¿Qué son los virus informáticos?
Cómo actuan los virus
Síntomas antes de la explosión de un virus
Formas de infección
Efectos destructivos de los virus
Técnica de ocultación
Prevención,detección y eliminación
Virus para Windows 95/98
Virus de Macros
Virus en Internet
BubbleBoy: el primero de una saga
I love you: el virus más devastador
Software antivirus
¿Qué debemos buscar en un antivirus?
¿Cómo reaccionar ante una infección?
Software antivirus comercial
Variantes relacionadas con los virus
Inseguridad informática
¿Qué son los Virus Informáticos?
Un virus es un programa diseñado para dañar sistemas informáticos,
alterando su forma de trabajar o dañando información almacenada
en el disco duro. Por supuesto, sin el conocimiento o permiso del afectado.
En términos más técnicos, un virus se define como una porción de código de programación cuyo objetivo es implementarse a si mismo en un archivo ejecutable y multiplicarse sistemáticamente de un archivo a otro. Además de esta función primaria de "invasión" o "reproducción", los virus están diseñados para realizar una acción concreta en los sistemas informáticos. Esta acción puede ir desde la simple aparición de un mensaje en la pantalla, hasta la destrucción de toda la información contenida en el sistema.
volver al principio de la página
¿Cómo actúa un Virus Informático?
El ciclo de los virus informáticos es muy similar al de los biológicos
(de ahí su nombre).
1. Infección: Al ejecutar un archivo infectado (el código del virus se ha implantado en el archivo anteriormente) comienza la fase de infección, duplicándose e implantándose en otros archivos ejecutables. Comienza la "invasión" del sistema informático. La víctima, aún no es consciente de la existencia del virus ya que este permanece oculto y sin causar daños apreciables.
2. Expansión: El virus pasará a otros ordenadores, a través de redes informáticas, disquetes y CDs que contengan archivos infectados, software en Internet, archivos adjuntos a mensaje electrónicos, etc.
3. Explosión: Si el virus no ha sido detectado y destruido por algún programa antivirus, en un momento determinado o bajo determinadas circunstancia, tomará el control del ordenador infectado, ejecutando la acción para la que fue programado. En este momento, debido a los trágicos efectos que pueden llegar a ocasionar, se hará evidente su existencia, dando al traste con horas, días o años de trabajo e información vital contenida en el sistema informático.
volver al principio de la página
Síntomas apreciables antes de la Explosión del Virus
Los síntomas más usuales son:
· Los programas tardan más tiempo en cargarse y se produce una
ralentización global del sistema.
· Reducción del espacio libre de memoria y aumento en el tamaño
de los archivos ejecutables.
· Aparición de continuos e inusuales mensajes de error.
· Programas que misteriosamente dejan de funcionar.
· Caídas frecuentes del sistema.
El buen programador de virus intentará minimizar estos cinco "efectos
colaterales", de manera que el virus, en la fase de Infección, consuma
muy pocos recursos del sistema, interfiriendo mínimamente en su funcionamiento
normal.
volver al principio de la página
Antes de nada, hay que recordar que un virus no puede ejecutarse por si solo,
necesita un programa portador para poder cargarse en memoria e infectar; asimismo,
para poder unirse a un programa portador necesita modificar la estructura de
éste, para que durante su ejecución pueda realizar una llamada
al código del virus.
Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de los disquetes, la tabla de partición y el sector de arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus, aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema.
En los disquetes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que arrancamos desde disquete.En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM, y a partir de ahí, infectara el sector de arranque de todos los disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus.
El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este procedimiento puede ser usado como técnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus.
La tabla de partición esta situada en el primer sector del disco duro, y contiene una serie de bytes de información de cómo se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades.
Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque también a veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste, y modificando su estructura de forma que al ejecutarse dicho programa primero llame al código del virus devolviendo después el control al programa portador y permitiendo su ejecución normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador, éstos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros.
volver al principio de la página
Efectos destructivos de los Virus
Los efectos perniciosos que causan los virus son variados, entre éstos
se encuentran:
· Formateo completo del disco duro.
· Eliminación de la tabla de partición de disco duro.
· Eliminación de archivos.
· Ralentización del sistema hasta limites exagerados.
· Enlaces de archivos destruidos.
· Corrupción de archivos de datos y de programas.
· Mensajes o efectos extraños en la pantalla.
· Emisión de música o sonidos.
· Revelación de claves de acceso y datos personales a través
de Internet.
· Facilitar la intrusión de extraños en el equipo informático.
volver al principio de la página
Un virus puede considerarse efectivo si, además de extenderse lo más
ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo
posible; para ello se han desarrollado varias técnicas de ocultamiento
o sigilo. Para que estas técnicas sean efectivas, el virus debe estar
residente en memoria, puesto que debe monitorizar el funcionamiento del sistema
operativo. La base principal del funcionamiento de los virus y de las técnicas
de ocultamiento, además de la condición de programas residentes,
la intercepción de interrupciones. El DOS y los programas de aplicación
se comunican entre sí mediante el servicio de interrupciones,
que son como subrutinas del sistema operativo que proporcionan una gran variedad
de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para
leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema,
etc. Y es aquí donde el virus entra en acción, ya que puede sustituir
alguna interrupción del DOS por una suya propia y así, cuando
un programa solicite un servicio de esa interrupción, recibirá
el resultado que el virus determine.
Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas más claros del ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible.
Estos problemas son indicadores de la posible presencia de un virus, pero mediante la técnica stealth es muy fácil (siempre que se encuentre residente el virus) devolver al sistema la información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco de sistema totalmente limpio.
La autoencriptación o self-encryption es una de las técnicas víricas más extendidas. En la actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que es aprovechada por los antivirus para encontrar el origen de la infección.
El mayor avance en técnicas de encriptación viene dado por el polimorfismo. Gracias a él un virus no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta un fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas características se muestra inútil.
Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en el obtendríamos el mensaje: "Error de protección contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo que descubriríamos el anormal funcionamiento de nuestro equipo. Por eso, al virus le basta con redireccionar la interrupción a una rutina propia que evita la salida de estos mensajes, consiguiendo así pasar desapercibido.
volver al principio de la página
Prevención, Detección y Eliminación
Una buena política de prevención y detección nos puede
ahorrar sustos y desgracias. Las medidas de prevención pasan por el control,
en todo momento, del software ya introducido o que se va a introducir en nuestro
ordenador, comprobando la fiabilidad de su fuente. Esto implica el scaneo, con
un buen programa antivirus, de todo el software que nos llega, y ante la más
mínima dura lo mejor es desacerse inmediatamente de este.
Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto ultimo es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema.
volver al principio de la página
La existencia de estos sistemas operativos con bastantes diferencias técnicas
respecto a desarrollos anteriores merece un estudio especial para comprobar
cómo reaccionan ante virus conocidos y el tipo de protección que
ofrecen.
Ante la infección del sector de arranque (boot sector) Windows 95 reacciona sorprendentemente bien, o al menos mucho mejor que sus antecesores. De hecho, frente a cualquier modificación del sector de arranque el sistema presenta un mensaje durante la inicialización. Nos anuncia que algo se ha cambiado y que la causa de tal hecho puede ser un virus de boot, aunque no necesariamente.
También debemos precisar que si hay un error al comprobar la tabla de particiones, el sistema nos da el mismo aviso que en el caso anterior, lo que sin duda puede ser motivo de confusión. En general siempre que en Windows 95 o 98 se dé cuenta de un fallo en el sistema de ficheros que le impida trabajar con la VFAT a pleno rendimiento, se inicia con el "Sistema de archivos en modo compatibilidad MS-DOS", sugiriendo como posible causa el ataque de un virus.
Que Microsoft achaque estos fallos a la acción de un virus es una solución un tanto drástica, ya que una falsa alarma puede ser tan peligrosa como la presencia real de un ingenio vírico.
A W98 no se conocen aún una gran cantidad de virus, sin embargo , la lista crece cada día y nadie que use este sistema operativo está a salvo.
Problemas con Windows 95/98
Este sistema operativo de Microsoft ha creado más de un problema a las empresas de seguridad, y no sólo por el trabajo adicional de reprogramar sus desarrollos para adecuarse a las características del entorno, sino también por algunos fallos de diseño propios de W95.
En MS-DOS (también en Windows 3.1) se podían solicitar informes al sistema de todas las actividades realizadas, y todo ello en tiempo real. Es decir, a través de un residente era factible conseguir información sobre acciones como abrir, leer y escribir en ficheros, cambio de atributos, etc. Cuando hablamos de tiempo real nos referimos al hecho de recibir la información solicitada en el mismo momento en que se realiza la acción.
Desgraciadamente en W95 la cosa varía, ya que a pesar de tratarse de un sistema operativo multitarea no se envían informes en tiempo real, sino cada determinados intervalos de tiempo o cuando el procesador está menos ocupado. Por este motivo la programación de un controlador capaz de monitorizar el sistema con seguridad es muy difícil, ya que el antivirus recibe la información de que se va a producir una infección cuando el fichero ya está infectado.
A pesar de ello, gran parte de los antivirus para Windows incluyen drivers virtuales o controladores VxD capaces de mantener bajo su atenta mirada el sistema en todo momento. De todas formas, la realización de un driver de este tipo para Windows no es una tarea sencilla y acarrea bastantes problemas. Además, es importante que la protección se ofrezca en todo momento, es decir, que se controle la interfaz gráfica, la versión previa del sistema operativo, las sesiones DOS y el modo MS-DOS 7.0 (arrancando sin la interfaz o al apagar el sistema). Desde luego todas estas acciones no son controlables por un driver VxD exclusivamente.
volver al principio de la página
En su día fue toda una novedad en el mundo de los virus, aunque no eran
totalmente nuevos, parece que esperaron hasta 1995 para convertirse en una peligrosa
realidad. Por desgracia, ya existe un número importante de virus de este
tipo catalogados, que han sido escritos en WordBasic, el potente lenguaje incluido
en los programas de Microsoft Word y Excel.
Estos virus sólo afectan a los usuarios de Word y Excel para Windows, y consisten en un conjunto de macros de estos programas. Aunque el peligro del virus se restringe a los usuarios de estos programas de Microsoft, tiene una importante propagación ya que puede infectar cualquier texto, independientemente de la plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W95/98 y OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de documentos en disquete o por red es mucho más común que el de ejecutables.
El primer virus de este tipo que salió a la luz se llamaba "WordMacro/DMV" y era inofensivo, ya que sólo anunciaba su presencia y guardaba un informe de sus acciones. Escrito por Joel McNamara para el estudio de los virus de macros, fue desarrollado en 1994 pero su autor guardó el resultado hasta que observó la aparición del virus conocido por "WordMacro/Concept". Tras ello, McNamara decidió hacer público su desarrollo esperando que la experiencia adquirida sirviera de enseñanza para todos los usuarios. Y aunque probablemente tuvo un efecto negativo, McNamara publicó también las pautas para crear virus que afecten a los ficheros de Excel.
"WinMacro/Concept", también conocido como "WW6Infector", "WBMV-Word Basic Macro Virus" o "WWW6 Macro", no es demasiado molesto, ya que al activarse infecta el fichero "normal.dot" y sólo muestra en pantalla un cuadro de diálogo con el texto "1". Microsoft tiene disponible un antivirus llamado "prank.exe" que distribuye gratuitamente entre sus usuarios registrados, pero que también puede encontrarse en numerosas BBS, Internet o Compuserve.
Sin embargo, la evolución de este tipo de virus siguió su camino y pronto se detectaron dos nuevas creaciones llamadas "WordMacro/Nuclear" y "WordMacro/Colors". El primero de ellos puede llegar a introducir un virus tradicional en el sistema o modificar la salida impresa o por fax en determinados momentos. El "WordMacro/Colors", también conocido por Rainbow o arco iris, cambia (cada 300 ejecuciones de la macro) la configuración de colores de Windows.
Por último, aclarar que aunque otros procesadores de texto como WordPerfect o AmiPro son capaces de leer documentos escritos con Word, en estos casos el virus no entra en acción por lo que no se corre ningún peligro.
volver al principio de la página
En ocasiones se propagan rumores que dan por cierto noticias de dudosa procedencia.
Más o menos esto es lo que sucede con algunos falsos virus por correo
electrónico, como sucedió con el conocido como Good Times. Lógicamente
las primeras noticias de esta maligna creación aparecieron en la "red
de redes", en un mensaje alarmante que decía que si algún
usuario recibía un mensaje con el tema "Good Times" no debía
abrirlo o grabarlo si no quería perder todos los datos de su disco duro.
Posteriormente el mensaje recomendaba que se informara a todo el mundo y se
copiara el aviso en otros lugares. En esa ocasión, el rumor era totalmente
falso, aunque todavía sigue existiendo gente que se lo cree y no es raro
encontrar en algún medio de comunicación electrónica nuevos
reenvíos del mensaje original.
Hasta hace tiempo, se podía asegurar que era imposible el contagio con la simple acción de abrir un e-mail, sin embargo ya es posible contagiarse con la simple apertura de un mensaje de correo electrónico, aquí tenemos un extracto de su mensaje: " hay un nuevo virus (sólo funciona con Outlook y Explorer 5) llamado BybblBoy que es un gusano de VB Script y te infecta sólo por leerlo. No hace nada malo, pues sólo se autoenvía y pone como nombre de persona registrada a Bubble Boy, pero bueno, supongo que este sólo es el primer virus de una cadena que se irá agrandando ".
Por lo tanto, se trata de la primera aparición de una nueva generación que utiliza las librerías del VB en Windows, para ejecutar acciones no deseadas en el ordenador. Ver recorte de prensa: Llega BubbleBoy, la mayor novedad en el mundo de los virus informáticos (10/11/99).De todos modos, el riesgo de contraer un virus por Internet no es alarmante, ya que normalmente, tanto los mensajes de correo, como las página WEB sólo transfieren datos, pudiendo configurar la navegación para que no ejecute controles ActiveX, o al menos avise, solicitando tu conformidad antes de ejecutarlo.
Si te traes un software por la red o viene como archivo adjunto en un e-mail y lo instalas sin haberlo revisado con un programa antivirus actualizado, tienes bastante posibilidades de contraer un virus. Mucho cuidado con los ficheros Word o Excel adjuntos a un e-mail, podrían contener virus de macro. También, y a la vista de las nuevas apariciones, mucho cuidado con abrir mensajes inesperados o con remitentes desconocidos.
volver al principio de la página
BubbleBoy: El primero de una nueva saga
RIZAR EL RIZO
Texto: Javier Guerrero DíazFuente: Revista PCMANIA (Enero 2000)
Conocido por los antivirus como VBS/BubbleBoy, se trata de un gusano programado en Visual Basic Script, que es capaz de instalarse en el PC simplemente abriendo el mensaje de correo que lo alberga. No se presenta en forma de fichero, sino que tiene su código incrustado en el cuerpo del e-mail. Únicamente afecta a los clientes de correo de Microsoft, "Outlook" y "Outlook Express", cuando el sistema tiene además instalado "Internet Explorer 5" y "Windows Scripting Host".
El gusano explota la vulnerabilidad de "Explorer 5" conocida como "Scriptlet.Typelib", que se basa en un control ActiveX para la construcción de librerías para Scriptlets. Este agujero de seguridad permite grabar y ejecutar un fichero de código script en la máquina en cuestión, y es lo que aprovecha BubbleBoy.
Una vez abierto el e-mail maligno, éste crea en el menú Inicio de Windows el fichero UPDATE.HTA, de manera que sea ejecutado durante el siguiente inicio de sesión. En ese momento el gusano cambia el nombre del usuario registrado a "BubbleBoy" y el nombre de empresa registrada a "Vandelay Industries", modificando dichas entradas en el Registro.
Es entonces cuando crea una sesión de "Outlook" en segundo plano y recorre el contenido de la libreta de direcciones del mismo, enviándose por e-mail a todas las direcciones encontradas. El e-mail tiene como remitente al usuario de la máquina infectada, y el asunto "BubbleBoy is back!". El gusano sólo efectúa esta operación una vez, ya que graba en el Registro su 'firma', cuya existencia comprobará siempre para no repetir el proceso. La entrada que inserta es la siguiente:
HKEY_LOCAL_MACHNE\Software\OUTLOOK.BubbleBoy\= OUTLOOK.BubbleBoy 1.0 by Zulu
Para terminar, y en un alarde de ironía, el mismo gusano muestra una ventana de error conteniendo el texto "System error, delete UPDATE.HTA from the Startup folder to solve this problem", para que sea el mismo usuario quien borre el fichero causante de la infección.
Cómo detectarlo y eliminarlo.
Por tanto, existen varias maneras de comprobar si hemos recibido la visita del intruso: localizar en el menú Inicio el fichero UPDATE.HTA, buscar en el Registro la entrada citada anteriormente, y comprobar si el nombre de usuario y empresa registrada ha variado. Del mismo modo, para deshacerse de este ingenio es necesario localizar y borrar el fichero anterior, así como eliminar el e-mail que provocó la entrada a nuestro sistema del BubbleBoy; dado que este paso puede resultar un poco más complicado, recomendamos el uso de algún antivirus capaz de detectarlo.
¿Cómo se podría evitar la infección? Existen varias formas de hacerlo, debido a las peculiares características de este gusano. Concretamente, el usuario estará a salvo si no utiliza ningún programa de correo "Outlook", o si no está activada la ejecución de comandos ActiveX, y en general si la configuración no coincide con la que el intruso necesita para funcionar ("Explorer 5", "Windows Scripting Host", etc.).
volver al principio de la página
I Love You: El virus más devastador de los últimos tiempos
Se trata de un gusano escrito en Visual Basic Script que está infectando
miles de ordenadores a través del correo electrónico y el IRC.
Si recibes un mensaje con el asunto "ILOVEYOU" y el fichero adjunto
LOVE-LETTER-FOR-YOU.TXT.vbs, bórralo inmediatamente. Así mismo,
los usuarios de IRC deberán tener mucho cuidado ya que el gusano también
se propaga a través del cliente mIRC enviando vía DCC el fichero
"LOVE-LETTER-FOR-YOU.HTM".
El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un
archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs", aunque
la extensión VBS (Visual Basic Script) puede permanecer oculta en las
configuraciones por defecto de Windows, lo cual puede hacer pensar que se trate
de un inocente archivo de texto.
Cuando se abre, el archivo infectado el gusano procede a infectar el sistema, y expandirse rápidamente enviándose a todos aquellos contactos que tengamos en la agenda del Outlook, incluidas las agendas globales corporativas. Es importante no ejecutar ningún archivo adjunto que venga con dicho mensaje.
Según las primeras líneas de código el gusano procede de Manila, Filipinas, y el autor se apoda "spyder":
rem barok -loveletter(vbe) rem by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philippines
El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\MSKernel32HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\Win32DLL
También será necesario borrar los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)
MSKERNEL32.VBSLOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en esta ocasión una página en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:
WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer
y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\WIN-BUGSFIX
El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema, el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas, las siguientes instrucciones:
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado.
En este caso debemos de borrar los archivos:
LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC
El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.
Por último, recordar que este mismo gusano pueda presentarse bajo otros nombres de fichero con tan sólo hacer unas ligeras modificaciones en su código. Recordar que no debemos abrir o ejecutar archivos no solicitados, aunque estos provengan de fuentes fiables. En caso de duda, cuando la fuente es fiable, siempre deberemos pedir confirmación al remitente para comprobar que el envío ha sido intencionado y no se trata de un gusano que se envía de forma automática.
volver al principio de la página
Para combatir la avalancha de virus informáticos se creó el software
antivirus. Estos programas suelen incorporar mecanismos para prevenir, detectar
y eliminar virus. Para la prevención se suelen usar programas residentes
que alertan al usuario en todo momento de cualquier acceso no autorizado o sospechoso
a memoria o a disco, por lo que resultan sumamente útiles al impedir
la entrada del virus y hacerlo en el momento en que este intenta la infección,
facilitándonos enormemente la localización del programa maligno.
Sin embargo presentan ciertas desventajas, ya que al ser residentes consumen
memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones.
Por otro lado, pueden llegar a resultar bastante molestos, puesto que por lo
general suelen interrumpir nuestro trabajo habitual con el ordenador avisándonos
de intentos de acceso a memoria o a disco que en muchos casos provienen de programas
legítimos. A pesar de todo, son una medida de protección excelente
y a ningún usuario debería faltarle un programa de este tipo.
A la hora de localizar virus, los programas usados sin los detectores o scanners. Normalmente estos programas chequean primero la memoria RAM, después las zonas criticas del disco como el boot o partición, y por ultimo los ficheros almacenados en él.
Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas heurísticas.
La detección heurística es una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de virus mediante esta técnica se basa en el desensamblado del código del programa que se intenta analizar con el objetivo de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que combine la búsqueda de cadenas características y además cuente con técnicas heurísticas.
Gracias a la heurística se buscan programas que puedan quedarse residentes o que sean capaces de capturar aplicaciones que se estén ejecutando, código preparado para mover o sobreescribir un programa en memoria, código capaz de automodificar ejecutables, rutinas de encriptación y desencriptación, y otras actividades propias de los virus.
Aunque las técnicas heurísticas han representado un gran avance en la detección de virus desconocidos, presentan un gran inconveniente: aumenta la posibilidad de obtener "falsos positivos y negativos". Se produce un "falso positivo" cuando el antivirus anuncia la presencia de un virus que no es tal, mientras que se llama "falso negativo" cuando piensa que el PC esta limpio y en realidad se encuentra infectado.
volver al principio de la página
¿Qué debemos buscar en un Antivirus?
A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la
propaganda con mensajes como "detecta y elimina 56.432 virus". Realmente
existen miles de virus, pero en muchísmos casos son mutaciones y familias
de otros virus; esto está bien, pero hay que tener en cuenta que una
inmensa mayoría de virus no han llegado ni llegaran hasta aquí.
Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que desconozca los más difundidos en el Estado. Por tanto, estaremos mejor protegidos por un software que, de alguna forma, esté más "especializado" en virus que puedan detectarse en nuestro país. Por ejemplo "Flip", "Anti Tel", "Barrotes", "Coruña", etc. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible de veces al año; puesto que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha frecuencia, el estar al día es absolutamente vital.
volver al principio de la página
¿Cómo reaccionar ante una Infección?
La prevención y la instalación de un buen antivirus son las mejores
armas con las que cuenta el usuario ante el ataque de los virus. Sin embargo,
siempre cabe la posibilidad de que en un descuido se introduzca un inquilino
no deseado en el PC. Ante esta situación lo primero que debemos hacer
es arrancar el ordenador con un disco de sistema totalmente libre de virus.
Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos el riesgo de que no remotoice mutaciones recientes o nuevos virus.En el disco de sistema limpio incluiremos utilidades como "mem.exe", "chkdsk.exe", "sys.com", "fdisk.exe" y todos los controladores para que el teclado funcione correctamente. Si disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC.
Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden "sys c:", siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos ejecutar "fdisk /mbr".
volver al principio de la página
Las técnicas utilizadas por los AntiVirus Comerciales son fundamentalmente:
Análisis heurístico
Hay que señalar una marcada mejoría en las técnicas de detección heurísticas, que aunque en determinadas condiciones siguen provocando "falsos positivos", muestran una gran efectividad a la hora de localizar virus desconocidos. En este apartado debemos destacar al ThunderByte, ya que la técnica heurística de este antivirus le ha permitido detectar 42 de los virus no remotoizados mediante el método adicional. De hecho, la mayoría de estos virus son desarrollos nacionales de reciente aparición, por lo que o ha habido tiempo de incluirlos en la última versión. Además, este producto destaca por una relación de "falsos positivos" realmente baja.
Otros productos que permiten la detección heurística son Artemis Profesional, Dr. Solomon´s y F-Prot. En todos los casos esta técnica ha servido para aumentar el porcentaje de virus detectados, aunque de esta forma no se identifica el virus, sino que sólo se sospecha de su presencia. Por otra parte, el Dr. Solomon´s combina perfectamente una gran base de datos de virus conocidos con su análisis heurístico.
Búsqueda específica
Aunque algunos antivirus engordan su porcentaje de efectividad gracias a técnicas de localización genérica (heurísticamente), muchos usuarios pueden preferir la seguridad aportada por un sistema específico que identifique, e incluso elimine, sin problemas ni dudas el mayor número de virus posible.
Los usuarios más inexpertos probablemente no sepan enfrentarse a las alarmas producidas por el análisis heurístico, por lo que en todos los antivirus es posible realizar la exploración de las unidades de disco sin dicha posibilidad. En tal caso, será necesario conocer cuál es la efectividad del producto prescindiendo de tal análisis.
Por este motivo, si nos basamos en técnicas tradicionales como la búsqueda de cadenas y dejamos a un lado métodos heurísticos tenemos que reconocer que el producto dominante es el antivirus Artemis Profesional, tras él, el conocido Scan de McAfee demuestra el porqué de su prestigio, seguido muy de cerca por el F-Prot.
volver al principio de la página
Variantes muy relacionadas con los Virus
En ocasiones de habla de estas variantes como si de virus se tratara, cuando
en realidad son conceptualmente diferentes. Algunos antivirus pueden detectarlos.
Troyanos: ¿Recordamos la historia del famoso caballo de Troya? Los troyanos fueron engañados por su enemigo. Les aceptaron un regalo como prueba de reconciliación. Se trataba de un gigantesco caballo de madera. Pero dentro del enorme regalo iban escondicos soldados enemigos, que de esta manera se metieron dentro de la ciudad para destrozar todo lo que encontraron a su paso. Así pues, un programa de ordenador trojan o troyano es algo similar. La víctima utiliza este programa para realizar una serie de funciones (editar textos, fotos, crackear un programa, etc.), pero al mismo tiempo, y sin su conocimiento, el programa realiza una serie de funciones ocultas (desde instalar un programa de acceso remoto con Back Orifice, hasta enviar por correo electrónico datos personales, instalar un virus, etc.). Este tipo de programas también puede realizar algo que resulte desastroso para el sistema (formatear el disco duro, borrar la BIOS del sistema, etc.).
Worms: Son programas que se reproducen transmitiéndose de un sistema a otro, copiándose a si mismos, y usando las redes informáticas para extenderse. Hoy en día con la difusión de Internet, el correo electrónico es su principal vía de transmisión. Generalmente no causan graves daños a los sistemas, pero pueden colapsar las redes. Alguno de los últimos ejemplos son los famosos Happy99, Melissa y ExploreZip.
volver al principio de la página
El 5 de noviembre de 1988 quedó señalado para siempre en la historia
de la "inseguridad" informática. El personal que estaba trabajando
en los ordenadores de la Universidad de Cornell vieron sorprendidos y asustados
como sus computadoras, uno a uno e irremediablemente, quedaban bloqueados. Estos
eran los primeros síntomas de una terrible epidemia "bloqueante"
que atacó seguida y rápidamente a las Universidades de Stanford,
California, Princeton, al propio MIT, a la Rand Corporation, a la NASA, hasta
un total aproximado de 6.000 ordenadores, ¡6.000!, que permanecieron inactivos
durante dos o tres días, con un coste estimado de 96 millones de dólares
(más de 10.000 millones de pesetas). Causa: un simple y único
gusano "worm", activado sólo una vez, resultado de un sencillo
trabajo de autoprácticas de Robert T. Morris, "bienintencionado
e inofensivo" estudiante de la Universidad de Cornell. Eficiencia demostrada.
Un solo Worm, 6.000 ordenadores inactivos, 96.000.000 de dólares de pérdidas.
La epidemia vírica ha alcanzado en pocos años una magnitud escalofriante. Según el experto virólogo Vesselin V. Bontchev, nacen cada día 2 o 3 virus.
Las amenazas a la informática no terminan con los virus. Los "crackers y programadores de virus" constituyen una potente fuerza de ataque a la seguridad informática.Personas dotadas de probados conocimientos, utilizando tecnologías de alto nivel, agrupados en clubes, celebrando Congresos Internacionales, con seminarios y clases: su nivel de peligrosidad alcanza altísimos valores.
Fraudes, sabotajes, espionaje comercial e industrial, vandalismo, terrorismo, desastres naturales como el fuego y el agua, amenazan constantemente a nuestros sistemas de proceso de datos, convirtiendo a la Seguridad Informática en un importantísimo objetivo a alcanzar en la empresa, toda vez que está en peligro su más preciado tesoro: la información.
Por otra parte, las empresas han cambiado su estilo de trabajo, apoyándose y dependiendo fuertemente del sistema informático y de las telecomunicaciones. La ofimática, las Bases de Datos corporativas o distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de sistemas y comunicaciones "trusted", los sistemas distribuidos, etc., colocan a la Seguridad Informática en la cúspide de los objetivos a alcanzar en la empresa.
Si no existe seguridad no hay calidad en la Información, si ésta
no es segura, exacta, precisa y rabiosamente actual, es decir, si no es de calidad,
las operaciones y decisiones serán equivocadas y si éstas son
erróneas la empresa muere.
volver al principio de la página