|
Somos el museo virtual más grande y mejor en español.
|
Los virus informáticos pueden clasificarse en en tres ramas principales en base a su estructura, comportamiento o tecnología. Por su estructurase entiende que es en referencia al diseño mismo del virus, incluyendo lenguaje de desarrollo, plataforma para la que fue esbozado y su objetivo de infección Virus de programaInfectan archivos ejecutables, es decir, aquellos que pueden ser interpretados y/o ejecutados directamente por el sistema operativo o aplicaciones legítimas. Estos archivos suelen tener las extensiones .COM, .EXE, .OVL, .DLL, .DRV, .SYS, .BIN e incluso .BAT y PIF. Virus de sector de inicioInfectan el área de sistema de un disco, es decir, el registro de arranque de los disquetes y los discos duros. Todos los dispositivos con capacidad de arranque, llámese disquete, disco duro, CD-ROM, ZIP, etcétera, aunque sólo almacenen datos, contienen un microdódigo en un área conocida como sector de inicio. Este microcódigo es el encargado de indicar a la computadora, además de algunos datos de configuración del medio, si este es capaz de iniciar el equipo o no. Los virus de sector de inicio se adjuntan a este código como parte de él y se inician cuando el usuario intenta lanzar o iniciar desde el disco infectado. Algunos ejemplos de virus de sector de arranque son Form, Disk Killer, Michelangelo y Stoned. Este tipo de virus no afecta el contenido del disco, por lo cual no estará en peligro a no ser que se intente arrancar el equipo con el disco infectado. Si esto ocurre, el virus realizará la infección siguiendo una serie de pasos habituales:
Las infecciones de este tipo de virus se suelen realizar mediante disquetes. Virus de macro o MacrovirusInfectan archivos creados con aplicaciones que soportan macrolenguajes, tales como las suites de oficina de todos los vendedores y algunas aplicaciones específicas como Corel Draw, AutoCAD, etc. Todos estos virus usan un lenguaje de programación propio de estos programas, que fue implementado originalmente para permitir a los usuarios automatizar tareas. Estos virus son típicos de documentos de procesadores de texto, hojas de cálculo, manejadores de presentaciones, motores de bases de datos de escritorio, clientes de correo, etc. Los macrovirus realizan infecciones sobre los ficheros que se han creado con determinadas aplicaciones o programas. Con ellos es posible crear documentos de texto, bases de datos, hojas de cálculo,...etc. Cada uno de estos tipos de ficheros puede tener adicionalmente unos pequeños programas, denominados macros. Una macro no es más que un micro-programa que el usuario asocia al fichero que ha creado con determinadas aplicaciones y que no depende del sistema operativo sino de acciones determinadas que el usuario puede realizar dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos de operaciones para que se lleven a cabo como una sola acción del usuario de forma independiente sin necesidad de realizarlas una a una manualmente. Pues bien, estas macros son susceptibles de infección, lo que significa que los virus (más concretamente los de macro) pueden fijar sus objetivos de infección en ellas. En este caso, al abrir un documento que contenga macros, éstas se cargarán de forma automática (ejecutándose o esperando que el usuario decida ejecutarlas). En ese instante o posteriormente, el virus actuará realizando cualquier tipo de operación perjudicial. Al diferencia de lo que se piensa habitualmente, los virus de macro pueden realizar acciones dañinas de bastante importancia, propagándose en poco tiempo de forma muy rápida. Por su comportamientoSe entiende que es la lógica de operación del virus, TroyanoLos caballos de Troya son impostores, archivos que parecen tener una función deseable pero que en realidad son maliciosos. Una diferencia muy importante respecto de los virus reales es que NO crean réplicas de sí mismos como hacen los virus. No se trata realmente de virus, pero con frecuencia son clasificados como virus. Los sitios públicos de reputación reconocida son los que menos probabilidad tienen de contener archivos con caballos de Troya. Sin embargo, los archivos adjuntos enviados en mensajes no solicitados o los archivos descargados tienen muchas posibilidades de ser caballos de Troya. Muchos virus de macro de Microsoft Word también son considerados como caballos de Troya. Para obtener una lista completa de caballos de Troya, visite el sitio Web del SARC, en la dirección http://www.symantec.com/region/mx/avcenter/vinfodb.html y busque la palabra inglesa "trojan". GusanoLos virus de gusano son programas que crean réplicas de sí mismos de un sistema a otro, sin necesidad de un archivo anfitrión. Esto es lo que les distingue de los virus, que necesitan infectar un archivo anfitrión y propagarse desde él. Muchos virus de macro se consideran gusanos. A pesar de que los virus de gusano suelen "vivir" dentro de otros archivos, normalmente documentos de Word o Excel, existe una diferencia entre cómo se usan los archivos anfitriones desde los gusanos y los virus. Normalmente, el creador del gusano libera un documento que ya contiene la macro de "gusano". Este documento no cambiará (no debe hacerlo) a causa del código o la especificación del gusano. La totalidad del documento se desplaza de una computadora a otra, de forma que el documento en sí puede ser considerado como un gusano. Una buena forma de entender estos mecanismos es imaginar que tiene un gusano binario (un archivo EXE u otro ejecutable). Tiene una cabecera EXE y el cuerpo del código. Por tanto, el gusano está formado por la "cabecera" EXE + "código" no sólo el "código" EXE. Extrapolando este esquema a un gusano, el documento que contiene el gusano sería la cabecera del ejecutable. Sin el documento, el gusano no podría funcionar y por tanto no sería tal gusano. Bomba de tiempoPermanecen ocultos hasta que se cumpla con ciertos requisitos como la hora y fecha determinada. Virus de enlace o de directorioLos ficheros son los documentos que contienen la información real en la que se ha trabajado (textos, bases de datos, hojas de cálculo, imágenes, sonido,... etc.) o programas (extensiones EXE y COM) y otros tipos de "elementos" que hacen posible la ejecución de éstos. Cuando hablamos de un fichero, podemos emplear indistintamente éste término, o el de documento, o el de archivo. Para organizar toda esta información, se crean directorios o carpetas que son quienes contienen a los ficheros, pudiendo contener también otras carpetas o directorios (subcarpetas o subdirectorios). De esta forma, la estructura de un disco se puede ver como una gran carpeta clasificadora en la que los ficheros son guardados en determinadas secciones (directorios o carpetas). Otra forma diferente de presentar este concepto es pensar que el disco es una mesa de despacho en la que tenemos cajones. Estos cajones son los directorios, dentro de los cuales guardamos hojas (que representarían a los documentos, ficheros o archivos), pero que también pueden contener subsecciones (subcarpetas o subdirectorios). En definitiva el documento, fichero o archivos es el contenido y las carpetas o directorios son el continente que alberga dicho contenido. Pues bien, el sistema informático deberá conocer en todo momento información sobre un determinado fichero, como el nombre que tiene y el lugar (carpeta o directorio) en el que se encuentra (en el que se ha guardado). Para ello le asignará una dirección a la que se debería acceder en caso de desear utilizar ese determinado fichero. Los virus de enlace o directorio se encargan de alterar estas direcciones para provocar la infección de un determinado fichero. Si un programa (fichero EXE o COM) se encuentra en una dirección concreta, para ejecutarlo habrá que acceder a dicha dirección. Sin embargo, el virus la habrá modificado con anterioridad. Lo que hace es alterar esta dirección para que apunte al lugar en el que se encuentra el virus, guardando en otro lugar la dirección de acceso correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se hará realmente es ejecutar el virus. Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los ficheros del disco (disco duro), su capacidad para infectar TODOS éstos es real. De este modo, los virus de enlace o directorio pueden infectar toda la información contenida en un disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los ficheros infectados. En caso de realizar un análisis del disco en busca de errores (mediante programas como SCANDISK o CHKDSK), se detectarán grandes cantidades de errores que identifican todos los enlaces a los ficheros que el virus ha modificado. No obstante, en este caso sería mejor no recuperarlos ya que podría producirse un caos en lo que al sistema de almacenamiento de la información se refiere, que sería más perjudicial si cabe. Por su tecnologíaLos programadores de virus pueden valerse de diversas tecnologías para que el virus sea lo más eficiente y efectivo posible, esto es, cumplir con todas las tareas para la que fue programado, pasando desapercibido ante el antivirus del sistema y del usuario mismo. BlindajeEs una forma muy peculiar de programación, donde el autor usa una serie de cubiertas o shells en el archivo que contiene el virus para que éste no pueda ser fácilmente "rastreado" o desensamblado. OcultamientoUn virus con esta tecnología es aquel que al activarse esconde las modificaciones hechas a los archivos o al sector de arranque de los discos, simulando una operación correcta del sistema, los programas o los documentos infectados. PolimorfismoLos virus en los que se implementa esta tecnología son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la programación van cambiando secuencialmente cada vez que se autoencriptan e inclusive al momento de reproducirse, de tal forma que sus valores de cadena, los que utilizan los antivirus para identificarlos, varían. El virus polimórfico produce varias, pero diferentes copias de sí mismo, manteniendo operativo su microcódigo viral. DesactivaciónUn virus que emplea la técnica del " túnel" intercepta los manipuladores de la interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo cualquier actividad de monitoreo de las vacunas antivirus. PPILa mayoría de virus "musicales" y los que afectan a los periféricos pertenecen a esta categoría. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta de sonido, un módem o CD-ROM por ejemplo, el software instalador de cada uno de éstos se encarga de programar automáticamente el PPI (Interfase Programable de Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt request), los cuales son asignados para ser usados específicamente por cada periférico, para evitar que tengan conflictos con otros ya existentes. ResidenteVirus Residentes: cuando se ponen en marcha, la primera acción que realizan consiste en comprobar si se cumplen todas las condiciones para atacar (fecha, hora,... etc.). De no ser así, se colocan en una zona de la memoria principal, esperando que se ejecute algún programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable (programa) no infectado el virus lo infectará. Para ello, el virus se añadirá al programa que infecta, añadiendo su código al propio código del fichero ejecutable (programa). CompañíaVirus de Compañía: para efectuar sus operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve a cabo la ejecución de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos (virus de acción directa). Al contrario que los virus de sobrescritura o los residentes, los virus de compañía no modifican los ficheros que infectan. Cuando el sistema operativo está trabajando (ejecutando programas, ficheros con extensiones EXE y COM) puede ocurrir que éste, el S.O., tenga que ejecutar un programa con un nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con diferentes extensiones (uno con extensión EXE y otro con extensión COM), el sistema operativo ejecutará en primer lugar el que lleve la extensión COM. Esta peculiaridad del sistema operativo es aprovechada por los virus de compañía. En caso de existir un fichero ejecutable con un determinado nombre y extensión EXE, el virus se encargará de crear otro fichero con el mismo nombre pero con extensión COM haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. Este fichero que crea será el propio virus y el sistema operativo, al encontrarse con dos ficheros que llevan el mismo nombre, ejecutará en primer lugar el de extensión COM, siendo éste el virus que en ese preciso instante realizará la infección. Tras realizarse la ejecución del fichero COM correspondiente al virus, éste devuelve el control al sistema operativo para que ejecute el fichero EXE. De esta forma el usuario no tendrá conocimiento de la infección que en ese preciso instante ha tenido lugar. |
Un miembro de
|