• Author / Uploaded
• Carlos Hernandez

• Categories
• Virus de computadora
• Malware
• Cibercrimen
• Edad de información
• Áreas de informática

Citation preview

Definición La definición de lo que es un virus informático ha ido gestionándose de manera lenta. La palabra virus no tiene hora, en el mundo informático, la misma significación que tenía hace diez años, cuando por primera vez se la utilizó. Originalmente el significado para denotar un virus era el siguiente: “programa autoreproductor con efectos destructivos”, dos características éstas (autoreproducción y destrucción) que poseen los virus actuales. El concepto, sin embargo, se ha ido perfilando poco a poco a medida que aparecen nuevos tipos de programas destructivos. Los virus informáticos son los descendientes de otras especies anteriores, las cuales actuaban de formas diferentes, y servían objetivos distintos, siendo el único punto en común el hecho de que se trataba de programas con efectos destructivos sobre lo sistemas informáticos. Actualmente se puede definir de una forma como un malware (código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora) que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Funcionamiento básico de un virus Existen condiciones adecuadas o circunstancias especiales para que el funcionamiento se lleve a cabo normalmente la mayoría de las veces: Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables (.exe., .com, .scr, etc) que sean llamados para su ejecución.

Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa. Para aclarar el concepto de virus informático, analizando la forma en que éstos operan. Las fases de actuación de un virus son las siguientes: Infección: el virus llega al ordenador dentro de un programa contaminado, contenido en alguna fuente externa. El usuario, inconsciente del peligro potencial, ejecuta el programa infectado, con lo que el virus toma control del sistema operativo del ordenador. Los virus informáticos no afectan (si están bien diseñados) al funcionamiento normal de los programas que infectan, por lo que es difícil darse cuenta que el programa lleva en su interior un pequeño intruso. Latencia: una vez infectado el sistema operativo, es decir, una vez instalado el virus dentro del ordenador comienza la fase de latencia. Durante la misma, el virus tiene en todo momento control sobre lo que en el sistema ocurre, y comienza a infectar a todos los programas ejecutables que se ponen a su alcance. Todo programa que se utilice en el ordenador durante una copia del mismo, de tal forma que si se copia uno de esos programas en alguna fuente externa y se lleva a otro ordenador, la infección se propagará por este. Activación: una vez que se da una determinada circunstancia, como por ejemplo, la llegada de una cierta fecha, el virus se activa y comienza su acción destructora sea cual sea ésta. Por ejemplo, un virus puede llevar la cuenta de cuántos programas ha infectado desde su instalación en un ordenador, y activarse al alcanzar una determinada cifra. El tipo de acción destructora es muy variado: desde virus que borran todos los ficheros que se traten de ejecutar, a otros que hacen aparecer objetos en la pantalla que interfieren con lo que en ese momento se está haciendo, pasando por los que formatean directamente el disco duro haciendo perder todos los ficheros. Así también en un virus informático, se pueden

distinguir 3 módulos:

Módulo de reproducción-Es el encargado de manejar las rutinas de "parasitación" de entidades ejecutables, a fin de que el virus pueda ejecutarse de forma oculta intentando pasar desapercibido ante el usuario. Pudiendo, de esta forma, tomar control del sistema e infectar otras entidades permitiendo la posibilidad de traslado de un ordenador a otro a través de algunos de estos archivos.

Módulo de ataque-Este módulo es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, algunos virus, además de los procesos dañinos que realizan, poseen un módulo de ataque que por ejemplo se activa un determinado día. La activación de este módulo, implica la ejecución de una rutina que implica daños dispares en nuestro ordenador. Módulo de defensa - Este módulo, como su nombre indica tiene la misión de proteger al virus. Su presencia en la estructura del virus es optativa, al igual que el módulo de ataque. Sus rutinas apuntan a evitar todo aquello que provoque la eliminación del virus y retardar, en todo lo posible, su detección. Entre algunos tipos de virus se pueden mencionar:      

Troyanos a caballos de Troya Los gusanos Las bombas lógicas Hoax Programa del Conejo Joke

Troyanos Este virus se esconde en un programa legítimo que, al ejecutarlo, comienza a dañar la computadora. Afecta a la seguridad de la PC, dejándola indefensa y también capta datos que envía a otros sitios, como por ejemplo contraseñas. Es un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado. El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera que permite la administración remota a un usuario no autorizado. Para que un programa sea un "troyano" sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo. Características de los troyanos Los troyanos están compuestos principalmente por dos programas: un programa de administración, que envía las órdenes que se deben ejecutar en la computadora infectada y el programa residente situado en la computadora infectada, que recibe las órdenes del administrador, las ejecuta y le devuelve un resultado. Generalmente también se cuenta con un editor del programa residente, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para disfrazarlo, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexión entre el programa de administración y el residente se pueden clasificar en:

Conexión directa: El atacante se conecta directamente al PC infectado mediante su dirección IP. En este caso, el equipo atacante es el cliente y la víctima es el servidor. Conexión inversa: El equipo host o víctima se conecta al atacante mediante un proceso automático en el software malicioso instalado en su equipo, por lo que no es necesario para el atacante tener la dirección IP de la víctima. A pesar de que los troyanos de conexión directa han caído en desuso casi totalmente frente a los de conexión inversa, dentro de los círculos de hackers se sigue utilizando la denominación de cliente para el equipo atacante y servidor para el equipo víctima, lo cual es incorrecto desde un punto de vista estricto. Gusano Un gusano informático (también llamado IWorm por su apócope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador enorme. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en el sistema, por lo que el ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador enorme.

Debido a la naturaleza de copiado de un gusano informático y de su capacidad de viajar a través de redes el resultado final, en la mayoría de los casos, es que el gusano consume demasiada memoria de sistema (o anchura de banda de la red), haciendo que los servidores y los ordenadores individuales dejen de responder. Características de los Gusanos A través de los recursos compartidos de un red local, que pueden terminar colapsando. A través de programas de intercambio de archivos P2P (peer to peer), creando en los directorios compartidos archivos con nombres atractivos para que los usuarios los localicen y descarguen. Mediante programas de mensajería instantánea, una amenaza creciente, o chat. Dentro del código HTML de los mensajes de correo electrónico, por lo que basta con pinchar sobre el email (previsualizarlo) para activarlos. Bombas lógicas o de tiempo Se activan tras un hecho puntual, como por ejemplo con la combinación de ciertas teclas o bien en una fecha específica. Si este hecho no se da, el virus permanecerá oculto. Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos que se dispare al cambiar la condición de trabajador activo del programador). El software que es inherentemente malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan algún programa en un tiempo predefinido o cuando cierta condición se cumple. Esta técnica puede ser usada por un virus o un gusano para ganar ímpetu y para esparcirse antes de ser

notado. Los troyanos que se activan en ciertas fechas son llamados frecuentemente «bombas de tiempo». Para ser considerado una bomba lógica, la acción ejecutada debe ser indeseada y desconocida al usuario del software. Por ejemplo los programas demos, que desactivan cierta funcionalidad después de un tiempo prefijado, no son considerados como bombas lógicas. Características de las bombas lógicas Consumo excesivo de los recursos del sistema. Rápida destrucción del mayor número de ficheros posibles. Destrucción disimulada de un fichero de vez en cuando para permanecer invisible el mayor tiempo posible. Ataque a la seguridad del sistema (implementación de derechos de acceso y envío del fichero de contraseña a una dirección de Internet, etc.) Uso de la máquina para terrorismo informático como un DDOS (Distributed Denial Of Service). Hoax Carecen de la posibilidad de reproducirse por sí mismos y no son verdaderos virus. Son mensajes cuyo contenido no es cierto y que incentivan a los usuarios a que los reenvíen a sus contactos. El objetivo de estos falsos virus es que se sobrecargue el flujo de información mediante el e-mail y las redes. Aquellos emails que hablan sobre la existencia de nuevos virus o la desaparición de alguna persona suelen pertenecer a este tipo de mensajes. Otros tipos de virus por distintas características son los que se mencionan a continuación. Virus residentes La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados. Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky. Virus de acción directa

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos. Virus de sobreescritura Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles. Virus de boot (bot_kill) o de arranque Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco o unidad de almacenamiento CD,DVD, memorias USB etc. En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador. Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los dispositivos de almacenamiento. Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE. Virus de enlace o directorio Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos. Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar. Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.

Virus cifrados Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar. Virus polimórficos Son virus que en cada infección que realizan se cifran de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar. Virus multipartites Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Virus del fichero Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.

Ataques Informáticos Hoy en día existen multitud de técnicas de ataques informáticos, algunas de ellas especializadas en su solo objetivo y otras que son extrapolables a diversos objetivos. En cuestión de seguridad informática existe una continua carrera armamentística que enfrenta a los atacantes frente a los profesionales encargados de proteger las redes informáticas y los usuarios y sin duda el conocer los diferentes riesgos a los que nos podemos ver expuestos puede ayudarnos a protegernos mejor. En esta sección podéis encontrar información respecto a las diferentes técnicas de ataques informáticos existentes, en unos artículos en los que intentaremos explicar de manera sencilla y entendible en qué consisten y cuál es su objetivo además de incluir consejos para defender nuestros sistemas de estos ataques. Las vulnerabilidades web están de moda, y una de ellas es la inyección CRLF (CRLF Injection). Esta vulnerabilidad ocurre cuando un atacante es capaz de inyectar datos en una petición a un servidor, debido a la falta de filtrado de datos de entrada por parte del mismo. En este caso, la web afectada permite pasar directamente valores a los campos de respuesta (Location, Set-Cookie..) sin sanearlos lo que a su vez nos permite diversos tipos de ataque como XSS, CachePoisoning, Cache-based defacement,page injection.. Ataques de denegación de servicio (DoS) Los ataques de denegación de servicio (DoS) son probablemente uno de los tipos de ataques más sencillos de llevar a cabo y a la vez uno de los más complicados de contrarrestar. Estos hechos han provocado en los últimos tiempos que este tipo de ataques informáticos se hayan convertido en recurso habitual para todo tipo de hackers, aunque también nos pueden servir a los administradores de red como test para comprobar hasta que punto pueden llegar a responder nuestros sistemas. Inclusión de ficheros remotos (RFI Remote File Inclusion) En esta segunda entrega de las descripciones de los diferentes tipos de ataques informáticos vamos a conocer a un ataque llamado RFI (Remote File Inclusion). El RFI es uno de los ataques favoritos contra (o a través) de páginas web para los hackers, en 2011 se situó entre los cuatro ataques más comunes contra páginas web. Este tipo de ataques es tan popular ya que a través de una explotación exitosa de la vulnerabilidad obtener el control del servidor de la web y además

permite un realizar defacements de manera relativamente sencilla. Recordemos el gran ataque contra blogs WordPress que tuvo lugar hace unos meses, este tuvo lugar por culpa de una vulnerabilidad LFI en un add-on de WordPress. Dominios Fantasmas (Ghost Domains) Internet es tal y como la conocemos gracias a una serie de tecnologías clave, como la que nos ocupa en este artículo, DNS. El DNS o Domain Name System es un sistema de nomenclatura que se encarga de traducir las direcciones IP conectadas a Internet a nombres legibles para las personas y de mantener de manera distribuida una base de datos que asocia nombres a información de dominios. Pues, para abrir la sección de ataques informáticos, vamos a ocuparnos de un agujero en la seguridad DNS descubierto por varios investigadores de la Universidad de Tsinghua, la Universidad de Oregon, la Universidad Carlos III de Madrid y la Universidad de Georgia, que permite tal y como ellos mismos llamaron los Ghost Domains.Tipos de Virus

Mecanismos de protección Antivirus Los antivirus son programas dirigidos contra tipos particulares de virus informáticos. Un antivirus contra el viernes 13 será, por ejemplo, un programa capaz de reconocer la presencia del virus en los ficheros del ordenador y, posiblemente, eliminarlo "limpiando los programas". Quizá sea éste el tipo más extendido y conocido de programa protector, puesto que muchos programadores bienintencionados y aficionados han desarrollado antivirus para uno u otro de los múltiples especímenes que componen esta fauna singular. Un antivirus funciona analizando los ficheros en busca de secuencias de bytes características de un determinado virus. Si el código de un cierto virus contiene una determinada cadena de caracteres, podemos explorar los ficheros de un disco en busca de dicha cadena. Los ficheros que la contengan estarán, posiblemente, infectados, por lo que el antivirus puede señalar su presencia al usuario. En algunos casos, resulta posible eliminar el virus de los ficheros Es el caso, por ejemplo, del Viernes 13 que, como sabemos, inserta su código al final del fichero .EXE o al principio del fichero .COM contagiado, El antivirus puede, por consiguiente, eliminar del fichero ese trozo infectado y restaurar en la cabecera la dirección correcta de inicio del programa. Este tipo de utilidades son, por su propia definición, específicas de un tipo particular de virus, ya que es necesario conocer previamente el virus para poder desarrollar el antivirus correspondiente. La manera de construir un antivirus es sencilla: una vez aislado el virus, se localiza una determinada secuencia de bytes característica y se realiza la rutina de detección. Si se quiere también realizar una rutina que permita eliminar el virus de un fichero infectado, entonces es necesario estudiar el funcionamiento de aquél en detalle. Los antivirus son útiles para evitar y detectar el contagio una vez producido y, en algunos casos, para eliminar el virus de nuestros ficheros. Sin embargo, la misma especificidad que hace que los antivirus puedan limpiar los ficheros contaminados, hace que estas utilidades tengan ciertas limitaciones: un antivirus protegerá contra un tipo particular de infección, pero basta con que alguien realice una pequeña modificación en el código del virus para que esa protección desaparezca. Además, y aunque dispongamos de un programa que

permita detectar un buen número de tipos distintos de virus, está claro que un virus nuevo se saltará la protección de los antivirus que poseamos. En cualquier caso, es evidente que los antivirus imponen una seria limitación a la capacidad de propagación de un virus, y constituyen una útil herramienta para defendernos de los tipos de virus más conocidos. Comprobadores Normalmente, estos programas no se encuentran aislados, sino como parte integrante de las utilidades vacuna. Un comprobador es un programa que explora los ficheros del sistema, o cualesquiera otros ficheros, para probar si han sido alterados, avisando al usuario en caso positivo. Un ejemplo de funcionamiento sería el siguiente: al instalar el comprobador, e efectúa una serie de cálculos con los datos contenidos en ciertos ficheros y guarda el resultado en un fichero especial. Posteriormente, cada vez que se lo ordenemos, vuelve a realizar el cálculo con los mismos ficheros, comparando los resultados obtenidos con los que tenía guardados. Si alguna discrepancia, entonces es que alguien ha modificado los ficheros, por lo cual nos da un aviso de peligro. Este tipo de comprobación es lo que se conoce con el nombre de técnicas de fotografía. Los comprobadores, al revés que los antivirus, no son específicos de un virus determinado, sino que permiten detectar cualquier alteración en un fichero, ir pendientemente de quién la haya producido. La desventaja que poseen es que permiten detectar una infección, pero no prevenirla. Cuando el comprobador nos avisa de la modificación producida, ya el virus se ha introducido en el sistema, cualquier caso, recuperarse del ataque de un virus es tanto más fácil cuanto antes hayamos detectado su presencia, por lo que este tipo de utilidades resultan de gran ayuda. Vacunas El tercer grupo de utilidades de protección frente a los virus, son las vacunas, tienen como objetivo el intentar prevenir la infección de los virus antes de que llegue a producirse. Para ello, actúan con las mismas armas con que lo hacen los virus tomando el control del sistema operativo. Un programa vacuna se instala al encender el ordenador y queda residente en memoria. A partir de ese momento, analiza cualquier acceso al disco que se

ejecute (además de otras operaciones). Si detecta, por ejemplo, que un programa está intentando modificar el fichero COMMAND.COM, interrumpe su ejecución y nos avisa de lo que está sucediendo, preguntándonos si autorizamos la operación. Si el programa que en ese momento se está ejecutando no tiene por qué efectuar un acceso al COMMAND.COM, podemos sospechar que hay algún intruso está intentando modificar el sistema. Basta entonces con que ordenemos al programa vacuna que no permita el acceso solicitado. La manera de funcionar de uno de estos programas vacuna es bastante similar a la de los virus: el programa vacuna modifica los vectores de interrupción de terminadas llamadas al sistema operativo y se queda residente en memoria, de forma que cualquier llamada al sistema que realice un programa es analizada antes de autorizarla. Normalmente, se suele incluir la llamada al programa vacuna en el fichero AUTOEXEC.BAT, para que la vacuna se instale nada más encender el ordenador. De esa manera, el programa vacuna nos puede avisar de diversos sucesos: que se están intentando hacer accesos directos al disco, que un programa ha solicitado quedarse residente en memoria, que se está intentando modificar alguno de los programas privilegiados del sistema (COMMAND.COM, CONFIG.SYS, boot- loader) o algún fichero EXE o COM, o que se pretende efectuar alguna operación de borrado general (del tipo de ERASE *.COM o ERASE *.*) Los programas vacuna son, quizá, la herramienta más eficaz de lucha contra los virus (y contra los caballos de Troya), ya que protegen al ordenador frente al contagio y detectan éste de manera rápida en caso de que llegue a producirse. Sin embargo, no están exentos de limitaciones. La primera de ellas es que, precisamente por su principio de funcionamiento, estos programas no pueden hacer nada frente a virus que no hagan uso de las interrupciones BIOS o DOS. Cualquier virus que acceda de forma directa al hardware del controlador de disco no será detectado Sin embargo, este tipo de virus es muy extraño, cualquiera con unos conocimientos un poco profundos del sistema operativo DOS puede fabricar un virus normal; la fabricación de un virus que acceda de forma directa al hardware, sin embargo, requiere unos conocimientos técnicos y una documentación sobre los chips empleados que no están al alcance de todo el mundo. Es de prever que aparezcan en el futuro virus más sofisticado que los actuales, que controlen el ordenador al más bajo nivel y frente a los cuales no habrá protección posible por parte de una vacuna.

La segunda limitación es que, para que la vacuna comience a actuar, es necesario ejecutarla antes. En consecuencia, cualquier virus que se ejecute antes de cargar la vacuna no será detectado por ésta; en particular, las vacunas no pueden nada contra los virus que infectan el boot record. La tercera limitación, y para nosotros la más importante, es que para hacer frente a los virus más complejos es necesario complicar a su vez la vacuna, para que ésta sea capaz de supervisar más tipos de posibles síntomas. Eso hace que el funcionamiento de una vacuna sea complicado y tedioso y, sobre todo, que no todo el mundo sea capaz de manejarlas. Por ejemplo, el incluir un gran número de síntomas como posibles indicios de la existencia de un virus hace que el detector la vacuna salte con mucha frecuencia al ejecutar programas completamente sanos, que simplemente realizan alguna acción un poco especial. Son necesarios algunos conocimientos sobre el sistema operativo para poder saber si estamos ante el ataque de un virus o no; no todo el mundo posee esos conocimientos. Por la misma razón, no todo el mundo es capaz de construir una vacuna, mientras que un antivirus es bastante ser de realizar. La efectividad de los antivirus se basa en que, cuanto más extendido esta virus, más gente está en disposición de analizarlo, y más fácil es que alguien realice un detector específico para él. Este mismo efecto juega en contra de las vacunas existentes: cuanto más se populariza una vacuna determinada, más gente tiene la posibilidad de analizar su funcionamiento, y más fácil es que alguien desarrolle un virus que se aproveche de algún fallo o carencia de dicha vacuna para tomar el control del sistema. Red Una de las mayores amenazas a la información, son los virus informáticos, así como el malware (software malicioso) en general. Dentro de la categoría de malware consideramos todo aquel software que no es capaz de infectar otros archivos, como si lo hacen los virus tradicionales, y que, pese a ello, pueden traer problemas a una computadora o red, como el spyware, adware, los troyanos, etc. En una red informática, el malware puede ingresar por distintas vías: Correo Electrónico Internet Aplicaciones de Mensajería Instantánea (MSN, Yahoo!, etc) Recursos Compartidos Explotación de Vulnerabilidades

Discos Flexibles Discos Ópticos Otros medios de comunicación habilitados (IRC, P2P, etc) Aunque algunos de estos métodos de reproducción que utiliza el malware puede ser protegido mediante aplicaciones a nivel de servidores o software de políticas de seguridad, no es posible controlarlas todas de esta manera. Por ello, es imperativo que contar con un producto antivirus capaz de detectar todo tipo de malware en cada estación de trabajo y servidor de archivos de la red. Un antivirus debe poseer varios módulos y características para poder proteger en forma completa las estaciones de trabajo de la red. Si la protección no es completa en todo sentido, un solo equipo infectado en la red puede hacer que gran parte del resto de las computadoras también se vean afectadas. El componente primordial que un antivirus debe tener para proteger una estación de trabajo o servidor de archivos es un monitor residente o explorador por acceso. Estos módulos antivirus se mantienen como un proceso activo desde que el sistema operativo se inicia y monitorean todos los archivos que son accedidos por el usuario o por otros programas activos, y los analiza por la presencia de virus. Este monitor residente es una de las partes esenciales del antivirus y como debe estar en ejecución en todo momento, es importante que no consuma demasiados recursos del sistema. El otro módulo de alta importancia de un antivirus es el explorador bajo demanda o scanner, el cual es capaz de explorar todos los archivos y la memoria de la estación de trabajo y detectar la presencia de virus para su posterior desinfección y/o eliminación. El antivirus debe ser capaz de ejecutar tareas programadas desatendidas para que el scanner pueda revisar los equipos en forma completa periódicamente, algo imperativo cuando se trata de servidores de archivos. Ya que la principal entrada de los virus informáticos es el correo electrónico y/o la Internet misma, los antivirus deben ser capaces de contar con un módulo específico para estos medios de comunicación que permita detectar virus antes de que sean descargados en la computadora. Si tenemos en cuenta que hay una gran diversidad de navegadores de Internet y clientes de correo electrónico, la protección que brinda este módulo antivirus debe ser independiente de los programas instalados en la computadora. En una red corporativa, no solo es importante la protección individual de cada equipo, sino su administración y actualización centralizada. Dado que los antivirus

necesitan descargar periódicamente nuevas firmas de virus y/o componentes, para no sobrecargar el acceso a Internet de cada equipo de la red, es importante contar con uno o varios servidores locales de actualización que descarguen lo que el antivirus necesita y lo distribuyan a través de los clientes de la red. A su vez, contar con una administración centralizada y remota, que permita conocer el estado de cada antivirus de la red desde una sola consola es una herramienta muy útil para los administradores de sistemas de una empresa. Además, estas herramientas les permiten ejecutar tareas del antivirus en forma remota en una estación de trabajo en particular o en grupos de ellas, así como cambiar las configuraciones, obtener reportes, y realizar instalaciones o desinstalaciones remotas de los clientes antivirus, sólo nombrando algunas de las tareas que una buena herramienta de administración centralizada antivirus debe tener. Contando con un antivirus que cumpla con lo antes mencionado, en cada estación de trabajo y servidores de archivos, así como con buen software que permita administrarlos y actualizarlos fácilmente, una red corporativa podrá mantenerse protegida de la gran mayoría de las vías de entrada de los virus y el malware, y así velar porque uno de los activos más importantes de la empresa, la información, se mantenga segura e inalterable, además de no desperdiciar recursos de la compañía por el mal funcionamiento de los equipos o la pérdida de la información. Firewall = Cortafuegos Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet. Para eso concentran todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta bloquean pop ups, publicidades, etc. Cómo funcionan los Firewall Se manejan por zonas (seguras o no) o bien por niveles de seguridad, los que establece el usuario según el grado de permisividad que le imponga al equipo. Pero luego el programa se va configurando con el tiempo. Como decimos en cada review, en realidad con los Firewalls no hay que hacer nada, sólo configurarlos según las necesidades o gustos del usuario, cosa que no termina con la instalación. Tras esta, una vez que el usuario se conecta a Internet (o aún antes)

comienza a trabajar el programa. Los primeros días de uso pueden ser un tanto engorrosos ya que tanto el usuario como el programa “aprenden” mutuamente. El usuario aprende las funciones y el programa qué cosas debe dejar pasar, qué bloquear y qué programas dejar conectar, por eso al principio son puras preguntas, hasta que se van conformando las reglas de uso en la medida que el usuario haga determinadas acciones con las alarmas que pueden ser de varios tipos. Con este tipo de aviso el programa pide que se defina la regla que se va a aplicar entre alguna de las posibles. Una vez que se determina qué hacer con esa acción (por ejemplo permitir que un programa se conecte siempre a Internet), con cada cartel de alerta se van configurando las reglas ya que luego ese aviso no va a volver a aparecer. Con el tiempo estos avisos se reducen al mínimo. Por cada acción crean un registro de la actividad (log) para el posterior análisis del usuario. Tipos de peligros que puede evitar un firewall -Instalación y ejecución de programas instalados clandestinamente desde Internet, por ejemplo vía aplicaciones ActiveX o Java que pueden llegar a transferir datos personales del usuario a sitios. -Acceso de terceros por fallas o errores de configuración de Windows (por ejemplo de NetBIOS). -Instalación de publicidad (advertisers) o elementos de seguimiento (track) como las cookies. -Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas por terceros para extraer datos personales. A diferencia del virus, estos troyanos son activados en forma remota por un tercero. -Reducción del ancho de banda disponible por el tráfico de banners, pop us, sitios no solicitados, y otro tipo de datos innecesarios que ralentizan la conexión.

-Utilización de la línea telefónica por terceros por medio de Dialers (programas que cortan la actual conexión y utilizan la línea para llamadas de larga distancia)

Ejemplos de virus; Virus de la pelota Origen; Italia, 1987. Características; Aparece una pelota rebotando en la pantalla, este efecto se produce si se efectua acceso al disco. Se instala en el sector de arranque (BOOT) de disquetes y discos duros. Se contagia cuando se arranca el ordenador con un disco infectado. Brain Origen; paquistan, 1986. Características; Fue elaborado por dos hermanos pakistaníes (basit y amjads ) para evitar las copias ilegales de sus programas. Cambia la etiqueta de volumen de los discos infectados por ‘c brain’ ((c) ashar en otra versión. Se instala en el sector de arranque de los disquetes y se contagia de la misma manera que el virus de la pelota. MIX1 Origen; Israel, 1989. Característica; intercepta la salida de datos por impresora. Inhabilita el normal funcionamiento de las teclas Caps_lock y Num_lock. Aparece una “o” rebotando por la pantalla cuando ha transcurrido 1 hora exactamente. Se contagia al ejecutar algún fichero infectado. Traceback Origen; Gran Bretaña, 1988. Desciende por grupos las letras que se encuentran en pantalla. Se aloja en los ficheros COM y EXE. Se contagia mediante la ejecución de un fichero infectado. 4096 Origen; Israel, 1990. Características; Altera las entradas en la FAT, provocando la perdida de la información contenida en el disco. Contiene un mensaje encriptado que nunca se visualiza y que dice “Frodo lives”. Se instala en los ficheros COM y EXE. Cuando el virus se encuentra en memoria, se contagiaran todos los ficheros que sean ejecutados o abiertos por cualquier motivo.

Fu manchu Origen; Se trata de una modificación del virus viernes 13. Características; Intercepta la entrada del teclado, de tal forma que al pulsar las teclas CTRL-ALT-DEL visualizara en la pantalla el mensaje “El mundo me escuchara de nuevo “. Se instala y se contagia de la misma forma que viernes 13. Cascada Origen; Alemania, 1987. Características; Sus síntomas son parecidos a los de los virus Traceback, pero en este caso los caracteres descienden por la pantalla de uno en uno. Se instala al final de los ficheros COM. Se contagia al ejecutar cualquier fichero infectado. Lehigh Origen; Estados unidos, 1987. Características; Tras reproducirse 4 veces, sobrescribe los 32 sectores del disco siguientes al sector de arranque con parte del código contenido en la ROM-BIOS. Se instala únicamente en el COMMAND.COM. Se contagia pasando a memoria cuando el ordenador se arranque y se ejecute el COMMAND.COM infectado. Alabama Origen; Alabama (Estado Unidos), 1987. Características; Visualiza un mensaje en pantalla, indicando que la copia de programas está prohibida por las leyes internacionales. Se ubica solo en los ficheros EXE y se contagia al ejecutar cualquier fichero infectado. Amstrad Origen; Portugal, 1988. Visualiza en la pantalla el mensaje “Tu PC tiene un virus y esta es su quinta generación”. Se ubica únicamente en los ficheros COM. El mensaje es visualizado aleatoriamente una media de 1 de cada 2 veces que se ejecuta un fichero que cumple dicha condición. Solo infecta a otros ficheros COM. Datacrime Origen; Holanda, 1988.

Características; Si la fecha del sistema es posterior al 12 de octubre de cualquier año, visualizara un mensaje en pantalla, tras lo cual procederá a formatear a bajo nivel la pista 0 del disco duro. No se reside en la memoria, por lo tanto, solo se transmitirá a otros ficheros en el instante en que se ejecute cualquier fichero infectado. Den Zuk Origen; Indonesia, 1988. Características; Visualizara el nombre “Den Zuk” en letras grandes que aparecen en ambos lados de la pantalla. Se aloja en una parte del sector de arranque (BOOT). Como todos los virus BOOT, únicamente podrá instalarse en el ordenador si se arranca con algún disco infectado. Icelandic Origen; Islandia, 1988. Características; Cada vez que se ejecuta un fichero infectado, marcara como defectuoso un cluster del disco duro. Se instala únicamente en los ficheros EXE. Se contagia cada vez que se ejecuta cualquier programa infectado, el virus queda residente en la memoria. Vienna Origen; Austria, 1988. Características; Uno de cada ocho ficheros infectados quedan inutilizables, y reinician el ordenador cuando se ejecutan. Se aloja al final de los ficheros COM. Se contagia al ejecutar un fichero infectado y se transmitirá a otro fichero COM que se encuentre en el mismo directorio. Alameda Origen; California (Merritt College), 1987. Características; La versión original de este virus no destruía ni borraba ningún dato, pero una de las versiones posteriores formatea el disco infectado tras haberse reproducido varias veces. Se aloja en el sector de los disquetes. Se contagia como todos los demás virus BOOT. dBase Origen, Estado unidos, 1988.

Características; Altera aleatoriamente algunos bytes de los ficheros .DBF, destruye la FAT, y el directorio raíz 90 días después de su llegada al sistema. Se ubica en los ficheros COM y EXE. Se contagia cuando se ejecuta algún fichero infectado. Oropax Características; Transcurridos aproximadamente 5 minutos desde que el virus se instalo en memoria, se escuchan tres tonos diferentes de música, esta situación se repite cada 7 minutos. Se instala en los ficheros COM. Al ejecutar algún fichero infectado, el virus queda residente en la memoria. Pentagon Origen; Estados unidos, 1988. Características; El único efecto conocido es que elimina el virus Brain de los disquetes en los que se instala. Se contagia al arrancar el ordenador con un disco infectado. South African Origen; Sud África, 1987. Características; Borra los ficheros ejecutados los días viernes y 13. Se ubica únicamente en los ficheros COM, instalándose al final de estos e incrementando su tamaño. Este virus no es residente en memoria, por tanto, solo infectara a otros ficheros COM. Flip Origen; Alemania, 1990. Características; Modifica el modo de resolución de texto en ordenadores con EGA o VGA. Aparecen numerosos errores cuando se chequea el disco duro con el orden CHKDSK. Se instala al final de los ficheros COM y EXE. Se contagia cuando el virus se instala en la memoria y ejecuta cualquier fichero contaminado.

Bibliografía  Juan José Nombila, Javier del Pino González, Luis M del Pino González, Virus Informático, Ed. Paraninto, 2ª ed, España, 1991, pp 15-23, 73-95.  Jesús de Marcelo Rodao, Virus de Sistemas Informáticos e Internet, Ed. Alfaomega, México, 2000, pp. 76-85, 173-175  Ramón montero Ayala, protección ante internet, Ed. Creaciones, España, 2007, pp 61-108  http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico  http://www.infospyware.com/articulos/%C2%BFque-son-los-virusinformaticos/  http://www.monografias.com/trabajos15/virus-informatico/virusinformatico.shtml  http://spi1.nisu.org/recop/al01/salva/definic.html  http://www.slideshare.net/karen4880/los-virus-informaticos-5026113  http://www.slideshare.net/karen4880/los-virus-informaticos-5026113  http://www.tiposde.org/informatica/19-tipos-de-virusinformaticos/#ixzz2edkwVwWw  http://www.consumer.es/web/es/tecnologia/software/2005/03/14/140418.php  http://www.masadelante.com/faqs/que-es-un-gusano