[ Cortesia Panda]
Conceptos
Generales - Introducción |
¿Qué son los virus?: son programas
que se introducen en nuestros ordenadores de
formas muy diversas. Este tipo de programas son especiales ya que pueden producir efectos
no deseados y nocivos. Una vez el virus se haya introducido en el ordenador, se colocará
en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que no se
ejecuta el programa infectado o se cumple una determinada condición, el virus no actúa.
Incluso en algunas ocasiones, los efectos producidos por éste, se aprecian tiempo
después de su ejecución (payload).
¿Qué elementos infectan los virus?: el objetivo primordial de los virus
son los archivosque se encuentran en un medio de almacenamiento como los discos duros o
disquetes. Más concretamente serán infectados todos aquellos archivos, ficheros o
documentos (los tres términos indican el mismo concepto, en general) que tengan la
característica de ser programas. Un programa no es más que un fichero cuya extensión es
EXE o COM, que se puede ejecutar para que realice determinadas operaciones.
También existen virus que se encargan de infectar ficheros que no son programas. No
obstante, estos ficheros contendrán elementos, denominados macros incluidos en ellos.
Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de
archivos.
Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios
de almacenamiento. De esta forma, atacando a los lugares en los que se guardan ficheros,
el daño provocado afectará a toda la información contenida en ellos.
Medios De Entrada Más Habituales Para Los Virus |
La primera pregunta que debemos plantearnos es a través de que medios un virus puede
atacar o introducirse en nuestro ordenador. Si conocemos perfectamente la respuesta,
seremos capaces de proteger esas posibles vías de entrada para impedir posteriores
infecciones. Los virus utilizan los siguientes medios para ello:
- Unidades de disco extraibles: las unidades de disco son aquellos medios de
almacenamiento en los que se guarda información, mediante ficheros, documentos o
archivos. Con ellos se puede trabajar en un ordenador para, posteriormente, utilizarlos en
otro diferente. Algunos de estos medios de almacenamiento pueden ser los disquetes,
CD-ROMs, unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos
discos especiales con mayor capacidad que los disquetes. Si alguno de ellos se encontrase
infectado y trabajásemos con él en un ordenador, éste será infectado.
- Redes de ordenadores: una red es un conjunto o sistema de ordenadores
conectados entre sí físicamente, para facilitar el trabajo de varios usuarios. Esto
quiere decir que existen conexiones entre cualquiera de los ordenadores que forman parte
de la red, pudiendo transferirse información entre ellos. Si alguna de esta información
transmitida de un ordenador a otro estuviese infectada, el ordenador en el que se recibe
será infectado.
- Internet: cada día más se utilizan las posibilidades que brinda Internet
para obtener información, realizar envíos y recepciones de ficheros, recibir y publicar
noticias, o descargar ficheros. Todas estas operaciones se basan en la transferencia de
información, así como en la conexión de diferentes ordenadores en cualquier parte del
mundo. Por tanto, cualquier virus puede introducirse en nuestro ordenador al mismo tiempo
que la información recibida. A través de Internet la infección podría realizarse
empleando diferentes caminos como los siguientes:
- Correo electrónico: en un mensaje enviado o recibido se pueden incluir
documentos o ficheros (fichero adjunto o anexado o atacheado). Estos ficheros podrían
estar infectados, contagiando al ordenador destinatario.
- Páginas Web: las páginas que visitamos en Internet son ficheros de texto o
imágenes escritos en un lenguaje denominado HTML. No obstante también pueden contener
programas denominados Controles ActiveXy Applets de
Java que son programas. Estos sí pueden estar infectados y podrían infectar al usuario
que se encuentre visitando esa página.
- Descarga de ficheros (FTP): el término FTP significa File Transfer Protocol, es
decir, Protocolo de Transferencia de Ficheros. Mediante él se pueden colocar documentos
en ordenadores que se encuentran en cualquier parte del mundo o copiar ficheros de estos
ordenadores al nuestro (bajar ficheros o download). Estos ficheros pueden contener virus
que infectarán nuestro ordenador.
- Grupos de noticias: mediante las denominadas "News" es posible debatir
sobre un determinado tema con cualquier otra persona del mundo y recibir correo
electrónico con nuevas noticias sobre ese tema. Estos mensajes con noticias pueden tener
documentación adjunta infectada que permita la introducción de virus en nuestro
ordenador.
¿Dónde
Se Esconden Los Virus Para Realizar Sus Infecciones? |
Un virus utiliza sus propias medidas de ocultamiento, pudiendo "esconderse"
en diferentes lugares. Algunos de ellos podrían ser los siguientes:
- En memoria principal: en este caso el virus se colocará automáticamente
en la memoria principal (memoria RAM) esperando que se ejecute algún programa (fichero
con extensión EXE o COM) para infectarlo. Ese tipo de virus, se denomina residente.
- Documentos con macros: por regla general, los ficheros que no sean
programas, no son infectados por ningún tipo de virus. Sin embargo, existen determinados
tipos de documentos (ficheros o archivos) con los que el usuario puede trabajar, o que
puede crear, que permiten incluir en ellos lo que se denomina macro. Una macro es un
conjunto de instrucciones o acciones que otro programa puede llevar a cabo. Pues bien,
estas macros pueden formar parte del documento (texto, hoja de cálculo o base de datos) y
por tratarse de programas pueden ser infectados por los virus (virus de macro).
- Sector de arranque (Boot y Master Boot): el sector de arranque es una
sección concreta de un disco (disquete o disco duro) en la que se guarda la información
sobre las características de disco y sobre el contenido del mismo. Cuando hablamos del
sector de arranque de un disquete utilizamos el término BOOT, mientras que si se trata
del sector de arranque de un disco duro, emplearemos el término Master BOOT (MBR). En
ocasiones, esta sección de un disco contiene un programa que permite arrancar el
ordenador. Algunos virus (los virus de Boot) se esconden en este lugar infectando ese
programa y haciendo, en el arranque del ordenador, que se ejecute el virus.
- Ficheros adjuntos a los mensajes de correo electrónico: cada vez más se
utiliza el correo electrónico para el envío de ficheros. Estos ficheros acompañan al
mensaje (ficheros adjuntos, anexos o attachments) de texto que se envía, pudiendo estar
infectados. Generalmente, al recibirlos, el destinatario no sospecha que el fichero
recibido puede contener un virus o serlo, pero al abrir el mensaje y posteriormente abrir
el fichero que dentro de él se incluye podría llevarse una sorpresa desagradable.
- Páginas Web en Internet: las páginas que se visitan a través de la
navegación por Internet, son ficheros que por regla general no deberían estar infectados
ya que se trata de documentos de texto (texto, imágenes, sonido). Sin embargo éstas
pueden incluir otros elementos denominados Applets de Java o Controles ActiveX. Estos son programas que dotan a la página Web de mayor
dinamismo, presentaciones y en definitiva, posibilidades. Por tratarse de programas pueden
estar infectados e infectar al usuario que visita la página que los contiene.
Los diferentes virus que existen se pueden clasificar dependiendo del medio a través
del cual realizan su infección y las técnicas utilizadas para realizarla. Aunque
bastantes de ellos tendrán una característica especial por la que se asociarán a un
tipo concreto dentro de esta clasificación, otros podrán formar parte de varios grupos
diferentes.
- Virus de Fichero: este tipo de virus se encarga de infectar programas o
ficheros ejecutables (archivos con extensiones EXE o COM). Al realizar la ejecución de
uno de estos programas, de forma directa o indirecta, el virus se activa produciendo los
efectos dañinos que le caractericen en cada caso. La mayoría de los virus existentes son
de este tipo, pudiéndose clasificar cada uno de ellos en función de su modo de
actuación.
- Virus Residentes: cuando se ponen en marcha, la primera acción que
realizan consiste en comprobar si se cumplen todas las condiciones para atacar (fecha,
hora,... etc.). De no ser así, se colocan en una zona de la memoria principal, esperando
que se ejecute algún programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un archivo ejecutable
(programa) no infectado el virus lo infectará. Para ello, el virus se añadirá al
programa que infecta, añadiendo su código al propio código del fichero ejecutable
(programa).
- Virus de Acción Directa: en el momento de su ejecución, el virus trata
de replicarse a sí mismo. Esto implica que creará copias de sí mismo. Cumpliéndose
unas determinadas condiciones, propias en cada caso, se activará pasando a realizar
infecciones dentro del directorio o carpeta en el que nos encontremos y dentro de los
directorios que se encuentran especificados en la línea PATH (camino o ruta de
directorios) dentro del fichero AUTOEXEC.BAT (este fichero se encuentra siempre en la
raíz del disco duro, siendo un fichero de proceso por lotes que realiza ciertas
operaciones cuando se enciende el ordenador). Es posible llevar a cabo la desinfección,
de los ficheros afectados por el virus, dejándolos en un estado correcto.
- Virus de Sobreescritura: este tipo de virus se caracteriza por no respetar
la información contenida en los ficheros que infecta, haciendo que estos queden
inservibles posteriormente. Pueden encontrarse virus de sobreescritura que además son
residentes y otros que no lo son. Aunque la desinfección es posible, no existe
posibilidad de recuperar los ficheros infectados, siendo la única alternativa posible la
eliminación de éstos.
- Virus de Compañía: para efectuar sus operaciones de infección, los
virus de compañía pueden esperar en la memoria hasta que se lleve a cabo la ejecución
de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos
(virus de acción directa). Al contrario que los virus de sobreescritura o los residentes,
los virus de compañía no modifican los ficheros que infectan. Cuando el sistema
operativo está trabajando (ejecutando programas, ficheros con extensiones EXE y COM)
puede ocurrir que éste, el S. O tenga que ejecutar un programa con un nombre determinado.
Si existen dos ficheros ejecutables con el mismo nombre pero con diferentes extensiones
(uno con extensión EXE y otro con extensión COM), el sistema operativo ejecutará en
primer lugar el que lleve la extensión COM.
Esta peculiaridad del sistema operativo es aprovechada por los virus de compañía. En
caso de existir un fichero ejecutable con un determinado nombre y extensión EXE, el virus
se encargará de crear otro fichero con el mismo nombre pero con extensión COM
haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. Este fichero que
crea será el propio virus y el sistema operativo, al encontrarse con dos ficheros que
llevan el mismo nombre, ejecutará en primer lugar el de extensión COM, siendo éste el
virus que en ese preciso instante realizará la infección. Tras realizarse la ejecución
del fichero COM correspondiente al virus, éste devuelve el control al sistema operativo
para que ejecute el fichero EXE. De esta forma el usuario no tendrá conocimiento de la
infección que en ese preciso instante ha tenido lugar.
- Virus de Boot: el término Boot o Boot Sector representa lo que también
se denomina "sector de arranque" Se trata de una sección muy importante
en un disco (disquete o disco duro), en la cual se guarda la información sobre las
características de ese disco, además de incluir un programa que permite arrancar el
ordenador con ese disco, determinando previamente si existe sistema operativo en el mismo.
Este tipo de virus de Boot, no afectan a los ficheros por lo que el contenido del disco no
estará en peligro a no ser que se intente arrancar el ordenador con ese disco. Si esto
ocurre, el virus realizará la infección siguiendo una serie de pasos habituales:
- Reserva un determinado espacio en memoria para que éste no sea ocupado por ningún otro
programa.
- Después de hacer esto, se coloca en esa zona reservada de la memoria.
- Desde esa posición de memoria se encarga de interceptar servicios que realiza el
sistema operativo. En cada ocasión que una aplicación del S.O. llame a una función de
acceso a ficheros, el virus toma el control. De esta forma comprueba si el disco al que se
accede esta infectado y si no lo está, lo infecta.
- Una última operación que realiza es volver a colocar el sector de arranque original
(sin infectar), cediéndole el control, de tal forma que parezca no haber ocurrido nada.
No obstante el virus seguirá actuando.
Las infecciones de virus de Boot se suelen realizar mediante disquetes siendo la
protección contra escritura en él, el mejor método de protección.
- Virus de Macro: a diferencia de los tipos de virus comentados
anteriormente, los cuales infectan programas (ficheros EXE o COM) o aplicaciones, los
virus de macro realizan infecciones sobre los ficheros que se han creado con determinadas
aplicaciones o programas. Con ellos es posible crear documentos de texto, bases de datos,
hojas de cálculo,...etc. Cada uno de estos tipos de ficheros puede tener adicionalmente
unos pequeños programas, denominados macros. Una macro no es más que un micro-programa
que el usuario asocia al fichero que ha creado con determinadas aplicaciones y que no
depende del sistema operativo sino de acciones determinadas que el usuario puede realizar
dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos de
operaciones para que se lleven a cabo como una sola acción del usuario de forma
independiente sin necesidad de realizarlas una a una manualmente.
Pues bien, estas macros son susceptibles de infección, lo que significa que los virus
(más concretamente los de macro) pueden fijar sus objetivos de infección en ellas. En
este caso, al abrir un documento que contenga macros, éstas se cargarán de forma
automática (ejecutándose o esperando que el usuario decida ejecutarlas). En ese instante
o posteriormente, el virus actuará realizando cualquier tipo de operación perjudicial.
Al diferencia de lo que se piensa habitualmente, los virus de macro pueden realizar
acciones dañinas de bastante importancia, propagándose en poco tiempo de forma muy
rápida.
- Virus de enlace o de directorio: los ficheros son los documentos que
contienen la información real en la que se ha trabajado (textos, bases de datos, hojas de
cálculo, imágenes, sonido,... etc.) o programas (extensiones EXE y COM) y otros tipos de
"elementos" que hacen posible la ejecución de éstos. Cuando hablamos de un
fichero, podemos emplear indistintamente éste término, o el de documento, o el de
archivo. Para organizar toda esta información, se crean directorios o carpetas que son
quienes contienen a los ficheros, pudiendo contener también otras carpetas o directorios
(subcarpetas o subdirectorios). De esta forma, la estructura de un disco se puede ver como
una gran carpeta clasificadora en la que los ficheros son guardados en determinadas
secciones (directorios o carpetas). Otra forma diferente de presentar este concepto es
pensar que el disco es una mesa de despacho en la que tenemos cajones. Estos cajones son
los directorios, dentro de los cuales guardamos hojas (que representarían a los
documentos, ficheros o archivos), pero que también pueden contener subsecciones
(subcarpetas o subdirectorios). En definitiva el documento, fichero o archivos es el
contenido y las carpetas o directorios son el continente que alberga dicho contenido.
Pues bien, el sistema informático deberá conocer en todo momento información sobre un
determinado fichero, como el nombre que tiene y el lugar (carpeta o directorio) en el que
se encuentra (en el que se ha guardado). Para ello le asignará una dirección a la que se
debería acceder en caso de desear utilizar ese determinado fichero.
Los virus de enlace o directorio se encargan de alterar estas direcciones para provocar la
infección de un determinado fichero. Si un programa (fichero EXE o COM) se encuentra en
una dirección concreta, para ejecutarlo habrá que acceder a dicha dirección. Sin
embargo, el virus la habrá modificado con anterioridad. Lo que hace es alterar esta
dirección para que apunte al lugar en el que se encuentra el virus, guardando en otro
lugar la dirección de acceso correcta. De esta forma, cuando se pretenda ejecutar el
fichero, lo que se hará realmente es ejecutar el virus.
Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los
ficheros del disco (disco duro), su capacidad para infectar TODOS éstos es real. De este
modo, los virus de enlace o directorio pueden infectar toda la información contenida en
un disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los
ficheros infectados. En caso de realizar un análisis del disco en busca de errores
(mediante programas como SCANDISK o CHKDSK), se detectarán grandes cantidades de errores
que identifican todos los enlaces a los ficheros que el virus ha modificado. No obstante,
en este caso sería mejor no recuperarlos ya que podría producirse un caos en lo que al
sistema de almacenamiento de la información se refiere, que sería más perjudicial si
cabe.
Técnicas
Utilizadas Por Los Virus |
Cada uno de los miles de virus existentes utiliza diferentes mecanismos, tanto para
realizar la infección como para ocultarse y pasar desapercibido. Estas técnicas
evolucionan con el tiempo, como las técnicas utilizadas por los programas antivirus para
detectarlos. En esta sección presentamos los mecanismos utilizados por los virus:
- Ocultamiento (Stealth): los virus que utilizan esta técnica intentan
pasar desapercibidos ante los ojos del usuario, no levantando ninguna sospecha sobre la
infección que ya ha tenido lugar. Los virus residentes son los que más la utilizan,
aunque no es exclusivamente este tipo de virus quienes la aplican.
Cuando un virus infecta un determinado fichero, suele dejar signos evidentes de su
actuación, como los siguientes: aumento de tamaño en el fichero infectado, modificación
de la fecha y hora de creación en el fichero infectado, secciones marcadas como
defectuosas, disminución de la capacidad en la memoria, ...etc. El virus se encargará de
que cada una de estas pistas no puedan ser visualizadas. Para ello vigilará peticiones de
información que requiere el sistema operativo acerca
de estas características, interceptándolas y ofreciendo un información falseada e
irreal.
- Sobrepasamiento (Tunneling): se trata de una técnica especialmente
diseñada para imposibilitar la protección antivirus en cualquier momento. Mientras el
análisis permanente, o residente, del programa antivirus que se encuentre instalado
intenta realizar detecciones, el virus actúa en su contra. Todas las operaciones que se
realizan sobre cualquiera de los archivos son inspeccionadas por el antivirus mediante la
interceptación de las acciones que el sistema operativo lleva a cabo para hacerlas
posible. De la misma manera, el virus interceptará estas peticiones o servicios del
sistema operativo, obteniendo las direcciones de memoria en las que se encuentran. Así el
antivirus no detectará la presencia del virus. No obstante, existen técnicas antivirus
alternativas que permiten la detección de virus que realicen este tipo de operaciones.
- Autoencriptación: los programas antivirus se encargan de buscar
determinadas cadenas de caracteres (lo que se denomina la firma del virus) propias de cada
uno de los posibles virus. Estos, por su parte y mediante la técnica de
autoencriptación, infectarán de forma diferente en cada ocasión. Esto significa que el
virus utilizará una cadena concreta para realizar una infección, mientras que en la
siguiente infección utilizará otra distinta. Por otro lado, el virus codifica o cifra
sus cadenas para que al antivirus le sea difícil encontrarlo. Sin embargo, los virus que
utilizan este tipo de técnicas, emplean siempre la misma rutina o algoritmo de
encriptación, con lo que es posible su detección.
- Polimorfismo: basándose en la técnica de autoencriptación, el virus se
codifica o cifra de manera diferente en cada infección que realiza (su firma variará de
una infección a otra). Si sólo fuese así estaríamos hablando de un virus que utiliza
la encriptación, pero adicionalmente el virus cifrará también el modo (rutina o
algoritmo) mediante el cual realiza el cifrado de su firma. Todo esto hace posible que el
virus cree ejemplares de sí mismo diferentes de una infección a la siguiente, cambiando
de "forma" en cada una de ellas. Para su detección, los programas antivirus
emplean técnicas de simulación de descifrado.
- Armouring: mediante esta técnica el virus impide ser examinado. Para
conocer más datos sobre cada uno de ellos, éstos son abiertos como ficheros que son,
utilizando programas especiales (Debuger) que permiten descubrir cada una de las líneas
del código (lenguaje de programación en el que están escritos). Pues bien, en un virus
que utilice la técnica de Armouring no se podrá leer el código.
A medida que evolucionan las técnicas empleadas por los virus y éstas son
investigadas, los programas antivirus incorporan medidas de búsqueda de virus y
protección más avanzadas como las siguientes:
- Búsqueda de cadenas: cada uno de los virus contiene determinadas cadenas de caracteres que le identifican. Estas son las
denominadas firmas del virus. Los programas antivirus incorporan un fichero denominado
"fichero de firmas de virus" en el que guardan todas las cadenas
correspondientes a cada uno de los virus que detecta. De esta forma, para encontrarlos, se
analizarán todos los ficheros especificados comprobando si alguno de ellos las contiene.
Si un fichero no contiene ninguna de estas cadenas, se considera limpio, mientras que si
el programa antivirus la detecta en el interior del fichero avisará acerca de la
posibilidad de que éste se encuentre infectado.
- Excepciones: una alternativa a la búsqueda de cadenas es la búsqueda de
excepciones. Cuando un virus utiliza una determinada cadena para realizar una infección
pero en la siguiente emplea otra distinta, es difícil detectarlo mediante la búsqueda de
cadenas. En ese caso lo que el programa antivirus consigue es realizar la búsqueda
concreta de un determinado virus.
- Análisis heurístico: cuando no existe información que permita la
detección de un nuevo o posible virus desconocido, se utiliza esta técnica. Se
caracteriza por analizar los ficheros obteniendo información sobre cada uno de ellos
(tamaño, fecha y hora de creación, posibilidad de colocarse en memoria,...etc.). Esta
información es contrastada por el programa antivirus, quien decide si puede tratarse de
un virus, o no.
- Protección permanente: durante todo el tiempo que el ordenador permanezca
encendido, el programa antivirus se encargará de analizar todos los ficheros implicados
en determinadas operaciones. Cuando éstos se copian, se abren, se cierran, se
ejecutan,...etc., el antivirus los analiza. En caso de haberse detectado un virus se
muestra un aviso en el que se permiten la desinfección. Si no se encuentra nada extraño,
el proceso recién analizado continúa.
- Vacunación: mediante esta técnica, el programa antivirus almacena
información sobre cada uno de los ficheros. En caso de haberse detectado algún cambio
entre la información guardada y la información actual del fichero, el antivirus avisa de
lo ocurrido. Existen dos tipos de vacunaciones: Interna (la información se guarda dentro
del propio fichero, de tal forma que al ejecutarse él mismo comprueba si ha sufrido
algún cambio) y Externa (la información que guarda en un fichero especial y desde él se
contrasta la información).
| Virus Glosario | Nuevos
Virus | Nuevos Virus 2 | |