UNIVERSIDAD CATÓLICA DE CUENCA

UNIVERSIDAD CATÓLICA DE CUENCA

UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS,

ELÉCTRICA Y ELECTRÓNICA

“Análisis de ataque de virus informáticos en las computadoras y en las organizaciones y sus efectos colaterales”

Trabajo de investigación previa a la obtención del

Título de Ingeniero en Sistemas.

Aspirante:

Tngl. Rosa Margarita Loja Cajamarca

Director:

Ing. Isael Sañay.

Cuenca - Ecuador

DEDICATORIA

A Dios por dirigirme por el mejor camino de la vida, me diste salud, conocimiento y sabiduría para así alcanzar una de mis metas.

A mí querida familia especialmente a mi madrecita que siempre me cuida y me guía, a mis hermanas y hermanos quienes con su amor y apoyo me ayudaron a buscar el mejor camino de la vida.

A mis amigos y compañeros de clase quienes con su amistad y apoyo ayudaron a lograr una de mis metas.

AGRADECIMIENTO

Agradezco a Dios por la oportunidad que he tenido de aprender.

Agradecimiento especial para el director de monografía Ing. Isael Sañay, por su amistad, paciencia y su constante apoyo durante el desarrollo de esta monografía. De igual forma deseo expresar mi agradecimiento al Comité Calificador de esta monografía por su apoyo para la culminación de esta monografía.

A los profesores titulares y asistentes de la Universidad Católica de Cuenca, con paciencia, han sabido enseñar y compartir sus conocimientos y su amistad en el tiempo que fueron mis maestros por todo eso gracias.

Con Cariño y un Eterno Agradecimiento Gracias.

Resumen

En el presente documento se exponen una breve historia de los virus su evolución sus daños causados y algunos tipos de Virus Informáticos.

Se presentan conceptos y daños que causados por los virus a las organizaciones, síntomas típicos de una infección, para lo cual se debe conocer las medidas de protección como se debe proteger las áreas más sensibles para lo cual utilizaremos algunas formas de protección como: vacunas, detectores de los virus.

En este documento se estudia las bases teóricas y los antecedentes que darán sustento al desarrollo de la aplicación, se realiza una descripción de los virus, detallando sus daños que causan a las organizaciones y la forma que se debe evitar los contagios.

Índice General

Introducción……… xix

CAPITULO l: Antecedentes y Marco Teórico 1.1 Virus Informáticos………2

l.1.1.2 ¿Qué son los virus?...13

I.1.1.1.1 Finalidades……….………..15

I.1.1.1.2 DAÑOS DE LOS VIRUS………….……….15

l.1.1.3 ¿Quién los hace?...19

l.1.1.4 ¿Qué es un virus informático?... 24

I.1.1.1.3 Ciclo de vida de un Virus ……….……….25

I.1.1.1.3.1 ETAPA 1: CREACIÓN………25

I.1.1.1.3.2 ETAPA 2: REPRODUCCIÓN……….25

I.1.1.1.3.3 ETAPA 3: ACTIVACIÓN….………..25

I.1.1.1.3.4 ETAPA 4: DESCUBRIMIENTO………..…………..26

I.1.1.1.3.6 TAPA 6: ERRADICACIÓN… ……….………26

I.1.1.5 Tipos de virus……...……….………….…….27

I.1.1.5.1 Caballos de Troya. ……...……….……….….27

I.1.1.5.2Camaleones…….……...………...27

I.1.1.5.3 Virus polimorfos o mutantes……….…...28

I.1.1.5.4 Virus sigiloso o stealth………..………30

I.1.1.5.5 Virus lentos………..31

I.1.1.5.6 Retro-virus o Virus antivirus ……….………32

I.1.1.5.7 Virus multipartitos……….………..………….33

I.1.1.5.8 Virus voraces……….33

I.1.1.5.9 Bombas de tiempo ……….………..34

I.1.1.5.10 Conejo……….34

I.1.1.5.11 Macro-virus………...……….35

I.1.1.5.12 Gusanos……….………40

I.1.1.5.13 Los Nuevos Worm………..…..43

I.1.1.5.14 Virus Falsos o Hoaxes………44

I.1.1.5.15Virus Falsos conocidos………..……….44

I.1.16 Características………45

CAPITULO II:

Los Virus Informáticos en las Organizaciones

II.1.1.1

II.1.1.2 Como Afectan los Virus Informáticos a Las Empresas y El Comercio Mundial………49

II.1.1.3 Virus amenazadores………..53

II.1.1.4 Síntomas típicos de una infección………57

II.1.1.4.1 Señales de infección por virus informáticos………...58

II.1.1.5 Como se producen las infecciones………60

CAPITULO III:

Estrategias a seguir

III.1.1.2 Inserción……….………..62

III.1.1.3 Reorientación………..………63

III.1.1.4 Polimorfismo……….…………..64

III.1.1.5 Sustitución………..….64

III.1.1.6 Efectos de los virus en los computadores……….64

III.1.1.7 Como proceder ante una infección………..65

lll.1.1.7.1Preparación y prevención………..66

lll.1.1.7.2 Detección de virus……….…66

lll.1.1.7.3 Contención y Recuperación………67

CAPITULO IV:

SEGURIDAD

IV.1.1.1 Incrementar Seguridad………..………..68

IV.1.1.2 Estrategia de seguridad contra los virus………..…..69

IV.1.1.3 Riesgos en Internet…….………..73

IV.1.1.4 Técnicas de detección.………74

IV.1.1.5 Medidas Curativas……….77

IV.1.1.5.1 ¿Qué se debe hacer?...77

CAPITULO V:

ANTIVIRUS

V.1.1.2 Aplicar cuarentena………86

V.1.1.3 ¿Qué medidas de protección resultan efectivas?...86

V.1.1.3.1 ESTABLEZCA UNA POLÍTICA DE SEGURIDAD………..88

V.1.1.3.2 CREE CONTRASEÑAS SEGURAS………..89

V.1.1.3.3 PROTEJA LA INFORMACIÓN MÁS SENSIBLE……….89

V.1.1.3.4 NO ABUSE DEL E-MAIL……….90

V.1.1.3.5 BLOQUEE EL EQUIPO CUANDO NO LO USE………..91

V.1.1.3.6 ESTABLEZCA CRITERIOS PARA COMPARTIR LA INFORMACIÓN………..91

V.1.1.3.7 NO DESCARGUE SOFTWARE GRATUITO……….92

V.1.1.3.8 TOME PRECAUCIONES PARA COMPRAR ON LINE…………..92

V.1.1.3.9 UTILICE ANTIVIRUS Y ANTISPAM………..93

V.1.1.3.10 ACTUALICE CON PARCHES SU SISTEMA OPERAT……..94

V.1.1.4 Proteger áreas sensibles……….96

V.1.1.5 Medidas antivirus………98

V.1.1.5.1 Detección de virus………..100

CAPITULO VI:

HERRAMIENTAS

VI.1.1.1.2 Consejos para proteger su información………..102

Vl.1.1.3 Eliminación………..…….…….105

Vl.1.1.3.1 Rastreando y Eliminando Virus………..….107

Vl.1.1.3.2 Procedimiento Recomendado………..………..109

Vl.1.1.4 Comprobación de integridad………..………….110

CAPITULO VII:

Antivirus

VII.1.1.2 Utilización de detectores………...……….121

VII.1.1.3 CÓMO PUEDO ELABORAR UN PROTOCOLO DE SEGURIDAD ANTIVIRUS……...123

CONCLUSIONES………..128

RECOMENDACIONES……….129

ABREVIATURAS

MIT Massachussets Technology Institute (Instituto Tecnológico de Massachussets).

PSP Program Segment Prefix.

HTML _{HyperText Markup Language (Lenguaje de Marcas de Hipertexto)}

FAT (File Allocation Table, Tabla de Ubicación de Archivos SO Sistema Operativo

FORMAT _{Es un Comando de MS-DOS cuya función es dar formato a una} partición de disco duro o disquete.

VBA Visual Basic para Aplicaciones

MVP _{Most Valuable Player (jugador más valioso) o Most Valuable} Professional (profesional más valioso).

DEBE _{desencriptarse siendo entonces detectable}

BBS (Bulletin Boards) o copias de software no original

BIOS _{Basic Input/Output System (sistema básico de entrada/salida).}

BAT _{compañía British American Tobacco}

DLL _{Dynamic Linking Library (Bibliotecas de Enlace Dinámico).}

IBM _{International Business Machines.}

AES _{Advanced Encryption Standard (Algoritmo de encriptación} simétrica).

ANSI _{American National Standard Institute.}

ASCII: _{Amsterdam Subversive Center for Information Interchange} (Centro Subversivo de Amsterdam para el Intercambio de Información).

BSD _{Berkeley Software Distribution (Distribución de Software} Berkeley).

HFS _{Sistema de Archivos Jerárquicos o Hierarquical File System.}

IDE _{Integrated Drive Electronics (Electrónica Integrada de Unidad).}

MAC _{Macintosh, nombre de una computadora personal.}

MFS _{Macintosh File System.}

MS _{Memory Stick}

NTFS New Technology File System

RAID Redundant Array of Inexpensive Disks o conjunto redundante de discos baratos.

SCSI Small computer systems interface (Interfaz de Sistemas Pequeños de Computo).

UDF Universal Disk Format.

UDP User Datagram Protocol.

Integrador Numérico Electrónico)

UNIVAC _{Universal Automatic Computer computadora automática universal}

AT&T American Telephone and Telegraph

Arpanet Advanced Research Projects Agency Network) fue creada por encargo del Departamento de Defensa de los Estados Unidos.

CP/M Control Program/ Monitor

DOS Disk Operating System (sistema operativo de disco).

MS-DOS Micro Soft Disk Operating System, Sistema operativo de disco de Microsoft.

VAE Virtual Address Extended PDP-11

MBR MBR: es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como un disco duro.

CMOS Complementary Metal Oxide Semiconductor, "Semiconductor Complementario de Óxido Metálico"

ROM read-only memory, que significa "memoria de sólo lectura

USENET Users Net work (Red de usuarios

P2P. Peer-to-peer-que se traduciría de par a par- o de punto a punto

BASIC Es un lenguaje de programación

RSA Es un algoritmo asimétrico cifrador de bloques.

Fdisk _{es un programa de computadora disponible en varios sistemas} operativos, el cual permite dividir en forma lógica un disco duro

INTRODUCCIÓN

El desarrollo informático ha sido un paso de avance importante para la sociedad humana, debido a ello se ha hecho posible que la información y por consiguiente el conocimiento alcanza escalas insospechadas. Y para nadie es un secretó que son la base de la creación y la innovación indispensables

para mantener y ampliar el desarrollo tecnológico alcanzado. Aparejado con este desarrollo informático, y basándose en él se han manifestado acciones negativas, que aprovechando la ventaja que ofrece para algunos los nuevos medios, pretenden obtener beneficios personales en perjuicio de otros. Son muchas las manifestaciones negativas en el ámbito informático, una de las más conocidas por su repercusión son los llamados Malwares o programas dañinos, que son utilizados para realizar daños lógicos o sea son daños causados a la información y todos los medios lógicos de los cuales se vale un sistema informático para funcionar adecuadamente. Los propósitos de estos programas han evolucionado, actualmente se desarrollan verdaderas guerras en internet por obtener la supremacía, y así ganancias insospechadas.

El desarrollo de los códigos malignos ha venido evolucionando de simples intentos de demostración de conocimiento informático, por parte de programadores individuales; a verdaderos negocios, con muchas ganancias llevados a cabo por mafias con objetivos precisos. Durante los últimos diez años, se vieron cambiar notablemente los tipos y la velocidad de propagación de los códigos malignos: desde los disquetes flexibles que se contagiaban mediante la inserción manual del disco de una computadora a otra, hasta técnicas más sofisticadas de códigos que crean réplicas fácilmente en las redes y el mundo a través de internet. Actualmente existen más de 160000 tipos de programas malignos en internet y miles que no se han identificado. Los defectos en los protocolos de correo electrónico, las debilidades de

seguridad en los software de exploración y una carencia de educación básica sobre seguridad informática contribuyen al aumento de los ataques de malwares o programas maliciosos, pues los programadores de los mismos se aprovechan de esta situaciones.

Los virus informáticos son una de los principales riesgos de seguridad para los sistemas, ya sea que estemos hablando de un usuario hogareño que utiliza su máquina para trabajar y conectarse a Internet o una empresa con un sistema informático importante que debe mantener constante vigilancia para evitar pérdidas causadas por los virus.

Un virus se valdrá de cualquier técnica conocida o poco conocida para lograr su cometido. Así, encontraremos virus muy simples que sólo se dedican a presentar mensajes en pantalla y algunos otros mucho más complejos que intentan ocultar su presencia y atacar en el momento justo. A lo largo de este trabajo haremos referencia a qué es exactamente un virus, cómo trabaja, algunos tipos de virus y también cómo combatirlos. Nos proponemos a dar una visión general de los tipos de virus existentes para poder enfocarnos más en cómo proteger un sistema informático de estos atacantes y cómo erradicarlos una vez que lograron penetrar.

Para lograr una investigación completa de la temática en el capitulo l se establece una breve historia, conceptualización respectiva del tema, tipos de virus, daños que causan, quien los hace, características, los distintos tipos de virus como afectan a los usuarios.

En el capitulo ll habla sobre de las distintas formas de daños causados a las organizaciones, los síntomas que se deben tomar en cuenta en una infección. Cuáles son los virus que amenazan a la información y como se producen las infecciones.

El capitulo lll se estudiara sobre las estrategias de infección, efectos y los procedimientos adecuados ante una infección.

En el capitulo lV se realizará un resumen de seguridades que se deben tener en cuenta para proteger y cales son los riesgos que se deben tener en cuenta cuando ingresamos a internet.

En el capitulo cinco habla sobre conceptualización de los antivirus, medidas de protección como se debe proteger las áreas mas sensibles y las medidas antivíricas.

En el capitulo Vl habla de algunos consejos para proteger su información y como se debe proceder para la eliminación de los virus.

En el capitulo Vll habla sobre el concepto de antivirus, tipos de los mismos, utilización de detectores y un resumen de cómo elaborar un protocolo de seguridad.

Al final del documento se establecen las conclusiones y recomendaciones pertinentes al estudio, en las que se busca destacar situaciones relevantes, comentarios, análisis, etc.

CAPITULO I: MARCO REFERENCIAL Y TEÓRICO

1.1 Virus Informáticos

I.1.1.1

Historia

Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con la aparición y auge de Internet. A continuación, una breve historia de los virus que infectan los archivos y sistemas de las computadoras.

1939-1949 Los Precursores.

En 1939, el famoso científico matemático John Louis Von Neumann, de origen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos",

donde demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura.

Cabe mencionar que Von Neumann, en 1944 contribuyó en forma directa con John Mauchly y J. Presper Eckert, asesorándolos en la fabricación de la ENIAC, una de las computadoras de Primera Generación, quienes construyeran además la famosa UNIVAC en 1950.

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet.

Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros.

Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales

A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), ya que por aquella época se desconocía el concepto de software antivirus.

En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América, precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una mutación.

1981 La IBM PC

En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M.

Es cuando oportunamente aparece Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores

de programación (bugs). La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M.

1983 Keneth Thompson

Este ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático.

1984 Fred Cohen

Al año siguiente, el Dr. Fred Cohen al ser homenajeado en una graduación, en su discurso de agradecimiento incluyó las pautas para el desarrollo de un virus.

Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque hubo varios autores más que actuaron en el anonimato.

El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y experimentos", donde además de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribió "El evangelio según Fred" (The Gospel according to

Fred), desarrolló varias especies virales y experimentó con ellas en un computador VAX 11/750 de la Universidad de California del Sur.

La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un foro de debates de la ahora revista BYTE reportaron la presencia y propagación de algunos programas que habían ingresado a sus computadoras en forma subrepticia, actuando como "caballos de troya", logrando infectar a otros programas y hasta el propio sistema operativo, principalmente al Sector de Arranque.

Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones.

1986 El comienzo de la gran epidemia

En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales infectaban el sector de arranque de los diskettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.

El 2 de Noviembre de 1988 Robert Tappan Morris difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massashussets).

Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario.

Actualmente es un experto en Seguridad y ha escrito innumerables obras sobre el tema.

1991 La fiebre de los virus

En Junio de 1991 el Dr. Vesselin Bontchev, se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía.

En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose terriblemente famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, se han escrito muchos artículos y hasta más de un libro acerca de este virus.

Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional.

En 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier lugar.

1995 Los macro virus

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podían auto-copiarse infectando a otros documentos. Los llamados macro virus infectaban a los archivos de MS-Word, luego apareció una especie que atacaba ambos procesadores de textos. En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access.

A principios de 1999 se empezaron a propagar masivamente en Internet los virus anexados a mensajes de correo, como el Melisa o el macro virus Melissa. Ese mismo año fue difundido a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más.

A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del Shell de la extensión .SHS.

2000 en adelante

Los verdaderos codificadores de virus, no los que simplemente los modifican, han re-estructurado sus técnicas y empezado a demostrar una enorme malévola creatividad.

El 18 de Septiembre del 2001 el virus Nimda amenazó a millones de computadoras y servidores.

Los gusanos, troyanos o la combinación de ellos, de origen alemán como MyDoom, Netsky revoluciono con su variada técnica.

No podemos dejar de mencionar la famosa "Ingeniería Social", culpable de que millones de personas caigan en trampas, muchas veces ingenuas. Los BOT de IRC y a finales del 2005 los temibles Rootkit.

Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresión cultural de "graffiti

cibernético", así como los crackers jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Se puede afirmar que la eterna lucha entre el bien y el mal ahora se ha extendido al ciberespacio.

I.1.1.2

¿Que son los virus?

Concepto

Un virus es simplemente un programa, elaborado accidental o intencionadamente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de éste. Podríamos decir que es una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco.

Todos estos programas tienen en común la creación de efectos perjudiciales; sin embargo, no todos pueden ser considerados como virus propiamente dichos. Decimos además que es un programa parásito porque el programa ataca a los archivos o sector de booteo o arranque y se reproduce a sí mismo para continuar su esparcimiento.

Algunos se limitan solamente a multiplicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo flotando en el sistema.

Existen ciertas semejanzas entre los virus biológicos y los informáticos. Mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de computadoras.

Reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador.

Según sus características un virus puede contener tres módulos principales: el módulo de ataque, el módulo de reproducción, y el módulo de defensa.

Módulo de reproducción. Es el encargado de manejar las rutinas para infectar entidades ejecutables que asegurarán la subsistencia del virus. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersión del virus.

Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito. El módulo puede ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo específico

(COMMAND.COM), el encontrar un sector específico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.

Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluirá rutinas que disminuyan los síntomas que delaten su presencia e intentarán que el virus permanezca invisible a los ojos del usuario y del antivirus. Las técnicas incluidas hoy en día resultan ser muy sofisticadas logrando dar información falsa al SO y en consecuencia al usuario y localizándose en lugares poco comunes para el registro de los antivirus, como la memoria Flash-Rom.

Finalidades

Algunos sólo infectan, otros alteran datos, otros los eliminan y algunos sólo muestran mensajes. Pero el fin de todos ellos es el mismo: Propagarse. Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa.

I.1.1.3

DAÑOS DE LOS VIRUS

Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.

DAÑOS TRIVIALES.

Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.

DAÑOS MENORES.

Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.

DAÑOS MODERADOS.

Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobre escribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.

DAÑOS MAYORES.

Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el

virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives (…) somewhere in time" (Eddie vive … en algún lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.

DAÑOS SEVEROS.

Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives....). DAÑOS ILIMITADOS.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del

usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.

I.1.1.4

¿Quién los hace?

En primer lugar debemos decir que los virus informáticos están hechos por personas con conocimientos de programación pero que no son necesariamente genios de las computadoras. Tienen conocimientos de lenguaje ensamblador y de cómo funciona internamente la computadora. De hecho resulta bastante más difícil hacer un programa "en regla" como sería un sistema de facturación en donde hay que tener muchísimas más cosas en cuenta que en un simple virus que aunque esté mal programado sería suficiente para molestar al usuario.

En un principio estos programas eran diseñados casi exclusivamente por los hackers y crackers que tenían su auge en los Estados Unidos y que hacían temblar a las compañías con solo pensar en sus actividades. Tal vez esas personas lo hacían con la necesidad de demostrar su creatividad y su dominio de las computadoras, por diversión o como una forma de manifestar su repudio a la sociedad que los oprimía. Hoy en día, resultan un buen medio para el sabotaje corporativo, espionaje industrial y daños a material de una empresa en particular.

En que lenguaje de programación están hechos.

Los virus están hechos en un lenguaje de programación de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente sobre el

hardware, esto significa que no es necesario ningún software intermedio según el esquema de capas entre usuario y hardware para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas típicas de un lenguaje de alto nivel, sino que también vamos a tener control de cómo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix está programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware están hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.

Sabiendo esto, el virus puede tener control total de la máquina al igual que lo hace el SO si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario en su sano juicio lo hará, se vale de otros métodos furtivos. Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados.

Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitará la subida a memoria principal y la posterior ejecución (métodos de infección). Como entidades ejecutables podemos reconocer a los sectores de arranque de los discos de almacenamiento

magnético, óptico o magneto-ópticos (MBR, MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como un disco duro.), los archivos ejecutables de DOSs (.exe, .com, entre otros), las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son fundamentales para garantizar que el virus será cargado cada vez que se encienda la computadora.

Según la secuencia de booteo de las PCs, el microprocesador tiene seteada de fábrica la dirección de donde puede obtener la primera instrucción a ejecutar. Esta dirección apunta a una celda de la memoria ROM donde se encuentra la subrutina POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (función checksum). En este punto sería imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fábrica y no puede modificarse.

Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El MBR contiene la información de la tabla de particiones, para conocer las delimitaciones de cada partición, su tamaño y cuál es la partición activa desde donde se cargará el SO. Vemos que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida. Hasta acá el SO todavía no fue cargado y en consecuencia tampoco el antivirus. El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su posición. Así, cada vez que se inicie

el sistema el virus logrará cargarse antes que el SO y luego, respetando su deseo por permanecer oculto hará ejecutar las instrucciones del MBR.

Con la información del MBR sabremos qué partición es la activa y en que sector se encuentra su sector de booteo (boot record o BR). El BR contiene una subrutina que se ocupará de cargar los archivos de arranque del SO. Los demás pasos de la carga del SO son irrelevantes, pero es importante recordar que el SO es el último en cargarse en la secuencia de booteo antes de que el usuario pueda introducir comandos en la shell. El antivirus es cargado por los archivos de configuración del SO personalizables por el usuario.

Cuando un virus infecta un archivo ejecutable .EXE, por ejemplo, intenta rastrear en el código los puntos de entrada y salida del programa. El primer punto señalado es en donde, dentro del archivo, se iniciará la ejecución de instrucciones. El segundo punto resulta ser lo opuesto. Cuando un virus localiza ambos puntos escribe su propio código antes de cada uno. Según el tipo de virus, este código cargará el virus en memoria si es que no lo estaba y apuntará a esa zona infectada con el virus. Ha partir de ahí el programa virósico determinará cuáles son las acciones a seguir: puede continuar infectando archivos que sean cargados en memoria, ocultarse si es que detecta la presencia de un antivirus o ejecutar el contenido de su módulo de ataque. El virus puede infectar también las copias de los archivos cargados en memoria que están en la unidad de almacenamiento. Así se

asegura que ante un eventual apagado de la computadora su código igualmente se encuentra en los archivos de la unidad.

Es importante comprender que la computadora no estará infectada hasta que ejecutemos algo parasitado previamente con el virus. Ejemplo sencillo: nosotros bajamos de Internet un archivo comprimido (con la extensión .ZIP según el uso popular) sabiendo que es un programa de prueba que nos gustaría instalar. Lo que no sabemos es que uno de los archivos dentro del .ZIP es un virus informático, y lo peor de todo es que viene adosado al archivo Install.exe. Al momento de descomprimir el contenido, el virus todavía no fue ejecutado (ya que la información dentro del .ZIP no puede ser reconocida como instrucciones por el procesador). Luego identificamos el archivo Install.exe como el necesario para instalar el programa y lo ejecutamos. Recién en este momento el virus se cargará en memoria y pasará a hacer las cosas para lo que fue programado.

El ejemplo anterior es un modo muy básico de infección. Pero existen otros tantos tipos de virus que son mucho más sofisticados y no podrá ser reconocida su presencia con mucha facilidad.

I.1.1.5

¿Qué es un virus informático?

Un virus informático es un pequeño programa creado para alterar la forma en que funciona un equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos características:

Debe ser capaz de ejecutarse a sí mismo. A menudo coloca su propio código en la ruta de ejecución de otro programa.

Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado. Los virus pueden infectar tanto equipos de escritorio como servidores de red. Algunos virus están programados para atacar el equipo dañando programas, eliminando archivos o reformateando el disco duro. Otros no están creados para causar daño alguno, sino para replicarse y dar a conocer su presencia mediante la presentación de mensajes de texto, vídeo o sonido. Incluso estos virus benignos pueden crear problemas al usuario informático. Normalmente hacen uso de la memoria correspondiente a los programas legítimos. Como resultado, pueden provocar a menudo un comportamiento irregular en el equipo e incluso hacer que el sistema deje de responder. Además, muchos virus contienen errores que pueden ocasionar pérdidas de datos y bloqueos del sistema.

I.1.1.5.1 Ciclo de vida de un Virus

Se considera que se ha desatado un brote vírico en una red cuando se ve infestada de virus o repleta de mensajes que los contienen: el resultado es un servidor colapsado, cuya inactividad cuesta a la empresa mucho dinero. El ciclo vital de los virus informáticos comienza con su creación y termina con su completa erradicación.

Hasta hace pocos años, crear un virus exigía conocer en profundidad un lenguaje de programación. En la actualidad cualquiera que sepa programar un poco puede hacer un virus.

ETAPA 2: REPRODUCCIÓN

Los virus se reproducen a sí mismos: forma parte de su naturaleza. Un virus bien diseñado está preparado para estar copiándose a sí mismo en distintos ficheros durante bastante tiempo, el suficiente para llegar a muchísimos usuarios.

ETAPA 3: ACTIVACIÓN

En los virus con rutinas de ataque, éstas se activan cuando se dan determinadas condiciones, por ejemplo, una fecha concreta o que el usuario realice una acción "x". Sin embargo, incluso los virus que están pensados para causar un daño específico entorpecen el sistema al ocupar en él un valioso espacioso de almacenamiento.

ETAPA 4: DESCUBRIMIENTO

Cuando se detecta un nuevo virus, se aísla y se envía a la Asociación Internacional de Seguridad Informática, con sede en Washington, D.C., donde se toma nota de sus características para posteriormente distribuirlo a los fabricantes de antivirus. En general, el descubrimiento tiene lugar por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.

ETAPA 5: ASIMILACIÓN

En este punto, los fabricantes de antivirus modifican su software para que sea capaz de detectar el nuevo virus. Este proceso puede durar desde un día hasta seis meses, dependiendo del desarrollador y del tipo de virus.

TAPA 6: ERRADICACIÓN

Cualquier virus puede ser erradicado si suficientes usuarios mantienen al día su protección antivirus. Hasta el momento ningún virus ha desaparecido por completo, pero algunos hace mucho que han dejado de representar una amenaza importante.

I.1.1.6

Tipos de virus

La clasificación correcta de los virus siempre resulta variada según a quien se le pregunte. Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos ejecutables), por su grado de dispersión a nivel mundial, por su comportamiento, por su agresividad, por sus técnicas de ataque o por cómo se oculta, etc. Nuestra clasificación muestra cómo actúa cada uno de los diferentes tipos según su comportamiento. En algunos casos un virus puede incluirse en más de un tipo.

I.1.1.6.1 Caballos de Troya.

Los caballos de troya no llegan a ser realmente virus porque no tienen la capacidad de autoreproducirse. Se esconden dentro del código de archivos ejecutables y no ejecutables pasando inadvertidos por los controles

de muchos antivirus. Posee subrutinas que permitirán que se ejecute en el momento oportuno. Existen diferentes caballos de troya que se centrarán en distintos puntos de ataque. Su objetivo será el de robar las contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso a redes, incluyendo a Internet. Después de que el virus obtenga la contraseña que deseaba, la enviará por correo electrónico a la dirección que tenga registrada como la de la persona que lo envió a realizar esa tarea. Hoy en día se usan estos métodos para el robo de contraseñas para el acceso a Internet de usuarios hogareños. Un caballo de troya que infecta la red de una empresa representa un gran riesgo para la seguridad, ya que está facilitando enormemente el acceso de los intrusos. Muchos caballos de troya utilizados para espionaje industrial están programados para autodestruirse una vez que cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia.

I.1.1.6.2 Camaleones.

Son una variedad de similar a los Caballos de Troya, pero actúan como otros programas comerciales, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las

acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.

Virus polimorfos o mutantes

Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora.

En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus presente su característica de cambio de formas debe poseer algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría reconocer ese patrón.

Para eso incluye un generador de códigos al que se conoce como engine o motor de mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un algoritmo matemático, modifica la firma del virus. Gracias a este engine de mutación el virus podrá crear una rutina de desencripción que será diferente cada vez que se ejecute.

Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces para virus polimorfos particulares existen programas que se dedican especialmente a localizarlos y eliminarlos. Algunos softwares que se pueden bajar gratuitamente de Internet se dedican solamente a erradicar los últimos virus que han aparecido y que también son los más peligrosos. No los fabrican empresas comerciales sino grupos de hackers que quieren protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de demostrar quién es superior o quien domina mejor las técnicas de programación.

Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.

I.1.1.6.3 Virus sigiloso o stealth

El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará permanecer oculto tapando todas las modificaciones que haga y observando cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Alterando algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.

Es difícil que un antivirus se dé cuenta de estas modificaciones por lo que será imperativo que el virus se encuentre ejecutándose en memoria en el momento justo en que el antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de integridad para detectar los cambios realizados en las entidades ejecutables.

El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de los disquetes e intercepta cualquier operación de entrada / salida que se intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del disquete donde había copiado previamente el verdadero sector de booteo.

Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente.

Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los detectan y eliminan.

I.1.1.6.4 Virus lentos

Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan.

Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para

escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.

Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.

La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.

Retro-virus o Virus antivirus

Un retro-virus intenta como método de defensa atacar directamente al programa antivirus incluido en la computadora.

Para los programadores de virus esta no es una información difícil de obtener ya que pueden conseguir cualquier copia de antivirus que hay en el mercado. Con un poco de tiempo pueden descubrir cuáles son los puntos débiles del programa y buscar una buena forma de aprovecharse de ello.

Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan, imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo mismo con el registro del comprobador de integridad.

Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso modifican el entorno de tal manera que termina por afectar el funcionamiento del antivirus.

I.1.1.6.5 Virus multipartitos

Los virus multipartitos atacan a los sectores de arranque y a los ficheros ejecutables. Su nombre está dado porque infectan las computadoras de varias formas. No se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido. Cuando se ejecuta una aplicación infectada con uno de estos virus, éste infecta el sector de arranque. La próxima vez que arranque la computadora, el virus atacará a cualquier programa que se ejecute.

I.1.1.6.6 Virus voraces

Estos virus alteran el contenido de los archivos de forma indiscriminada. Generalmente uno de estos virus sustituirá el programa ejecutable por su propio código. Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.

Son virus convencionales y pueden tener una o más de las características de los demás tipos de virus pero la diferencia está dada por el trigger de su módulo de ataque que se disparará en una fecha determinada. No siempre pretenden crear un daño específico. Por lo general muestran mensajes en la pantalla en alguna fecha que representa un evento importante para el programador. El virus Michel Angelo sí causa un daño grande eliminando toda la información de la tabla de particiones el día 6 de marzo.

I.1.1.6.8 Conejo

Cuando los ordenadores de tipo medio estaban extendidos especialmente en ambientes universitarios, funcionaban como multiusuario, múltiples usuarios se conectaban simultáneamente a ellos mediante terminales con un nivel de prioridad. El ordenador ejecutaba los programas de cada usuario dependiendo de su prioridad y tiempo de espera. Si se estaba ejecutando un programa y llegaba otro de prioridad superior, atendía al recién llegado y al acabar continuaba con lo que hacia con anterioridad. Como por regla general, los estudiantes tenían prioridad mínima, a alguno de ellos se le ocurrió la idea de crear este virus. El programa se colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo una copia de sí mismo, agregándola también en la cola de espera. Los procesos a ser ejecutados iban multiplicándose hasta consumir toda la memoria de la computadora central interrumpiendo todos los procesamientos.

I.1.1.6.9 Macro-virus

Los macro-virus representan una de las amenazas más importantes para una red. Actualmente son los virus que más se están extendiendo a través de Internet. Representan una amenaza tanto para las redes informáticas como para los ordenadores independientes. Su máximo peligro está en que son completamente independientes del sistema operativo o de la plataforma, no son programas ejecutables.

Los macro-virus son pequeños programas escritos en el lenguaje propio (conocido como lenguaje script o macro-lenguaje) propio de un programa. Así nos podemos encontrar con macro-virus para editores de texto, hojas de cálculo y utilidades especializadas en la manipulación de imágenes.

En Octubre de 1996 había menos de 100 tipos de macro-virus. En Mayo de 1997 el número había aumentado a 700.

Sus autores los escriben para que se extiendan dentro de los documentos que crea el programa infectado. De esta forma se pueden propagar a otros ordenadores siempre que los usuarios intercambien documentos. Este tipo de virus alteran de tal forma la información de los documentos infectados que su recuperación resulta imposible. Tan solo se ejecutan en aquellas plataformas que tengan la aplicación para la que fueron creados y que comprenda el lenguaje con el que fueron programados. Este método hace que este tipo de virus no dependa de ningún sistema operativo.

El lenguaje de programación interno de ciertas aplicaciones se ha convertido en una poderosa herramienta de trabajo. Pueden borrar archivos, modificar sus nombres y modificar el contenido de los ficheros ya existentes. Los macro-virus escritos en dichos lenguajes pueden efectuar las mismas acciones.

La mayoría de virus conocidos se han escrito en WordBasic de Microsoft, o incluso en la última versión de Visual Basic para Aplicaciones (VBA), también de Microsoft. WordBasic es el lenguaje de programación interno de Word para Windows (utilizado a partir de la versión 6.0) y Word 6.0 para Macintosh. Como VBA se ejecuta cada vez que un usuario utiliza cualquier programa de Microsoft Office, los macro-virus escritos en dicho lenguaje de programación representan un riesgo muy serio. En otras palabras, un macro-virus escrito en VBA puede infectar un documento de Excel, de Access o de PowerPoint. Como estas aplicaciones adquieren más y más importancia cada día, la presencia de los macro-virus parece que está asegurada.

Microsoft Word es una de las aplicaciones preferidas para los macro-virus.

Microsoft Word está muy difundido, por lo que un macro-virus para esta aplicación tendrá un gran impacto. Además, Microsoft Word es un producto pensado para plataformas cruzadas, disponible para DOS, Windows 3. 1, Windows 95, Windows NT y Mac OS, con lo que se amplía enormemente la posibilidad de infección.

La plantilla Normal de Word (en las versiones de Windows se llama normal. dot) contiene todas las macros que se pueden utilizar con Word. Para un macro-virus esta plantilla es suelo fértil en el cual puede incubar sus virus y copiarlos luego a otros documentos de Word o incluso al resto de aplicaciones de Microsoft.

Microsoft Word puede ejecutar automáticamente macros sin necesidad del consentimiento humano. Esta habilidad hace que el escritor de macro-virus asocie sus programas con algún tipo de macro legítima. Word usa macros para abrir y cerrar documentos. E incluso para cerrar el propio programa.

Comparado con lo complicado que resulta escribir macros en ensamblador, escribir en el leguaje de programación de Word es un juego de niños. Las principales ventajas de WordBasic y VBA son que son lenguajes muy intuitivos.

Los usuarios suelen pegar sus documentos de Word a sus mensajes de correo electrónico, publicarlos en sitios FTP o bien mandarlos a una lista de mail. Como se puede figurar la cantidad de gente que se infectará con este tipo de documentos es enorme. Debido a la novedad de estos sistemas de transmisión, el creador de un macro-virus puede estar seguro de que su virus llegará a mucha gente.

Un macro-virus para Word también es capaz de sobrescribir las opciones Guardar, Guardar cómo y Nuevo del menú Archivo para asegurar

su permanencia. La verdad es que sobreescribir estas opciones no representa ningún tipo de problema. Basta con copiar la macro al documento y copiarla a otra macro con las modificaciones deseadas. La naturaleza polimorfa de este tipo de virus es una de las razones por la que los profesionales los consideran tan peligrosos.

Word 7.0 para Windows 95 y NT y Microsoft Word 97 avisan automáticamente a sus usuarios cuando abren un documento y éste contiene macros. Además, Microsoft proporciona una herramienta de protección contra los virus llamada MVP válida para sus usuarios de Windows y Macintosh. Dicha herramienta instala una serie de macros que detectan cualquier macro sospechosa y avisa al usuario del peligro que conlleva abrir un documento determinado. Conviene que escanee todos los documentos de Word que reciba a través del correo electrónico antes de abrirlos por si están infectados. En las últimas versiones de Microsoft Word (a partir de la 7.0) hay un detalle que las hace menos susceptibles ante la infección de los macro-virus de Word. Y es que, al igual que las últimas versiones de programas como Excel, Access y PowerPoint, se ha cambiado el lenguaje de programación interno. Microsoft usa un lenguaje nuevo al que ha bautizado como Visual Basic para Aplicaciones 5.0 (VBA). Además, las nuevas versiones de Chamaleon (de NetManage), Photoshop (de Adobe) y AutoCAD (de AutoDesk) utilizan VBA.

El cambio de lenguaje anulará la mayoría de los macro-virus de Word (siempre que no se esté trabajando en un modo compatible con las antiguas

versiones de WordBasic). Sin embargo, la aparición de VBA 5.0 y su aceptación entre las aplicaciones indica que nos encontramos ante una nueva era de macro virus. Y como VBA es un lenguaje que utilizan muchas aplicaciones será posible que un mismo macro-virus infecte a aplicaciones muy distintas entre sí.

Los pasos que se deben seguir para eliminar macro-virus son los siguientes:

 Activar la protección antivirus si está desactivada.

 Abrir el Word directamente, sin ningún documento.

 Ir al menú Herramientas, y elegir Opciones.

 En la pestaña General, activar la casilla donde dice Protección antivirus en macro.

 Abrir el documento infectado teniendo en cuenta que, cuando se presente la ventana de Advertencia, se debe elegir la opción Abrir sin Macros para no infectarse.

 Una vez abierto el documento, elegir, dentro del menú Herramientas, la opción Macro y dentro de ella, la que dice Editor de Visual Basic, o directamente, presionar la combinación de teclas ALT+F11. Donde, en la parte izquierda de la pantalla, se podrá observar un cuadro que dice "Proyecto - ..." y el nombre del archivo abierto, en este caso Normal.

 Se debe desplegar cada uno de los ítems de ese cuadro para ver el código de las macros. Al hacer doble clic sobre algunos de estos elementos, se abrirá una nueva ventana con código.

 Se debe marcar el texto que aparece en la nueva ventana, y eliminarlo como se haría con cualquier texto. Al hacer esto, se estarán eliminando las macros que contiene el documento, lo que eliminará completamente el Macro virus.

Estos pasos deben repetirse por todos los elementos que se encuentren en el cuadro Proyectos.

I.1.1.6.10 Gusanos.

Un gusano informático es un programa (o conjunto de programas) que utilizan copias completas de sí mismos para infectar distintos equipos informáticos, en los que dejan esa reproducción o un segmento suyo. Normalmente se propagan a través de las conexiones de una red o de ficheros adjuntos en mensajes de correo.

Hay dos tipos de Gusanos:

Host Computer Worm: son contenidos totalmente en una computadora, se ejecutan y se copian a si mismo vía conexión de una red. Los Host Computer Worm, originalmente terminan cuando hicieron una copia de ellos mismos en otro host. Entonces, solo hay una copia del gusano corriendo en algún lugar de una red. También existen los Host Computer

Worm, que hacen una copia de ellos mismos e infectan otras redes, es decir, que cada maquina guarda una copia de este Gusano.

Network Worms: consisten en un conjunto de partes (llamadas "segmentos"), cada una corre en una maquina distinta (y seguramente cada una realiza una tarea distinta) y usando la red para distintos propósitos de comunicación.

Propagar un segmento de una maquina a otra es uno de los propósitos. Los Network Worm tienen un segmento principal que coordina el trabajo de los otros segmentos, llamados también "octopuses".

El Famoso Internet Worm creado por Morrison en 1988 y que tantas máquinas infectó era del tipo Host Computer. Para conocer un Gusano, veamos detalladamente como funcionaba el que hizo Morrison.

El objetivo de ese virus era obtener una "shell" en la otra maquina. Para esto el gusano usaba tres técnicas distintas Sendmail, fingerd y rsh/rexec.

The Sendmail Attack. En el ataque por Sendmail, el gusano abría una conexión TCP con el sendmail de otra maquina (puerto SMTP). Mediante un error del Sendmail, el Gusano creaba un programa C que se compilaba en la máquina ya infectada y reemplazaba la shell común sh por una Worm.

The Fingerd Attack. En este ataque, intentaba infiltrarse por un bug en el daemon del finger (fingerd). Aparentemente era con este bug que el

gusano se pudo desparramar con tanta libertad. Al parecer, los argumentos del daemon de finger eran leídos sin tener controles preestablecidos de los límites. El gusano, aprovechándose de eso, ejecutaba un comando y reemplazaba la shell común sh con el gusano. Así, cada vez que un usuario se logueara empezaba a funcionar el Gusano.

The Rsh/Rexec Attack. La tercera forma de entrar a un sistema por una Red, era utilizando la confianza de host. Para esto, necesitaba tener un nombre de usuario y contraseña. Por eso abría el /etc/passwd y probaba contraseñas conocidas. Combinaba nombre de usuario, con la descripción, etc. Cuando conseguía la password de algún usuario, buscaba el archivo .rhosts y usando los comandos de confianza rsh/rexec para obtener una cuenta en otra maquina de confianza y empezar el proceso de nuevo. Cuando el gusano se conectaba a un host satisfactoriamente, creaba un proceso (hijo) que continuaba con la infección, mientras que el primer proceso (padre) sigue buscando host para seguir infectando. Para conseguir un host para infectar, el gusano usa distintas técnicas, como por ejemplo el netstat, o edita el /etc/hosts en busca de algún host, cada vez que encuentra uno, intenta infectarlo.

I.1.1.6.11 Los Nuevos Worm

Happy99. Fue descubierto en Junio de 1999. La primera vez que es ejecutado se ven fuegos artificiales y un cartel que dice "Happy 99". Este cartel es una fachada, ya que mientras se encarga de reemplazar algunos

archivos. Cada mensaje que se manda por e-mail, crea un mensaje alternativo que tiene adjunto el Happy99

Este gusano tiene una lista de cada e-mail al cual fue enviado una copia del Happy99.

Melissa Virus. El virus Melissa es un virus de Macro en Word, que infecta el sistema y manda 50 copias de sí mismo, utilizando el Microsoft Outlook. Muestra un mensaje que dice "Important Message from <nombre>" y manda un e-mail adjuntando el archivo .doc. Aún, si la máquina no tuviera el Microsoft Outlook, este Troyano / Virus infecta la máquina.

Bubbleboy Worm. Este gusano nunca salió a la luz, sino que fue creado por una persona que quiso demostrar las falencias que tiene el sistema VBS Script. Lo importante de este virus es que es enviado por e-mail, pero puede infectar a la máquina sin la necesidad de abrir ningún archivo adjunto, ya que el gusano vienen incluido en el e-mail, por eso hace de este gusano muy peligroso. Simplemente al hacerle un click en el mensaje el virus se activa. Es por esto, que este virus solo infecta maquinas Windows 98 / 2000, y Outlook / Outlook Express.

La propagación del Bubbleboy depende de dos controles ActiveX particulares que fueron marcados como "seguros"