Es
un pequeño programa escrito intencionalmente para instalarse en la computadora
de un usuario sin el conocimiento o el permiso de este. Decimos que es un
programa parásito porque el programa ataca a los archivos o sector es de
"booteo" y se replica a sí mismo para continuar su esparcimiento. Algunos
se limitan solamente a replicarse, mientras que otros pueden producir serios
daños que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un
nuevo virus llamado W95/CIH-10xx. o también como CIH.Spacefiller (puede
aparecer el 26 de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al
BIOS de la PC huésped y cambiar su configuración de tal forma que se requiere
cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema. Existen
ciertas analogías entre los virus biológicos y los informáticos: mientras los
primeros son agentes externos que invaden células para alterar su información
genética y reproducirse, los segundos son programas-rutinas, en un sentido más
estricto, capaces de infectar archivos de computadoras, reproduciéndose una y
otra vez cuando se accede a dichos archivos, dañando la información existente
en la memoria o alguno de los dispositivos de almacenamiento del ordenador. Tienen
diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los
eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es
el mismo: PROPAGARSE.
Es importante
destacar que el
potencial de daño de un virus informático no depende de su complejidad sino del
entorno donde actúa.
ORIGEN
Uno
de los cambios más sorprendentes del mundo de hoy es la rapidez de las
comunicaciones. Modernos sistemas permiten que el flujo de conocimientos sea
independiente del lugar físico en que nos encontremos. Ya no nos sorprende la transferencia
de información en tiempo real o instantáneo. Se dice que el conocimiento es
poder; para adquirirlo, las empresas se han unido en grandes redes
internacionales para transferir datos, sonidos e imágenes, y realizan el
comercio en forma electrónica, para ser más eficientes. Pero al unirse en forma
pública, se han vuelto vulnerables, pues cada sistema de computadoras involucrado
en la red es un blanco potencial y apetecible para obtener información.
El
escenario electrónico actual es que las organizaciones están uniendo sus redes
internas a la Internet, la que crece a razón de más de un 10% mensual. Al unir
una red a la Internet se tiene acceso a las redes de otras organizaciones
también unidas. De la misma forma en que accedemos la oficina del frente de
nuestra empresa, se puede recibir información de un servidor en Australia,
conectarnos a una supercomputadora en
Washington o
revisar la literatura disponible desde Alemania. Del universo de varias decenas
de millones de computadoras interconectadas, no es difícil pensar que puede
haber más de una persona con perversas intenciones respecto de una organización.
Por eso, se debe tener la red protegida adecuadamente.
Cada
vez es más frecuente encontrar noticias referentes a que redes de importantes organizaciones
han sido violadas por criminales informáticos desconocidos. A pesar de que la
prensa ha publicitado que tales intrusiones son solamente obra de adolescentes con
propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado
de una desafortunada institución. A diario se reciben reportes los ataques a redes
informáticas, los que se han vuelto cada vez más siniestros: los archivos son
alterados subrepticiamente, las computadoras se vuelven inoperativas, se ha
copiado información confidencial sin autorización, se ha reemplazado el
software para agregar "puertas traseras" de entrada, y miles de
contraseñas han sido capturadas a usuarios inocentes.
Los
administradores de sistemas deben gastar horas y a veces días enteros volviendo
a cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la
confianza en la integridad del sistema. No hay manera de saber los motivos que
tuvo el intruso, y debe suponerse que sus intenciones son lo peor. Aquella
gente que irrumpe en los sistemas sin autorización, aunque sea solamente para
mirar su estructura, causa mucho daño, incluso sin que hubieran leído la correspondencia
confidencial y sin borrar ningún archivo. Uno de los cambios más sorprendentes
del mundo de hoy es la rapidez de las comunicaciones. Modernos sistemas
permiten que el flujo de conocimientos sea independiente del lugar físico en
que nos encontremos. Ya no nos sorprende la transferencia de información en tiempo
real o instantáneo. Se dice que el conocimiento es poder; para adquirirlo, las
empresas se han unido en grandes redes internacionales para transferir datos,
sonidos e imágenes, y realizan el comercio en forma electrónica, para ser más
eficientes. Pero al unirse en forma pública, se han vuelto vulnerables, pues
cada sistema de computadora involucrado en la red es un blanco potencial y
apetecible para obtener información.
HISTORIA
Hacia
finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris
idearon un juego al que llamaron Core
War (Guerra en lo Central, aludiendo a la memoria de la computadora),
que se convirtió en el pasatiempo de algunos de los programadores de los
laboratorios Bell de AT&T. El juego consistía en que dos jugadores
escribieran cada uno un programa llamado organismo,
cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada
programa intentaba forzar al otro a efectuar una instrucción inválida, ganando
el primero que lo consiguiera. Al término del juego, se borraba de la memoria
todo rastro de la batalla, ya que estas actividades eran severamente
sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera
acabar con las aplicaciones del día siguiente. De esta manera surgieron los
programas destinados a dañar en
la escena de la computación.
Uno
de los primeros registros que se tienen de una infección data del año 1987,
cuando en la Universidad estadounidense de Delaware notaron que tenían un virus
porque comenzaron a ver "© Brain" como etiqueta de los disquetes. La
causa de ello era Brain Computer Services, una casa de computación paquistaní
que, desde 1986, vendía copias ilegales de software comercial infectadas para,
según los responsables de la firma, dar una lección a los piratas. Ellos habían
notado que el sector de booteo de un disquete contenía código ejecutable, y que
dicho código se ejecutaba cada vez que la
maquina se inicializaba
desde un disquete. Lograron reemplazar ese código por su propio programa,
residente, y que este instalara una réplica de sí mismo en cada disquete que
fuera utilizado de ahí en más. También en 1986, un programador llamado Ralf
Burger se dio cuenta de que un archivo podía ser creado para copiarse a sí
mismo, adosando una copia de él a otros archivos. Escribió una demostración de
este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con
extensión .COM. Esto atrajo tanto interés que se le pidió que escribiera
un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán,
no mencionó a los virus de sector de arranque (boot sector). Para ese entonces,
ya se había empezado a diseminar el virus Vienna. Actualmente, los virus son
producidos en cantidades extraordinarias por muchisima gente alrededor del
planeta. Algunos de ellos dicen hacerlo por divertimento, otros quizás para
probar sus habilidades. De cualquier manera, hasta se ha llegado a notar un
cierto grado de competitividad entre los autores de estos programas. Con
relación a la motivación de los autores de virus para llevar a cabo su obra,
existe en Internet un documento escrito por un escritor freelance Markus Salo,
en el cual, entre otros, se exponen los siguientes conceptos:
· Algunos
de los programadores de virus, especialmente los mejores, sostienen que su
interés por el tema es puramente científico, que desean averiguar todo lo que
se pueda sobre virus y sus usos. A
diferencia de las compañías de software, que son organizaciones relativamente
aisladas unas de otras (todas tienen secretos que no querrían que sus
competidores averiguaran) y cuentan entre sus filas con mayoría de estudiantes
graduados, las agrupaciones de programadores de virus están abiertas a
cualquiera que se interese en ellas, ofrecen consejos, camaradería y pocas
limitaciones. Además, son libres de seguir cualquier objetivo que les parezca,
sin temer por la pérdida de respaldo económico.
· El
hecho de escribir programas vírales da al programador cierta fuerza coercitiva,
lo pone fuera de las reglas convencionales de comportamiento. Este factor es
uno de los más importantes, pues el sentimiento de pertenencia es algo
necesario para todo ser humano, y es probado que dicho sentimiento pareciera
verse reforzado en situaciones marginales.
· Por
otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo
sus creaciones al alcance de mucha gente, (vía Internet, BBS especializadas,
etc.) haciendo la salvedad de que el material es peligroso, por lo cual el
usuario debería tomar las precauciones del caso.
· Existen
programadores, de los cuales, generalmente, provienen los virus más
destructivos, que alegan que sus programas son creados para hacer notoria la
falta de protección de que sufren la mayoría de los usuarios de computadoras. La gran mayoría de estos
individuos son del mismo tipo de gente que es reclutada por los grupos
terroristas: hombres, adolescentes, inteligentes. En definitiva, sea cual fuere
el motivo por el cual se siguen produciendo virus, se debe destacar que su
existencia no ha sido sólo perjuicios: gracias a ellos, mucha gente a tomado
conciencia de qué es lo que tiene y cómo protegerlo.
El primer virus que atacó a una máquina IBM Serie (y reconocido como tal ), fue llamado Creeper, creado en 1972.Este programa emitía periódicamente en la pantalla el mensaje: «I'm a creeper... catchme ir you can!b» (soy una enredadera, agárrenme si pueden).Para eliminar este problema se creó el primer programa antivirus denominado Reaper (cortadora).Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores (H. Douglas Mellory, Robert Morris, Víctor Vysottsky y Ken Thompson) desarrollaron un juego llamado Core Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible. Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en un correo electrónico.
El primer virus que atacó a una máquina IBM Serie (y reconocido como tal ), fue llamado Creeper, creado en 1972.Este programa emitía periódicamente en la pantalla el mensaje: «I'm a creeper... catchme ir you can!b» (soy una enredadera, agárrenme si pueden).Para eliminar este problema se creó el primer programa antivirus denominado Reaper (cortadora).Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores (H. Douglas Mellory, Robert Morris, Víctor Vysottsky y Ken Thompson) desarrollaron un juego llamado Core Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible. Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en un correo electrónico.
CARACTERÍSTICAS
La definición
más simple y completa que hay de los virus corresponde al modelo D. A. S., y se
fundamenta en tres características, que se refuerzan y dependen mutuamente.
Según ella, un virus es un programa que cumple las siguientes pautas:
·
Es dañino
·
Es autorreproductor
·
Es subrepticio
El hecho de que
la definición imponga que los virus son programas no admite ningún tipo de
observación; está extremadamente claro que son
programas, realizados por personas. Además de ser programas tienen
el fin ineludible de causar daño en
cualquiera de sus formas. Asimismo, se
pueden distinguir tres módulos principales de un virusinformático:
· Módulo de
Reproducción
· Módulo de
Ataque
· Módulo de
Defensa
El módulo de
reproducción se encarga de manejar las rutinas de "parasitación"
de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a
fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta
manera, tomar control del sistema e infectar otras entidades permitiendo se
traslade de una computadora a otra a través de algunos de estos archivos.
El módulo de
ataque es optativo. En caso de estar presente es el encargado de manejar
las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo,
además de producir los daños que se detallarán más adelante, tiene un módulo de
ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones
la rutina actúa sobre la información del disco rígido volviéndola inutilizable.
El módulo de
defensa tiene, obviamente, la misión de proteger al virus y, como el de
ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a
evitar todo aquello que provoque la remoción del virus y retardar, en todo lo
posible, su detección.
CLASIFICACIÓN
CLASIFICACIÓN
Los virus se
clasifican el modo en que actúan infectando la computadora:
· Programa:
Infectan archivos ejecutables tales como .com / .exe / .ovl /
.drv / .sys /
.bin
· Boot: Infectan
los sectores Boot Record, Master Boot, FAT y la Tabla
de Partición.
· Múltiples:
Infectan programas y sectores de "booteo".
· Bios: Atacan
al Bios para desde allí reescribir los discos duros.
· Hoax: Se
distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido
común.
· VIRUS DE SECTOR DE ARRANQUE (BOOT). Utilizan el sector de
arranque, el cual contiene la información sobre el tipo de disco, es decir,
numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. A
todo esto hay que sumarle un pequeño programa de arranque que verifica si
el disco puede arrancar el sistema operativo. Los virus de Boot utilizan
este sector de arranque para ubicarse, guardando el sector original en
otra parte del disco. En muchas ocasiones
el virus marca los sectores donde guarda el Boot original como defectuosos; de
esta forma impiden que sean borrados. En el caso de discos duros pueden
utilizar también la tabla de particiones como ubicación. Suelen quedar
residentes en memoria al hacer cualquier operación en un disco infectado, a la
espera de replicarse. Como ejemplo representativos esta el Brain.
· VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido
los más afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que están en boga gracias a los virus de
macro (descritos más adelante). Normalmente insertan el código del virus
al principio o al final del archivo, manteniendo intacto el programa infectado.
Cuando se ejecuta, el virus puede hacerse residente en memoria
y luego devuelve el control al programa original paraqué se continúe de modo normal. El Viernes 13 es
un ejemplar representativo de este grupo. Dentro de la categoría de virus de
archivos podemos encontrar más subdivisiones, como los siguientes: Virus de
acción directa. Son aquellos que no quedan residentes en memoria y que se
replican en el momento de ejecutarse un archivo infectado.
· VIRUS DE SOBRE ESCRITURA.
Corrompen el archivo donde se ubican al sobrescribirlo. Virus de compañía.
Aprovechan una característica del DOS, gracias a la cual si llamamos un archivo
para ejecutarlo sin indicar la extensión el sistema operativo buscara
en primer lugar el tipo COM. Este tipo de
virus no modifica el programa original, sino que cuando encuentra un archivo tipo
EXE crea otro de igual nombre conteniendo el virus con extensión COM. De
manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus,
y posteriormente este pasara el control a la aplicación
original.
·
VIRUS DE MACRO.
Es una familia de virus de reciente aparición y gran
expansión. Estos están programas usando el lenguaje de macros Word BASIC,
gracias al cual pueden infectar y replicarse a
través de archivos MS. En la
actualidad esta técnica se ha extendido a otras aplicaciones
como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM
del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus,
que son multiplataforma en cuanto a sistemas operativos, ya que dependen
únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo
un mayor auge debido a que son facilites de programar
y de distribuir a través de Internet. Aun no existe una concienciación del peligro que puede representar
un simple documento de texto
·
VIRUS BAT. este tipo de virus empleando ordenes DOS en
archivos de proceso por lotes consiguen
replicarse y efectuar efectos dañinos como cualquier otro tipo virus. En
ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas
para colocar en memoria virus comunes. Para ello se copian
a si mismo como archivos COM y se
ejecutan. Aprovechar ordenes como @ECHO OFF y REM
traducidas a código maquina son <<comodines>> y no producen ningún efecto que
altere el funcionamiento del virus.
·
No hay comentarios:
Publicar un comentario