Los Virus Un virus informático es un malware o programa malicioso desarrollado por programadores que infecta un sistema para realizar alguna acción determinada como alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Habitualmente, reemplazan archivos ejecutables por otros infectados y con el código de este intentan esparcirse a otras computadoras utilizando diversos medios pudiendo destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Métodos de infección Los virus son cada vez más sofisticados y actualmente basta con copiar un archivo para que todo el sistema se infecte. Los virus permanecen en la memoria de la computadora y comienzan a infectar todo lo que pasa por la computadora.
En la actualidad, y debido a la vulnerabilidad de los sistemas informáticos al estar permanentemente expuestos por el uso frecuente de Internet, circulan diferentes tipos de virus que se modifican y evolucionan con el fin de lograr sus objetivos. En el siguiente informe especial, te contamos algunos detalles del método de trabajo que poseen los virus informáticos más conocidos y difundidos en la actualidad, con el fin de que puedas conocer más en profundidad su funcionamiento, su modo de infección y sus objetivos, y de esta manera estar mejor preparado ante una posible infección de tu PC.
Virus de tipo residente Como su nombre lo indica, esta clase de virus poseen la particularidad de poder ocultarse en sectores de la memoria RAM del equipo y residir allí, controlando cualquier operación de entrada o salida de datos que lleve a cabo el sistema operativo. Su principal misión es la de infectar todos los archivos y programas que puedan ser llamados para su ejecución, ya sea para su copia, borrado o toda otra operación que pueda ser realizada con ellos. Mientras permanecen ocultos en la RAM de nuestra computadora, yacen latentes a la espera de cualquier evento que haya sido programado por su desarrollador para comenzar con su ataque. Esta reacción puede ser desencadenada, por ejemplo, al haberse cumplido un lapso de tiempo en una fecha u hora prevista.
Virus de tipo de acción directa La característica fundamental que define a los virus de tipo de Acción Directa es que no necesitan permanecer residentes en la memoria RAM de la computadora, ya que su método para comenzar con su ataque es esperar
que se cumpla una determinada condición para activarse y poder replicarse y realizar la tarea para la cual fueron concebidos. Para poder lograr su infección, esta clase de virus realiza una búsqueda de todos los archivos existentes en su directorio. Además poseen la particularidad de buscar en los directorios que se listan en la línea PATH de la configuración del sistema. Este tipo de virus poseen la particularidad de, tras una infección de archivos, estos ficheros pueden ser por completo restaurados, volviendo al estado anterior a su infección.
Virus de sobre escritura Los virus del tipo de sobre escritura poseen la habilidad de destruir todo o parte del contenido de un archivo infectado por él, ya que cuando un fichero es infectado por el virus, este escribe datos dentro del mismo, dejando a este archivo total o parcialmente inútil. Una característica que define a este tipo de virus informático, es que los archivos no aumentarán de tamaño en caso de una infección, esto es debido a que el virus oculta su código reemplazando parte del código propio del archivo infectado. Este es uno de los virus más perjudiciales que circulan en la actualidad. Lamentablemente una de las pocas formas que existen de erradicar el virus, es eliminado el archivo infectado, con la consiguiente pérdida de los datos escritos en él.
Virus de tipo de boot o arranque Como todos sabemos el sector de arranque o también conocido por MBR (Master Boot Record), es una zona del disco rígido donde reside el programa de inicio del sistema operativo. La clase de virus que ataca el sector de arranque no infectarán archivos, sino que su misión principal es replicarse en cualquier otro disco rígido que se
encuentre a su alcance. Se trata de un virus del tipo residente, ya que cuando el mismo se encuentra activo en la memoria, uno de los aspectos más importantes al momento de determinar su existencia, es el notorio decaimiento de las cifras que arroja cualquier conteo de la memoria libre del sistema. Sin embargo, el código del virus no incorpora ninguna clase de rutina perjudicial, salvo la propia replicación del mismo.
Virus de tipo de enlace Este tipo de virus tiene la facultad de modificar las direcciones específicas de ubicación de programas y archivos para comenzar su infección, es decir, los lugares en donde el sistema operativo buscará estos programas o archivos para su ejecución. El método de infección utilizado por este virus, como mencionamos, es alterar la ubicación de un determinado programa o archivo. Al momento de que el sistema operativo o el usuario del mismo necesiten ejecutar este programa o fichero infectado, lo que en realidad sucede es la ejecución del código malicioso que porta el virus, produciéndose de este modo la infección de cualquier programa con extensión exe o com. Cabe destacar que cuando se produce una infección por virus de tipo de enlace, resulta prácticamente imposible la localización de los programas que han sido reemplazados por el accionar de los mismos.
Virus de tipo de encriptación Los desarrolladores de esta peculiar clase de virus utilizan el método de cifrado por encriptación para lograr el objetivo de no ser descubiertos por las exploraciones que realizan las aplicaciones antivirus. Si bien no se trata estrictamente de un tipo de virus, es una denominación
que se le otorga a cierta clase de técnica utilizada para el ocultamiento de los mismos. Esta denominación también es extensible a virus de otras categorías, tales como los virus de tipo polifórmico. Los virus de tipo de encriptación, tienen la capacidad de autoencriptarse, ocultándose de este modo a los intentos de los programas antivirus cuando realizan sus rutinas de escaneo del sistema. Para cumplir con la misión encomendada por su programador, el virus de encriptación se autodesencriptará y una vez finalizada su tarea volverá a su anterior estado, es decir, se encriptará a sí mismo. Para acometer con su infección, los virus encriptados incorporan a su código los algoritmos necesarios para su cifrado y descifrado, debido a que el cifrado es una técnica que necesita de una clave para encriptarlo y desencriptarlo, la cual obviamente no posee el usuario que ha sido infectado. Cabe destacar que esta clase de virus sólo pueden ser descubiertos por los programas antivirus cuando se encuentran en ejecución.
Virus polimórficos Los virus polimórficos, una técnica muy sofisticada y que demanda mucho conocimiento por parte del desarrollador, son aquellos que poseen la habilidad de encriptarse de un modo diferente y variable con cada nueva infección que realizan. Su principal característica consiste en que con cada replicación, utilizan diferentes claves y algoritmos de encriptación, de modo que las cadenas que componen su código, una especie de firma para los sistemas antivirus, varían de tal forma que nunca lograrán concordar con las firmas existentes en las bases de datos que utilizan estos antivirus para su detección. Debido a la utilización de esta complicada técnica, estos virus son capaces de generar gran cantidad de copias de sí mismos, pero nunca iguales.
Virus de tipo multipartite
Podemos considerar, debido a los estudios y trabajos realizados por expertos en informática en todo el mundo, que este tipo de virus es actualmente uno de los más perjudiciales que cualquier usuario, tanto experto como novato, puede encontrar. Estos virus deben su peligrosidad al hecho de que pueden realizar, mediante la utilización conjunta de diferentes técnicas y métodos de ataque, múltiples y variadas infecciones. El objetivo principal de su existencia, es la posibilidad de destruir con su código a todos aquellos archivos y programas ejecutables que tenga la posibilidad de infectar. Entre los blancos preferidos de esta clase de virus podemos citar archivos, programas y aplicaciones, las macros que incorporan suites de ofimática como Microsoft Office, discos rígidos, unidades de almacenamiento extraíbles tales como diskettes, pendrives y memorias de todo tipo. Cabe destacar que tras el ataque de un virus de tipo multipartite, los datos que contienen los elementos infectados serán imposibles de recuperar. Además de todos estos tipos de virus, existen en la actualidad otros que si bien no son considerados virus informáticos, lo cierto es que actúan de manera similar para lograr resultados parecidos.
Tipos de virus:
Virus de Boot: Uno de los primeros tipos de virus conocido, infecta la partición de inicialización del sistema operativo. El virus se activa cuando la computadora es encendida y el sistema operativo se carga.
Time Bomb o Bomba de Tiempo: Son programados para que se activen en determinados momentos, definido por su creador. Una vez infectado un determinado sistema, el virus solamente se activará y causará algún tipo de daño el día o el instante previamente definido. Algunos virus se hicieron famosos, como el "Viernes 13" y el "Michelangelo".
Lombrices, worm o gusanos: Con el interés de hacer un virus pueda esparcirse de la forma más amplia posible, sus creadores a veces, dejaron de lado el hecho de dañar el sistema de los usuarios infectados y pasaron a programar sus virus de forma que sólo se repliquen, sin el objetivo de causar graves daños al sistema. De esta forma, sus autores tratan de hacer sus creaciones más conocidas en internet. Este tipo de virus pasó a ser llamado gusano o worm. Son cada vez más perfectos, hay una versión que al atacar la computadora, no sólo se replica, sino que también se propaga por internet enviandose a los e-mail que están registrados en el cliente de e-mail, infectando las computadoras que abran aquel e-mail, reiniciando el ciclo.
Troyanos o caballos de Troya: Su nombre proviene del caballo de Troya mitológico, que parecía ser un regalo para Troya pero escondía en su interior un ejército griego que atacó la ciudad y la dominó. En informática, los troyanos hacen referencia a aquellos programas que parecen ser un software de utilidad pero que en realidad ponen en peligro la seguridad y pueden dañar tu equipo. Los troyanos se esparcen cuando los usuarios abren un programa que creen que tiene un origen legítimo pero no es así.
Ciertos virus traen en su interior un código aparte, que le permite a una persona acceder a la computadora infectada o recolectar datos y enviarlos por Internet a un desconocido, sin que el usuario se de cuenta de esto. Estos códigos son denominados Troyanos o caballos de Troya. Inicialmente, los caballos de Troya permitían que la computadora infectada pudiera recibir comandos externos, sin el conocimiento del usuario. De esta forma el invasor podría leer, copiar, borrar y alterar datos del sistema. Actualmente los caballos de Troya buscan robar datos confidenciales del usuario, como contraseñas bancarias.
Los virus eran en el pasado, los mayores responsables por la instalación de los caballos de Troya, como parte de su acción, pues ellos no tienen la capacidad de replicarse. Actualmente, los caballos de Troya ya no llegan exclusivamente transportados por virus, ahora son instalados cuando el usuario baja un archivo de Internet y lo ejecuta. Práctica eficaz debido a la enorme cantidad de e-mails fraudulentos que llegan a los buzones de los usuarios. Tales e-mails contienen una dirección en la web para que la víctima baje, sin saber, el caballo de Troya, en vez del archivo que el mensaje dice que es. Esta práctica se denomina phishing, expresión derivada del verbo to fish, "pescar" en inglés. Actualmente, la mayoría de los caballos de Troya simulan webs bancarias, "pescando" la contraseña tecleada por los usuarios de las computadoras infectadas. ¿Cómo eliminar un virus troyano? Algunas señales de que nuestra computadora está infectada por un troyano: 1- Que la computadora se reinicie sola; 2- Que el sistema funcione con mucha lentitud; 3- Que el sistema operativo no se inicie; 4- Que hayan desaparecido algunos archivos; 5- Que se abran ventanas con publicidades o pornografía.
Procedimiento general para que puedas eliminarlos de tu computadora. Remover virus troyanos 1. Descarga e instala un antivirus actualizado. Hay disponible muchas versiones de antivirus "gratis". Uno recomendable puede ser AVG Anti-Virus, que no ocupa demasiado espacio y es de fácil uso. Otro de los
más recomendables es Avast Antivirus! 2. Desconéctate de internet ya sea que uses un modem ADSL, una placa de red o una placa wi fi. 3. Abre tu navegador de internet y borra el cache y las cookies. Para borrar las cookies en Internet Explorer sigue los siguientes pasos: Herramientas >> Opciones de internet >> en la pestaña General elige "Borrar Cookies". La pc preguntará si "Desea borrar todas las cookies en la carpeta de archivos temporales de internet?" Haz clic en OK.
Para borrar el cache en Internet Explorer completa los siguientes pasos: Herramientas >> Opciones de internet >> en la pestaña General elige Borrar Archivos. Estate seguro de haber tildado la casilla que dice "Borrar todo el contenido offline". Haz clic en OK. 4. Reinicia la computadora en "Modo a prueba de fallos" - Para esto, apenas veas el logo de Windows, cuando arranque, debes apretar F8 y elegir dentro de las opciones del sistema operativo "Iniciar Modo a prueba de fallos"
5. Es conveniente que si estas usando Windows 7 o Windows XP, deshabilites la Restauración de Sistema o el "System Restore". - Algunas veces los virus pueden esconder archivos en la Restauración de Sistema en cuyo caso, apagando la restauración posibilitamos que el antivirus pueda remover eficazmente esos archivos. Ten en cuenta que al deshabilitar el Sistema de Restauración se pierde los puntos de restauración anteriores, lo que significa que no vas a tener la opción de restaurar el sistema a una fecha previa en la que el sistema funcionaba normalmente.
6. Haz un escaneo completo de la computadora. Esto puede demorar algún tiempo (depende de cuanta información tienes en tu computadora para que el antivirus revise). Sé paciente y dale tiempo al programa de hacer su trabajo. 7. Si ves que el antivirus tiene problemas para remover un virus tienes que ejecutar MSCONFIG y encontrar que programa que se carga con el inicio del sistema operativo es el responsable de cargar el archive infectado. 8. Luego de que todos los virus hayan sido puestos en cuarentena o removidos reinicia la PC, conéctate a internet y ejecuta Windows Update para descargar aquellas actualizaciones que sean recomendadas para tu equipo. Algunos consejos para mantener alejados los virus de tu computadora: 1. No abras los archivos adjuntos que vengan con el correo electrónico, salvo que estés totalmente seguro de que no están infectados. Incluso los correos de
personas conocidas pueden contener virus, así que mantente alerta. 2. Mantente alejado de sitios webs de dudoso contenido. 3. Ten cuidado cuando descargas cosas utilizando programas para compartir archivos P2P (Peer to Peer). Siempre escanea los archivos que bajaste antes de abrirlos. 4. Mantiene Microsoft Windows actualizado a través de Windows Update. 5. Mantiene tu antivirus actualizado y haz escaneos periódicos. 6. Instala un Firewall. El Firewall es un dispositivo de seguridad que funciona entre redes, permitiendo o denegando las transmisiones de una red a otra. 7. No instales ningún programa salvo que conozcas quien es su fabricante. Cuando tengas dudas busca el nombre del programa en Google. 8. Cambia Internet Explorer por algún otro explorador más seguro como Google Chrome o Mozilla Firefox
Hijackers: Son programas o scripts que "secuestran" navegadores de Internet, principalmente el Internet Explorer. Cuando eso pasa, el hijacker altera la página inicial del navegador e impide al usuario cambiarla, muestra publicidad en pop-ups o ventanas nuevas, instala barras de herramientas en el navegador y pueden impedir el acceso a determinadas webs (como webs de software antivírus, por ejemplo).
Keylogger: El significado de los términos en inglés que más se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados, normalmente los keyloggers quedan escondidos en el sistema operativo, de manera que la víctima no tiene como saber que está siendo monitorizada. Actualmente los keyloggers son desarrollados para medios ilícitos, como por ejemplo robo de contraseñas bancarias. Son utilizados también por usuarios con un poco más de conocimiento para poder obtener contraseñas personales, como de cuentas de email, MSN, entre otros. Existen tipos de keyloggers que capturan
la pantalla de la víctima, de manera de saber, quien implantó el keylogger, lo que la persona está haciendo en la computadora. Un keylogger es una pequeña aplicación que generalmente pasa inadvertida para la mayoría de los sistemas de registro que posee nuestro sistema, es decir que es prácticamente invisible para nosotros. Estos programas tienen la particularidad de poder registrar y enviar todo lo que escribas en tu PC, debido a que son capaces de grabar todas y cada una de las pulsaciones que realices con tu teclado. Actualmente hasta el menos dotado de los programadores puede escribir fácilmente un keylogger, y esto es precisamente lo que los convierte en la terrible amenaza que son. Estos generalmente ingresan a nuestra máquina utilizando un troyano o un gusano y es casi imposible darse cuenta de su presencia hasta que es tarde. Es obvio que el objetivo primordial de estos keyloggers es apoderarse de cuanta información puedan acerca de paswords, números de tarjetas de crédito, cuentas de email y cualquier otros dato que pudiera servir a sus desarrolladores para cometer sus fechorías. Como cuidarnos de los keyloggers Si no somos cuidadosos con nuestra información, este mal hábito debe ser cambiado, ya que los keylogger pueden estar instalados en prácticamente cualquier máquina en la cual nos sentamos a trabajar. Pero debemos poner especial cuidado en las computadoras de uso público, ya que ellas se encuentran más expuestas a la manipulación de usuarios que podrían utilizarlas para intentar robarnos información. PCs de bibliotecas, tiendas de libros, cibercafés y demás son el blanco predilecto de estos delincuentes. Así que debemos tener siempre la precaución de no ingresar cualquier dato sensible como números de tarjetas de crédito en ellas.
Otro punto a tener en cuenta es la computadora de nuestra propia casa. Como mencionamos, uno de los más importantes vectores de contagio con un keylogger son los virus y gusanos que explotan vulnerabilidades de seguridad en el sistema operativo en nuestro navegador web favorito, y que pululan en grandes cantidades en Internet. Uno de los medios más efectivos para evitar el contagio con los peligrosos keyloggers en el empleo de un antivirus, el cual nos protegerá de los troyanos, gusanos y virus que los transportan. Una buena costumbre es siempre que nos alejemos de ella es bloquearla. Para ello debemos presionar la combinación de teclas Ctrl+Alt+Delete, o en su defecto la tecla Windows+L. Esta técnica impedirá que otros manipulen nuestro equipo debido a la necesidad de ingresar una contraseña para volver a utilizarla.
Zombie: El estado zombie en una computadora ocurre cuando es infectada y está siendo controlada por terceros. Pueden usarlo para diseminar virus, keyloggers, y procedimientos invasivos en general. Usualmente esta situación ocurre porque la computadora tiene su Firewall y/o sistema operativo desatualizado. Según estudios, una computadora que está en internet en esas condiciones tiene casi un 50% de chances de convertirse en una máquina zombie, pasando a depender de quien la está controlando, casi siempre con fines criminales.
Virus de Macro: Vinculan sus acciones a modelos de documentos y a otros archivos de modo que, cuando una aplicación carga el archivo y ejecuta las instrucciones contenidas en el archivo, las primeras instrucciones ejecutadas serán las del virus. Los virus de macro son parecidos a otros virus en varios aspectos: son códigos escritos para que, bajo ciertas condiciones, este código se "reproduzca", haciendo una copia de él mismo. Como otros virus, pueden ser desarrollados para causar daños, presentar un mensaje o hacer cualquier cosa que un programa pueda hacer.
El principal motivo de creación de estos virus es la de poder infectar a todos aquellos archivos que tengan la posibilidad de ejecutar macros. Estas macros son pequeñas aplicaciones destinadas a facilitar la tarea del usuario mediante la automatización de ciertas y complejas operaciones que de otro modo serían demasiado tediosas de llevar a cabo. Estos micro-programas, al contener código ejecutable, también son propensos, obviamente, a contener virus. El método de infección del cual hacen uso los virus de esta índole es simple, una vez cargado el archivo, estas macros se cargarán en memoria y el código se ejecutará produciéndose de esta forma la infección. Cabe destacar que gran parte de estas aplicaciones cuentan con una protección incorporada para esta clase de amenazas, si bien no siempre es efectiva. Los ejemplos más importantes de esta clase de ficheros son los documentos generados por Microsoft Word, Microsoft Excel, los ficheros de Access con extensión MDB, las presentaciones de Microsoft PowerPoint, y algunos ficheros realizados por CorelDraw entre otros.
Nuevos medios Mucho se habla de prevención contra virus informáticos en computadoras personales, la famosa PC, pero poca gente sabe que con la evolución hoy existen muchos dispositivos que tienen acceso a internet, como teléfonos celulares, handhelds, teléfonos VOIP, etc. Hay virus que pueden estar atacando y perjudicando la performance de estos dispositivos en cuestión. Por el momento son casos aislados, pero el temor entre los especialistas en seguridad digital es que con la propagación de una inmensa cantidad de dispositivos con acceso a internet, los hackers se van a empezar a interesar cada vez más por atacar a estos nuevos medios de acceso a internet. También se vio recientemente que los virus pueden llegar a productos electrónicos defectuosos, como pasó recientemente con iPODS de Apple, que traían un "inofensivo" virus.