Download ¿Que son los virus? - Departamento Gallego de Informática

Protegernos de los Virus
¿Qué es un Virus?
Los virus de ordenador son programas que se reproducen o propagan a si mismos (estos últimos se llaman
gusanos o "worms"), y suelen usarse para destruir, manipular o robar información de nuestro PC. Aunque
existen virus que solo se usan como si se tratara de una "travesura", la mayoría de estos programas son
destructivos y pueden costarle mucho dinero a las compañías, y también a un simple usuario, como
nosotros.
Simplemente imagínese perder todo lo almacenado en sus discos, cosas que nunca podrá recuperar o que
le llevó mucho tiempo y esfuerzo crear o recopilar.
Claro que también podría ver aumentada su cuenta telefónica, porque alguien le ha robado sus passwords
de entrada a su proveedor de Internet, por ejemplo.
La definición de virus se ha quedado pequeña, debido a los constantes cambios en los métodos utilizados
por los nuevos virus para ejecutarse.
Quizás el tipo más peligroso de virus no es el que destruye, sino el que se esconde y espera. A este tipo de
virus se les llama trojan, troyano, o caballos de Troya.
Los troyanos, son virus que pueden permanecer en su sistema durante mucho tiempo, hasta que un evento
especí fi co o fecha los activa.
Algúnos troyanos buscan y abren "puertas traseras" (backdoors) o agujeros en su sistema para que algún
hacker pueda ingresar a su PC. Un virus destructivo puede costarle mucho dinero si borra todo su disco
duro. Pero un caballo de Troya que abra puertas en su PC, y que permita que alguien pueda robarle
inform ación sensible como números de tarjetas de crédito, contraseñas, y cualquier otro tipo de
inform ación privada, puede ser más serio y costoso.
¿Cuántos virus hay?
Al comienzo de los años noventa, los virus de distribución pública rondaban alrededor de los 20 o 30 mil.
Actualmente, con utilidades para crear virus y otras nuevas herramient as disponibles públicamente, es
mucho más fácil crear un virus que entonces. También existen quienes generan virus como hobby, o para
propósitos de comprobación o estudio.
Por lo tanto, decir una cifra hoy día, no sería muy serio. Y ni que decir cuando algunos virus pueden ser
fácilmente modi ficables, creándose "clones" o variantes, por tratarse de simples archivos de texto en un
lenguaje como Visual Basic Scripts y otros.
Métodos de infección
Tal vez haya escuchado o leído más de una vez que los virus de ordenador necesitan ser ejecutados para
que pueda infect ar nuestro sistema. Por ejemplo, si usted baja o recibe un virus llamado HAPPY99.EXE
(un virus real que se distribuye via e-mail), no se podrá infectar a menos que usted mismo lo ejecute. Si lo
guarda en su unidad de disco duro, el virus no lo afectará hasta que usted pinche sobre él con uno o dos
clics (¡CUIDADO!, si hace algo de esto, sepa que también corre el riesgo de que alguien más, o usted
mismo, lo ejecute en algún momento por error).
Pero hoy día, hay muchas otras maneras para que usted pueda "ej ecutar" un virus. Podría ser como vimos,
algo tan simple como un doble clic, o viendo un sitio Web con algún applets de Java o código ActiveX
malévolo. Incluso con solo ver un mensaje con formato en nuestro program a de correo (casos como el
"BUBBLEBOY" y el "GODMESSAGE"), que se ejecutan explotando agujeros en el propio Windows,
Departamento Gallego de Informática
riesgo que se puede repetir con otros virus aún no creados, al menos hasta que instale los parches que
corrigen esta vulnerabilidad (hasta que aparezcan otras ).
Recientes eventos nos han mostrado muchos de estos casos en que se están transmitiendo los virus a
través de Internet. El "MELISSA" y el "LOVELETTER" son dos ejemplos (pero hay muchos otros más
recient es). Este tipo de virus son enviados por correo, e intentan engañar a la víctima pretendiendo ser
mensajes de alguien a quienes ellos conocen, cuando realment e quien envía el virus lo ignora, ha sido
infectado, y lo ha enviado a todos o a algunos de sus contactos guardados en su libreta de direcciones.
Además, los archivos adjuntos pueden utilizar una doble extensión falsa, para hacernos creer que es un
inocente archivo de texto, entre otras extensiones aparentement e inocentes.
Por fortuna, hay muchas maneras para que usted pueda evitar ser infectado incluso con este tipo de
engaño. Los antivirus son una gran ayuda. Pero si su antivirus no está al día, es totalmente inútil contra
los nuevos tipos de virus.
S ospechamos que tenemos un virus.
Es posible sospechar sobre la existencia de un virus en nuestro ordenador, pero sólo tendremos la certeza
completa cuando lo detectemos utilizando alguna herramient a antivirus (programas que detectan y
eliminan virus). Alguna de las acciones que puede llevar a cabo un virus es lo suficientement e
representativa como para ser conscientes de ello: se muestran mensajes en pantalla, se ralentiza el trabajo,
cambian las características de algunos archivos, desaparecen archivos y/o carpetas, el ordenador no
arranca, se pierde todo el contenido del disco infectado,... etc.
En ocasiones (cada vez más) los virus llegan incluidos en mensajes de correo electróni co, por lo que es
importante eliminar todos aquellos mensajes sospechosos y/o no solicitados. Sin embargo, los
denominados hoax son mensajes de correo que nos alertan sobre la existencia de un posible virus, pero
NO son virus.
Reglas para evitar las infecciones:
•
Comprobar que el antivirus se actualiza correctamente.
A pesar de que casi todos los antivirus se actualizan automáticamente y a diario, es conveniente
revisarlo periódicamente. Puede fallar la conexión, haber un error de sistema o simplemente un
virus haberlo deteriorado. Un antivirus desactualizado NO sirve para nada.
•
Comprobar que el antivirus está siempre activo.
La mayoría de los virus actuales, antes de comenzar su “ trabajo” buscan en memoria los
procesos de los principales antivirus para eliminarlos, una vez se han cargado la protección en
tiempo real del antivirus, es cuando actúan.
•
No bajar nada de sitios web de los que no se tengan referencias de seriedad.
Los sitios que ofrecen programas gratuitos, cracks , etc no garantizan que lo que descarges sea lo
que realmente buscas, además de llenarte la pantalla de banners de publicidad y pornográfi cos,
pueden cambiarte las preferencias de tu navegador, así como ejecutar código malicioso en tu PC.
•
Evitar el uso de programas P2P en la empresa tipo kazza, emule, edonkey y
otros.
Últimamente, estos programas están siendo una fuente de descarga de virus, puesto que falsean
los normes de los ficheros que realmente buscamos.
Departamento Gallego de Informática
•
Utilizar el Outlook sin la vista previa (Muy recomendable).
La mayoría de nosotros tenemos (o teníamos) activado el panel de vista previa en nuestro
Outlook Express. Este panel, se encarga de mostrarnos, de forma minimizada, el contenido del
mensaje recibido desde la pantalla general de Outlook, evitando así, que tengamos que abrir
todos los documentos para ver su contenido. Solo con marcarlo con el ratón, el mensaje se
mostrara en este panel, en la parte inferior derecha. Pero si el correo contiene un virus de los que
infecta por visualización nuestra pc empezara a sufrir las consecuencias. De esta forma, si
seleccionamos un correo que creemos puede estar infectado, este se mostrara automáticam ente.
Y si lleva un virus de este tipo, como por ejemplo Haptime, antes de borrar el correo, habrá
infectado nuestro pc.
Para desactivar la vista previa ir al menú Ver, elegir Diseño y aparecerá una ventana como la
que ves a continuación.
•
No abrir nunca ficheros adjuntos no solicitados.
Usar el sentido común. Cuando recibe un archivo, no importa de donde vino, cómo llegó a usted,
no lo ejecute. Antes de hacerlo, tómese unos segundos y haga lo siguiente:
Primero pregúntese si vale la pena examinarlo, o simplemente bórrelo (y luego borre el
contenido de la carpeta de el ementos eliminados). He aprendido con el tiempo, que es mejor esta
actitud que perder horas en un infructuoso examen por algo que después de todo no queríamos.
Veri fique su origen. ¿La persona que se lo mandó sabe que lo hizo?. ¿Conoce a esa persona?. Si
no la conoce, olvídelo, borre el archivo sin más. Si la conoce, avísele, indague, pero no abra aún
el archivo sin seguir los siguientes pasos.
Pregúntese si usted realmente necesita es e archivo. ¿Es un instalador compulsivo o un
coleccionista de archivos que ni siquiera sabe para que son?. La respuesta a esto puede ser un
auténtico ejercicio psicológico por cierto.
Departamento Gallego de Informática
¿Pidió usted ese archivo o no?. Si no lo hizo, probablemente ni lo necesite.
Si a pesar de todo ello, la curiosidad lo vence, y está dispuesto a arriesgarse (siempre existe
un peligro en esto, si realmente es un virus), examine el archivo con el antivirus puesto al
día, copiándolo antes a una carpeta, SIN EJECUTARLO.
•
No fiarse del remitente.
Sabemos que existen programas altamente destructivos (caballos de Troya, gusanos, virus, etc.)
que pueden ser enviados automáticam ente vía e-mail, adosados a un mensaje amistoso,
haciéndonos creer que el mismo es de alguien que conocemos, y que por lo tanto, el archivo
adjunto lo envía esa persona. Esa persona podría estar infectada sin saberlo. Es más, el remitente
puede haber sido escojido de nuestra libreta de direcciones. Me lissa, LoveLe tte r, MTX, y
muchos otros, han sido bastantes elocuentes al respecto.
•
Decirle a Windows que nos enseñe todas las extensiones.
Recuerde que existe el riesgo de la "doble extensión". Windows por defecto, oculta las
extensiones de archivos más usadas. Es así que un archivo NOMBRE.TXT, puede ser en
realidad un archivo NOMBRE.TXT.EXE o .VBS, etc. Esta es la forma preferida por virus como
el LoveLetter y otros similares. Los .VBS son ejecutables de (VBScript). Al ser su extensión
.TXT.VBS por ejemplo, la extensión .VBS quedará oculta, y por lo tanto aparentará ser un
archivo de texto: .TXT, haciéndonos pensar en su inocencia. Para que ello no ocurra,
recomendamos DESMARCAR dicha opción, a los efectos de no caer en estas trampas, y poder
ver siempre la verdadera extensión de un archivo.
•
Manterner las copias de seguridad al día.
Cuando todas las precauciones fallan, una política agresiva de copias de seguridad es lo único
que puede devolvernos al status quo.
•
Mantenerse informado.
Una buena manera de protegerse contra los nuevos virus es estar continuamente informado sobre
lo que acontece en el sector de la Seguridad Inform ática.
Sin embargo, ante la gran cantidad de información recibida por diferent es medios, es aconsejable
contrastar estos datos con la información completa, actualizada y experta di fundida por
determinadas compañí as y organismos: compañías antivirus, empresas consultoras de seguridad,
organismos que informan de alertas tempranas, organismos gubernament ales, universidades, etc.
No reenvíe NUNCA cualquier alerta de virus que reciba por email que no venga de una
fuente calificada, dado que muchas de ellas son falsas alarmas. (HOAX)
Generalmente lo único que pretenden es hacer circul ar por Internet un montón de direcciones de
correos y saturar los servidores smtp.
Y sobre todo…………consulte a su proveedor informático.
Glosario -- tipos de virus--Virus de Fichero: este tipo de virus se encarga de infect ar programas o ficheros ejecut ables
(archivos con extensiones EXE o COM). Al realizar la ejecución de uno de estos programas, de
forma direct a o indirecta, el virus se activa produciendo los efectos dañinos que le caracteri cen
Departamento Gallego de Informática
en cada caso. La mayoría de los virus existentes son de este tipo, pudiéndose clasificar cada uno
de ellos en función de las acciones que realizan cada uno de ellos en cada caso.
Virus Residentes: cuando se ponen en marcha o activan, la primera acción que realizan consiste
en comprobar si se cumplen todas las condiciones (fecha, hora,... etc.) para atacar. De no ser así,
se colocan en una zona de la memoria principal (memoria RAM), esperando que se ejecute algún
programa. Ocuparán un espacio en memoria de 200 a 5000 Bytes. Si en alguna de las
operaciones que realiza el sistema operativo se trabajase con un fi chero ej ecutable (program a) no
infectado, el virus lo infectará. Para ello, el virus se añadirá al programa que infect a, añadiendo
su código al propio código del fichero ejecutable (programa). Pueden considerars e como virus de
fi chero.
El resultado es que el virus puede alterar los servicios que necesita el programa, para que
apunten o ejecuten partes del código correspondiente al propio virus. Esto implica que el virus
residente se ejecutará siempre que un programa necesite y acceda a los servicios del sistema
operativo.
Virus de Acción Directa: en el momento de su ejecución, el virus trata de replicarse, o
reproducirse. Esto quiere decir que creará copias de sí mismo. Cumpliéndose unas determinadas
condiciones, particulares y especí ficas en cada caso, se activará y pasará a realizar infecciones
dentro del directorio o carpeta en el que nos encontremos y dentro de los directorios que se
encuentran especi ficados en la línea PATH (camino o ruta de directorios) dentro del fi chero
AUTOEXEC.BAT -este fichero se encuentra siempre en la raíz del disco duro, siendo un fichero
de proceso por lotes que realiza ciertas operaciones cuando se enciende el ordenador-. Es posible
llevar a cabo la desinfección, de los ficheros afect ados por el virus, dejándolos en un estado
correcto.
Este tipo de virus puede ser considerado como un virus de fichero ya que buscan ficheros
que puedan ser sus víctimas, para infect arlos. El motivo de que estos virus realicen copias de sí
mismos o se reproduzcan, es debido a que no son residentes y por lo tanto no permanecen
ejecutándos e en memoria. Esto les obliga a reproducirse y actuar directamente.
Virus de Sobreescritura: este tipo de virus se caract eriza por no respetar la información
contenida en los ficheros que infecta, haciendo que estos queden inservibles posteriorment e.
Pueden encontrarse virus de sobreescritura que adem ás son residentes y otros que no lo son.
Aunque la desinfección es posible, no existe posibilidad de recuperar los ficheros infectados,
siendo la única alternativa posible la eliminación de éstos. Este tipo de virus puede ser
considerado como virus de fi chero.
Una característica interesant e es que los ficheros infectados por virus de sobreescritura, no
aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero infectado.
Esto es debido a que dicho tipo de virus se coloca encima del contenido del fichero infectado, no
se incluye de form a adicional en una sección del mismo.
El efecto que producen estos virus sobre los ficheros infectados, es la pérdida parci al o total
de su contenido. Éste será irrecuperable.
Virus de Compañía: los virus de compañía pueden considerarse como virus de fichero,
pudiendo además ser residentes o de acción directa. Su nombre es debido a que "acompañan" a
otros ficheros que ya existían en el sistema, cuando el virus llega a él. Es decir, para efectuar sus
operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve
a cabo la ejecución de algún programa (virus residentes) o actuar direct amente haci endo copias
de sí mismos (virus de acción directa).
Al contrario que los virus de sobre escritura o que los residentes, los virus de compañía no
modifican los ficheros que infectan. Cuando el sistema operativo está trabajando (ejecut ando
programas ) puede ocurrir que éste (el sistema operativo) tenga que ejecut ar un programa con un
nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con
diferent es extensiones (uno con extensión EXE y otro con extensión COM), el sistema operativo
ejecutará en primer lugar el que lleve la extensión COM. Esta peculiaridad del sistema operativo
es aprovechada por los virus de compañía.
En caso de existir un fichero ejecutable con un determinado nombre y extensión EXE, el
virus se encargará de crear otro fichero con el mismo nombre pero con extensión COM
Departamento Gallego de Informática
haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. Este fichero que crea será
el propio virus y el sistema operativo, al encontrarse con dos ficheros que llevan el mismo
nombre, ejecutará en primer lugar el de extensión COM, siendo éste el virus que en ese preciso
instante realizará la infección. Tras realizarse la ejecución del fichero COM correspondient e al
virus, éste devuelve el control al sistema operativo para que ejecut e el fichero EXE. De esta
forma el usuario no tendrá conocimiento de la infección que en ese preciso instante ha tenido
lugar.
Virus de Macro: a di ferencia de los tipos de virus comentados anteriormente, los cuales
infectan programas (ficheros EXE o COM) o aplicaciones, los virus de macro realizan
infecciones sobre los ficheros (documentos, libros, presentaciones y/o bases de datos) que se han
creado con determinadas aplicaciones o program as. Cada uno de estos tipos de ficheros puede
tener adicionalment e unos pequeños programas, denominados macros. Una macro no es más que
un micro-programa que el usuario asoci a al fichero que ha creado con determinadas aplicaciones.
Éste no depende del sistema operativo sino de acciones determinadas que el usuario puede
realizar dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos
de operaciones para que se lleven a cabo como una sola acción del usuario de forma
independiente sin necesidad de realizarlas una a una manualmente.
Pues bien, estas macros podrían estar infect adas o infectars e, lo que significa que los virus
(más concretamente los de macro) pueden fijar sus objetivos de infección en ellas. En este caso,
al abrir un documento que contenga macros, éstas se cargarán de forma automática (ejecutándose
o esperando que el usuario decida ejecutarl as). En ese instante o posteriormente, el virus actuará
realizando cualquier tipo de operación perjudicial. Al diferencia de lo que se piensa
habitualmente, los virus de macro pueden realizar acciones dañinas de bastante importanci a,
propagándos e en poco tiempo de forma muy rápida.
Por otra parte, estos virus pueden infectar las plantillas genéricas o globales (a través de las
macros) que las herramientas (procesadores de texto, hojas de cálculo,...) utilizan. Al abrir un
documento, hoja de cálculo o base de datos con la plantilla infectada, éstos se infectarán. Este es
el método más habitual que emplean los virus de macro para extender sus infecciones.
Virus de boot: Todos los discos (disquetes y discos duros) tienen una sección muy importante,
denominada sector de arranque. En ella se almacena la inform ación acerca de las características
del disco, además de poder albergar un program a con el que es posible arrancar el ordenador,
mediante la utilización de éste disco. Este tipo de virus no tiene como objetivo la infección de
archivos, sino la de los discos que contienen archivos: disquetes y discos duros.
TROYANOS
Se entiende por Troyano un programa informático que tiene la capacidad de ocultars e dentro de
otro de aparienci a inofensiva, de tal forma que cuando este programa anfitrión es ejecutado, el
troyano se carga en memoria y realiza la labor dañina para la que fué diseñado. A diferencia de
los virus, los troyanos no se duplican a sí mismos.
Para activars e, un troyano necesita que se abra el archivo al que va asociado, al que ha infectado,
y una vez que se ha activado normalmente queda resident e en memoria usando el procedimiento
TSR (Terminate and Stay Resident), quedando así a la espera de que ocurra un determinado
evento para realizar su tarea destructiva.
Su nombre viene de la similitud que poséen con el famoso caballo de Troya de La Odisea. En
esta obra se narra cómo el ejercito griego, incapaz de romper las defensas de la ciudad de Troya,
dejó a las afuera de esta un grán caballo de madera, como si de un regalo a los dioses troyanos se
tratara. Los ciudadanos de Troya introdujeron el caballo en la ciudad, y al llegar la noche del
interior de este salieron soldados griegos, que estában ocultos dentro, y abrieron las puertas de la
ciudad, con lo que el ejercito griego pudo penetrar en ella, venciendo a los troyanos.
A diferenci a de los virus, diseñados fundamentalment e para reproduci rse y extenders e, los
troyanos son creados muchas veces para obtener información privilegiada del ordenador en el
Departamento Gallego de Informática
que habitan, ya sea accedi endo a un fichero de contras eñas y enviándolo por Internet, bien
abriendo puertas tras eras que permiten luego el acceso a nuestro sistema de personas indeseadas.
A este último tipo pertenecen dos de los programas más usados por los amigos de lo ajeno:
BackOri fice y NetBus, verdaderos troyanos que abren una puerta trasera en sistemas Windows,
permitiendo el control TOTAL de nuestro ordenador a personas desconocidas.
GUSANOS
Se define como Gusano un program a que es capaz de duplicarse a sí mismo a través de disquetes
o de conexiones a la red, pero no es capaz de infectar a otros programas. Los gusanos de tipo
anfitrión utilizan la red para copiarse a sí mismos, mientras que los de tipo de red extienden
partes de sí mismos por las redes, basándose luego en conexiones de red para ejecut ar sus
distintas partes. En caso de que el ordenador no está conectado a la red, los gusanos pueden
copiarse en distintas partes del disco duro. El mayor efecto de los actuales gusanos es su
capacidad para saturar e incluso bloquear por exceso de tráfico a las redes locales y sitios web.
DROPPERS
Otro tipo de software malicioso son los Droppers, programas diseñados especí ficamente para
evitar su detección por parte de los antivirus. Su misión principal es la de transportar e instalar
virus. Normalmente se cargan en memoria y esperan que ocurra un evento determinado,
momento en el que se activan e infectan el sistema con el virus que contienen.
HOAXES
Los denominados Hoaxes (bromazos) son mensajes de alarma que se envían por correo,
advirtiendo al personal de la existencia de determinados virus muy peligrosos, generalmente
desconocidos e inexistentes. Su contenido es totalmente falso, y su única misión es provocar el
pánico entre los internautas, consiguiendo con ello que se produzca un envío masivo del mismo,
produciéndose una reacción en cadena que puede ocasionar la saturación de los servidores de
correo y la congestión de las líneas de Internet.
Departamento Gallego de Informática