GANA DINERO CON TU E-MAIL

 

 

Viernes, 22 de abril de 2005
DEFINICION

?Qu? es exactamente un virus inform?tico?
Definiciones hay tantas como preguntas sin respuesta exacta. Veamos, pues, si cabe la posibilidad de concretar algunos requisitos que cumplen estos agentes v?ricos:

* Son programas de computadora.
* Su principal cualidad es la de poder autorreplicarse.
* Intentan ocultar su presencia hasta el momento de la explosi?n.
* Producen efectos da?inos en el "hu?sped".

Si exceptuamos el primer punto, los restantes podr?an aplicarse tambi?n a alos virus biol?gicos. El parecido entre biolog?a y tecnolog?a puede llegar a ser en ocasiones ciertamente abrumador. Como el cuerpo humano, el computadora puede ser atacado por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar da?os irreparables en ciertas ocasiones. En estas p?ginas usar? com?nmente t?rminos biol?gicos. Esto es debido a que pienso que , realmente, los virus inform?ticos son aut?nticas imitaciones de sus hermanos biol?gicos. As? pues usar? palabras como "explosi?n", "hu?sped", "peligrosidad tecnol?gica o tecnopeligrosidad", "zona caliente", etc... para explicar t?rminos completamente inform?ticos.

Un virus es un agente peligroso que hay que manejar con sumo cuidado. La "contenci?n" es la primera regla de oro. Desarrollemos un poco los puntos expuestos antes:

Un virus inform?tico es un programa de computadora, tal y como podr?a ser un procesador de textos, una hoja de c?lculo o un juego. Obviamente ah? termina todo su parecido con estos t?picos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus inform?tico ocupa una cantidad m?nima de espacio en disco ( el tama?o es vital para poder pasar desapercibido ), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de s? mismo e infecta archivos, tablas de partici?n o sectores de arranque de los discos duros y disquetes para poder expandirse lo m?s r?pidamente posible. Ya se ha dicho antes que los virus inform?ticos guardan cierto parecido con los biol?gicos y es que mientras los segundos infectan c?lulas para poder replicarse los primeros usan archivos para la misma funci?n. En ciertos aspectos es una especie de "burla tecnol?gica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo m?s desapercibido que puede, intenta evitar que el "hu?sped" se d? cuenta de su presencia... hasta que llega el momento de la "explosi?n". Es el momento culminante que marca el final de la infecci?n y cuando llega suele venir acompa?ado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el da?o se ha estado ejerciendo durante todo el proceso de infecci?n, ya que el virus ha estado ocupando memoria en el computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado.

?C?mo surge un virus?
Los virus tienen un ciclo de vida muy concreto:

* Programaci?n y desarrollo
* Expansi?n
* Actuaci?n
* Extinci?n o mutaci?n ( en este ?ltimo caso el ciclo se repite )

Virii: Con este t?rmino se hace referencia al estudio y desarrollo de virus inform?ticos. Tras esta palabra se esconde toda una filosof?a inform?tica. En Internet podemos encontrar cientos de p?ginas que tratan el tema, y tras ellas importantes desarrolladores de virus, en algunos casos organizados en grupos con nombres como 29A , La Vieja Guardia, ... En la cabecera de algunas de estas p?ginas podemos encontrar un mensaje como "Los autores no se responsabilizan del contenido de estas p?ginas"... o " solo con fines educativos"... pero cuando damos una vuelta por ellas podemos encontrar c?digo destructivo de lo m?s variado, incluso ponen a disposici?n de incautos programas ejecutables infectados. Tambi?n podemos encontrar herramientas de generaci?n de virus tales como el Virus Creation Lab, Trojan Horse, ... Estos grupos se mueven a sus anchas por Internet, participando en los grupos de noticias ( ej.: es.comp.virus ) y en los canales de IRC.
Las p?ginas de "La Vieja Guardia" son un ejemplo de las muchas relacionadas con el Underground, un tema que est? gozando de un gran auge en Internet.

Es justo reconocer que estos grupos hacen casi m?s que nadie en la lucha contra los virus inform?ticos, aunque esto pueda parecer una contradicci?n. Ciertamente podemos hacer distinciones entre desarrolladores de virus. En su inmensa mayor?a son personas que intentan superarse a s? mismas creando virus cada vez m?s complicados, pero cuando alguien necesita ayuda para desinfectar ese virus puede encontrarse con que el propio programador le responda en alg?n grupo de noticias dici?ndole lo que tiene que hacer o que antivirus le recomienda. ( Ciertamente hacen un doble juego ).
Normalmente el buen desarrollador de virus maneja con gran perfecci?n el lenguaje ensamblador, aunque un virus puede desarrollarse tambi?n en lenguajes de alto nivel. Se pueden encontrar incluso aplicaciones destinadas a usuarios con pocos conocimientos de programaci?n para la creaci?n de virus tales como el Virus Construction Lab, Nowhere Utilities, Vc2000, nada que ver con el Turbo Assembler.

"Peligro Biol?gico":
Los trabajadores de hospitales, laboratorios e industrias farmacol?gicas saben muy bien lo que significa la "flor de biopeligrosidad"... la gente que trabaja con computadoras no sabe en la mayor?a de las ocasiones lo que implica el t?rmino "Virus Inform?tico".

? Por que se hace un virus ?
La gran mayor?a de los creadores de virus lo ven como un hobby, aunque tambi?n otros usan los virus como un medio de propaganda o difusi?n de sus quejas o ideas radicales, como por ejemplo el virus Telef?nica, que emit?a un mensaje de protesta contra las tarifas de esta compa??a a la vez que reclamaba un mejor servicio, o el famos?simo Silvia que sacaba por pantalla la direcci?n de una chica que al parecer no tuvo una buena relaci?n con el programador del virus.

En otras ocasiones es el orgullo, o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez m?s destructivos y dif?ciles de controlar. Pero que afourtunadamente se estan desarrollando mejores antivirus.

HISTORIA

A contunuacion se presenta una breve cronologia de lo que ha sido los origenes de los virus:



1949: Se da el primer indicio de definicion de virus. John Von Neumann (considerado el Julio Verne de la informatica), expone su "Teoria y organizacion de un automata complicado". Nadie podia sospechar de la repercusion de dicho articulo.

1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de nucleos de ferrita. Consistia en una batalla entre los codigos de dos programadores, en la que cada jugador desarrollaba un programa cuya mision era la de acaparar la maxima memoria posible mediante la reproduccion de si mismo.

1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo a?o es creado su antidoto: el antivirus Reaper cuya mision era buscar y distruir al Creeper.

1974: El virus Rabbit hac?a una copia de si mismo y lo situaba dos veces en la cola de ejecucion del ASP de IBM lo que causaba un bloqueo del sistema.

1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infecci?n fue originada por Robert Tappan Morris, un joven estudiante de inform?tica de 23 a?os aunque seg?n ?l fue un accidente.

1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los terminos de este juego. Ese mismo a?o aparece el termino virus tal como lo entendemos hoy.

1985: Dewdney intenta enmendar su error publicando otro art?culo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores".

1987: Se da el primer caso de contagio masivo de computadoras a trav?s del MacMag Virus tambi?n llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reuni?n de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llev? el disco a Chicago y contamin? la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contamin? el disco maestro que fue enviado a la empresa fabricante que comercializ? su producto infectado por el virus.
Se descubre la primera versi?n del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusal?n.

1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.

CLASIFICACION

Dependiendo del lugar donde se alojan, la tecnica de replicacion o la plataforma en la cual trabajan, podemos diferenciar en distintos tipos de virus.

Virus de sector de arranque (boot).
Virus de archivos.
Virus de accion directa.
Virus de sobreescritura.
Virus de compa?ia.
Virus de macro.
Virus BAT
Virus del MIRC.
VIRUS DE SECTOR DE ARRANQUE (BOOT).

Utilizan el sector de arranque, el cual contiene la informacion sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tama?o de la FAT, sector de comienzo, etc. Atodo esto hay que sumarle un peque?o programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar tambien la tabla de particiones como ubicacion. Suelen quedar residentes en memoria al hacer cualquier operacion en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.

VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que estan en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el codigo del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continue de modo normal. El Viernes 13 es un ejemplar representativo de este grupo.
Dentro de la categoria de virus de archivos podemos encontrar mas subdivisiones, como los siguientes:

Virus de accion directa. Son auellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado.
Virus de sobreescritura. Corrompen el achivo donde se ubican al sobreescribirlo.
Virus de compa?ia. Aprovechan una caracteristica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extension el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extension COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicacion original.

VIRUS DE MACRO.
Es una familia de virus de reciente aparicion y gran expansion. Estos estan programas usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a traves de archivos MS-Word (DOC). En la actualidad esta tecnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen unicamente de la aplicacion. Hoy en dia son el tipo de virus que estan teniendo un mayor auge debido a que son facilies de programar y de distibuir a traves de Internet. Aun no existe una concienciacion del peligro que puede representar un simple documento de texto.

Porcion de codigo de un tipico virus Macro:
Sub MAIN
DIM dlg As FileSaveAs
GetCurValues dlg
ToolsOptionsSave.GlobalDotPrompt=0
Ifcheckit(0)=0 Then
MacroCopy FileName$() + ":autoopen",
"global;autoopen"
End If


VIRUS BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos da?inos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a codigo maquina son <> y no producen ningun efecto que altere el funcionamiento del virus.

VIRUS DEL MIRC.
Vienen a formar parte de la nueva generacion Internet y demuestra que la Red abre nuevas forma de infeccion. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini".

FUNCIONAMIENTO

Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos timepo ser consientes del da?o real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.

PROCESO DE INFECCION.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el ?ltimo archivo descargado de Internet.

Dependiendo del tipo de virus el proceso de infecci?n varia sensiblemente.
Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ah? esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son le?das por el computadora y procesadas, pero tambi?n procesa otras instrucciones que no deber?an estar ah?. El virus comprueba si ya se ha instalado en la memoria. Si ve que todav?a no est? contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo programa que se ejecute ser? contaminado. El virus ejecutar? todos los programas, pero despu?s se copiar? a s? mismo y se "pegar?" al programa ejecutado "engord?ndolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infecci?n ocultan esos bytes de m?s para que parezca que siguen teniendo el mismo tama?o. El virus contaminar? r?pidamente los archivos de sistema, aquellos que est?n en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. As?, cuando el usuario vuelva a arrancar la computadora el virus se volver? a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomar? otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso.

Puede que el virus sea tambi?n de "Sector de arranque". En ese caso el c?digo del virus se copiar? en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el virus no podr? cargarse en memoria y no tendr? el control.
Un caso menos probable es que el virus sea de "Tabla de partici?n". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminar? todo lo que pueda, archivos, sector de arranque...

TECNICAS DE PROGRAMACION

T?cnicas Stealth
Son t?cnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tama?o real de los archivos que han contaminado, de forma que si hacemos un DIR la informaci?n del tama?o de los archivos puede ser falsa. Los virus de tabla de partici?n guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecuci?n de determinados antivirus y descargan de la memoria partes de su propio c?digo "sospechoso" para cargarse de nuevo cuando estos han finalizado su b?squeda.

Tunneling
Es una t?cnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupci?n y tener as? un control directo sobre esta.
Requiere una programaci?n compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucci?n se produce la interrupci?n 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupci?n y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quer?a hasta
recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.

Antidebuggers
Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de su c?digo en lenguaje original. Los virus usan t?cnicas para evitar ser desemsamblados y as? impedir su an?lisis para la fabricaci?n del antivirus correspondiente.

Polimorfismo o automutaci?n
Es una t?cnica que consiste en variar el c?digo virico en cada infecci?n ( m?s o menos lo que hace el virus del SIDA en los humanos con su capa prot?ica ). Esto obliga a los antivirus a usar t?cnicas heur?sticas ya que como el virus cambia en cada infecci?n es imposible localizarlo buscandolo por cadenas de c?digo. Esto se consigue utilizando un algoritmo de encriptaci?n que pone las cosas muy dif?ciles a los antivirus. No obstante no se puede codificar todo el c?digo del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte m?s vulnerable al antivirus.

La forma m?s utilizada para la codificaci?n es la operaci?n l?gica XOR. Esto es debido que esta operaci?n es reversible:

7 XOR 9 = 2
2 XOR 9 = 7

En este caso la clave es el n?mero 9, pero utilizando una clave distinta en cada infecci?n se obiene una codificaci?n tambi?n distinta.

Otra forma tambi?n muy utilizada consiste en sumar un numero fijo a cada byte del c?digo v?rico.

TSR
Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecuci?n.
Los virus utilizan esta t?cnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volver? a ser cargado en memoria.


GANA DINERO RECIBIENDO EMAILS EN TU CORREO ELECTRONICO, PINCHA EN LA IMAGEN Y AFILIATE, ES GRATIS.






?Recomienda esta p?gina a tus amigos!
cortesia de miarroba.com