............Menú Principal DocumentosPágina Principal Aula-Web Studio

Los Virus Informáticos

El aporte de los grandes programadores de lenguajes ha sido el caos, al crear unas rutinas o programas para el daño de información. Los virus informaticos son programas de computador de origen desconocido, que se reproduce de manera autonoma al ser activado el archivo donde se encuentra residente.

QUE SON LOS VIRUS INFORMATICOS.

 Los virus de las computadoras no son más que programas. Simples programas de computación elaborados por programadores. Son programas similares al de un procesador de textos o de una hoja de cálculo, a un programa de bases de datos o a un programa de control de inventarios (es decir, programas que contienen instrucciones para que las ejecuten las computadoras). Siendo igualmente programas los virus Informáticos casi siempre los acarrean las copias ilegales o piratas. Provocan desde la perdida de datos o archivos en los medios de almacenamientos, hasta daños al sistema y, algunas veces incluyen instrucciones que pueden ocasionar daños en el equipo.

 

Estos programas tienen algunas características especiales , son muy                 pequeños (en muy pocas líneas contiene instrucciones, parámetros, contadores de tiempos o de números de copias, mensajes, etc). Casi nunca incluyen el nombre del autor, ni el registro o copyringt, ni la fecha.  Se producen así mismo y toman el control y modifican otros programas.

Antes de presentarse el problema de los virus en las grandes empresas, en las dependencias del gobierno y hasta en los centros de investigación, había un gran escepticismo sobre el tema y se atrevía a opinar y a decir algo sobre los virus Informáticos, por lo que todavía aún no se ha dado una definición exacta de ellos.

 

Burgués lo define como un programa que puede insertar copias ejecutables de si mismo en otros programa (programas que pueden infectar a su ves a otros programas). Por su parte, Alberto Rojas en su articulo ¿YA VACUNO A SU PC ? publicado en la revista Mexicana PC /TIPS los ha definido como :todo aquel código que al ser ejecutado altera la estructura del Software del sistemas y destruye programas o datos sin autorización del operador. Además, Rojas, lo agrupa en tres grandes áreas : Caballo de Troya, Virus Autorreplicables y Esquema de Protección.  Esta definición se acerca más al realidad, pues en teoría todo programa que tiene capacidad para modificar la estructura de otros programas y realizar operaciones de sobreescritura en la información que contienen los discos, podría ser virus potencial.  No obstante, el articulo de Rojas especifica claramente que los virus nunca  piden permiso y jamas avisan de su presencia en el sistema o en el programa infectado. 

 

Un programa debe clasificarse como virus si combina los siguientes atributos :

  Modificación del código del Software que no pertenece al propio programa virus a través del enlace de las estructuras del programa virus con las estructuras de otro programa.

 Facultad de ejecutar la modificación en varios programas.

 Facultad para reconocer, marcándola, una modificación realizada en otros programas.

  Posibilidad de impedir que vuelva a ser modificado el mismo programa al reconocer que ya está infectado o marcado.

 El Software modificado asimila los atributos anteriores para su vez, el proceso con otros programas con otros discos.

 

HISTORIA DE LOS VIRUS INFORMATICOS Y SUS PRIMERAS CONSECUENCIAS.

 No existe ninguna información fidedigna que pueda confiar la historia de los virus Informáticos y los contagios vírales. La causa de esto se debe a que las grandes empresas o los organismos gubernamentales tales como científicos o militares ocultaron la realidad respecto a los virus cuando llegaron a padecer infecciones en sus sistemas.

Esto se debe a que ninguno de ellos acepta reconocer la vulnerabilidad de sus equipos o programas.  Los cuales tienen sistemas de seguridad que suponía que nadie ajeno al sistema podría burlar.

Solamente una serie de hechos y nombres aislados se ha difundido en los medios especializados. Como revistas de computación o científicas y dan una pobre visión del proceso de la virología informática, pero enseguida se tratara de dar una clara idea de la evolución del proceso viral.

En 1949, John Von Neumann, el padre de la computación describió algunos programas que se reproducen a sí mismo en su libro Theory and Organizatión of Complicated Autómata.

La primera información de algo que parece ya incluir códigos que trabajan como virus, se refieren a la década de los años 60, es acerca de los estudiantes de la computación del instituto Tecnológico de Massachussetts.

Para entonces el término Hacker, se traducía como programador genial, no como ahora que se utiliza para nombrar piratas, o en su mejor acepción se refiere a las personas talentosas que se entretienen infiltrándose en los sistemas de las grandes empresas que representan un reto para su inteligencia.

Los jóvenes estudiantes  se reunían por las noches y se dedicaban a elaborar programas sofisticados, así se desarrollaron notables programas, como Guerra en el Espacio, ya que uno de sus pasatiempos favoritos era jugar amistosamente entre ellos con programas que los demás no pudieran detectar.

Además bombardeaban al programa de contrincante que no sabía de donde recibían el ataque y que lo provocaba.  Estas modificaciones que se hacían a los códigos de programas ajenos no eran propiamente virus si no bombas que actuaban explotando inmediatamente.  También se sabe que esta  década varios científicos norteamericanos de los laboratorios de computación de la AT&T (Bell Laboraties) H Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson, ingenieros de sistemas, creador de la primera versión del sistema Unix, para entretenerse inventaron el juego CORE WARD, inspirados en un programa escrito en lenguaje ensamblador llamado Creeper, el cuál tenía la capacidad de reproducirse cada vez que se ejecutaba. 

También diseñaron otro programa que se llamaba Reeper, que sería el antivirus en este momento, cuya función era la de  destruir cada copia hecha por Creeper.

Estaban conscientes de la peligrosidad que el juego representaba para los sistemas de computación y se prometieron mantenerlo en secreto, pues sabían que en monos irresponsables el CORE WAR, podría empleado nocivamente.

Los equipos APPLE II se vieron afectados en 1981 por un virus llamado Cloner que representaba un pequeño mensaje en forma de poema.  Se introducía en los comandos de control e infectaba los discos cuando se hacía los acceso a la información utilizando el comando infectado.

En 1986 cuando ya se difunde ampliamente en virus con la finalidad de causar destrozos en la información de los usuarios, y este ataca una gran cantidad de computadoras.  Fue desarrollado en LAHORE - PAKISTAN, por dos hermanos que coomercializaban en computadoras y Software.  Adema uno de ellos escribió un programa que se consideraba de mucha utilidad.  Desafortunadamente los usuarios copiaban en grandes cantidades cada original vendido, por lo que él también decidió vender copias ilegales de programas famosos, y en ellos, así como su propio programa, introdujo un virus benigno muy elegante que permitió que otros programadores lo modificaran para hacer de él, en sus nueva versiones, uno de los virus más dañinos que se conocen.

En su campaña (BRAIN COMPUTER) se ofrecían programas, como Lotus 1-2-3, a precios ridículos (1.50 dólares), lo que propició que los turistas que llegaban a comprar a su tienda se llevaran a sus lugares de origen los programas infectados.  Se supone que hasta la fecha el referido virus a infectado a más de 18.000 computadoras, solamente en U.S.A.

En diciembre de 1987, los expertos de la IBM tuvieron que diseñar un programa antivirus para desinfectar un programa de correo interno, pues este fue contagiado por un virus no dañino que hacia parecer en las pantallas de las computadoras conectadas en su red un mensaje navideño, el cual al reproducirse así mismo múltiples veces hizo muy lento el sistema de mensajes de la campaña hasta el punto de paralizarlos por espacio de 72 horas.

El uso de programas originales evita un gran porcentaje de la posibilidad de infección viral, sin embargo ALDUS CORPORATION una empresa de gran prestigio lanzó al mercado originales FREEHAND para Macintosh infectados por un virus benigno llamado Macintosh peace, Macmag o Brandow.  Este virus se desarrollo para poner un mensaje de paz en las pantallas de las computadoras a fin de celebrar el aniversario de la introducción de la Macintosh II, el 2 de marzo de 1988.

El virus Macintosh, fue difundido por muchos de los servicios de Software compartido, y aunque se esperaba que en el área de la frontera de Estados Unidos con Canadá se encontraron pocas copias infectadas, se cree que el mensaje apareció en unas 350.000 pantallas de computadoras de Estados Unidos y Europa.

Richard R. Brandow, editor de la revista MACMAG de Montereal, Canadá, contrato a un programador para realizar el mencionado virus que pronto se propagó por medio de los servicios de la cartelera electrónica (Bulletin Board Systems (BBS)), que son sistemas de servicios de Software o información compartida por computadora vía moden. Aldus inadvertidamente destruyó originales de su programa que contenían el virus.  Su defensa se baso en el hecho de que la infección partió de un disco de demostración que proporciono a un proveedor.  Este adquirió el virus de un programa tomado de un servicio de cartelera electrónica (BBS) y sin saberlo se incluyo en el programa y se comercializó de diseminación  se encargaron las copias ilegales.

 

COMO FUNCIONAN LOS VIRUS.

 Como se  menciono anteriormente los virus tienen muchas formas de operar.  Aquí se intentará dar una idea clara de la forma más general del funcionamiento de los programas de virus.  Por aquello hay que empezar por conocer cómo funcionan la mayoría de los programas de aplicación que utilizamos diariamente.

Como es sabido, el programa se carga de inmediato a la memoria RAM y permanece allí mientras se mantiene encendida la computadora. Recordamos que la salida correcta desde un programa no solo se encarga de borrar ese programa de memoria, sino que también cierra aproximadamente todos los archivos que este mantenía abierto para grabar y leer la información necesaria.  Finalmente, si los hay los borra los disquetes o discos fijos.  Los archivos temporales que crean ciertos programas de aplicación durante el trabajo.

 Los programas de virus no se ejecutan de las misma forma, sino que se infiltran en el sistema cuando alguien introduce un disco infectado a la unidad del disco y ejecutan uno de los programas que ese disco contiene.  Puede ser algo tan simple como visualizar el directorio del disco lo que permite que el programa de virus busque alojarse en la memoria RAM de la computadora, en el área de carga del disco o en la tabla de asignación de archivos.

Lo anterior no significa que se valla a ejecutar en ese preciso momento sino que el sistema ha sido infectado.  El virus puede que actúe inmediatamente o bien esperar que se den las condiciones o señales propias que fueron programadas en su modificación.  Hay virus que esperan una determinada fecha u hora, ó lo ejecutan de una orden o comando, otros activan su contador en el momento de la infección y cierto tiempo después comienza su acción destructiva.

A la vez que se ha creado toda una industria para programar esquemas de protección, se ha desarrollado programas que permiten hacer copias de casi todo programa de aplicación burlando tales protecciones, por lo que algunos programas han pasado la protección del programa en los contadores que llevan un registro del número de copias que se ha hecho a un programa.  Así cuando el usuario copia un disco original, el contador indica que se ha llegado al número n de copias y se coincide con el número que fue programado desata la acción del virus.

No todas las fallas de la computadoras corresponden a problemas vírales, muchos son productos de diversos contactos en la conexiones de la unidad central de proceso con los periféricos : monitor, la impresora, el teclado, las unidades de disco, etc.

 

PROCESO DE INFECCIÓN

 Las partes del sistema mas susceptibles de ser infectadas son los sectores de arranque de los disquetes, la tabla de partición y el sector de arranque del disco duro, y los ficheros ejecutables (.EXE y .COM ).  Para cada de estas partes tenemos un tipo virus, aunque muchos son capaces de infectar por si solos estos tres componentes del sistemas.

 Al arrancar con un disco infectado, el virus se queda residente en memoria RAM, como se dijo anteriormente , y a partir de ahí, infectara el sector de arranque de todos los disquetes a los que se acedan, ya sean al formatear o al hacer un DIR en el disco, dependiendo de cómo este programado el virus.

 El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco ; a menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos : primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residente en memoria, efectúan una llamada al código de arranque original, para iniciar el sistema como siempre, con normalidad.  Segundo, este procedimiento puede ser usado como técnica de ocultamiento.

 Normalmente un virus completo no cabe en los 512 bytes que ocupan el sector de arranque, por lo que en este suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos.  Sin embargo puede ocurrir que algunos de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobre escritos y así dejar de funcionar el virus.

 La tabla de partición esta situada en el primer sector del disco duro, y contiene una serie de bytes de información de como se divide el disco y un pequeño programa de arranque del sistema.  Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio ; así, al arrancar desde el disco duro, el virus se instala en memoria para efectuar sus acciones.  También en este caso el virus guarda la tabla de partición original en otra parte del grupo, aunque algunos la marcan como defectuosa y otros no.  Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores del disco, para proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco.  De esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.

  Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot  de los disquetes y en los ficheros ejecutables; un virus que actuara en la particiones del disco duro tendría un campo de trabajo limitado, por lo que suelen cambiar sus habilidades.

 Con todo, el tipo de virus que más abunda es el de fichero, en este caso usan como vehículo de expansión los archivos de programas o ejecutables, sobre  .EXE y :COM, aunque también aveces .OVL, BING y OVR.  Al  ejecutarse un programa infectado se instala residente en memoria, y a partir de ahí permanece al acecho ; al ejecutar otros programas comprueba si ya se encuentran infectados.  Si no es así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste y modificando su estructura de forma que al ejecutarse dicho programa primero llame el código del virus devolviendo después el control el control al programa portador y permitiendo su ejecución normal.

 Este efecto de adherirse al fichero original se conoce como “engordar” el archivo ya que éste aumenta de tamaño al tener que albergar en su interior al virus.  Siendo esta circunstancia muy útil para la su detección.  De ahí que la inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser el que el genera el código más compacto, veloz y de menor consumo de memoria ; un virus no sería efectivo si fuera fácilmente de detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados.  No todos los virus de ficheros quedan residentes en memoria, si no que al ejecutarse se portador, esto infectan a otros archivos, elegido de forma aleatoria de ese directorio o de otros.

FORMAS DE OCULTAMIENTO.

Un virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es capaz de permanecer oculto el usuario el mayor tiempo posible ; para ello se han desarrollado varias técnicas de ocultamiento o sigilo.  Para que estas técnicas sean efectivas, el virus debe estar residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo.  La base principal del funcionamiento de los virus y las técnicas de ocultamiento, además de la condición de programas residentes, la intercepción de interrupciones.  El DOS y los programas de aplicación como sabemos, se comunican entre si mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas.  Las interrupciones se utilizan por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc.  Y es aquí donde el virus entra en acción ya que puede sustituir alguna interrupción del DOS por una suya propia así, cuando un programa solicite un servicio de esa interrupción, recibirá el resultado que el virus determine.

Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema.  Los síntomas más claros del ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible.

Estos problemas son indicadores de la posible presencia de virus, pero mediante las técnicas stalth es muy fácil (siempre que se encuentre residente el virus)  devolver al sistema la información solicitada como si realmente los ficheros no estuvieran infectados.  Por este motivo es fundamental que cuando vayamos a realizar un cheque a disco duro arranquemos el ordenador con un disco totalmente limpio.

La auto encriptación o self-encryption es una de las técnicas víricas más extendidas.  En la actualidad casi todo los nuevos ingenios destructivos son capaces de encriptarse cada vez que infecta un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su búsqueda.  No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que es aprovechada por los antivirus para remotoizar el origen de la infección.

El mayor avance en técnicas de encriptación viene dado por el poliformismo.  Gracias a él un virus no es  solo capaz de encriptarse sino que además varía la rutina  empleada cada ves que infecta un fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas características se muestra inútil.

Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema.  Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura ; al intentar escribir en el obtendríamos el mensaje :“Error de protección contra escritura leyendo unidad A  Anular, Reintentar, Fallo ?”, por que descubriríamos el anormal funcionamiento de nuestro equipo.  Por eso el virus le basta con redireccionar la interrupción a una rutina propia que evita la salida de estos mensajes, consiguiendo así pasar desapercibido.

 

EFECTOS DESTRUCTIVOS DE LOS VIRUS

Los efectos pernicioso que causan los virus son variable ; entre éstos se encuentran  el formateo completo del disco duro, eliminación de la tabla de partición, eliminación de archivos, relentización del sistema hasta limites exagerados, mensajes o efectos extraños en la pantalla, emisión de música o sonidos.

Estos efectos destructivos que poseen los virus informáticos ha generado grabes consecuencias en nuestro mundo informatico ; por ejemplo ha causado grandes perdidas de dinero e información importantes en las empresas, se han ido extendido por todo el mundo llevando a nuestras computadoras perturbaciones, destrozos y situaciones irremediables, los cuales hacen que los usuarios o personas sienta a cada momento inseguridad o temor hacia a las computadoras por el hecho de ser contagiado por un destructivo virus.

Lo más grabe de esto es la inseguridad informática que se ha generado, ya que la epidemia vírica ha alcanzado en pocos años una magnitud escalofriante, según el experto vírologo Vesselin V. Bontchev, nace cada día 2 o 3 virus. 

 

PREVENCION, DETENCCION Y ELEIMINACION

 Una buena política de prevención y detección nos puede ahorrar sustos y desgracias.  Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va introducir en nuestro ordenador, comprobando la fiabilidad de su fuente.  Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio de un virus, siendo también una practica ilegal y que hace mucho daño a la industria del software.

 Por su puesto, el sistema operativo, que a fin de cuenta es el elemento software más importante del ordenador, debe ser totalmente fiable ; si éste se encuentra infectado, cualquier programa que ejecutemos resultará también contaminado.   Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura ; esto último es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos.  Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma.  Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de instrucción en el sistema.

 Los Software Antivirus se crearon para combatir la avalancha de virus Informáticos. Estos programas se crearon suelen incorporar mecanismo para prevenir, detectar y eliminar virus.  Para la prevención se suele usar programas residentes que alertan al usuario de cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que resulta sumamente útiles al impedir la entrada del virus y hacerlo en el momento que este intenta la infección, facilitándonos enormemente la localización del programa maligno.  Los software antivirus son una medida de protección excelente y a ningún usuario debería faltarle un programa de este tipo.

Copyrigth © Javier Jiménez Muñoz, Colombia, 1.999. Aportes de información, manuales o comentarios de mi Web, envia un email a valeth33@yahoo.es.

Menú Principal DocumentosPágina Principal Aula-Web Studio