Tipos de virus informáticos
Con la popularización de Internet los virus se han extendido por varias razones, una de ellas es que ahora es de mucho más fácil acceso encontrar la información para crear uno. Existen muy diversas clases y representan una seria amenaza para una utilización normal de los equipos informáticos.
Capítulo 1: Definición y estructura
Definición de virus informático:
Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o al sector "arranque" y se replica a sí mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse,¡ mientras otros pueden producir serios daños que pueden afectar a los sistemas.
Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE.
Estructura de un virus:
- Módulo de propagación
- Módulo de ataque o activación.
- Módulo de defensa.
El módulo de propagación se encarga de manejar las rutinas de "parasitación" de entidades ejecutables. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.
El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.
Capítulo 2: Activación de un virus
Cuando se activa un virus, las consecuencias son de lo más diversas. Desde las más inocentes como hacer sonar una melodía, poner un mensaje en pantalla, hacer llover caracteres por nuestra pantalla o cambiar la etiqueta de nuestro disco hasta de lo más devastadoras como formatear el disco duro, borrar la CMOS, destruir el sector de arranque, borrar archivos, destruir o encriptar la FAT, etc. El detonante de esta situación, el módulo de activación, determina cuándo el virus ha de realizar su función visible.
Un virus puede estar programado para realizar su acción nociva poco a poco e ir degradando así la integridad de la máquina o bien programado como una bomba lógica y realizar esta acción una sola vez en un momento determinado (una fecha concreta, una hora, al cumplirse cierto número de ejecuciones e incluso de forma aleatoria).
Esquema de activación de un virus:
El esquema de ejecución de un virus es sencillo, si se cumple la condición definida en el módulo de activación, descarga su efecto nocivo y en caso contrario trata de desplegarse por el sistema. A partir de este esquema básico, podemos distinguir los virus de acción directa y los virus residentes.
Los de acción directa tienen un mecanismo de infección simple. Toman el control del equipo, infectan a otros archivos y se descargan de la memoria. Son fáciles de programar y de escasa difusión (menos del 1%), pues son de infección lenta.
Los virus residentes son mucho más que un simple programa TSR, pues utilizan diversas técnicas para ocultarse y controlar de alguna forma la máquina propagándose por el sistema en cualquier momento, por ejemplo cuando se arranca un programa, se hace un simple DIR, o se introduce un nuevo disco en la unidad.
Capítulo 3: Tipos de virus
Virus de sector de arranque: Hasta hace poco, los más difundidos. Infectan en el sector de arranque el MBR (Master Boot Record) o el DBR (Disk Boot Record) existente en todos los discos duros y disquetes. El virus sustituye el código de arranque original por su propio código o parte del mismo, almacenando la secuencia inicial y el resto de sí mismo en algún lugar del disco. Se propaga cuando introducimos un disco infectado en la unidad de arranque y encendemos el equipo. El ordenador ejecuta el MBR del disco infectado, carga el virus, el cual se copia al MBR del disco duro. A partir de ahí, todas las veces que arranquemos nuestro equipo, se cargará el virus en memoria de forma residente.
Virus de archivo: Este tipo de virus infecta a archivos ejecutables como los del tipo EXE, COM, DLL, OVL, DRV, SYS, BIN, e incluso BAT. El virus se añade al principio o al final de los archivos. Su código se ejecuta antes que el del programa original, pudiendo ser o no residentes. Una vez en memoria, buscan nuevos programas a los cuales puedan trasladarse.
Virus macro: Este tipo de virus ha destruido el concepto que hasta el momento se tenía de los virus en general. Infectan documentos de determinadas aplicaciones que dispongan o puedan hacer uso de un potente lenguaje de macros. Los primeros virus de este tipo aparecieron en el verano de 1995 y, ya a principios del siguiente año, se habían hecho tremendamente populares, hasta el punto de haber arrebatado el primer puesto en cuanto a porcentaje de infecciones a los viejos virus de sector de arranque.
La inmensa mayoría utilizan el lenguaje de macros WordScript de Word (si bien podemos encontrar algunos desarrollados en otros lenguajes como pueda ser LotusScript para Lotus SmartSuite), aunque la aparición de VBA (Visual Basic for Applications) que emplea Microsoft Office, posibilita la creación de virus genéricos efectivos en cualquier aplicación con soporte para OLE2. Esta característica está propiciando que los virus creados con VBA se les denomine virus de OLE2.
La infección comienza cuando se carga un documento, ya sea un texto de Word, una hoja de cálculo de Excel, etc. La aplicación además del documento carga cualquier macro que lo acompaña. Si alguna o algunas de esas macros son válidas, la aplicación las ejecuta, haciéndose éstas dueñas del sistema por unos instantes. Al tener el control, lo primero que hacen es copiarse al disco duro y modificar la plantilla maestra (NORMAL.DOT en Word), para que sean ejecutadas ciertas de ellas al iniciar la aplicación determinada. En cada documento que creemos o abramos, se incluirán a partir de ese momento las macros "malignas".
Si cualquiera de esos documentos es abierto en otro equipo, se repite el proceso y se propaga la infección. Las capacidades destructivas son virtualmente incluso mayores y, puesto que algunos paquetes están disponibles para distintos sistemas y plataformas, son mucho más versátiles. Asimismo, las macros pueden ser programadas como troyanos, siendo capaces de incluir un virus convencional, cambiar una DLL o ejecutable, etc., e instalarlo en el sistema.
Troyanos y gusanos (Worms): No son virus propiamente dichos. Los troyanos son programas que, al igual que en la mítica historia, bajo un aparente programa funcional, introducen en nuestro sistema bien un virus, bien una carga destructiva directa. Por su parte los gusanos son programas que una vez ejecutados no tienen otra función que la de ir consumiendo la memoria del sistema, mediante la realización de copias de sí mismo hasta desbordar la RAM.
Capítulo 4: Técnicas utilizadas por los virus
La popularización de Internet no ha venido sino a agravar el problema de los virus, pues es posible encontrar amplia información de cómo generarlos e incluso existen programas y páginas Web que permiten con unos simples menús crear nuestro virus "a la carta". A todo esto hemos de añadir que la creación de un virus de macro es mucho más sencilla que los "tradicionales" pues éstos se realizan en un lenguaje de programación de alto nivel. El éxito o fracaso de la difusión de un virus depende en gran medida de la capacidad de pasar inadvertido de cara al usuario o a un producto antivirus.
Mecanismos de Stealth: Éste es el nombre genérico con el que se conoce a las técnicas de ocultar un virus. Varios son los grados de stealth. A un nivel básico basta saber que en general capturan determinadas interrupciones del PC para ocultar la presencia de un virus, como mantener la fecha original del archivo, evitar que se muestren los errores de escritura cuando el virus escribe en discos protegidos, restar el tamaño del virus a los archivos infectados cuando se hace un DIR o modificar directamente la FAT, etc. Técnicas de stealth avanzadas pretenden incluso hacer invisible al virus frente a un antivirus. En esta categoría encontramos los virus que modifican la tabla de vectores de interrupción (IVT), los que se instalan en alguno de los buffers de DOS, los que se instalan por encima de los 640KB e incluso los hay que soportan la reinicialización del sistema por teclado.
Virus polimórficos: La mayor parte de los productos antivirus basan su análisis en un escáner que estudia y compara secuencias de los ejecutables a partir de unos patrones de secuencias víricas. En ensamblador podemos encontrar multitud de secuencias distintas que tienen un resultado equivalente. Por otro lado, podemos cambiar el orden de los bloques de instrucciones de un virus y seguiremos teniendo lo mismo. Basándose en esto aparecieron los virus polimórficos, que cambian de aspecto cada vez que se replican. Los primeros constaban de tan solo unas cuantas mutaciones por virus, pero la aparición de motores de polimorfismo estándar consiguen muchos miles de mutaciones de un mismo virus.
Técnicas de encriptación: Al igual que sucede con el polimorfismo, si un virus encripta su código, un escáner analizador de patrones nunca encontrará la secuencia maligna original. Al principio las encriptaciones eran sencillas, pero también han ido apareciendo motores de encriptación como MtE, SMEG o TPE que complican tremendamente el trabajo a los antivirus.
Capítulo 5: Programas antivirus y técnicas utilizadas
Los actuales productos antivirus son una solución completa e integran todo lo necesario para la luchar contra las infecciones en un solo paquete. En líneas generales, un antivirus se compone del escáner, el limpiador y un controlador de dispositivo residente.
El escáner es el arma antivirus por excelencia. Antes, analizaban exclusivamente los archivos en busca de secuencias malignas, basándose en un archivo que contenía los patrones de los distintos virus. Hoy día, incluyen técnicas más avanzadas que aumentan la velocidad de detección con mecanismos de checksum e incluso permiten descubrir nuevos virus con lo que se ha dado a llamar análisis heurístico.
El análisis heurístico no es un algoritmo en sí, sino un conjunto de ellos. Un compendio de reglas que, basándose en la experiencia, descomponen y analizan las secuencias de código ejecutable. Concretamente buscan de partes de código que puedan asemejarse a lo que puede hacer un virus, como quedarse residente, capturar una interrupción o escribir en el sector de arranque del disco. De esta forma, puede detectar virus aún no incluidos en su base de datos y avisar al usuario de que tal o cual programa puede suponer un peligro para sus datos. No obstante, este método no es infalible al 100% y en ocasiones provoca falsas alarmas.
Como respuesta a la proliferación de múltiples motores de encriptación, los antivirus han empezado a utilizar desencriptadores genéricos o GDE (Generic Decryption Engine). Éstas aplicaciones observan el virus y averiguan la secuencia de código que aparecería simulando la ejecución real, obligando así al virus a desencriptarse a él mismo en un buffer. Una vez con virus en este buffer, es muy sencillo aplicarle los métodos tradicionales de detección por firma, checksum, o heurístico.
Capítulo 6: ¿Cómo evitar los virus?
Los virus son una amenaza real para nuestros datos. El uso masivo de Internet rompe las que antes eran barreras geográficas y la difusión de virus se hace mucho más sencilla, amplia y veloz. Si se abre la puerta de Internet y las redes corporativas, necesariamente ha de aumentar la inversión en seguridad. Por poco que se valoren los datos de un ordenador, siempre serán más valiosos que el coste de un buen paquete antivirus. No obstante, para maximizar las capacidades de búsqueda, aunque utilicemos asiduamente un solo producto es recomendable de vez en cuando recurrir a algún otro escáner.
Medidas de seguridad para evitar los virus:
- Realizar periódicas copias de seguridad de nuestros datos .
- No aceptar software no original o pre-instalado sin el soporte original.
- Proteger los discos contra escritura, especialmente los de sistema.
- Si es posible, seleccionar el disco duro como arranque por defecto en la BIOS para evitar virus de sector de arranque.
- Analizar todos los nuevos discos que introduzcamos en nuestro sistema con un antivirus, incluso los discos vacíos (pues pueden contener virus en su sector de arranque).
- Analizar periódicamente el disco duro arrancando desde el disco original del sistema, para evitar que algún virus se cargue en memoria previamente al análisis.
- Actualizar los patrones de los antivirus cada uno o dos meses.
- Intentar recibir los programas que necesitemos de Internet de los sitios oficiales.
- Tener especial cuidado con los archivos que pueden estar incluidos en nuestro correo electrónico.
- Analizar también archivos comprimidos y documentos.
CONCLUSIONES
Todo virus es un programa y, como tal, debe ser ejecutado para activarse. Es imprescindible contar con herramientas de detección y descontaminación.
Ningún sistema de seguridad es 100% infalible. Por eso todo usuario de computadoras debería tratar de implementar medidas de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de propagación de algo que puede producir daños graves e indiscriminados.
