PUNTOS DE INFECCIÓN

    Cuando un virus infecta el sistema, ¿en qué lugar inserta el código ejecutable?. Existen una gran cantidad de zonas del sistema que pueden verse atacadas, pero principalmente los virus suelen infectar el sector de arranque(boot), el intérprete de comandos, los archivos ejecutables, los drivers,... En cuanto a las técnicas utilizadas para ello, son muy variadas. Cada una proporciona ventajas y desventajas a los programadores de virus, algunos métodos son mejores porque es más difícil que un software antivirus los detecte, pero exigen técnicas de programación muy rigurosas y mucho tiempo de desarrollo, como veremos en el apartado de estrategias.
 
    Algunas de las técnicas frecuentemente usadas utilizan los siguientes puntos de infección:
 
     - Contaminación del sector de arranque: el virus sustituye el sector de aranque original del ordenador cambiando la secuencia normal de arranque. De esta manera, lo primero que se ejecuta al encender el sistema es el código del virus, que queda en memoria antes de cargar el núcleo del sistema operativo. Las principales ventajas de este tipo de infección son que, por un lado, es fácil de programar un virus de estas características y, por otro lado, al quedar el virus por debajo del SO tiene virtualmente un control total sobre las acciones del mismo e incluso puede engañar mas fácilmente a muchos antivirus. Su principal desventaja es que son fácilmente detectables y eliminables ya que basta con reinstalar nuevamente un sector de arranque "bueno" para eliminar el virus.
 
    -  Contaminación del interprete de comandos: este tipo de infección es muy similar a la anterior, ya que el virus únicamente infecta un solo programa del SO, el interprete de comandos. La principal ventaja de estos virus es que pueden "interceptar" todas las ordenes que el usuario le da al sistema y en algunos casos (dependiendo de la función del virus) añadir a las acciones que se deben realizar otras acciones falsas introducidas por el mismo virus. Por ejemplo, cuando el usuario quiere ver el contenido de un directorio el virus se lo muestra, pero lo que en realidad hace es borrar totalmente ese directorio. El engaño puede llegar incluso hasta el punto de que durante toda la sesión presente, el virus muestre el contenido del directorio como si aun existiese, aunque en realidad ya esta borrado.
 
    -  Contaminación de propósito general: este método de infección es uno de los mas usados, ya que los virus de este     tipo infectan todos los archivos ejecutables que encuentren en el sistema de archivos. Independientemente de la acción destructiva que realizan, son extremadamente difíciles de eliminar, ya que cuando son detectados posiblemente ya han contaminado decenas o cientos de programas del sistema, o incluso es posible que el virus haya contagiado algún otro sistema al cual se llevó alguno de los programas infectados.
 
    Por lo general este tipo de virus asegura su permanencia contagiando cierta cantidad de archivos antes de iniciar sus acciones destructivas, con lo cual, al momento de detectarlo, el virus puede haber infectado todo el sistema e incluso otros sistemas. Una variante de este tipo de virus son los virus de propósitos específicos diseñados generalmente, con fines de competencia entre empresas de software o para castigar la piratería de algún paquete de software en particular. Este tipo de virus solamente ataca determinados programas o paquetes de software de determinadas empresas y por lo general termina destruyéndolo o modificándolo para que “en apariencia” funcione mal. Algunas variantes de estos virus también contagian otros archivos ejecutables en general, persiguiendo dos fines fundamentales:

 
    -  Otra de las posibilidades es que el virus quede residente en memoria. Este tipo de virus, a diferencia de los anteriores, que sólo actuaban mientras se ejecutaba el programa infectado, se instalan en memoria y allí permanecen hasta que se apague el sistema. Estando en memoria el virus puede realizar todas las acciones de contagio y destrucción que desee en cualquier momento.
 
    Pero, ¿cómo se producen las infecciones? Los virus se propagan al mismo tiempo que lo hacen las instrucciones que hacen funcionar los programas. Una vez activados, los virus actúan al ser ejecutados. Por eso, como ya hemos dicho en varias ocasiones, si un ordenador se limita a cargar un programa infectado, es probable que no se infecte. Un usuario no ejecuta conscientemente un código informático nocivo como si nada; sin embargo, los virus engañan a menudo al SO del ordenador o al usuario para que lo ejecute. Esto es debido a que los virus se ubican en lugares estratégicos, o utilizan técnicas para ocultarse.
 
    Los virus también pueden residir en las partes del disco que cargan y ejecutan el SO cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes, algunos virus se ocultan en el software que permite al usuario conectarse al sistema. A continuación se muestra una lista de los lugares más usuales donde se ubican o desde los que atacan:

 
  • Tabla de Partición del Disco Duro
  • Sector de Carga Inicial de los Discos Duros
  • Sector de Carga Inicial de Discos Flexibles(disquetes o CD)
  • Programas Ejecutables con extensión .EXE o .COM
  • Programa COMMAND.COM del Sistema Operativo

    •  

     

    Además, los tipos de daño que producen en estos puntos suelen ser:
     

        Los virus pueden ser igualmente devastadores para el usuario particular. Por eso, cualquiera de estos síntomas que se detallan a continuación, puede ser un indicio de existencia de virus:

     
  • Mayores tiempos de carga de los programas
  • Operación más lenta del sistema
  • Reducción del espacio de memoria o disco
  • Mensajes de error inusuales
  • Actividad de pantalla inusual
  • Fallos en la ejecución de los programas
  • Frecuentes caídas del sistema