INFORMACIÓN VIRUS by Gustavo Cachcovsky 2007

¿Qué es un virus? 
Cómo en biología se denominan así principalmente por su capacidad de autoreproducirse.
Son pequeños programas escritos intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o sectores de "booteo" y se replica a sí mismo para continuar su esparcimiento. 
Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de información (diskettes, discos rígidos), hasta daños al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al equipo. 
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado W95/CIH-10xx o también como Chernobyl (puede aparecer el 26 de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la PC huésped y cambia su configuración de tal forma que se requiere cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema. 


¿Por qué se crean los virus?
Los virus en la máquina no aparecen porque sí, cada uno debe ser programado específicamente. No existen virus benéficos. Algunas veces son escritos como una simple broma, quizás para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores. 



Clasificación:
Hagamos un corto repaso por su clases.

Virus de Macros/Código Fuente: Se adjuntan a los documentos de los usuarios y, a las macros utilizadas por procesadores de texto (Word, Works, WordPerfect), planillas de cálculo (Excel, Quattro, Lotus). 

Virus Mutantes: Son los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (NATAS o SATÁN, Miguel Ángel, por mencionar algunos). 

Worms (Gusanos): Son programas que se reproducen a sí mismos y no requieren de un anfitrión, pues se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los worms se cargan en la memoria y se posicionan en una determinada dirección, luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente van cambiando de directorios. Esto hace que queden borrados los programas o la información que encuentran a su paso por la memoria, lo que causa problemas de operación o pérdida de datos. 

Troyanos: Como aquel caballo de troya de la iliada, son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y esperando la indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. También son pequeños programas enviados por personas "malvadas" que vienen camuflados y permiten el acceso a la pc de quien ejecute el archivo. 

Bombas de Tiempo: Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables COM o EXE en espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo muestran mensajes en las pantallas al llegar el momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que las contiene. 

Autorreplicables: Son los virus más parecidas a los biológicos, ya que se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), evitando así ser detectado. 

Infectores del área de carga inicial: Infectan los diskettes o el disco rígido, alojándose inmediatamente en el área de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo. 

Infectores del sistema: Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas. 

Infectores de programas ejecutables: Estos son los virus mas peligrosos, porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras). La infección se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopiándose en ellos. 



Los diez virus más peligrosos:

- Kakworm
- Loneletter
- Marker
- Pretty
- Stages-A
- Navidad
- Ska-Hapy 98
- WM97/Thus
- XM97/Jini
- Kournikana



Cómo protegerte de los virus:

Evil Girl's les recomienda tras probar con distintos troyanos y virus el siguiente antivirus (gratuito) por su gran efectividad:


http://www.free-av.com/



La mejor herramienta para protegerse de los virus no es un antivirus: es el sentido común. 
La gran mayoría de los daños producidos por virus se deben al comportamiento del propio usuario. 
Con un poco de sentido común y unos sencillos consejos estaran muy bien protegidos contra los virus. Su comportamiento determinará si se infecta o no. 
Por supuesto es necesario tener instalado un buen antivirus. Pero si no se ocupa de actualizarlo no le servirá de nada. 

Y lo más importante es su comportamiento frente a los archivos que deje entrar en su computadora: a través del correo electrónico, de un chat, del ICQ, desde un diskette, o descargado desde internet, hay que ser muy precavido a la hora de abrir cualquier archivo.



Recomendaciones imprescindibles: 


Nunca abra un archivo que le llegue por correo electrónico y no este seguro de lo que es, aunque provenga de un conocido. 

Muchos virus se autoenvían desde la computadora infectada, sin que el usuario lo sepa y con su nombre. 
Sobre todo, tenga cuidado con los archivos .exe y .vbs. 

Sé que algunas veces la curiosidad puede más, pero ni la mejor foto ni el mejor chiste ni la mejor tarjeta de Navidad justifica que deje entrar un virus en su computadora. 

Instálese un buen antivirus y actualízelo, por lo menos una vez al mes. 

Infórmese sobre nuevos virus. 
Puede hacerlo en Rompecadenas http://www.rompecadenas.com.ar/virus.htm 

Si tiene dudas sobre un archivo que recibió de un conocido, antes de abrirlo escríbale preguntándole si realmente se lo envió él y de qué se trata. 

Cada vez que envíe un archivo ponga una leyenda tipo "te envío adjunto un archivo sobre tal tema" para que el destinatario sepa que no se trata de un virus. 

Asegúrese de que su archivo salga sin virus. 
Además de causar muchos perjuicios, es un papelón enviar un archivo con virus, sobre todo a un grupo de personas. 
Seguramente varios le escribirán diciendo que tiene su computadora infectada y deberá escribir un mail a todo el grupo para alertarlos y pedirles disculpas. 

Haga un backup de todos tus datos importantes. 

No reenvíe alertas de virus inexistentes para no confundirlos con los verdaderos. 

Nunca abra un archivo que te haya enviado alguien en un chat a no ser que compruebe bien su identidad y sea un conocido suyo.





ADVERTENCIAS A TENER EN CUENTA

Advertencia nº 1: Si usted recibe cualquier protector de pantalla de CELCOM, por favor no lo instale!!!!! Este protector de pantalla es muy bonito. Muestra un telefono NOKIA, con mensajes de tiempo. Después de que se activa, el PC no puede iniciar en absoluto. Va muy despacio. Destruye su disco duro. El nombre de archivo es CELLSAVER.EXE

Advertencia nº 2: Tenga cuidado! Si alguien nombrado SandMan le pide que compruebe su página. NO LO HAGA!, está en la página www.oocities.org/vienna/6318. Esta página permite que se puedan intruducir al disco duro C: NO ENTRE A ESTA PÁGINA 

Advertencia nº 3: Si le envian un Correo electrónico titulado "Win a Holiday" No lo abra. Bórrelo inmediatamente. Microsoft apenas lo anunció ayer. Es un virus malévolo que BORRARÁ SU unidad de disco duro. En este momento no hay ningún remedio.

Advertencia nº 4: Si le envían un correo de alguien llamado hahaha ( hahaha@sexyfun.net) no lo abra.Siempre llega con un contenido referente a los enanitos de BlancaNieve y un archivo .exe adjunto. Este archivo contiene un virus poderoso capaz de borrar toda la información del disco duro destruyendo el sector 0 del mismo.

Advertencia nº 5: Si recibe un mail, cuyo remitente esta en blanco al igual que el asunto. NO LO ABRA, ELIMINELO INMEDIATAMENTE DE SU P.C., trae un archivo adjunto, que le introducirá un troyano en su máquina, posibilitando al cracker que lo creó introducirse a su máquina y robarle archivos, así como deja la puerta abierta para que se introduzcan virus sin detección del antivirus.






¡¡Cuidadito con el dedo al navegar!! 

Peligro al efectuar doble click desde el Explorer:
Es peligroso efectuar doble click sobre el nombre de un archivo cuando se navega por Internet. Se puede provocar la ejecución de un archivo a pesar de que este tenga una extensión aparentemente inocente. 

Efectuar un doble click desde Windows Explorer o Internet Explorer en nombres de archivos con extensiones inocentes puede ser empleado por un webmaster malicioso para provocar la ejecución de código arbitrario (virus). El problema reside en la utilización de un CLSID determinado como extensión real. 
Así por ejemplo, el atacante ofrecerá en una pagina web o en un mensaje e-mail en html el archivo: 

testhta.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} 

pero Windows Explorer e Internet Explorer no mostrarán el 

CLSID {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} 

con lo que el usuario sólo visualizara la extensión .txt (aparentemente inocente), cuando realmente se trata de un archivo .hta con posibilidad de ejecución y de contener código malicioso. Este es otro de los fallos que se ha notificado a microsoft, a ver si quieren solucionarlo pronto. 




Algunos virus y su descripción:

HTML/LittleDavinia: El cuerpo del virus inserta el código HTML y conecta al usuario a la página web que actúa de propagación. Una vez que ha modificado el registro de configuración de Windows del sistema atacado, buscará en todos los discos duros, unidades de red accesibles y directorios cualquier fichero y lo sobre escribirá con un código en HTML que muestra una y otra vez la siguiente ventana en la pantalla: áá...éé. Como consecuencia de ello el usuario perderá toda la información existente en el disco duro sin posibilidad de recuperarla. Cuando el usuario de internet ha realizado la descarga involuntaria del virus éste se graba con el nombre de Littledavinia.vbs y se encarga de reenviar un mensaje de correo electrónico a todos los destinatarios incluidos en la libreta de direcciones del equipo infectado..


VBS/San y VBS/Valentin: son dos virus creados por el mismo autor o grupo que desarrolló el HTML/LittleDavinia, y al igual que el KakWorm, se ejecutan con sólo abrir el mensaje en el que se reciben.

VBS/SST: el virus de Anna Kournikova, se reproduce rápidamente por Internet". Catalogado como uno de los mas dañinos.

W32/Hello: Es el nombre del primer gusano que afecta al programa de mensajes instántaneos Microsoft Messenger. Sú única misión es reproducirse a través de él. 

W32/Stator: Siguiendo con la onda de los "primeros virus" para alguna aplicación, el W32/Stator es el único capaz de utilizar el programa de correo electrónico The Bat! para reproducirse. 


VBS/Zeichen: Es un nuevo troyano/gusano de VBScript, descubierto "in-the-wild" y con grandes posibilidades destructivas, aunque su propagación ha sido mínima entre los usuarios de habla hispana. 

VBS/POSTCARD: Un nuevo gusano que infecta archivos ASP, HTM, HTML y SHTML, que contiene cierto polimorfismo, y que incita al usuario a ejecutarlo al camuflarse como una tarjeta virtual.


W32/FunLove: este ya causó un papelón a la multinacional Hewlett Packard cuando se supo de archivos en su filial japonesa infectados por él. Ahora le tocó el turno a Microsoft.

W97M/Intruded: Un macrovirus que infecta archivos de Word 97 y 2000, con características de ocultamiento y una rutina que borra todo el contenido del documento en uso.

VBS/Telefonos: Este virus es de origen argentino, y en un primer examen, aparenta estar hecho con la misma utilidad del "Kournikova": el "Vbswg.gen. Generador de gusanos de Visual Basic Scripts".

W97M/Intruded: Un macrovirus que infecta archivos de Word 97 y 2000, con características de ocultamiento y una rutina que borra todo el contenido del documento en uso.

Peer-to-peer: Este, en particular, afecta a Gnutella, una herramienta para el intercambio de archivos, al estilo del conocido Napster.

W97M/Melissa.x: Un nuevo macrovirus, basado en el conocido Melissa, capaz de infectar documentos de Word 97/2000 (Windows) y 2001 (Macintosh). Aparentemente se han reportado casos de este virus afectando usuarios de ambas plataformas.

HTML/LittleDavinia.b: nueva versión de un gusano de internet que aprovecha vulnerabilidades en Office 2000 y en Internet Explorer para reproducirse, además de enviarse por correo electrónico e infectar archivos de Word 2000. (Luego lo veremos con más detalle).

W97M/Pecas: macrovirus que infecta archivos de Word e intenta colgar el sistema.

CC Invader 1.0: Un troyano en español que instala un servidor FTP en el equipo atacado, permitiendo descargar o subir archivos, u otros troyanos o virus.

Hybris: conocido también como Hahaha, o Blanca Nieves y los 7 enanitos, gusano que se expande por correo. Y puede acabar con toda la información del disco.

W32/MAGISTR: Nuevo virus, altamente sofisticado, que ha sido reportado "in-the-wild", y que al igual que el CIH (a.k.a. Chernobil) contiene una destructiva rutina capaz de inutilizar el sistema y dañar completamente la placa madre.

VBS/Linda: Una nueva y peligrosa variante del conocido virus L-o-v-e-L-e-t-t-e-r, capaz de sobreescribir archivos de decenas de extensiones distintas, que fue reportado como activo por distintas compañías.

VBS/Anjulie: Ahora que Anna K-o-urnikova ya tiene su virus, le llegó el turno a Angelina Julie. Este gusano se vuelve muy peligroso, dado que una vez que infecta el sistema, crea en él una copia infectada del virus CIH.

Lion: Un nuevo gusano para Linux ha sido descubierto. Es bastante más peligroso que su predecesor, el Ramen, dado que puede afectar a cualquier distribución Linux ejecutando versiones vulnerables del BIND DNS Server.




Veamos como actuan algunos virus.

W32/Hello, primer gusano para MSN Messenger 

Acaba de descubrirse el primer gusano que se propaga a través del servicio MSN Messenger.
W32/Hello es un gusano que infecta las máquinas Windows y que se distribuye mediante un archivo denominado HELLO.EXE 
Cuando el usuario ejecuta este programa, una aplicación desarrollada en Visual BASIC 5, el gusano crea un acceso directo, sin nombre ni icono, en la carpeta de inicio de Windows. 
A continuación, intenta propagarse a todas las direcciones de la lista de direcciones de la máquina infectada, enviando un mensaje con el siguiente texto "i have a file for u. its real funny". 
Si MSN Messenger no está instalado en el directorio por omisión, el gusano no funciona (aparece un mensaje de error en el run-time de Visual BASIC). 
El gusano no puede calificarse de peligroso debido a su escasa incidencia y a que no hace ningún daño de importancia en el ordenador del usuario. 
Una vez más, recordaros la necesidad de aplicar los principios básicos de protección antes de instalar cualquier programa en el ordenador, especialmente cuando se ha recibido a través de Internet.
Otro ejemplo
Detectado un peligroso virus informático diseñado en España Llega a través del correo electrónico, afecta a los usuarios de Word 2000 y provoca la eliminación de "toda la información del disco duro" sin posibilidad de recuperarla.

AGENCIAS
La compañía de antivirus informático Panda Software ha alertado a los usuarios de internet sobre la propagación de un nuevo virus "altamente destructivo" por la red que provoca la eliminación de "toda la información del disco duro" sin posibilidad de recuperarla, según han informado fuentes de la citada compañía. Este virus ha sido programado en España, su autor firma como Onel 2, y se llama HTML/LittleDavinia.
Afecta a los usuarios que tengan Word 2000 y se propaga mediante el correo electrónico. Su acción se desencadena mediante la descarga involuntaria de internet, por parte del usuario, de un documento que se abre automáticamente. Además el virus presenta la característica de que conecta al usuario infectado con conocido portal de internet, a través del cual se propagaba el virus.
Fuentes de Panda han indicado que nada más detectar el virus se pusieron en contacto con el citado portal de internet, el cual para las cinco y media de la tarde de ayer eliminó el gusano de su página. Panda alerta que, a pesar de la desinfección del portal, el riesgo de infección sigue presente en al red. Por ello Panda mantiene activados todos sus servicios de alerta en previsión de nuevas infecciones o su rebrote en otros portales.
En pocas horas LittleDavinia causó ayer importantes daños, entre las que se encuentran cinco empresas, algunas de ellas de gran importancia.
Cuando el usuario de internet ha realizado la descarga involuntaria del virus éste se graba con el nombre de Littledavinia.vbs y se encarga de reenviar un mensaje de correo electrónico a todos los destinatarios incluidos en la libreta de direcciones del equipo infectado.
El cuerpo del virus inserta el código HTML y conecta al usuario a la página web que actúa de propagación. Una vez que ha modificado el registro de configuración de Windows del sistema atacado, buscará en todos los discos duros, unidades de red accesibles y directorios cualquier fichero y lo sobre escribirá con un código en HTML que muestra una y otra vez la siguiente ventana en la pantalla: áá...éé. Como consecuencia de ello el usuario perderá toda la información existente en el disco duro sin posibilidad de recuperarla.




Ahora veamos el ejemplo de un bulo sobre un virus que no existe y que puede al mismo tiempo hacer igual daño.

Sulfnbk.exe, historia de un virus inexistente 

Un bulo recorre estos días Internet alertando de un supuesto virus que se oculta con el nombre de fichero sulfnbk.exe y que ningún antivirus consigue detectar. En realidad el virus no existe, el fichero sulfnbk.exe corresponde a una utilidad legítima que se distribuye con Windows 98/Me. 
Los usuarios reciben un mensaje donde se advierte de un nuevo virus y facilita además unos sencillos pasos para poder comprobar si estamos infectados. El método consiste en buscar el fichero sulfnbk.exe en nuestro sistema, si lo encontramos estaremos infectados y deberemos proceder a su eliminación. 
Las víctimas de este "hoax" o bulo estarán en realidad eliminado una utilidad de Windows que permite salvar y restaurar los nombres largos de los ficheros si han sido reemplazados por el formato corto compatible con MS-DOS (8.3). 
El hecho de que muchos de los usuarios detecten este fichero en sus sistemas, cuya existencia y utilidad no son muy conocidas, provoca que el "hoax" sea más creible. Alertados por el suceso reenvían el bulo a sus contactos y la cadena de histeria colectiva sigue aumentando. 
De momento se han detectado versiones de este "hoax" en portugués, inglés y español. A continuación reproducimos una muestra. 

HOAX: 
"Este reenvio lo recibí de un amigo hoy y es verdad o busqué con estas instrucciones y lo encontré, lo tenía sin saberlo. 
No lo detecta el Norton 2001 ni McAfee, los tengo instalado y pasó igual. Un virus está llegando a través de los mails de modo oculto. 
Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo. 
Buscarlo del siguiente modo: 
1) Ir a Inicio 
2) Luego: Buscar 
3) Archivo o carpeta 
4) Tipear el archivo: sulfnbk.exe 
5) Eliminar (NO ABRIRLO) 
6) Eliminar de la papelera de reciclaje 
Gracias a estas instruciones lo eliminé.. suerte.."

Los usuarios que reciban un mensaje similar deberán ignorarlo, y como recomendación adicional podrán avisar al remitente del error que está cometiendo al reenviar un bulo y evitar así que siga propagando el "hoax". 
Es posible que el origen de este bulo no sea intencionado, algunas hipótesis apuntan a que alguien recibió un mensaje donde se adjuntaba el fichero sulfnbk.exe infectado con el gusano Magistr. El antivirus del usuario pudo alertarlo, e interpretó que existía un gusano que se distribuía con este nombre de fichero, de ahí que comenzara a alertar a sus contactos más próximos. Recordemos que Magistr tiene la habilidad de poder cambiar el fichero que envía infectado adjunto en el e-mail, ya que elige entre los ejecutables Win32 que va infectando en el sistema. 

Son muchos los que han caído en el hoax y han borrado este ejecutable, para todos los que lo eliminaron y desean recuperarlo les cuento como proceder:

Localizar el archivo Precopy1.cab en el CD de Windows 98 CD en el directorio Win98. Mediante alguna utilidad como Winzip abrir dicho archivo para localizar en su interior el ejecutable Sulfnbk.exe y extraerlo para copiarlo a su directorio original (C:\Windows\Command). También se puede extraer el archivo de la polémica empleando la utilidad Extract del sistema operativo, con la instrucción EXTRACT /Y /L c:\windows\command PRECOPY1.CAB SULFNBK.EXE.

Web’s consultadas:
http://www.smokeps.com.ar/ 
http://www.kriptopolis.com/vir 
http://www.virusattack.com.ar 

Parches para virus y protecciones:
http://www.virusattack.com.ar 

Sitios Web dedicadas a virus:
http://www.lander.es/~retha/ 
http://www.hormiga.org/regalitos.htm 
http://www.hormiga.org/cd/virus.htm 
http://www.oocities.org/mundovirus/ 
http://www.fortunecity.com/skyscraper/ethernet/94/neurotic.htm 
http://www.oocities.org/SiliconValley/Mouse/7376/ole.htm 
http://www.virusprot.com/Enciclop.html 
http://www.edata.es/Enciclop.html 
http://www.oocities.org/Area51/Dimension/8145/ 
http://usuarios.tripod.es/Gabber_hack/ 
http://www2.netexplora.com/darkdr/ 
http://personal1.iddeo.es/ret003cy/ 
http://members.nbci.com/xwvp8w0q/nik.html 
http://www.galeon.com/todoesgratis/crack.htm 



Espero que les sea de utilidad.......
Gustavo Cachcovsky 2007-