Los programas tardan más tiempo
en cargarse y se produce una ralentización global del sistema.
Antes de nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita un programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un programa portador necesita modificar la estructura de este, para que durante su ejecución pueda realizar una llamada al código del virus. Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de los disquetes, la tabla de partición y el sector de arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus, aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema. En los disquetes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que arrancamos desde disquete. En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM, y a partir de ahí, infectara el sector de arranque de todos los disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus. El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este procedimiento puede ser usado como técnica de ocultamiento. Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus. La tabla de partición esta situada en el primer sector del disco duro, y contiene una serie de bytes de información de cómo se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe. Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades. Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque también a veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste, y modificando su estructura de forma que al ejecutarse dicho programa primero llame al código del virus devolviendo después el control al programa portador y permitiendo su ejecución normal. Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador, éstos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros. Los efectos perniciosos que causan los virus son variados, entre éstos se encuentran: Formateo completo del disco duro. Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas más claros del ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible. Estos problemas son indicadores de la posible presencia de un virus, pero mediante la técnica stealth es muy fácil (siempre que se encuentre residente el virus) devolver al sistema la información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco de sistema totalmente limpio. La autoencriptación o self-encryption es una de las técnicas víricas más extendidas. En la actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que es aprovechada por los antivirus para encontrar el origen de la infección. El mayor avance en técnicas de encriptación viene dado por el polimorfismo. Gracias a él un virus no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta un fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas características se muestra inútil. Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en el obtendríamos el mensaje: "Error de protección contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo que descubriríamos el anormal funcionamiento de nuestro equipo. Por eso, al virus le basta con redireccionar la interrupción a una rutina propia que evita la salida de estos mensajes, consiguiendo así pasar desapercibido. Una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica el scaneo, con un buen programa antivirus, de todo el software que nos llega, y ante la más mínima dura lo mejor es deshacerse inmediatamente de este. Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto ultimo es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema. Para combatir la avalancha de virus informáticos se creó el software antivirus. Estos programas suelen incorporar mecanismos para prevenir, detectar y eliminar virus. Para la prevención se suelen usar programas residentes que alertan al usuario en todo momento de cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que resultan sumamente útiles al impedir la entrada del virus y hacerlo en el momento en que este intenta la infección, facilitándonos enormemente la localización del programa maligno. Sin embargo presentan ciertas desventajas, ya que al ser residentes consumen memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones. Por otro lado, pueden llegar a resultar bastante molestos, puesto que por lo general suelen interrumpir nuestro trabajo habitual con el ordenador avisándonos de intentos de acceso a memoria o a disco que en muchos casos provienen de programas legítimos. A pesar de todo, son una medida de protección excelente y a ningún usuario debería faltarle un programa de este tipo. A la hora de localizar virus, los programas usados sin los detectores o scanners. Normalmente estos programas chequean primero la memoria RAM, después las zonas criticas del disco como el boot o partición, y por ultimo los ficheros almacenados en él. Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas heurísticas. La detección heurística es una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de virus mediante esta técnica se basa en el desensamblado del código del programa que se intenta analizar con el objetivo de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que combine la búsqueda de cadenas características y además cuente con técnicas heurísticas. Gracias a la heurística se buscan programas que puedan quedarse residentes o que sean capaces de capturar aplicaciones que se estén ejecutando, código preparado para mover o sobrescribir un programa en memoria, código capaz de automodificar ejecutables, rutinas de encriptación y desencriptación, y otras actividades propias de los virus. Aunque las técnicas heurísticas han representado un gran avance en la detección de virus desconocidos, presentan un gran inconveniente: aumenta la posibilidad de obtener «falsos positivos y negativos». Se produce un «falso positivo» cuando el antivirus anuncia la presencia de un virus que no es tal, mientras que se llama «falso negativo» cuando piensa que el PC esta limpio y en realidad se encuentra infectado. A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con mensajes como "detecta y elimina 56.432 virus". Realmente existen miles de virus, pero en muchísimos casos son mutaciones y familias de otros virus; esto está bien, pero hay que tener en cuenta que una inmensa mayoría de virus no han llegado ni llegaran a nuestro país. Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que desconozca los más difundidos en España. Por tanto, estaremos mejor protegidos por un software que, de alguna forma, esté más "especializado" en virus que puedan detectarse en nuestro país. Por ejemplo "Flip", "Anti Tel", "Barrotes", "Coruña", etc. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible de veces al año; puesto que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha frecuencia, el estar al día es absolutamente vital. La prevención y la instalación de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino no deseado en el PC. Ante esta situación lo primero que debemos hacer es arrancar el ordenador con un disco de sistema totalmente libre de virus. Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos el riesgo de que no remotoice mutaciones recientes o nuevos virus. En el disco de sistema limpio incluiremos utilidades como «mem.exe», «chkdsk.exe», «sys.com», «fdisk.exe» y todos los controladores para que el teclado funcione correctamente. Si disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC. Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden «sys c:», siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos ejecutar «fdisk /mbr». Las técnicas utilizadas por los Antivirus Comerciales son fundamentalmente: Análisis heurístico Hay que señalar una marcada mejoría en las técnicas de detección heurísticas, que aunque en determinadas condiciones siguen provocando «falsos positivos», muestran una gran efectividad a la hora de localizar virus desconocidos. En este apartado debemos destacar al ThunderByte, ya que la técnica heurística de este antivirus le ha permitido detectar 42 de los virus no remotoizados mediante el método adicional. De hecho, la mayoría de estos virus son desarrollos nacionales de reciente aparición, por lo que o ha habido tiempo de incluirlos en la última versión. Además, este producto destaca por una relación de «falsos positivos» realmente baja. Otros productos que permiten la detección heurística son Artemis Profesional, Dr. Solomon´s y F-Prot. En todos los casos esta técnica ha servido para aumentar el porcentaje de virus detectados, aunque de esta forma no se identifica el virus, sino que sólo se sospecha de su presencia. Por otra parte, el Dr. Solomon´s combina perfectamente una gran base de datos de virus conocidos con su análisis heurístico. Búsqueda específica Aunque algunos antivirus engordan su porcentaje de efectividad gracias a técnicas de localización genérica (heurística mente), muchos usuarios pueden preferir la seguridad aportada por un sistema específico que identifique, e incluso elimine, sin problemas ni dudas el mayor número de virus posible. Los usuarios más inexpertos probablemente no sepan enfrentarse a las alarmas producidas por el análisis heurístico, por lo que en todos los antivirus es posible realizar la exploración de las unidades de disco sin dicha posibilidad. En tal caso, será necesario conocer cuál es la efectividad del producto prescindiendo de tal análisis. Por este motivo, si nos basamos en técnicas tradicionales como la búsqueda de cadenas y dejamos a un lado métodos heurísticos tenemos que reconocer que el producto dominante es el antivirus Artemis Profesional, tras él, el conocido Scan de McAfee demuestra el porqué de su prestigio, seguido muy de cerca por el F-Prot. En ocasiones de habla de estas variantes como si de virus se tratara, cuando en realidad son conceptualmente diferentes. Algunos antivirus pueden detectarlos. Troyanos: ¿Recordamos la historia del famoso caballo de Troya? Los troyanos fueron engañados por su enemigo. Les aceptaron un regalo como prueba de reconciliación. Se trataba de un gigantesco caballo de madera. Pero dentro del enorme regalo iban escondidos soldados enemigos, que de esta manera se metieron dentro de la ciudad para destrozar todo lo que encontraron a su paso. Así pues, un programa de ordenador trojan o troyano es algo similar. La víctima utiliza este programa para realizar una serie de funciones (editar textos, fotos, crackear un programa, etc.), pero al mismo tiempo, y sin su conocimiento, el programa realiza una serie de funciones ocultas (desde instalar un programa de acceso remoto con Back Orifice, hasta enviar por correo electrónico datos personales, instalar un virus, etc.). Este tipo de programas también puede realizar algo que resulte desastroso para el sistema (formatear el disco duro, borrar la BIOS del sistema, etc.). Worms: Son programas que se reproducen transmitiéndose de un sistema a otro, copiándose a si mismos, y usando las redes informáticas para extenderse. Hoy en día con la difusión de Internet, el correo electrónico es su principal vía de transmisión. Generalmente no causan graves daños a los sistemas, pero pueden colapsar las redes. Alguno de los últimos ejemplos son los famosos Happy99, Melissa y ExploreZip. El 5 de noviembre de 1988 quedó señalado para siempre en la historia de la "inseguridad" informática. El personal que estaba trabajando en los ordenadores de la Universidad de Cornell vieron sorprendidos y asustados como sus computadoras, uno a uno e irremediablemente, quedaban bloqueados. Estos eran los primeros síntomas de una terrible epidemia "bloqueante" que atacó seguida y rápidamente a las Universidades de Stanford, California, Princeton, al propio MIT, a la Rand Corporation, a la NASA, hasta un total aproximado de 6.000 ordenadores, ¡6.000!, que permanecieron inactivos durante dos o tres días, con un coste estimado de 96 millones de dólares (más de 10.000 millones de pesetas). Causa: un simple y único gusano "worm", activado sólo una vez, resultado de un sencillo trabajo de auto prácticas de Robert T. Morris, "bienintencionado e inofensivo" estudiante de la Universidad de Cornell. Eficiencia demostrada. Un solo Worm, 6.000 ordenadores inactivos, 96.000.000 de dólares de pérdidas. La epidemia vírica ha alcanzado en pocos años una magnitud escalofriante. Según el experto virólogo Vesselin V. Bontchev, nacen cada día 2 o 3 virus. Las amenazas a la informática no terminan con los virus. Los "crackers y programadores de virus" constituyen una potente fuerza de ataque a la seguridad informática. Personas dotadas de probados conocimientos, utilizando tecnologías de alto nivel, agrupados en clubes, celebrando Congresos Internacionales, con seminarios y clases: su nivel de peligrosidad alcanza altísimos valores. Fraudes, sabotajes, espionaje comercial e industrial, vandalismo, terrorismo, desastres naturales como el fuego y el agua, amenazan constantemente a nuestros sistemas de proceso de datos, convirtiendo a la Seguridad Informática en un importantísimo objetivo a alcanzar en la empresa, toda vez que está en peligro su más preciado tesoro: la información. Por otra parte, las empresas han cambiado su estilo de trabajo, apoyándose y dependiendo fuertemente del sistema informático y de las telecomunicaciones. La ofimática, las Bases de Datos corporativas o distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de sistemas y comunicaciones "trusted", los sistemas distribuidos, etc., colocan a la Seguridad Informática en la cúspide de los objetivos a alcanzar en la empresa. Si no existe seguridad no hay calidad en la Información, si ésta no es segura, exacta, precisa y rabiosamente actual, es decir, si no es de calidad, las operaciones y decisiones serán equivocadas y si éstas son erróneas la empresa muere.
Nuevos Virus Actuales : - Yaha.R Yaha.R es la reciente variante de la familia de gusanos Yaha, reportada el 07 de Junio del 2003, de propagación masiva a través mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios con extensiones .EXE o .SCR. Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de diversas fuentes en los sistemas infectados.
Deshabilita antivirus, firewalls y programas de control. También termina procesos en ejecución del sistema infectado y actúa como backdoor, enviando información al hacker poseedor del software Cliente quien podrá controlar remotamente el sistema. El gusano además intenta ocasionar una Negación de Servicio (DoS) por saturación, atacando a 5 portales de Pakistán. Esta especie viral posee su propio SMTP (Simple Mail Transfer Protocol) y se autoenvía masivamente a todas las direcciones de correo del sistema infectado, capturados de las siguientes fuentes: Libreta Global de Windows WAB (Windows
Address Book). Es un PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003 Server Está desarrollado en Visual C++, con una extensión de 50 KB y comprimido con el utilitario FSG. Sus payloads son los siguientes: Se propaga masivamente a través
de su propio Servidor de Correo SMTP, extrayendo direcciones de diversas
fuentes del sistema infectado y con una variedad de formatos de mensajes.
Esta variante del Bugbear (o Tanatos), es un gusano de envío masivo de correo con capacidad de propagarse también a través de recursos compartidos en red. Finaliza los procesos de conocidos antivirus y cortafuegos que se estén ejecutando en ese momento, dejando el sistema expuesto a otras agresiones. Como novedad respecto a la variante original infecta archivos PE (Portable Executable, habitualmente con extensión .EXE). Además es polimórfico con lo que dificulta su detección por programas antivirus. El alcance de su difusión está entre los más altos de la historia de los virus. Se propaga a través del correo electrónico y de las carpetas compartidas en una red. Se aprovecha de la vulnerabilidad de IFRAME para ejecutarse sin que sea necesario que abras el archivo adjunto, basta con la previsualización del mensaje para resultar infectado. Su "éxito" se debe a que es capaz de simular la respuesta a un mensaje anterior, incluir remitentes conocidos y el uso de doble extensión de forma que, con la instalación de Windows por defecto, la extensión real quedará oculta. Actúa como troyano, incluso instalando un Keylogger (registra lo que teclees).
Pueden descargar el detector-eliminador
del virus desde aquí: |