CLASIFICACIÓN DE LOS VIRUS
Los virus se clasifican según el lugar de alojamiento, como se repliquen o dependiendo de la plataforma en la cual trabajan, podemos diferenciar diferentes tipos de virus.
1. VIRUS DE SECTOR DE ARRANQUE (BOOT).
Utilizan el sector de arranque, el cual contiene la información sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. A todo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar también la tabla de particiones como ubicación. Suelen quedar residentes en memoria al hacer cualquier operación en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.
2. VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM) los que están en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el código del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continué de modo normal. El Viernes 13 es un ejemplar representativo de este grupo.
Dentro de la categoría de virus de archivos podemos encontrar más subdivisiones, como los siguientes:
Virus de acción directa: Son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado.
Virus de sobre escritura: Corrompen el archivo donde se ubican al sobrescribirlo.
Virus de compañía: Aprovechan una característica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extensión el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica ell programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensión COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicación original
3. VIRUS DE MACRO.
Es una familia de virus de reciente aparición y gran expansión. Estos están programados para usar el lenguaje de macros Word Basic, gracias al cual pueden infectar y replicarse a través de archivos MS-Word (DOC). En la actualidad esta técnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo un mayor auge debido a que son fáciles de programar y de distribuir a través de Internet. Aun no existe una concienciación del peligro que puede representar un simple documento de texto.
4. VIRUS BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a código maquina son <> y no producen ningún efecto que altere el funcionamiento del virus.
5. VIRUS DEL MIRC.
Vienen a formar parte de la nueva generación Internet y demuestra que la Red abre nuevas forma de infección. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini".
6. VIRUS MIXTOS BIMODALES O MULTIPARTITO
Son una combinación de virus de archivo y virus de sector de arranque.
7. VIRUS PARÁSITO
Cambian el contenido de archivos infestados al transferirles su copia y permiten que los archivos sean parcial o completamente utilizables. La copia del virus puede ser agregada al inicio o final del fichero afectado o insertada en el medio.
8. VIRUS SIN PUNTO DE ENTRADA O EPO VIRUS ( ENTRY POINT OBSCURING)
Pueden ejecutarse o extenderse por ellos mismos. Son los ficheros EXE y COM creados como resultado del enlace de ese módulo o librería con otros, los que lo diseminan, por lo que emergen como virus solo en esa segunda etapa. En la infección del código fuente de un programa, el virus agrega su código fuente al del fichero "diana" original. El fichero infestado es capaz de diseminar el virus después de compilado e interconectado.
No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los ficheros .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infestado, por lo que no toman el control inmediatamente al ejecutarse el fichero, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas. Ejemplos: "Lucretia", "Zhengxi", "CNTV", "MidInfector", "NexivDer", "Avatar.Positron", "Markiz".
9. VIRUS OBJ, LIB Y CÓDIGO FUENTE
Virus que infestan compiladores de librerías, módulos de objeto y código fuente. Son más raros y están poco extendidos. Unen su código viral a los módulos o librerías en el formato del módulo de objeto o librería infestada. No
FUNCIONAMIENTO DEL VIRUS
Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.
PROCESO DE INFECCIÓN.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet, etc. Dependiendo del tipo de virus el proceso de infección varía sensiblemente.
Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora (por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado.
El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso.
Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobrescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si ell usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control.
Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque, etc.
QUÉ SON LOS VIRUS GUSANOS Y TROYANOS
Los virus, gusanos y troyanos son programas malintencionados que pueden provocar daños en el equipo y en la información del mismo. También pueden hacer más lento Internet e, incluso, pueden utilizar su equipo para difundirse a amigos, familiares, colaboradores y el resto de la Web. La buena noticia es que con un poco de prevención y algo de sentido común, es menos probable ser víctima de estas amenazas.
Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo.
El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.
Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host", también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Sasser y Blaster.
Troyano Programa informático que parece ser útil pero que realmente provoca daños.
Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo. Para proteger mejor a los usuarios, Microsoft suele enviar boletines de seguridad por correo electrónico, pero nunca contienen archivos adjuntos.
Los troyanos también se pueden incluir en software que se descarga gratuitamente. Nunca descargue software de un origen en el que no confíe. Descargue siempre las actualizaciones y revisiones de Microsoft de los sitios Microsoft Windows Update o Microsoft Office Update.
COMO SE TRANSMITEN LOS GUSANOS Y LOS VIRUS
Prácticamente todos los virus y muchos gusanos no se pueden transmitir a menos que se abra o se ejecute un programa infectado.
Muchos de los virus más peligrosos se difundían principalmente mediante archivos adjuntos de correo electrónico, los archivos que se envían junto con un mensaje de correo electrónico. Normalmente se puede saber que el correo electrónico incluye un archivo adjunto porque se muestra el icono de un clip que representa el archivo adjunto e incluye su nombre. Algunos tipos de archivos que se pueden recibir por correo electrónico habitualmente son fotos, cartas escritas en Microsoft Word e, incluso, hojas de cálculo de Excel. Un virus se inicia al abrir un archivo adjunto infectado (normalmente se hace clic en el icono de archivo adjunto para abrirlo)
Sugerencia: nunca abra nada que esté adjunto a un mensaje de correo electrónico a menos que espere el archivo y conozca el contenido exacto de dicho archivo.
Si recibe un correo electrónico con un archivo adjunto de un desconocido, elimínelo inmediatamente. Por desgracia, en ocasiones tampoco resulta seguro abrir archivos adjuntos de personas que conoce. Los virus y los gusanos tienen la capacidad de robar la información de los programas de correo electrónico y enviarse a todos los incluidos en la libreta de direcciones. Por lo tanto, si recibe un correo electrónico de alguien con un mensaje que no entiende o un archivo que no esperaba, póngase siempre en contacto con la persona y confirme el contenido del archivo adjunto antes de abrirlo.
Otros virus se pueden propagar mediante programas que se descargan de Internet o de discos repletos de virus que dejan los amigos o incluso que se compran en una tienda. Existen formas menos habituales de contraer un virus. La mayoría de las personas se contagian de virus si abren y ejecutan archivos adjuntos de correo electrónico desconocidos.
Los virus se clasifican según el lugar de alojamiento, como se repliquen o dependiendo de la plataforma en la cual trabajan, podemos diferenciar diferentes tipos de virus.
1. VIRUS DE SECTOR DE ARRANQUE (BOOT).
Utilizan el sector de arranque, el cual contiene la información sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. A todo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar también la tabla de particiones como ubicación. Suelen quedar residentes en memoria al hacer cualquier operación en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.
2. VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM) los que están en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el código del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continué de modo normal. El Viernes 13 es un ejemplar representativo de este grupo.
Dentro de la categoría de virus de archivos podemos encontrar más subdivisiones, como los siguientes:
Virus de acción directa: Son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado.
Virus de sobre escritura: Corrompen el archivo donde se ubican al sobrescribirlo.
Virus de compañía: Aprovechan una característica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extensión el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica ell programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensión COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicación original
3. VIRUS DE MACRO.
Es una familia de virus de reciente aparición y gran expansión. Estos están programados para usar el lenguaje de macros Word Basic, gracias al cual pueden infectar y replicarse a través de archivos MS-Word (DOC). En la actualidad esta técnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo un mayor auge debido a que son fáciles de programar y de distribuir a través de Internet. Aun no existe una concienciación del peligro que puede representar un simple documento de texto.
4. VIRUS BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a código maquina son <
5. VIRUS DEL MIRC.
Vienen a formar parte de la nueva generación Internet y demuestra que la Red abre nuevas forma de infección. Consiste en un script para el
6. VIRUS MIXTOS BIMODALES O MULTIPARTITO
Son una combinación de virus de archivo y virus de sector de arranque.
7. VIRUS PARÁSITO
Cambian el contenido de archivos infestados al transferirles su copia y permiten que los archivos sean parcial o completamente utilizables. La copia del virus puede ser agregada al inicio o final del fichero afectado o insertada en el medio.
8. VIRUS SIN PUNTO DE ENTRADA O EPO VIRUS ( ENTRY POINT OBSCURING)
Pueden ejecutarse o extenderse por ellos mismos. Son los ficheros EXE y COM creados como resultado del enlace de ese módulo o librería con otros, los que lo diseminan, por lo que emergen como virus solo en esa segunda etapa. En la infección del código fuente de un programa, el virus agrega su código fuente al del fichero "diana" original. El fichero infestado es capaz de diseminar el virus después de compilado e interconectado.
No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los ficheros .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infestado, por lo que no toman el control inmediatamente al ejecutarse el fichero, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas. Ejemplos: "Lucretia", "Zhengxi", "CNTV", "MidInfector", "NexivDer", "Avatar.Positron", "Markiz".
9. VIRUS OBJ, LIB Y CÓDIGO FUENTE
Virus que infestan compiladores de librerías, módulos de objeto y código fuente. Son más raros y están poco extendidos. Unen su código viral a los módulos o librerías en el formato del módulo de objeto o librería infestada. No
FUNCIONAMIENTO DEL VIRUS
Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.
PROCESO DE INFECCIÓN.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet, etc. Dependiendo del tipo de virus el proceso de infección varía sensiblemente.
Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora (por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado.
El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso.
Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobrescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si ell usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control.
Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque, etc.
QUÉ SON LOS VIRUS GUSANOS Y TROYANOS
Los virus, gusanos y troyanos son programas malintencionados que pueden provocar daños en el equipo y en la información del mismo. También pueden hacer más lento Internet e, incluso, pueden utilizar su equipo para difundirse a amigos, familiares, colaboradores y el resto de la Web. La buena noticia es que con un poco de prevención y algo de sentido común, es menos probable ser víctima de estas amenazas.
Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo.
El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.
Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host", también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Sasser y Blaster.
Troyano Programa informático que parece ser útil pero que realmente provoca daños.
Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo. Para proteger mejor a los usuarios, Microsoft suele enviar boletines de seguridad por correo electrónico, pero nunca contienen archivos adjuntos.
Los troyanos también se pueden incluir en software que se descarga gratuitamente. Nunca descargue software de un origen en el que no confíe. Descargue siempre las actualizaciones y revisiones de Microsoft de los sitios Microsoft Windows Update o Microsoft Office Update.
COMO SE TRANSMITEN LOS GUSANOS Y LOS VIRUS
Prácticamente todos los virus y muchos gusanos no se pueden transmitir a menos que se abra o se ejecute un programa infectado.
Muchos de los virus más peligrosos se difundían principalmente mediante archivos adjuntos de correo electrónico, los archivos que se envían junto con un mensaje de correo electrónico. Normalmente se puede saber que el correo electrónico incluye un archivo adjunto porque se muestra el icono de un clip que representa el archivo adjunto e incluye su nombre. Algunos tipos de archivos que se pueden recibir por correo electrónico habitualmente son fotos, cartas escritas en Microsoft Word e, incluso, hojas de cálculo de Excel. Un virus se inicia al abrir un archivo adjunto infectado (normalmente se hace clic en el icono de archivo adjunto para abrirlo)
Sugerencia: nunca abra nada que esté adjunto a un mensaje de correo electrónico a menos que espere el archivo y conozca el contenido exacto de dicho archivo.
Si recibe un correo electrónico con un archivo adjunto de un desconocido, elimínelo inmediatamente. Por desgracia, en ocasiones tampoco resulta seguro abrir archivos adjuntos de personas que conoce. Los virus y los gusanos tienen la capacidad de robar la información de los programas de correo electrónico y enviarse a todos los incluidos en la libreta de direcciones. Por lo tanto, si recibe un correo electrónico de alguien con un mensaje que no entiende o un archivo que no esperaba, póngase siempre en contacto con la persona y confirme el contenido del archivo adjunto antes de abrirlo.
Otros virus se pueden propagar mediante programas que se descargan de Internet o de discos repletos de virus que dejan los amigos o incluso que se compran en una tienda. Existen formas menos habituales de contraer un virus. La mayoría de las personas se contagian de virus si abren y ejecutan archivos adjuntos de correo electrónico desconocidos.
UNIDAD DE DVD-RW