Muchas veces nos enfrentamos a ellos, y solo pensamos en lo fastidioso que son,
nos preocupamos porque el antivirus borre nuestros archivos infectados, y hay otras
veces que ni siquiera nos imaginamos que nuestro equipo tiene virus informático, para
comprenderlo mejor a continuación tocaremos los puntos importante de
Virus informático
En la actualidad la mayoría de las personas hablan de los virus y generalmente todo lo
no controlado o no conocido por el usuario es atribuido a los virus, Ejemplos:
• Se apagó la computadora. -Es un virus!
• No puedo enviar un correo. -Es un virus!
• No puedo abrir Facebook. -Han infectado facebook!
• Me pasaron una canción por la red y resulta que al reproducir la canción, mi
antivirus dice que este archivo esta infectado. -El cable de red tiene un virus! (Increíble
pero cierto, hay personas que creen que los virus informáticos se encuentran viviendo
en los cables, como si se tratase de un virus biológico)
DEFINICIÓN
- Es un programa o software que se autoejecuta y se propaga insertando copias de sí mismo en otro programa o documento
- Se adjunta a un programa o archivo de forma que pueda propagarse, infectando los ordenadores a medida que viaja de un ordenador a otro.
- Algunos virus solo causan efectos ligeramente molestos mientras que otros pueden dañar tu hardware, software o archivos.
CLASIFICACIÓN DE VIRUS INFORMÁTICOS Y DAÑOS QUE PUEDEN CAUSAR
Los virus se pueden clasificar en función de múltiples características y criterios: según su origen, las técnicas que utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los daños que causan, el sistema operativoo la plataforma tecnológica que atacan, etc.
Todas estas clasificaciones tienen muchos puntos en común, por lo que un mismo virus puede pertenecer a varias categorías al mismo tiempo. Por otro lado, continuamente surgen nuevos virus que por su reciente aparición o por sus peculiares características no pueden ser incluidos inicialmente en ninguna categoría, aunque esto no es lo habitual.
Simplificando, estos son los tipos virus más significativos:
Virus residentes
La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, etc.
Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas previamente por su creador (por ejemplo, una fecha y hora determinada). Mientras tanto, permanecen ocultos en una zona de la memoria principal, ocupando un espacio de la misma, hasta que son detectados y eliminados.
Virus de acción directa
Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.
Además, también realizan sus acciones en los directorios especificados dentro de la línea PATH (camino o ruta de directorios), dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra en el directorio raíz del disco duro).
Los virus de acción directa presentan la ventaja de que los ficheros afectados por ellos pueden ser desinfectados y restaurados completamente.
Virus de sobreescritura
Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
También se diferencian porque los ficheros infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero (esto se debe a que se colocan encima del fichero infectado, en vez de ocultarse dentro del mismo).
La única forma de limpiar un fichero infectado por un virus de sobreescritura es borrarlo, perdiéndose su contenido.
Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot, Trivial.88.D.
Virus de boot o de arranque
Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador.
Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un disquete infectado, el virus de boot infectará a su vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los disquetes contra escritura y no arrancar nunca el ordenador con un disquete desconocido en la disquetera.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
Virus de macro
El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw, etc.
Las macros son micro-programas asociados a un fichero, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán de forma automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección.
Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo, no todos los programas o herramientas con macros pueden ser afectadas por estos virus.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que elsistema operativo conoce para poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar.
Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.
Virus encriptados
Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones.
Estos virus se cifran o encriptan a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.
Virus polimórficos
Son virus que en cada infección que realizan se cifran o encriptan de una forma distinta (utilizando diferentes algoritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
Virus multipartites
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos de sus acciones.
Algunos ejemplos de estos virus son: Ywinz.
Virus de fichero
Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM ). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.
La mayoría de los virus existentes son de este tipo.
Virus de compañía
Son virus de fichero que al mismo tiempo pueden ser residentes o de acción directa. Su nombre deriva de que"acompañan" a otros ficheros existentes en el sistema antes de su llegada, sin modificarlos como hacen los virus de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compañía pueden esperar ocultos en la memoria hasta que se lleve a cabo la ejecución de algún programa, o actuar directamente haciendo copias de sí mismos.
Algunos ejemplos de este tipo de virus son: Stator, Asimov.1539, Terrax.1069.
Virus de FAT
La Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema.
Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador. Los daños causados a la FAT se traducirán en pérdidas de la información contenida en ficheros individuales y en directorios completos.
Gusanos (Worms)
De un modo estricto, los gusanos no se consideran virus porque no necesitan infectar otros ficheros para reproducirse. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus.
Básicamente, los gusanos se limitan a realizar copias de sí mismos a la máxima velocidad posible, sin tocar ni dañar ningún otro fichero. Sin embargo, se reproducen a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a través del correo electrónico, las redes informáticas y los canales de Chat (tipo IRC o ICQ) de Internet. También pueden propagrase dentro de la memoria del ordenador.
Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson.
Troyanos o caballos de Troya
Técnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen infectando otros ficheros.Tampoco se propagan haciendo copias de sí mismo como hacen los gusanos. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus.
El objetivo básico de estos virus es la introducción e instalación de otros programas en el ordenador, para permitir su control remoto desde otros equipos.
Su nombre deriva del parecido en su forma de actuar de los astutos griegos de la mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar ficheros o destruir la información del disco duro. Pero además pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota.
Bombas lógicas
Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni siquiera son programas independientes, sino un segmento camuflado dentro de otro programa.
Tienen por objetivo destruir los datos de un ordenador o causar otros daños de consideración en él cuando se cumplen ciertas condiciones. Mientras este hecho no ocurre, nadie se percata de la presencia de la bomba lógica. Su acción puede llegar a ser tremendamente destructiva.
Virus falsos
Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o programas que en ciertos casos son confundidos con virus, pero que no son virus en ningún sentido.
El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son virus, sino mensajes de correo electrónico engañosos, que se difunden masivamente por Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo una serie de acciones a realizar para librarse de la supuesta infección.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es borrarlo sin prestarle la más mínima atención y no reenviarlo a otras personas.
TIPOS DE VIRUS DE INTERNET
Algunos de los virus mencionados anteriormente son propagados por los qe se consideran dentro de los tipos de virus de Internet, a continuación en listaré
• CIH
• Blaster
• Melissa
• Sobig.F
• ILOVEYOU
• Bagle
• Code Red
• MyDoom
• SQL Slammer
• Sasser
CIH (1998)
Daño estimado: 20 a 80 millones de dólares, sin contar el precio de la información destruida.
Localización: Desde Taiwan Junio de 1998, CHI es reconocido como uno de los mas peligrosos y destructivos virus jamás vistos. El virus infectó los archivos ejecutables de Windows 95,98 y ME y fué capaz de permanecer residente en memoria de los ordenadores infectados para así infectar otros ejecutables.
¿Porqué?: Lo que lo hizo tan peligroso fue que en poco tiempo afectó muchos ordenadores, podía reescribir datos en el disco duro y dejarlo inoperativo.
Curiosidades: CIH fue distribuido en algún que otro importante software como un Demo del juego de Activision “Sin”.
Melissa (1999)
Daño Estimado: 300 a 600 millones de dólares
Localización: Un Miercoles 26 de Marzo de 1999, W97M/Melissa llegó a ser portada de muchos rotativos alrededor del mundo. Una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo.
Curiosidades: El virus usó Microsoft Outlook para enviarse asimismo a 50 de los usuarios de la lista de contactos. El mensaje contenía la frase, “Here is that document you asked for…don’t show anyone else. ;-),” y venía acompañado por un documento Word adjunto, el cual fue ejecutado por miles de usuarios y permitieron al virus infectar los ordenadores y propagarse a traves de la red.
ILOVEYOU (2000)
Code Red (2001)
Daño Estimado: 2.6 billones de dólares
SQL Slammer (2003)
Daño Estimado: Como SQL Slammer apareció un sábado su daño ecónomico fue bajo. Sin embargo este atacó 500.000 servidores.
Curiosidades: SQL Slammer, tambien conocido como “Sapphire”, data del 25 de Enero de 2003 y su principal objetivo son servidores, el virus era un archivo de 376-byte que generaba una dirección Ip de manera aleatoria y se enviaba asimismoa estas IPs. Si la IP corría bajo un Microsoft’s SQL Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera aleatoria.
Slammer infectó 75,000 ordenadores en 10 minutos.
Blaster (2003)
Daño Estimado: 2 a 10 billones de dolares, cientos de miles de ordenadores infectados.
“I just want to say LOVE YOU SAN!!” and “billy gates why do you make this possible? Stop making money and fix your software!!”
“Solo quiero decir que te quiero san!!” y “billy gates ¿Porqué haces posible esto? para de hacer dinero y arregla tu software!!”
Sobig.F (2003)
Bagle (2004)
MyDoom (2004)
Los 10 virus más destructivos de la Internet
• CIH
• Blaster
• Melissa
• Sobig.F
• ILOVEYOU
• Bagle
• Code Red
• MyDoom
• SQL Slammer
• Sasser
CIH (1998)
Daño estimado: 20 a 80 millones de dólares, sin contar el precio de la información destruida.
Localización: Desde Taiwan Junio de 1998, CHI es reconocido como uno de los mas peligrosos y destructivos virus jamás vistos. El virus infectó los archivos ejecutables de Windows 95,98 y ME y fué capaz de permanecer residente en memoria de los ordenadores infectados para así infectar otros ejecutables.
¿Porqué?: Lo que lo hizo tan peligroso fue que en poco tiempo afectó muchos ordenadores, podía reescribir datos en el disco duro y dejarlo inoperativo.
Curiosidades: CIH fue distribuido en algún que otro importante software como un Demo del juego de Activision “Sin”.
Melissa (1999)
Daño Estimado: 300 a 600 millones de dólares
Localización: Un Miercoles 26 de Marzo de 1999, W97M/Melissa llegó a ser portada de muchos rotativos alrededor del mundo. Una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo.
Curiosidades: El virus usó Microsoft Outlook para enviarse asimismo a 50 de los usuarios de la lista de contactos. El mensaje contenía la frase, “Here is that document you asked for…don’t show anyone else. ;-),” y venía acompañado por un documento Word adjunto, el cual fue ejecutado por miles de usuarios y permitieron al virus infectar los ordenadores y propagarse a traves de la red.
ILOVEYOU (2000)
Daño Estimado: 10 a 15 billones de dólares
Localización: También conocido como “Loveletter” y “Love Bug”, este fue un script de Visual Basic con un ingenioso y irresistible caramelo: Promesas de amor. Un 3 de Mayo de 2000, el gusano ILOVEYOU fue detectado en HONG KONG y fué transmitido via email con el asunto “ILOVEYOU” y el archivo adjunto, Love-Letter-For-You.TXT.vbs
De igual manera a Melissa se transmitio a todos los contactos de Microsoft Outlook.
¿Porqué?: Miles de usuario fueron seducidos por el asunto y clickearon en el adjunto infectado. El virus también se tomó la libertad de sobrescribir archivos de música, imágenes y otros.
Curiosidades: Como Filipinas no tenía leyes que hablaran sobre la escritura de virus el autor de ILOVEYOU quedó sin cargos.
Code Red (2001)
Daño Estimado: 2.6 billones de dólares
Localización: Code Red fue un gusano que infecto ordenadores por primera vez el 13 de Julio de 2001. Fue un virulento bug porque su objetivo era atacar a ordenadores que tuvieran el servidor (IIS) Microsoft’s Internet Information Server. El gusano era capaz de explotar una importante vulnerabilidad de este servidor. Curiosidades: También conocido como “Bady”, Code Red fue diseñado para el máximo daño posible. En menos de una semana infectó casi 400.000 servidores y mas de un 1.000.000 en su corta historia.
SQL Slammer (2003)
Daño Estimado: Como SQL Slammer apareció un sábado su daño ecónomico fue bajo. Sin embargo este atacó 500.000 servidores.
Curiosidades: SQL Slammer, tambien conocido como “Sapphire”, data del 25 de Enero de 2003 y su principal objetivo son servidores, el virus era un archivo de 376-byte que generaba una dirección Ip de manera aleatoria y se enviaba asimismoa estas IPs. Si la IP corría bajo un Microsoft’s SQL Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera aleatoria.
Slammer infectó 75,000 ordenadores en 10 minutos.
Blaster (2003)
Daño Estimado: 2 a 10 billones de dolares, cientos de miles de ordenadores infectados.
Localización: El verano de 2003 se dió a conocer Blaster también llamado “Lovsan” o “MSBlast”.
El virus se detectó un 11 de Agosto y se propagó rápidamente, en sólo dos días. Transmitió gracias a una vulnerabilidad en Windows 2000 y Windows XP, y cuando era activado abría un cuadro de diálogo en el cual el apagado del sistema era inminente.
Curiosidades: Oculto en el codigo de MSBLAST.EXE había unos curiosos mensajes: “I just want to say LOVE YOU SAN!!” and “billy gates why do you make this possible? Stop making money and fix your software!!”
“Solo quiero decir que te quiero san!!” y “billy gates ¿Porqué haces posible esto? para de hacer dinero y arregla tu software!!”
Sobig.F (2003)
Daño Estimado: De 5 a 10 billones de dólares y más de un millón de ordenadores infectados.
Localización: Sobig tambien atacó en Agosto de 2003 un horrible mes en materia de seguridad. La variante mas destructiva de este gusano fue Sobig.F, que atacó el 19 de Agosto generando mas de 1 millón de copias de él mismo en las primeras 24 horas.
Curiosidades: El virus se propagó vía e-mail adjunto archivos como application.pif y thank_you.pif. Cuando se activaba se transmitía.
El 10 de Septiembre de 2003 el virus se desactivó asimismo y ya no resultaba una amenaza, Microsoft ofreció en su día 250.000$ a aquel que identificara a su autor.
Bagle (2004)
Daño Estimado: 10 millones de dólares y subiendo…
Localización: Bagle es un sofisticado gusano que hizó su debut el 18 de Enero de 2004.
El código infectaba los sistemas con un mecanismo tradicional, adjuntando archivos a un mail y propagándose el mismo.
El peligro real de Bagle es que existen de 60 a 100 variantes de él, cuando el gusano infectaba un ordenador abría un puerto TCP que era usado remotamente por una aplicación para acceder a los datos del sistema.
Curiosidades: La variante Bagle.B fue diseñada para detenerse el 28 de Enero de 2004 pero otras numerosas variantes del virus siguen funcionando.
MyDoom (2004)
Daño Estimado: Realentizo el rendimiento de internet en un 10% y la carga de páginas en un 50%.
Localización: Durante unas pocas horas del 26 de Enero de 2004, MyDoom dió la vuelta al mundo. Era transmitido vía mail enviando un supuesto mensaje de error aunque también atacó a carpetas compartidas de usuarios de la red Kazaa.
Curiosidades: MyDoom estaba programado para detenerse después del 12 de Febrero de 2004.
Sasser (2004)
Daño Estimado: 10 millones de dólares
Localización: 30 de Abril de 2004 fue su fecha de lanzamiento y fue suficientemente destructivo como para colgar algunas comunicaciones satélites de agencia francesas.
También consiguió cancelar vuelos de números compañías aéreas.
Curiosidades: Sasser no era transmitido vía mail y no requería usuarios para propagarse. Cada vez que el gusano encontraba sistemas Windows 2000 y Windows Xp no actualizados este era replicado, los sistemas infectados experimentaban una gran inestabilidad.
Sasser fue escrito por un joven alemán de 17 años que propago el virus en su 18 cumpleaños. Como el escribió el código siendo un menor salió bien parado aunque fue declarado culpable de sabotaje informático.
