Ante todo hay que recordar que un virus no puede ejecutarse por sí solo, pues necesita un programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un programa portador, el virus precisa modificar la estructura de aquél, posibilitando que durante su ejecución pueda realizar una llamada al código del virus.
Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de los diskettes, la tabla de particiones y el sector de arranque del disco duro, y los ficheros ejecutables (con extensión .EXE y .COM). Para cada una de estas partes existe un tipo de virus, aunque muchos son capaces de infectar por sí solos los tres componentes del sistema.
En los diskettes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo, juntamente con un pequeño programa que se ejecuta cada vez que se arranca el sistema desde el diskette. En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM, y a partir de entonces infectará el sector de arranque de todos los diskettes a los que se acceda, ya sea al formatearlos o simplemente al listar su directorio, dependiendo de cómo esté programado el virus. El proceso de infección, en este caso, consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del diskette; a menudo el virus marca los sectores donde guarda el "boot" (arranque) original como si estuvieran en mal estado, protegiéndolos así de posibles accesos, lo cual suele hacerse por dos motivos:
1º.- Muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria efectúan una llamada al código de arranque original para iniciar el sistema, aparentando así que esta operación se ha llevado a cabo con toda normalidad.
2º.- Este procedimiento puede ser usado como técnica de ocultamiento; normalmente un virus completo no cabe en los quinientos doce bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de sí mismo y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marque estas zonas, dándose el caso que al llenar el disco con información los sectores afectados puedan ser sobreescritos, quedando el virus destruido total o parcialmente.
La tabla de particiones está situada en el primer sector del disco duro, y contiene una serie de bytes de información acerca de cómo se divide el disco, juntamente con un pequeño programa de arranque del sistema. Al igual que ocurre con el "boot" de los diskettes, un virus de tabla de particiones suplanta el código de arranque original por el suyo propio; así, al arrancar desde el disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de particiones original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no; muchos virus guardan dicha tabla y a sí mismos en los últimos sectores del disco, protegiendo luego esta zona mediante la modificación del contenido de la tabla de particiones, en la que reducen el tamaño lógico del disco: el DOS, en estas condiciones, no tiene acceso al área donde reside el virus, puesto que ni siquiera tiene conocimiento de que esa zona existe.
Casi todos los virus que afectan a la tabla de particiones también son capaces de hacerlo en el "boot" de los diskettes y en los ficheros ejecutables; un virus que, por ejemplo, sólo actuara sobre tablas de particiones de discos duros, tendría un campo de trabajo limitado, por lo que suelen crearse de forma que combinen diversas habilidades. Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y . COM, aunque frecuentemente .DLL, .386, .VXD y .SYS, y a veces .OVL, .BIN y .OVR. Al ejecutarse un programa infectado, el virus se instala residente en memoria y a partir de ese momento permanece al acecho; al ejecutarse otros programas comprueba si ya se encuentran infectados, y si no es así, se adhiere a su archivo ejecutable, añadiendo su código al principio y al final de éste, y modificando su estructura de forma que al ejecutarse ese programa, primero sea llamado el código del virus y después se devuelva el control al programa portador, permitiendo su ejecución normal. Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección; de aquí que la inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria: un virus no seria efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria pues algunos, al ejecutarse su portador, infectan a otro archivo elegido de forma aleatoria entre los de su directorio o los de otros.

¿PUEDO INFECTAR MI ORDENADOR MIENTRAS NAVEGO EN INTERNET?

Por el simple hecho de estar conectado a Internet no se transfiere ningún tipo de virus informático; sólo existe un poco de peligro examinando páginas Web o recogiendo ficheros de la red.
Acceder a páginas Web que utilizan objetos ActiveX puede comportar riesgo de infección; esto se debe a que los objetos ActiveX son realmente ficheros ejecutables, que son recogidos por nuestro navegador y ejecutados en nuestro PC, por lo que pueden ser utilizados para propagar un virus. La "seguridad" de los objetos ActiveX consiste simplemente en un certificado digital de autenticidad que informa de quién ha creado el objeto, por lo que no puede garantizar que no haya sido manipulado y que no contenga un virus.
También podemos recibir páginas que utilizan applets de JAVA; estos programas no llegan a ser descargados por nuestro navegador, sino que se ejecutan en un entorno muy restringido y no hay acceso al PC ni al disco duro, con lo que es prácticamente imposible infectarnos con ellos.
Durante el proceso de descarga de ficheros también es muy difícil recoger un virus, ya que prevalecen las mismas condiciones que con los applets de JAVA; sin embargo, una vez que el fichero ha llegado completamente a nuestro PC, ha de ser chequeado antes de utilizarse, ya que puede contener virus.

¿Y QUÉ OCURRE CON LOS E-MAIL-VIRUS?

En este tema podemos estar tranquilos pues un virus no puede copiarse ni corromper nuestro disco duro sólo por leer un correo electrónico, ya que éstos se componen simplemente de texto.
Una cosa muy diferente son los ficheros adjuntos ("attach mail"), ya que podemos recibir un fichero ejecutable que sí podría contener un virus; lo mejor es no ejecutar directamente los ficheros desde nuestro navegador, sino almacenarlos en nuestro disco duro y chequearlos antes de utilizarlos.
Si tu programa de correo electrónico está configurado para leer los mensajes automáticamente con Microsoft Word, es posible recibir un virus de macro e infectar tu editor de textos Word; si tienes esta opción activada, desactívala, y chequea los ficheros recibidos antes de ejecutarlos.
Finalmente, y por si queda alguna duda, lo mejor es eliminar los ficheros recibidos de desconocidos o aquellos que no hemos solicitado; recuerda el viejo dicho: "la curiosidad mató al gato"; no expongas tus datos a un riesgo innecesario por abrir un fichero que un desconocido te ha enviado.

Virus en PC's y Mac's

Los problemas de virus más frecuentes son los de PC´s, debido a que hay un mayor número de ellas y que abunda la gente que sabe programarlos.
En los sistemas para PC con base DOS, se puede alojar un virus en un archivo EXE o COM, un programa BASIC, una hoja de cálculo, el sector de arranque, memoria del sistema, un manejador de dispositivo, memoria de video, memoria del reloj, memoria CMOS e incluso en porciones no utilizadas del disco.  Los equipos Macintosh también se han visto afectados por los virus, existen cerca de 40 virus específicos de Mac. Archivos infectados con virus específicos de PC(excluyendo macrovirus), solo pueden ejecutarce en una Mac corriendo emulación DOS o DOS/Windows.
Un disco flexible DOS infectado con un virus de sector de arranque puede ser leido sin riesgo en una Mac, sin embargo al dejar en el drive el disco infectado cuando se inicia  un emulador como SoftPC, el virus intentará infectar el drive lógico PC con resultados impredecibles.

Algunos virus de Mac pueden dañar archivos en sistemas Sun corriendo MAE o AUFS.

Computadoras conectadas a Internet: un verdadero cultivo

Antes de la aparición masiva de la gran Red, los sistemas de contagio más habituales eran los disquetes, más en concreto los ficheros que se encontraban en los disquetes. Estos estaban contagiados y se transmitían de sistema en sistema infectando por todos los que pasaba.
Si tenemos en cuenta que Internet es una gran red de computadoras interconectadas, ésta se convierte en el medio ideal para la transmisión de los virus. Y las computadoras conectadas a Internet, en los mayores portadores y caldos de cultivo de cada uno de ellos.
Pero no debemos alarmarnos, lo mejor es saber cómo pueden entrar en nuestras PCs y saber cómo evitarlo.

Existen muchos tipos de virus y aunque no haremos un análisis sobre los efectos que producen, únicamente citaremos que existen desde los que producen efectos simpáticos, hasta los que obligan a donar dinero a una cuenta para que se anule el efecto, los que a una fecha determinada borran parte o la totalidad de la información que se encuentra en el disco rígido, hasta los que modifican la información haciendo verdaderos desastres en los sistemas.

En la actualidad  hay más de 14,000 tipos de virus y se pueden clasificar por su comportamiento, origen o tipo de archivo que atacan, y por lugar donde atacan y daño que hacen.  

Virus de Macros/Código Fuente: Se adjuntan a los documetos de los usuarios y, a las macros utilizadas por procesadores de texto (Word, Works, WordPerfect), planillas de cálculo (Excell, Quattro, Lotus).

Virus Mutantes: Son los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (NATAS o SATáN, Miguel Angel, por mencionar algunos).

Worms (Gusanos): Son programas que se reproducen a sí mismos y no requieren de un anfitrión, pues se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los worms se cargan en la memoria y se posicionan en una determinada dirección, luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente. Esto hace que queden borrados los programas o la información que encuentran a su paso por la memoria, lo que causa problemas de operación o pérdida de datos.

Troyanos: Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y esperando la indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones.También son pequeños programas enviados por personas "malvadas" que vienen camuflados y permiten el acceso a la PC de quien ejecute el archivo.

Bombas de Tiempo: Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo muestran mensajes en las pantallas al llegar el momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que las contiene.

Autorreplicables: Son los virus más parecidos a los biológicos, ya que sé autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), evitando así ser detectado.

Infectores del área de carga inicial: Infectan los diskettes o el disco rígido, alojándose inmediatamente en el área de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo.

Infectores del sistema: Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas.

Infectores de programas ejecutables: Estos son los virus más peligrosos, porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras). La infección se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopiándose en ellos.

En la PC hay varias clasificaciones, pero esencialmente existen 2 grandes familias de virus:

Virus de arranque  

Los virus de arranque sólo pueden expandirse a través de diskettes.  Los virus de arranque se alojan en un sector de los discos que se carga en memoria durante el arranque del sistema. Por lo tanto, éstos se cargan en memoria antes que cualquier programa del sistema operativo. Una vez que el virus de arranque se carga en memoria, utiliza interrupciones del sistema operativo para infectar todos los diskettes desprotegidos en el momento en que sean son accedidos.

El tamaño de estos programas es generalmente menor a los 4 Kbytes. Los virus de archivo "viven" como parásitos dentro de archivos ejecutables como .EXE o .COM . Cuando el programa es ejecutado, el virus toma el control del sistema. Luego de tomar el control, usualmente buscará otro archivo .EXE o .COM para agregarles una copia de sí mismo.  Cuando el virus se incorpora en otro archivo, puede ubicarse al principio del código del archivo "víctima", agregarse (ponerse al final del archivo y agregar una instrucción de salto al comienzo), o puede sobreescribir el programa huesped insertándose entre su código. Este tipo de virus puede reproducirse rápidamente sin que el usuario lo note. Así como la mayoría de los virus, pueden incluir rutinas que observarán el sistema esperando que una condición se cumpla. Esta condición puede ser tanto la fecha del sistema como el número de archivos en el disco, etc.  Cuando la condición está dada, el virus comienza su rutina de daño si es que la incluye.

Virus polimórficos

Los virus polimórficos tienen alguna particularidad entre los virus de archivo. A diferencia de hacer una copia exacta de sí mismos cuando infectan otros archivos, modifican esa copia para verse diferente cada vez que infectan. Valiéndose de estos "motores de mutación", los virus polimórficos pueden generar miles de copias diferentes de sí mismos.  A causa de esto, los rastreadores convencionales han fallado en la detección de los mismos. Probablemente, cada rastreador de virus creado antes de Enero de 1992 no sea capaz de detectar virus polimórficos.  De hecho, algunas herramientas de rastreo utilizadas actualmente todavía no pueden detectarlos eficientemente. 

Virus "Stealth"

Los virus "Stealth" son variaciones de los virus de archivo. Cabe recordar que una forma simple de reconocer la infección de un virus de archivo es comparando el tamaño del archivo infectado con el del archivo original. Los virus "Stealth", por ejemplo, pueden no mostrar la diferencia de tamaño provocada por la infección al usuario. Recuerde que una vez que el virus está residente en memoria puede hacer muchas cosas. Existen varias técnicas de este tipo que se pueden definir como técnicas de defensa y ocultamiento.
 

Virus macro

Los virus macro son virus que logran reproducirse a través de documentos generados por aplicaciones tipo ¨Office¨.  Valiéndose de las macros automáticas introducidas en dichos programas y del hecho que éstas se ejecutan sin el consentimiento del usuario, nace este nuevo concepto en virus. Los primeros que aparecieron fueron los conocidos como Word.Npad y Word.Concept (este último también conocido como MS-Word AAAZAO y Prank). Actualmente, están apareciendo virus macro que no sólo se reproducen, sino que también causan daños directos en los sistemas.  Estos virus están incorporando nuevas y mejoradas rutinas que los vuelve cada vez más peligrosos.

El virus Melissa ataca a Office 2001 para Mac

Parece que el virus que atacaba a Microsoft Word, conocido como Melissa, ha vuelto a tomar vida esta vez para Microsoft Office 2001 para Mac y Office 98.

El nuevo virus se propaga a través de un correo electrónico que tiene como asunto “Important Messege From (el usuario del correo electrónico)”, y en el cuerpo del mensaje se puede leer este texto: “Here is the document you asked for… don´t show anyone else :)”. El archivo de Word adjunto se llama Anniv.DOC.

El nuevo Melissa es un virus de macro para documentos y plantillas de Word, que crea un objeto de Outlook usando instrucciones de Visual Basic, con la peculiaridad de que se reenvía automáticamente a través del correo electrónico a las 50 primeras direcciones de la lista de correo.

McAfee ya ha actualizado en su web (http://vil.mcafee.com/dispVirus.asp?virus_k=10132&) toda la información necesaria relacionada con el nuevo Melissa y su antivirus. En cualquier caso, es conveniente eliminar automáticamente el mensaje que contiene este archivo y nunca abrir el documento adjuntado.

Sin embargo, Word presenta un mensaje de advertencia siempre que se abra un documento que contenga macros. A continuación, el usuario puede elegir entre abrir el documento con las macros habilitadas o inhabilitar las macros, de modo que sólo pueda verlas y modificarlas. De este modo, y según la información del propio Microsoft Word, un virus de macro únicamente puede ser perjudicial si se le permite ejecutarse; por tanto, si se inhabilitan las macros, puede abrirse el documento con seguridad.

Los virus de Mac se pueden clasificar en:

1. Infectores específicos de sistemas y archivos Mac.
   Ejemplos:

1. AIDS.- infecta aplicaciones y archivos de sistema.

2. CDEF.- infecta archivos del escritorio.

2. Infectores HiperCard.
   Ejemplos:

1. Dukakis.- despliega el mensaje Dukakis para presidente.

2. MerryXmas. - En ejecución infecta el sector de inicio de la memoria, que a su vez infecta otros sectores en uso. Esto ocaciona caida del sistema y otras anomalías.

3. Mac Trojans.
   Ejemplos:

1. ChinaTalk . - supuestamente es un controlador de sonido, pero borra carpetas.

2. CPro. - supuestamente es una actualización de Compact Pro, pero intenta dar formato a los dicos montados.

4. Macro virus.
   Virus que manejan cadenas de texto en un documento, pueden trabajar igual en una Macintosh como en una PC. Desde que Word 6.x para Macintosh soporta macros de WordBasic, es vulnerable a ser infectado por macro virus, y generar documentos infectados.Cualquier aplicación para Macintosh que soporte Visual Basic también serán vulnerables.
   Ejemplo:

1. W97M/Remplace.b.- Consiste de 17 macros en un módulo llamado akrnl. Utiliza un archivo temporal c:\Étudiant.cfg para copiar su código. Desactiva la protección de Macro Virus, deshabilita las opciones de Macros, Plantillas y Editor de visual Basic.

Copyright © 2000 MacCare Reservados todos los derechos.