo), sin que esto dependa del usuario.

A modo de ejemplo nos centraremos en los virus de macro de tres aplicaciones ampliamente conocidas:

Virus de macro para Microsoft Word: Son los virus más comunes en la actualidad, siendo su objetivo los documentos de texto creados y manipulados con Microsoft Word (archivos con extensión. DOC -documentos-). Para identificarlos como tal, sus nombres suelen ir precedidos de los siguientes prefijos: WM (virus de macro para Word 6.0 y/o Word 95), W97M (virus de macro para Word 97), o W00M (virus de macro para Word 2000). En estos casos las macros estarán escritas en Visual Basic, además de las macros automáticas.

Mensaje que muestra el procesador de textos Microsoft Word 97 cuando se abre un documento con macros

Los métodos más utilizados para la propagación de sus infecciones son las propias macros, la plantilla global de Word (fichero NORMAL.DOT) y otros tipos de plantillas personales y el directorio INICIO de Microsoft Word.

Virus de macro para Microsoft Excel: El objetivo de estos virus son los libros u hojas de cálculo creadas y manipuladas con Microsoft Excel. Para identificarlos como tal, sus nombres suelen ir precedidos de los siguientes prefijos: XM (virus de macro para Excel 6.0 y/o Excel 95), X97M (virus de macro para Excel 97), o X00M (virus de macro para Excel 2000). En estos casos las macros estarán escritas en Visual Basic, además de las macros automáticas.

Mensaje que muestra la hoja de cálculo Microsoft Excel cuando se abre un libro con macros

Los métodos más utilizados para la propagación de sus infecciones son las propias macros y el directorio INICIOXL de Microsoft Excel.

Virus de macro para Microsoft PowerPoint: El objetivo de estos virus son las presentaciones creadas y manipuladas con Microsoft PowerPoint (archivos con extensión .PPT -presentaciones-). Los métodos más utilizados para la propagación de sus infecciones son las propias macros y la plantilla global de PowerPoint.

Mensaje que muestra la herramienta de presentaciones Microsoft PowerPoint cuando se abre una presentación con macros

3) Virus de e-mail(hoax)

Antes de nada se debe aclarar una cosa. No existe ningún tipo de virus de correo electrónico. No puede haber un virus de correo electrónico porque precisamente el correo no es autoejecutable. Otra cosa diferente es que en un mensaje de correo la persona que lo envía introduzca un programa que tenga algún virus, pero éste sólo se activará cuando el destinatario ejecute dicho programa. En ocasiones (cada vez más) los virus llegan incluidos en mensajes de correo electrónico, por lo que es importante eliminar todos aquellos mensajes sospechosos y/o no solicitados.

Además, existen los denominados hoax. Aunque la gente piense lo contrario, no son virus, sino simplemente mensajes de correo que nos alertan sobre la existencia de un posible virus, pero no son virus.

4) Caballos de Troya (troyanos)

Un caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos. Los troyanos, al igual que los gusanos y las bombas, no se pueden considerar virus como tales. Éstos parecen ser programas inofensivos que llegan a nuestro ordenador por cualquier medio. Cuando ejecutamos este programa (llevarán nombres o tendrán características que nos incitarán a ello), se instalará en nuestro ordenador otro programa que podrá producir efectos destructivos.

En un principio, el troyano podría no activar sus efectos. De todas formas, si se cumple la condición de activación, se podrán eliminar ficheros, perder la información del disco duro, o abrirse los posibles huecos de seguridad a modo de puestas traseras (backdoor) por las que nuestro equipo podría ser atacado(por la importancia que tienen, las puertas falsas podrían clasificarse también como un grupo independiente).

La mayoría de los troyanos se encargan de acceder a determinados puertos de comunicaciones y abrirlos o dejarlos accesibles desde el exterior. En tal caso, a través de una conexión (en una red local o a través de Internet) alguien podría acceder a toda la información contenida en nuestro equipo (contraseñas, claves personales, direcciones de correo electrónico,...), enviar esta información a otras direcciones (a otros ordenadores, generalmente los del atacante) y realizar cualquier tipo de operación sin nuestro consentimiento.

Existe una variedad de los troyanos llamada camaleones. Estos virus actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad estan haciendo algún tipo de daño. Cuando están

correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).

Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero además, como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.

5) Bombas lógicas

Las bombas se caracterizan por "ejecutarse" cuando se cumple una condición determinada. No se consideran virus como tales, ya que no se reproducen, sino que dependen de las acciones realizadas que lleve a cabo el usuario (éste debe copiarlos y/o ejecutarlos, de forma generalmente no intencionada). Las distintas condiciones de activación generan distintos tipos de bombas. Destacan, entre otras:

Bombas de software: fueron durante mucho tiempo el código mas fácil de programar y reproducir. Las bombas de software simplemente detonan a los pocos segundos de ser "lanzadas" (ejecutadas) sin avisar al usuario (o en algunos casos mostrando un mensaje del tipo: "Espere mientras se inicializa el sistema" o "Cargando datos...Por favor espere.) y, generalmente, produciendo una perdida total de los datos del computador. Por lo general no se reproducen.

Bombas lógicas: similares a las bombas de software, realizan algún tipo de acción destructiva dependiendo del estado de algunas variables de ambiente del sistema donde actúan. Una bomba lógica podría, por ejemplo, esperar que su "creador" ingrese periódicamente una contraseña y empezar a actuar cuando la misma no es provista por un tiempo determinado (dias, semanas, meses) produciendo la destrucción de los datos del sistema.

Bombas de tiempo: este tipo de programas son técnicamente iguales a las bombas lógicas, ya que actúan condicionadas a alguna variable del ambiente relacionada con el tiempo. Por ejemplo, las bombas de tiempo se programan para "estallar" después de tantas ejecuciones (al menos 2 ejecuciones), en una fecha determinada (6 de marzo o viernes 13) o a una hora determinada del dia (por ejemplo a medianoche).

6) Gusanos

Los gusanos(worms) se diferencian de los virus en que no intentan infectar otros ficheros. Su único objetivo es propagarse o expandirse a otros ordenadores de la forma más rápida posible. En realidad su objetivo es crear copias de sí mismos y con ellas realizar infecciones en otros ordenadores. Las infecciones producidas por éstos se realizan casi siempre a través de medios como el correo electrónico, las redes de ordenadores y los canales de IRC en Internet. También es posible que se repliquen dentro de la memoria del PC.

Cuando un gusano es ejecutado, permanece así hasta que se apaga o se reinicia el ordenador. No obstante cada uno de ellos utiliza técnicas diferentes para asegurar su ejecución siempre que se arranca el ordenador y se entra en Windows. Por ejemplo, la modificación del Registro de Windows. Los gusanos que centran sus infecciones en otros ordenadores, copian el programa que utilizan para realizar la infección en un determinado directorio de dicho equipo. Por otra parte, podría darse en caso de que el gusano estuviese compuesto por varios programas. En tal caso, cada uno de ellos actuará de forma subordinada a uno de éstos que se considerará principal. Esta variación, suele ser denominado como gusano de red.