Amenazas programadas (virus)
1. Definición y clasificación
Las amenazas programadas son una de las amenazas fundamentales a la Seguridad Informática. Se trata de código diseñado para atacar las medidas de seguridad del sistema. En este caso estamos en presencia de un ataque intencionado que puede tener muy diversas motivaciones. Entre ellas, y siempre quedándonos cortos ante la variedad de las motivaciones humanas, podemos citar las siguientes:
Simple diversión
Robo de información
Destrucción de la información
Saturación del sistema
Cualquier otra
Existen distintos tipos de
amenazas programadas y la división entre ellas no está siempre
clara. En la mayoría de las ocasiones se engloba en el concepto
de virus informático una gran cantidad de programas que utilizan
técnicas de ataque muy diversas y que no deberían considerarse
como tales. Distintos autores ofrecen diferentes definiciones de lo que
se entiende por virus informático, causando aun mayor confusión
en un tema ya de por sí confuso. En todo caso, algunos códigos
pueden entrar en diversas categorías o combinar varios tipos de
amenazas en un solo código. En los siguientes subapartados vamos
a intentar definir y diferenciar los tipos fundamentales de amenazas programadas
existentes.
Los tipos fundamentales son los siguientes:
Virus
Gusanos
Caballos de Troya
Bombas lógicas
Puertas falsas
Virus
Una definición muy general de virus informático sería la siguiente:
"Secuencia de instrucciones ejecutable en un entorno informático, capaz de autoreplicarse de forma autónoma, parasitando a otras secuencias".
Un virus no es un programa independiente. No funciona por sí solo, sino que debe parasitar otros programas para poder funcionar. En este sentido es muy adecuado el uso del término virus, puesto que los virus biológicos también poseen esta característica. Tan solo son capaces de reproducirse utilizando la maquinaria ofrecida por las células de un organismo.
Por otro lado, un virus tan solo se ejecuta cuando lo hace la secuencia de instrucciones que ha infectado. Existe mucha confusión a este respecto, el hecho de editar el texto de un virus o de listar el nombre del fichero que lo contiene no permite la actuación del virus. Incluso el hecho de copiar el código que contiene el virus, no supone ningún tipo de problema, a no ser que posteriormente se ejecute el código copiado.
Cuando decimos que un virus es una secuencia de instrucciones, estamos ampliando su ámbito. Aunque la inmensa mayoría de los virus son secuencias escritas en código máquina, es perfectamente imaginable un virus consistente en una secuencia de instrucciones incluida en cualquier programa .BAT o en un guión de shell utilizado por el sistema operativo.
Gusanos
Los gusanos, o worms, son programas independientes capaces de autoreplicarse.
Al contrario de lo que ocurre con los virus informáticos, los gusanos son programas completos que pueden funcionar por sí solos, y que por tanto no necesitan parasitar otros programas para replicarse.
Normalmente los gusanos se desarrollan y actúan en entornos de red, y se dedican a reproducirse y viajar entre los distintos ordenadores de la misma. Su nombre probablemente provenga del hecho de que "se arrastran" por la red viajando de una máquina a otra.
Su ejecución y distribución se basa normalmente en errores o debilidades de los protocolos de red o de los programas incluidos en los sistemas operativos que los utilizan.
Normalmente el objetivo de los gusanos no es modificar otros programas o destruir información. Su finalidad básica es reproducirse y alcanzar el máximo de distribución entre los ordenadores de la red. Como máximo, los gusanos tienden a replicarse en tal medida que saturan los recursos de las máquinas, provocando un ataque "por denegación de servicio".
Caballos de Troya
Un caballo de Troya es un fragmento de código que se esconde en el interior de un programa aparentemente inofensivo, y que desarrolla actividades distintas del propósito aparente del programa que le sirve de anfitrión.
A diferencia de los gusanos o los virus, un caballo de Troya es incapaz de replicarse, y su funcionamiento se basa en la ejecución del programa original que lo contiene.
El éxito de un caballo de Troya se basa en hacer que el usuario ejecute el programa que lo contiene. De este modo, suelen esconderse en programas aparentemente inofensivos, muy llamativos y distribuidos en gran medida como software shareware o freeware.
Los típicos programas anfitriones de los caballos de Troya son los juegos, editores de texto, hojas de calculo, e incluso hay algunos casos muy curiosos en los que se esconden en supuestas nuevas versiones de conocidas herramientas antivirus.
Bombas lógicas
Pueden considerarse como un tipo de caballo de Troya que se usa para lanzar un virus, un gusano u otro tipo de ataque directo contra el sistema. Puede tratarse de una pieza de código o de un programa independiente preparado para atacar el sistema cuando se cumplan ciertas condiciones.
Sea una fecha determinada
Se haya arrancado el sistema un número dado de veces
Se pulse una secuencia definida de teclas
Puertas falsas
Las puertas falsas (trap doors o back doors) son un mecanismo establecido en el sistema por su diseñador o por alguien que ha modificado el funcionamiento del mismo. Su objetivo es ofrecer un modo de acceder al sistema esquivando todas las medidas de seguridad establecidas cuando se usa el procedimiento normal. Se trata pues de proporcionar una ruta directa y oculta de acceso al sistema.
En algunas ocasiones las puertas falsas se establecen durante el desarrollo de la aplicación, con el fin de testearla o permitir un acceso directo y fácil a determinados módulos en caso de fallo del mecanismo normal de acceso. En general estas puertas se eliminan al distribuir la aplicación, pero siempre hay olvidos.
El
mecanismo de acceso, conocido por la persona que crea la puerta falsa,
puede ser una combinación de teclas dadas, una secuencia bien definida
de acciones, un login particular, etc.
2. Virus en MS-DOS
Clasificación de los virus en MS-DOS.
Estos virus pueden clasificarse en dos clases:
virus de boot o de sector de arranque
virus de programa o de fichero
Los virus de boot infectan sectores de arranque (BOOT o MBR) y sólo se activan al arrancar desde el disco infectado.
Los virus de programa infectan cualquier fichero ejecutable y se activan al ejecutar el programa infectado.
Los tipos anteriores no son excluyentes, ya que existen virus capaces de infectar tanto sectores de arranque como programas.
Virus de boot
Los virus de boot infectan sectores de arranque sustituyendo todo o en parte el contenido de los mismos. Este tipo de virus se activan cuando se ejecutan los programas incluidos en los sectores de arranque, es decir, cuando se arranca desde el disquete o la partición que los contiene.
Así pues, la copia o el uso de los ficheros contenidos en un disco contaminado con este tipo de virus no supone ningún problema (a no ser que estos también estén infectados con algún virus de fichero). La activación del virus tan solo se produce al arrancar desde el disco.
Tras ser activado, un virus de este tipo podría lanzar su código de ataque directamente, pero en ese caso sus posibilidades de reproducción serían nulas.
Virus de fichero
Los virus de fichero infectan cualquier tipo de fichero ejecutable y lo utilizan como medio de reproducción y toma de control. El virus se activa cuando se ejecuta el fichero y no cuando se edita, se copia o se lista su nombre (con DIR).
Dos tipos:
virus residentes
virus de acción directa
Virus de fichero residentes
Este tipo de virus toman el control de la máquina de modo permanente hasta que se apaga o se reinicia por software. Para ello se cargan como residentes en memoria tras la ejecución del programa infectado. Desde la memoria pueden interceptar ciertos servicios de interrupción e infectar cualquier programa que sea ejecutado a continuación.
Virus de fichero de acción directa
Los virus de acción directa no permanecen en memoria después
de ser ejecutado el programa infectado, sino que proceden directamente
a desarrollar la rutina de ataque.
3.Virus de macro
Su existencia se apoya en el hecho de que algunas aplicaciones recientes utilizan lenguajes de macros y permiten incorporar macros a los ficheros que generan.
Un virus de macro se construye como una colección de instrucciones, que una aplicación, ejecuta. La lista de instrucciones de una macro puede copiar o borrar ficheros, alterarlos, cargar otros ficheros y ejecutar programas. Los virus de macro no son directamente ejecutables. Son leídos, interpretados y ejecutados por el interprete del lenguaje de macros.
Las características de este tipo de virus hacen posible que sean los primeros que puedan funcionar en distintas plataformas. Así, un virus de macro podrá ejecutarse igual en un PC o en un Mac.
Los
virus de macro permiten la transmisión de los virus a través
del correo electrónico de forma sencilla. Muchos lectores de mail
actuales, como el Eudora o los incorporados en navegadores como el Netscape
o Explorer, incorporan el estándar MIME.
Este hecho permite a los usuarios asociar aplicaciones para leer de modo
automático determinados documentos incluidos en el correo. Entre
los documentos legibles se encuentran los creados por el Word. Así
pues, de modo automático podemos estar ejecutando un virus de macro
al abrir un correo electrónico que incluya el documento en que se
encuentra.
Los
virus de macro suele incluirse entre las macros autoejecutables al abrir
un documento. Cuando se ejecutan tienden a infectar/alterar otras macros
globales de la aplicación, tales como las asociadas a cerrar o guardar
documentos.
De este modo la próxima vez que se ejecute una de estas macros,
podrán infectarse nuevos documentos.
Fin.