VIRUS DE ARCHIVOS EJECUTABLES

POR

CLAUDIA MARIA CAÑAVERAL LOPERA

VIRUS DE ARCHIVOS EJECUTABLES, aquellos con extensión COM y EXE.

A partir de 1988 los virus empezaron a infectar y averiar archivos de diferentes extensiones, tales como .DLL, DBF, BIN, VBS, VBE, .HTM, .HTML, etc. Hoy día los virus no infectan en forma específica y limitativa a las áreas del sistema o a tipos de archivos. Lo hacen al libre albedrío de sus creadores, cuando quieren y como quieren, dejando de lado clasificaciones tradicionales.

Los virus requieren ser ejecutados para lograr sus objetivos y por esa razón buscan adherirse únicamente a los archivos COM, EXE, SYS, DLL VBS, etc. o a las áreas vitales del sistema, tales como el sector de arranque, memoria, tabla de particiones o al MBR(Master Boot Record) El MBR contiene la información de la tabla de particiones, para conocer las delimitaciones de cada partición, su tamaño y cuál es la partición activa . Una vez activados atacarán a otros archivos ejecutables o áreas, haciendo copias de si mismos, sobrescribiéndolos o alterando archivos de cualquier otra extensión, no ejecutables.

Las extensiones diferentes a COM, EXE, SYS, DLL, VBS, etc., solamente servirán de receptores pasivos más no activos, pudiendo quedar alterados o inutilizados pero jamás podrán contagiar a otros archivos.

EJEMPLO: W32/Devir (Insane). Infecta archivos ejecutableshttp://www.vsantivirus.com/devir.htm

Nombre: W32/Devir (Insane)Tipo: VirusAlias: Win32.Devir, Win32.Devir.15128, PE_DEVIR.15128, Win32/HugoBoss, Win32.InsaneFecha: 27/oct/02

Este virus permanece residente en memoria, desde donde infecta archivos ejecutables de Windows.

Durante la infección, el virus reemplaza los primeros 4 Kb del código del archivo que infecta, con una rutina altamente polimórfica de desencriptación. El código sobrescrito es almacenado junto al cuerpo encriptado del propio virus, dificultando la limpieza de archivos infectados por parte de los antivirus.

El ciclo de infección continúa hasta que el programa infectado que se ejecutó al principio finaliza su ejecución. En ese momento el virus es removido de la memoria.

El virus también contiene código que le permite actuar como un servidor de acceso remoto del tipo "backdoor". Este troyano se conecta a Internet, y queda a la espera de determinadas ordenes.IMPORTANTE:

Si el troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tenerla conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):

* Robo o cambio de contraseñas o archivos de contraseñas. * Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras. * Instalación de programas que capturen todo lo tecleado por la víctima. * Modificación de las reglas de los cortafuegos instalados. * Robo de números de las tarjetas de crédito, información bancaria, datos personales. * Borrado o modificación de archivos. * Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima. * Modificación de los derechos de acceso a las cuentas de usuario o a los archivos. * Borrado de información que pueda delatar las actividades del atacante (logs, etc.).

Los ejecutables infectados pueden ponerse en cuarentena, cambiarles el nombre (para que no se puedan ejecutar), eliminarse, purgarse o copiarse con nombres de archivo no ejecutables.

Según sus características un virus puede contener tres módulos principales: el módulo de ataque, el módulo de reproducción, y el módulo de defensa.  Módulo de reproducción. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersión del virus.   Módulo de ataque. El módulo puede ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo específico (COMMAND.COM), el encontrar un sector específico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.  

 

Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus.

Recuerde que los archivos ejecutables sin permiso de escritura no se pueden infectar.

Qué hacer 1. ¿Cuánto se ha propagado la infección?Si utiliza Enterprise Console o Sophos Control Centre, puede generar informes sobre la infección de los equipos administrados. Recuerde que si el equipo no está protegido ni administrado con Enterprise Console o Control Centre, no podrá ver el estado. Por eso es muy importante mantener los equipos protegidos y controlados.

2. Poner los equipos en cuarentenaLos equipos infectados con virus de archivo PE deberían desconectarse de la red de forma inmediata para evitar daños mayores. Los servidores, a los que se conectan muchos equipos, también deberían desconectarse para no poner en peligro otros equipos.

3. ¿Qué grado de infección sufren los equipos?NOTA: los virus de archivo infectan archivos, por lo que es necesario desinfectarlos, no simplemente eliminarlos.