Virus informáticos, amenaza o simples supervivientes…

 

 

1. ¿Qué son?.

2. Finalidad.

3. Fases.

4. Tipos.

5. Síntomas.

6. Antepasados.

7. Protección contra los virus (Antivirus).

8. Algo de Historia.

9. Bibliografía.

 

 

 

¿Qué son?

 

Un Virus Informático no es más que un programa parásito auto reproductor, generalmente de efectos destructivos, que necesita de otros programas para su reproducción. Su nombre es totalmente correcto, ya que su funcionamiento es similar al de los virus orgánicos, de 1 pasa a 2, de 2 a 4, de 4 a 8 y así hasta llegar a la epidemia. Al contrario que los Virus orgánicos, los Virus Informáticos no sufren mutaciones en su comportamiento por si solos, aunque si pueden cambiar su código en cada infección, sin alterar su funcionamiento, para evitar su fácil detección. A estos virus, debido a su técnica de ocultación, se les denomina Virus Polifórmicos, cambian según un código de Encriptación variable.

 

Otras definiciones también válidas ...

 

1. Es un segmento de código de programación que se implanta a si mismo en un archivo ejecutable y se multiplica sistemáticamente de un archivo a otro.

2. Pequeño segmento de código ejecutable escrito en ensamblador o lenguaje de macro, capaz de tomar el control de la maquina o aplicación en algún momento y auto replicarse, alojándose en un soporte diferente al que se encontraba originalmente.

3. Programa que puede infectar otros programas modificándolos para incluir una versión de si mismo.

4. Pequeño programa cuyo objetivo es perjudicar el funcionamiento de una computadora por medio de las instrucciones con que fue programado. Por lo general se adhiere a un programa benigno y de allá se activa y reproduce a otros programas.

5. etc ...

 

 

 

Finalidad

 

La finalidad de un Virus no es otro que el más puro y simple sabotaje. Sus creadores no obtienen ningún beneficio directo, a no ser la sensación de poder que experimentan con la propagación de sus criaturas, venganza o desafío técnico. Desde los Caballos de Troya a los Virus Informáticos, pasando por las Bombas Lógicas y los Gusanos, todos ellos son catalogados ya en muchos países como delito informático.

 

Fases

 

• Creación

 

    Hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de programación assembler. Hoy en día, cualquiera con un poco de conocimiento en programación puede crear un virus. Generalmente, los creadores de los virus, son personas maliciosas que desean causar  daño a las computadoras.

 

• Gestación

 

    Luego de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego enviándolo a algún BBS o distribuyendo copias en oficinas, colegios u otras organizaciones.

 

• Reproducción

 

    Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos lados.

 

• Activación

 

    Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina dañina no se activan, pero causan daño al robar espacio en el disco.

 

• Descubrimiento

 

      Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.

 

• Asimilación

 

      En este punto, quienes desarrollan los productos antivirus, modifican su programa para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de

 quien lo desarrolle y el tipo de virus

 

• Eliminación

 

    Si suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede eliminar cualquier virus. Hasta ahora, ningún virus ha desaparecido completamente, pero algunos han dejado de ser una amenaza.

 

 

Tipos

 

Dependiendo del lugar de alojamiento y las técnicas de reproducción empleadas, podríamos clasificarlos en los siguientes grupos:

 

 

Virus de BOOT. (RBM)

Son los que utilizan el sector de arranque de los discos para ubicarse, generalmente haciendo una copia del sector original en otro sector para poder utilizarla y así no delatar su presencia.

 

Virus de Fichero.

Utilizan los ficheros de formas distintas según el tipo de virus. Este grupo, podemos subdividirlo en diferentes tipos dependiendo de su técnica de reproducción: Virus Parásitos, de Sobrescritura, de Compañía, de Macro y de Bat..

 

Virus Mixtos. (PRxxBM)

Hemos clasificado a este grupo de virus como mixtos ya que utilizan los sectores de arranque de los discos y los ficheros para su ubicación.

 

Virus Parásito. (Pxx)

Conviven dentro del fichero anfitrión sin alterar su funcionamiento, ya que de no ser así, delatarían inmediatamente su presencia. Normalmente los ficheros utilizados son ejecutables COMs y EXEs, aunque también pueden utilizar ficheros con otras extensiones pero con este tipo de formatos. Existen dos variantes de este tipo, los Virus Residentes (PRx) que al ejecutar un fichero infectado el código vírico se coloca en memoria RAM y a continuación continua con la ejecución del fichero anfitrión, como el Major, el Salamanca o el Taipan y los Virus no residentes o de Acción Directa (PNx) que al ser ejecutado un fichero infectado buscan un nuevo anfitrión, le añaden el código vírico y continúan con la ejecución del fichero ejecutado, como el Antiheurística.

 

Virus de Sobrescritura. (Sex)

Este tipo de virus suele ser no residente o de Acción Directa utilizando ficheros ejecutables COMs y EXEs. Estropea el fichero que infecta al sobrescribirle el código vírico, que normalmente se coloca al principio sin respetar el código del fichero anfitrión.

 

Virus de Compañía. (Axx)

Aprovechan una característica del DOS, la cual es que al llamar a un fichero sin indicar su extensión, el DOS buscará en primer lugar un fichero tipo COM. Estos virus no modifican el fichero original, si no que al encontrar un EXE, crean un fichero con el mismo nombre pero con extensión COM para que cuando tecleemos el nombre del programa se ejecute en primer lugar el código vírico y luego él mismo llame al original.

 

Virus de Macro. (W)

Programados en lenguaje de WordBasic e infectan ficheros de MS WORD (DOCs) aunque también se han extendido a otras aplicaciones como EXCEL y a otros lenguajes de macros como a los ficheros SAM (procesador de textos de LOTUS). Son Multiplataforma, es decir que no dependen de un sistema operativo, solamente de la aplicación. Debido a su fácil programación, han incrementado bastante el total de virus conocidos.

 

Virus de BAT.

Aunque el Ensamblador es el lenguaje mas usado en la creación de virus, ya que ningún otro tiene tal control sobre el sistema, también son utilizados otros lenguajes, desde el C hasta el Basic. Un ejemplo claro es este tipo de virus, que utilizan ordenes de DOS en ficheros de proceso por lotes, y que consiguen reproducirse y efectuar efectos dañinos igual que cualquier otro tipo.

 

 

Síntomas

¿Cuales son los síntomas mas comunes cuando tenemos un virus?

• Reducción del espacio libre en la memoria o disco duro.
    Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el código del virus.

• Aparición de mensajes de error no comunes.

• Fallos en la ejecución de  programas.

• Frecuentes caídas del sistema.

• Tiempos de carga mayores.

• Las operaciones rutinarias se realizan con mas lentitud.

• Aparición de programas residentes en memoria desconocidos.

• Actividad y comportamientos inusuales de la pantalla.
    Muchos de los virus eligen el sistema de vídeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus.

• El disco duro aparece con sectores en mal estado
    Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos

• Cambios en las características de los ficheros ejecutables
    Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infección.

• Aparición de anomalías en el teclado
    Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programo el virus.

 

Aparte de estos síntomas, lo bueno es que enseguida nos daremos cuenta de que estamos infectados, por una simple razón, nos tiramos horas delante de nuestro ordenado y sabemos a la perfección, cuanto tiempo invierte en hacer una operación, cual es su ritmo de procesamiento, etc. Es decir, conocemos demasiado bien nuestra maquina para no advertir que le pasa algo.

 

 

Antepasados

 

Los virus son descendientes de otras especies anteriores que actúan de forma distinta de las cuales han adquirido características de todas ellas.

 

Los Programas Conejo, los Gusanos, las Bombas Lógicas y los Caballos de Troya.

 

Programas Conejo.

Antes del "boom" de los ordenadores personales, cuando los ordenadores de tipo medio estaban extendidos especialmente en ambientes universitarios, funcionaban como multiusuario, múltiples usuarios se conectaban simultáneamente a ellos mediante terminales con un nivel de prioridad. El ordenador ejecutaba los programas de cada usuario dependiendo de su prioridad y tiempo de espera. Si se estaba ejecutando un programa y llegaba otro de prioridad superior, atendía al recién llegado y al acabar continuaba con lo que hacia con anterioridad. Como por regla general, los estudiantes tenían prioridad mínima, a alguno de ellos se le ocurrió la idea de crear la primera criatura. El programa se colocaba pacientemente en la cola de espera y cuando llegaba su turno se ejecutaba haciendo un par de copias de si mismo colocándolas en la cola de espera. No tenia efectos malignos ni se interponía en otros programas solo cumplía la ley divina, creced y multiplicaos. Pero esto, al cabo del tiempo, saturaba al ordenador central con miles de copias de dicho programa.

 

Gusanos.

 

El desarrollo de las grandes redes de ordenadores dio lugar al nacimiento de los HACKERs (especie de piratas informáticos). Son expertos en informática que se dedican a acceder a ordenadores y bancos de datos de material confidencial utilizando un módem. Un ejemplo claro es el protagonista de la película Juegos de Guerra. Los Gusanos, son programas autónomos, creados por los HACKERs para ayúdales en su tarea de pirateo. Una vez accedido al primer ordenador de una red, el HACKER instala el Gusano, el cual le facilitara la exploración de ficheros en busca de información y recopilara información sobre el resto de ordenadores de la red (nombres, claves, accesos, etc.). Una vez ya tiene información suficiente se introduce en otro ordenador haciendo una copia de si mismo en el nuevo huésped. Aunque podrían, no suelen ser destructivos, su objetivo principal es penetrar lo mas posible dentro del sistema y pasar lo mas desapercibido posible para efectuar su trabajo sin ser detectados.

 

Bombas Lógicas.

Son programas que tienen por objeto la destrucción de los datos de un ordenador al cumplirse determinada condición, una fecha determinada, un determinado numero de ejecuciones, etc. Suelen estar camuflados dentro de otros programas de apariencia normal, normalmente creados por el mismo autor y que sirven como tapadera del verdadero objetivo. No son auto reproductor y la llegada a un ordenador es a través de algún disquete o módem.

 

Caballos de Troya.

Son similares a las Bombas Lógicas, con la diferencia que su efecto destructor se produce en el mismo momento de la ejecución del programa.

 

 

Protección contra los virus (Antivirus)

 

    Por contra, existen programas que tienen la función de encontrar y eliminar los virus. Estos programas se llaman "antivirus". Infinidad de casas de software desarrollan este tipo de aplicaciones tan útiles para todos nosotros.

 

    Entre otras podemos encontrar las siguientes:

 

•         www.seagate.com (SEAGATE).

•         www.bitdefender.com (BITDEFENDER).

•         www.symantec.com (SYMANTEC).

•         www.norton.com (NORTON).

•         www.panda.com (PANDA).

 

    Estas casas de SW, además de ofrecer sus productos (antivirus) , también ofrecen el servicio de escaneo de puertos, lo cual ayuda a mostrar al usuario las debilidades (en forma de puertos abiertos) que posee su ordenados.

 

    También hay que decir que estas casas cada cierto tiempo ayudan a los usuarios a modificar la Base de Datos de los ficheros actuales , ya que cada día salen nuevos virus.

 

 

Algo de Historia…

 

El primer virus informático

 

1939
  En 1939, el famoso científico matemático John Louis Von Neumann, de origen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos", donde presentaba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura.
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlroy y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann.

El juego CoreWar fue desarrollado en Assembler Pnemónico, conocido como Red Code (código rojo) y hoy día es posible ejecutar dicho antiguo juego, por medio de un programa llamado MARS (Memory Array Redcode Simulator).

Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarla totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros.

Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales.

Por motivos de curiosidad, investigación o estudio se puede descargar una copia del juego CoreWar, adaptado a PC, desde nuestra sección DOWNLOAD.

Robert Thomas Morris, Douglas McIlroy y Victor Vysottsky, fueron los autores del precursor de los virus informáticos.

http://www.cs.bell-labs.com/who/doug/index.html

 

 

Otro logro de la inteligencia humana

 

1970
  El investigador Bob Thomas soltó un programa llamado Creeper (rastrero), el cual se "arrastraba" por toda la red desplegando el mensaje "Soy el 'Rastrero', - atrápame si puedes". Entonces otro programador escribió otro virus llamado Reaper (segador) el cual se reproducía en la red "matando" Creepers.

Toda una prueba de poderío intelectual.

 

Una década después ...

 

1982

En 1982 se creo un virus para Apple II diseñado para viajar por toda la red, denominado por su autor Jim Hauser, como "viajero electrónico" (Electronic hitchhicker) que se pegaba a programas sin ser detectado.

 

pasados 10 años ...

 

1992
  El virus Michelangelo ataco por primera vez. Es el virus que mas publicidad ha recibido .Gracias a ello se tuvo mas conciencia de los virus.

 

Dejando paso a las nuevas generaciones…

 

I LOVE YOU

 

Un gusano escrito en Visual Basic Script está infectando a miles de ordenadores a través del correo electrónico y el IRC. Si recibe un mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los usuarios de IRC deberán tener precaución ya que el gusano también se propaga a través del cliente mIRC enviando vía DCC el fichero "LOVE-LETTER-FOR-YOU.HTM".
El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs", aunque la extensión VBS (Visual Basic Script) puede permanecer oculta en las configuraciones por defecto de Windows, lo cual puede hacer pensar que se trate de un inocente archivo de texto.

Cuando se abre el archivo infectado el gusano procede a infectar el sistema, y expandirse rápidamente enviándose a todos aquellos contactos que tengamos en la agenda del Outlook, incluidas las agendas globales corporativas. Es importante no ejecutar ningún archivo adjunto que venga con dicho mensaje y avisar de forma inmediata a los administradores de la red de la llegada de dicho e-mail.


El gusano infecta el Outlook y el mIRC

El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.

De lo mejorcito ...

 

 

En Agosto de 1998 se difundió un sistema de control de redes, denominado Back Orifice, desarrollado por el grupo de hackers conocido como "El Culto de la Vaca Muerta". Concebido como una irónica demostración de la falta de seguridad en Windows® 95 y 98, (su nombre está inspirado en el MS Back Office), en esa oportunidad fue desarrollado para Windows NT y Windows 2000, con el nombre de Back Orifice 2000.

Su lanzamiento fue oficialmente anunciado el 10 de Julio de 1999, en la 7a Convención de hackers, denominada DEFCON 7,

celebrada en el hotel Alexis Park Resort de Las Vegas, Nevadas. Back Orifice 2000 fue propagado por Internet por primera vez el 11 de Julio y tuvo que ser re-lanzado 4 días después, debido a que su primera versión estaba infectada con el virus CIH. Si bien esta aplicación es un excelente sistema de control remoto de las estaciones de trabajo de una red, también se convierte en un poderosísimo Caballo de Troya. 

Sus autores comparan la eficiencia de su sistema con PC-ANYWHERE de Symantec y CARBON COPY 32 las cuales demuestran que Back Orifice 2000 es más potente y cuenta con mayores prestaciones.

Por causa de Back Orifice, Microsoft ya no podrá afirmar que sus sistemas son completamente seguros!! Sin embargo, la gran corporación expresó, su grave preocupación en una página web dedicada por completo a Back Orifice 2000.

El 19 de Julio, en la ciudad de San Francisco, The CULT OF THE DEAD COW (cDc) retó públicamente a Microsoft Corporation a retirar voluntariamente del mercado, todas las copias de su sistema de redes, Systems Management Server. Más aún, el grupo cDc invitó a la industria de antivirus de todo el mundo para realizar una búsqueda de firmas de virus en los archivos del SMS de Microsoft.

http://www.cultdeadcow.com/news/pr19990719.html

Back Orifice, en ambas versiones, de muy fácil y amigable manejo, es uno de los más temibles administradores de sistemas de redes que jamás antes se haya creado. La primera versión permitía a cualquier persona que la ejecutase, tomar el absoluto control de las demás estaciones de trabajo, con Windows 95 o Windows 98, sin que los demás usuarios de la red se percatasen y ahora repite lo mismo con Windows NT y Windows 2000.

Esta situación reviste suma peligrosidad, por cuanto sus autores distribuyen el código fuente en la página web de El Culto de la Vaca Muerta, lo cual permitirá que el programa sea modificado, para disfrazar su apariencia, pero sin perder sus poderosas y peligrosas capacidades.  Back Orifice 2000, tiene una interfaz estándar de Windows, lo que le permite controlar varias estaciones al mismo tiempo:

Back Orifice 2000 es mucho más difícil de detectar, sin embargo PER ANTIVIRUS®, a partir de su versión 5.3, no solamente lo detecta y advierte su presencia en cualquier equipo, sino que además impide su ejecución y lo elimina eficientemente.

Las 2 caras de Back Orifice 2000

Compuesto por 2 módulos básicos: Cliente y Servidor, su accionar es totalmente esquizofrénico, ya que después de ser una verdadera y muy eficiente herramienta de control para los sistemas de redes, permite que cualquier usuario que lo ejecute como Cliente desde su estación de trabajo, haga lo que le venga en gana con las demás estaciones, a las cuales convierte en Servidores, pudiendo modificar, renombrar, borrar archivos, desconfigurar atributos y privilegios, modificar el registro, generar molestosos sonidos continuos, o hasta bloquear los sistemas remotos, etc., etc.

Esta nueva versión incluye un encriptamiento de seguridad que permite al "administrador eventual" usar esta herramienta para diagnósticos remotos, sin embargo puede ser usado por otros usuarios que también tomarán control del sistema, pudiendo llegar a provocar un CAOS total en los sistemas de redes NT.

Su Wizard de configuración le permite crear un componente de Servidor Back Orifice con apenas 140 Kb, que necesita ser desplegado en los sistemas remotos para que una vez instalado en los mismos, el "Cliente" tome el control de los eventuales "Servidores".

Su gran peligrosidad reside en el hecho que con ciertos "Plug ins" que permiten usar el protocolo TCP/IP, un hacker experto puede controlar a través de Internet a cualquier otro servidor fuera de su locación, que haya sido "contagiado", debido a que es sumamente fácil conocer las direcciones IP de cualquier servidor en el mundo.  

Nuevos posibilidades escondidas de daño

Una de las más resaltantes capacidades de Back Orifice 2000, es la de convertir cualquier directorio, en un directorio compartido, con el objeto de controlar estaciones de trabajo en Windows NT. Esta posibilidad es sumamente peligrosa en el caso de que empleados resentidos que sientan deseos de ocasionar daños, en forma furtiva, a cualquier estación o al propio servidor central.

Otra nueva capacidad es la de ejercer un poderoso control remoto en el propio Servidor Back Orifice. Ello permite no solamente realizar cambios sino además agregar otros "Plug ins" a los sistemas remotos sin necesidad de reinstalar el servidor.

"Sir Dystic", el hacker autor del programa original Back Orifice, lanzado en 1998, da a conocer el lanzamiento de su nueva versión para Windows 2000 y NT. "El Culto de la Vaca Muerta" conformada en Texas, tiene su propia página web en Internet, debido a que la Constitución de  los Estados Unidos, permite una irrestricta libertad de expresión mientras no se demuestre un daño ocasionado a terceros, debidamente denunciada y probada ante una Corte de Justicia. Para evitar ser sorprendidos por el FBI, esta página web con frecuencia desaparece y vuelve a aparecer en otras locaciones.

 

 

 

 

 

Bibliografía

 

 

• www.alerta-antivirus.es

• www.sinvirus.com

• http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml

• http://www.map.es/csi/pg7060.htm

• http://www.zonavirus.com

• http://www.cultdeadcow.com/

José Canet Tarazona

3º Ing. Técnica Informática de Gestión