Virus, Gusanos y Troyanos

Prof. Santiago Mena Zorrilla

¿Qué es un Virus informático?Un programa de  ordenador  que  puede  infectar  otros programas modificándolos 

para incluir una copia de sí mismo.¿Quién los crea?Tradicionalmente, el perfil de un creador de virus responde al de una personajoven, con amplios conocimientos de informática, la mayoría programadoresque trabajan en el sector de la Informática y que, en sus ratos libres, sededicaban a programar virus.Actualmente, las cosas han cambiado y con la expansión de Internet cualquierpersona con la suficiente mala intención y unos conocimientos mínimos escapaz de infectar miles de ordenadores con un virus hecho a la carta.Posiblemente, el objetivo de estos programadores no es de tipo económico sino

más bien de satisfacción personal: que el programa se propague al mayor número posible de ordenadores y redes de ordenadores, obteniendo así el reconocimiento de otrosprogramadores de virus.

Tipos de Virus

Virus de archivos:(Files virus). Como su nombre indica, se instalan en los archivos, utilizando cualquier sistema operativo para propagarse. Pueden infectar todos los tipos de archivos ejecutables del DOS Estándar (Archivos BAT, SYS, EXE, COM) y archivos de otros sistemas operativos como Windows en todas sus versiones (incluyendo sus drivers), OS2, Macintosh y Unix. También son capaces de infectar archivos que contienen código fuente, librerías o módulos de objetos, e incluso archivos de datos.

Virus de sector de arranque maestro:(MBR, Master Boot Record). Infectan el sector de arranque de los disquetes o discos duros y sustituyen el sector de arranque original guardando o no una copia de este en otro sector del disco.También pueden guardar parte del virus en otros sectores además del MBR.Formatear el disco o disquete no tiene ningún efecto sobre ellos ya que esta acción no modifica el MBR. La única salida en este caso es un formateo abajo nivel que regenere la tabla de particiones.

Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE

Virus mixtos, bimodales o multiparte: Son una combinación de virus de archivo y virus de sector de arranque. Se trata de virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos de sus acciones.

Algunos ejemplos de estos virus son: Ywinz.Virus del BIOS:(Basic Input Output System) Se instalan en la BIOS del ordenador de

forma que, cada vez que éste arranca, se infectan los archivos de sistema y el disco duro queda inservible en pocos minutos.

Virus  de  compañía:(Companion Virus). Se caracterizan porque no cambian los archivos infectados sino que crean un clon del archivo infectado que al ejecutarse le da el control al virus. Pueden hacerlo de varias maneras, creando un archivo alternativo (por ejemplo, infecta el archivo xcopy.EXE que permanece inalterado y se crea un archivo xcopy.COM que contiene el código viral, de forma que al ser llamado el xcopy.EXE se ejecuta xcopy.COM). Otra variante es renombrando el archivo original sin cambiarlo y adoptando su nombre el virus.

Algunos ejemplos de este tipo de virus son: Stator, Asimov.1539, Terrax.1069.

Virus  de macros: El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (archivos con extensión .DOC), hojas de cálculo de Excel (archivos con extensión .XLS), bases de datos de Access (archivos con extensión .MDB), presentaciones de PowerPoint (archivos con extensión PPS), archivos de Corel Draw, etc.Las macros son micro-programas asociados a un archivo, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.

Cuando se abre un archivo que contenga un virus de este tipo, las macros se cargarán de forma automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección.

Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de PowerPoint, multiprograma o de archivos .RTF. Sin embargo, no todos los programas o herramientas con macros pueden ser afectados por estos virus.

Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K.

Retrovirus: Especialmente diseñados para infectar programas antivirus, para lo cual incluyen rutinas que les permiten evitar ser detectados y deshabilitar o dañar determinados antivirus.

Virus de sobreescritura: Sobrescriben el contenido de los ejecutables con su propio código fuente, destruyendo el contenido original. El ejecutable infectado no trabaja apropiadamente y no puede ser restaurado. Se caracterizan porque los archivos infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio archivo (esto se debe a que se colocan encima del archivo infectado, en vez de ocultarse dentro del mismo).La única forma de limpiar un archivo infectado por un virus de sobreescritura es borrarlo, perdiéndose su contenido.

Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot y Trivial.88.DVirus parasitos: Cambian el contenido de archivos infectados al transferirles su copia

y permiten que los archivos sean parcial o completamente utilizables.La copia del virus puede ser agregada al inicio o final del archivo afectado o insertada en el medio.

Virus mutantes:  (Companion Virus). Son los que al infectar realizan modificaciones en el código para evitar ser detectados o eliminados. Algunos ejemplos de este tipo de virus son: NATAS o SATÁN y Miguel Angel.

Virus sin punto de entrada: (Entry Point Obscuring). No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los archivos .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infectado, por lo que no toman el control inmediatamente al ejecutarse el archivo, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas.

Ejemplos de este tipo de virus son los siguientes: Lucretia, Zhengxi, CNTV, MidInfector, NexivDer, Avatar.Positron y Markiz.

Virus de Java y Active X: Un control ActiveX, un plug-in o cualquier elemento activo no dejan de ser archivos ejecutables que se añaden a un navegador para agregarle ciertas características. Al ser ejecutables pueden contener código malicioso

Virus BAT: Son de los más antiguos, se basan en la capacidad del DOS de ejecutar archivos .BAT de proceso por lotes. Inicialmente fáciles de detectar al estar escritos en modo texto, no podían ocultarse y tenían un poder limitado.Actualmente son más modernos y versátiles, estando desarrollados en WinScript (evolución del .BAT para Windows).

Virus de script: A este tipo pertenecen los virus de script para mIRC y los orientados a redes como los virus de HTML, VBS, JavaScript o JScript. Pueden desconectar al usuario del IRC y acceder a información sensible del PC o sw la LAN, abrir el archivo de claves del Windows, bajar el "etc/passwd“ en el caso de sistemas operativos basados en UNIX o abrir una sesión FTP.

Virus  Bomba  de  tiempo:  Este  tipo de virus se caracteriza por ocultarse en la memoria del sistema o en los discos y en los archivos de programas ejecutables con tipo COM o EXE a la espera de una fecha o una hora determinadas para activarse. Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la activación. Llegado el momento, se activan cuando se ejecuta el programa que las contiene.

Características de los virus

Latencia: Un virus es capaz de permanecer inactivo hasta que un hecho externo hace que el programa se ejecute o que el sector de arranque sea leído. De esa forma el programa del virus se activa y se carga en la memoria del ordenador desde donde puede esperar un evento que dispare su sistema de destrucción o de duplicación de sí mismo.

Tipo  de  residencia: Hace unos años, la mayoría de los virus se caracterizaban por ser residentes en memoria. De esta forma, cada vez que arrancaba el ordenador, el virus hacía de las suyas infectando los archivos del disco duro. Menos comunes son los virus no residentes que no necesitan permanecer en la memoria después que el programa huésped se haya cerrado. Ahora, los virus tienden a camuflarse para evitar la detección y reparación. Para ello, el virus reorienta la lectura del disco y modifica los datos sobre el tamaño del directorio infectado en la FAT para evitar que se descubran bytes extra que aporta el virus.

Forma  de  infección:  Los primeros virus se infectaban a través de archivos ejecutables infectados en disquetes que, al ser introducidos en la unidad de disco flexible, infectaban la RAM o el sector de arranque. Otra vía de infección era a través de programas descargados de BBS (Bulletin Board System o Sistema de Tablero de Anuncios) o a través de copias de software no original, infectadas a propósito o accidentalmente. También se pusieron muy de moda (y siguen vigentes) los virus que infectaban cualquier archivo que contenga "ejecutables" o "macros".

Composición: En todo virus informático se pueden distinguir tres módulos principales: módulo de reproducción, módulo de ataque y módulo de defensa

El módulo de reproducción es el encargado de manejar las rutinas de "parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. De esta manera, logra tomar el control del sistema e infectar otras entidades permitiendo trasladarse de un ordenador a otro a través de algunos de estos archivos.

El módulo  de  ataque  es de carácter optativo y en caso de ir incorporado es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños típicos de un virus de su clase, tiene un módulo de ataque que se activa cuando el reloj del ordenador indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.

El módulo de defensa tiene, obviamente, la misión de proteger al virus y como el de ataque, puede estar o no presente en la estructura. Sus rutinas están diseñadas para evitar todo aquello orientado a la eliminación del virus y a retardar, en todo lo posible, su detección.

Daños producidos por los virus

De acuerdo a la gravedad de los efectos producidos por un virus, los daños se pueden clasificar en seis categorías

Daños triviales: La eliminación del daño se produce en un intervalo de tiempo muy breve. Un ejemplo es el virus FORM un virus de tipo infector genérico del sector de arranque maestro que no daña información del disco duro, pero puede generar fallos en disquetes y que se activa el 18 de cada mes de forma que cada vez que se presiona una tecla hace sonar el beep. Deshacerse de este virus implica, generalmente, segundos o minutos.

Daños  menores: Un ejemplo de este tipo de daño es el producido por el virus Jerusalem. Este virus borra, los viernes 13, todos los programas que se intenten usar después de que el virus haya infectado la memoria residente. En el peor de los casos, habrá que reinstalar los programas perdidos. En menos de treinta minutos puede estar solucionado el problema.

Daños moderados: Son los típicos daños causados cuando un virus formatea el disco duro, mezcla los componentes de la FAT o sobreescribe los datos de disco duro. La reparación de estos daños implica reinstalar el sistema operativo y restaurar los datos y programas utilizar el último backup. El tiempo empleado en la reparación depende de la cantidad de información a restaurar y de la capacidad del disco duro. Una hora puede ser suficiente.

Daños  mayores:  alta  capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus Dark Avenger, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo). Esto puede haber estado sucediendo durante un largo periodo de tiempo sin que nos hayamos percatado de ello, hasta el día en que se detecta la presencia del virus de forma que cuando queramos restaurar el último backup notaremos que también contiene sectores con la citada frase, así como también los backups anteriores a ese. Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad.

Daños  severos:  Los  daños severos tienen lugar cuando un virus no detectado realiza cambios mínimos, graduales y progresivos de forma que no sabemos cuándo los datos son correctos o han cambiado ya que el virus ha actuado de forma silenciosa sin dejar pistas tan claras como en el caso del Dark Avenger (la dichosa frasecita)

Daños  ilimitados:  Suelen ser debidos a troyanos y no se limitan a fastidiar el funcionamiento del disco duro o de cualquier otro elemento del ordenador sino que intentan pasar lo más desapercibidos posibles con objeto de obtener claves de acceso y privilegios que les permitan explotar otros recursos como cuentas bancarias, obtención de la dirección IP, accesos a sitios restringidos que almacenan información privilegiada, etc.

Daños al software

Los más generales son los siguientes:

Modificación de las aplicaciones instaladas hasta el punto de que no puedan ejecutarse.

Modificación de las aplicaciones instaladas de forma que su funcionamiento produzca continuos errores.

Modificación de los datos. Eliminación de aplicaciones y/o datos.Agotamiento paulatino del espacio libre existente en el disco duro.Ralentización del sistema.Obtención fraudulenta de información confidencial.

Daños al HardwareBorrado de la información de la BIOS. Destrucción del microprocesador por exceso el de temperatura provocada por una

falsa información del sensor de temperatura. Rotura del disco duro al provocar que las cabezas lectoras lean repetidamente

sectores específicos que fuercen su funcionamiento mecánico. Mal funcionamiento de tarjetas como la de red, sonido y vídeo. Bloqueos del ordenador que provocan continuos reinicios. Reinicios aleatorios sin causa aparente.

Síntomas típicos infección• El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.• El tamaño del programa cambia sin razón aparente.• El disco duro se queda sin espacio o informa de falta de espacio sin que esto sea necesariamente así.• El pilotito indicador del disco duro continúa parpadeando aunque no se este trabajando ni haya

protectores de pantalla activados.• Aparecen archivos de la nada o con nombres y extensiones extrañas.• Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en

ventanas tipo DOS).• Cambios en la fecha y / u hora de los archivos.• Ralentización en la carga de aplicaciones.• Iniciación del sistema operativo más lenta de lo habitual.• Sectores defectuosos en los disquetes.• Mensajes de error inusuales.• Actividad extraña en la pantalla.• Errores continuos e inesperados en la ejecución de los programas.• Errores continuos y persistentes al arrancar o inicializar el equipo.• Escrituras fuera de tiempo en el disco.

Troyanos

Programa camuflado dentro de otro (de ahí el nombre, asociado al caballo que los griegos utilizaron para ganar su guerra contra Troya) cuyo objetivo era conseguir que un usuario de un ordenador lo ejecutara pensando que en realidad estaba ejecutando un programa lícito.

Conjunto de instrucciones no autorizadas incrustadas en el código fuente de un programa legal que ejecutan funciones desconocidas para el usuario y no deseadas por el mismo. Cualquier programa que aparentemente haga una función deseable y necesaria pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el usuario.

Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus.

Cualquier programa que permita operaciones de monitoreo y/o control remoto del ordenador de un usuario sin su conocimiento ni consentimiento. Este tipo de programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.

Objetivo de los troyanosEste tipo de código malicioso es el más empleado a la hora de espiar y obtener sin

permiso información delicada o discrecional y el interés del atacante podría incluir pero no estar limitado a:

Información de tarjetas de crédito (utilizadas a menudo para registro dedominios o compras) Cualquier dato de cuentas (contraseñas de correo, contraseñas de acceso

telefónico, contraseñas de servicios Web, etc) Documentos confidenciales Direcciones de correo electrónico (por ejemplo, detalles de contacto de clientes) Diseños o fotografías confidenciales Información de calendario relativa al paradero de los usuarios Utilización de su equipo para propósitos ilegales, como hacking, scan, flood o

infiltrarse en otros equipos de la red o de Internet.

Captar las pulsaciones del teclado del ordenador víctima, de forma que cualquier tecla pulsada queda registrada. De esta forma el dueño del troyano puede registrar las claves, contraseñas, números de tarjetas de crédito, etc. introducidas por el usuario del ordenador víctima.

Espiar la ejecución de las aplicaciones que se ejecutan en el escritorio del ordenador víctima: lectura de los mensajes de correo, conversaciones mantenidas con el programa de mensajería instantánea, páginas web visitadas, vídeo conferencias establecidas, etc.

Acceder y leer el contenido de los archivos logs que almacenan las conversaciones mantenidas a través de programas clientes de mensajería instantánea. Así, por ejemplo Messenger (en alguna de sus versiones) crea una carpeta llamada "my chats logs".

Visualizar el historial de páginas visitadas. Monitorizar los procesos, programas activos, aplicaciones en marcha, historial de

programas utilizados, etc. Visualizar el contenido de la carpeta Mis documentos, consultar el historial de

documentos abiertos recientemente pudiendo borrarlos o modificarlos.

Síntomas de infección por troyano1.La unidad de CD-ROM se abre y cierra sin intervención del usuario.2. La pantalla del ordenador se ve invertida o al revés.3. El fondo del escritorio cambia por sí solo. Este tipo de comportamiento puede ser iniciado por el atacante, colocando

imágenes obscenas copiadas por el mismo.4. La página de inicio del navegador es una página extraña o desconocida para el usuario y/o se ejecuta automáticamente,

colocando como página de inicio una página desconocida para el usuario, normalmente una página de carácter pornográfico.

5. La apariencia del escritorio de Windows cambia por si sola.6. El protector de pantalla cambia por sí solo.7. Los botones del ratón invierten su función.8. El puntero del ratón desaparece.9. El puntero del ratón se desplaza sólo a lo largo y ancho de la pantalla.10. El ordenador reproduce sonidos grabados por el micrófono con anterioridad, sin conocimiento del usuario.11. El volumen del sonido cambia solo.12. Los programas ejecutan solos.13. El ordenador puede iniciar una conversación con el usuario.14. El ordenador se empeña en mostrar el contenido del portapapeles de Windows.15. Mensajes extraños de advertencia, información o error aparecen sin razón alguna en la pantalla del ordenador.16. El ordenador marca un número de teléfono automáticamente.17. La fecha y hora del ordenador cambian por sí solos.18. La barra de tareas desaparece de forma inesperada.19. El ordenador se apaga de forma aleatoria.20. Aparecen compras extrañas que nunca hemos realizado con nuestra tarjeta de crédito.21. Aparecen archivos bloqueados o en uso inesperadamente.22. El teclado deja de funcionar inesperadamente.23. Cada vez que intenta reiniciar el ordenador aparece una mensaje de que todavía hay usuarios conectados al sistema.24. La secuencia de teclas Ctrl+Alt+Del deja de funcionar.

Precauciones contra troyanos

Tener un antivirus y/o antitroyanos monitorizando constantemente nuestroordenador.Realizar escaneos esporádicos a todo el sistema con antivirus y/o antitroyanos.Tener instalado y activo un cortafuegos. Utilizar monitores de sistema y registro, ya sean específicos o se encuentren

formando parte de un cortafuegos, antitroyanos, antivirus,... Desconfiar de todo archivo obtenido por cualquiera de las vías de Internet,

especialmente de aquellos con los que tengamos algún problema en su primera ejecución.

Escanear como norma general todo fichero que entre en nuestro sistema. Utilizar siempre un cortafuegos para detectar intentos de comunicación deun posible troyano con el dueño del mismo.Panda,Norton,Windows Defender McAffe

Gusanos

Un gusano (worm) es un tipo de virus cuya característica principal consiste en la capacidad de poder reenviarse a sí mismo. Efectivamente, esta es la gran diferencia entre los virus y los gusanos: la capacidad que tienen estos últimos de utilizar el ordenador de cualquier usuario para infectar otros ordenadores, vía Internet.

Al contrario de lo que ocurre con los virus informáticos (en el sentido estricto, son programas que tienen la capacidad de copiarse a sí mismos y de modificar el código de programas para infectarlos), los gusanos son programas completos que pueden funcionar por sí solos, y que por tanto no necesitan afectar el código de otros programas para replicarse y, su presencia y permanencia se basa normalmente en errores o debilidades (vulnerabilidades) de los protocolos de red o de los programas incluidos en los sistemas operativos que los utilizan. Es decir, los gusanos tienen por finalidad copiarse así mismos tantas veces como sea posible hasta conseguir saturar la memoria del sistema.

Su entrada la hacen por el correo y su salida por alli tambien

Precauciones contra gusanos

La mayoría de los antivirus pueden configurarse para explorar automáticamente nuestro ordenador así como para detectar, identificar y proteger contra los daños que pueda causar un virus, pero también es muy importante actualizar el software antivirus periódicamente y mantenerlo activo en todo momento, sobre todo porque de esta forma detectará los mensajes de correo contaminados.

Hacer en todos los casos copias de seguridad de los datos de la computadora

Finalmente, no es necesario adoptar una actitud hipocondríaca cuando se tratade protegernos contra virus o gusanos informáticos. Lo mejor es "prevenir y nolamentar".