VIRUS
Un virus informático es un
programa que se copia automáticamente y que tiene por objeto alterar el normal
funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
Aunque popularmente se incluye al "malware" dentro de los virus, en
el sentido estricto de esta ciencia los virus son programas que se replican y
ejecutan por sí mismos. Los virus, habitualmente, reemplazan archivos
ejecutables por otros infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en un ordenador, aunque
también existen otros más "benignos", que solo se caracterizan por
ser molestos.
Los
virus informáticos tienen, básicamente, la función de propagarse, replicándose,
pero algunos contienen además una carga dañina (payload) con distintos
objetivos, desde una simple broma hasta realizar daños importantes en los
sistemas, o bloquear las redes informáticas generando tráfico inútil.
El
funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un
programa que está infectado, en la mayoría de las ocasiones, por
desconocimiento del usuario. El código del virus queda residente (alojado) en
la memoria RAM de la computadora, aun cuando el programa que lo contenía haya
terminado de ejecutarse. El virus toma entonces el control de los servicios
básicos del sistema operativo, infectando, de manera posterior, archivos
ejecutables que sean llamados para su ejecución. Finalmente se añade el código
del virus al del programa infectado y se graba en disco, con lo cual el proceso
de replicado se completa.
Clasificación:
Según algunos autores existen,
fundamentalmente dos tipos de virus:
- Aquellos que infectan archivos. A su vez, éstos
se clasifican en:
- Virus de acción directa. En el momento
en el que se ejecutan, infectan a otros programas.
- Virus residentes. Al ser
ejecutados, se instalan en la memoria de la computadora. Infectan a los demás programas
a medida que se accede a ellos. Por ejemplo, al ser ejecutados.
- Los que infectan el sector de arranque, (virus de boot). El
sector de arranque es lo primero que lee el ordenador cuando es encendido.
Estos virus residen en la memoria.
- Existe una tercera categoría llamada multipartite,
pero corresponde a los virus que infectan archivos y al sector de arranque, por
lo que se puede decir que es la suma de las dos categorías anteriores.
Tipos de virus:
Existen una variedad de virus en
función de su forma de actuar o de su forma de infectar clasificados de la
siguiente manera.
- Acompañante: estos virus basan su principio en
que MS-DOS ejecuta en primer lugar el archivo con extensión COM frente al de
extensión EXE, en el caso de existir dos archivos con el mismo nombre pero
diferente extensión dentro del mismo directorio. El virus crea un archivo COM
con el mismo nombre y en el mismo lugar que el EXE a infectar. Después ejecuta
el nuevo archivo COM, creado por el virus, y cede el control al archivo EXE.
Archivo: los
virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e
incluso BAT. Este tipo de virus se añade al principio o al final del archivo.
Estos se activan cada vez que el archivo infectado es ejecutado, ejecutando
primero su código vírico y luego devuelve el control al programa infectado
pudiendo permanecer residente en la memoria durante mucho tiempo después de que
hayan sido activados
Ejemplos de virus:
- Worms o gusanos: se registran
para correr cuando inicia el sistema operativo ocupando la memoria y volviendo
lento al ordenador, pero no se adhieren a otros archivos ejecutables. Utilizan
medios masivos como el correo electrónico para esparcirse de manera global.
- Troyanos: suelen ser los más peligrosos, ya
que no hay muchas maneras de eliminarlos. Funcionan de modo similar al caballo
de Troya; ayudan al atacante a entrar al sistema infectado, haciéndose
pasar como contenido genuino (salvapantallas, juegos, música). En ocasiones
descargan otros virus para agravar la condición del equipo.
- Jokes o virus de broma: no son realmente
virus, sino programas con distintas funciones, pero todas con un fin de
diversión, nunca de destrucción, aunque pueden llegar a ser muy molestos.
- Hoaxes o falsos virus: son mensajes con
una información falsa; normalmente son difundidos mediante el correo
electrónico, a veces con fin de crear confusión entre la gente que recibe este
tipo de mensajes o con un fin aún peor en el que quieren perjudicar a alguien o
atacar al ordenador mediante ingeniería social.
- Virus de macros: un macro es una
secuencia de ordenes de teclado y mouse asignadas a una sola tecla, símbolo o
comando. Son muy útiles cuando este grupo de instrucciones se necesitan
repetidamente. Los virus de macros afectan a archivos y plantillas que los
contienen, haciéndose pasar por una macro y actuarán hasta que el archivo se
abra o utilice.
Daños:
- Dado que una característica de los virus es el consumo de
recursos, los virus ocasionan problemas tales como: pérdida de productividad,
cortes en los sistemas de información o daños a nivel de datos.
- Otra de las características es la posibilidad que tienen
de ir replicándose. Las redes en la actualidad ayudan a dicha
propagación cuando éstas no tienen la seguridad adecuada.
- Otros daños que los virus producen a los sistemas
informáticos son la pérdida de información, horas de parada productiva, tiempo
de reinstalación, etc.
- Hay que tener en cuenta que cada virus plantea una
situación diferente.
Métodos de contagio:
- Existen dos grandes clases de contagio. En la primera, el
usuario, en un momento dado, ejecuta o acepta de forma inadvertida la
instalación del virus. En la segunda, el programa malicioso actúa replicándose
a través de las redes. En este caso se habla de gusanos.
- En cualquiera de los dos casos, el sistema operativo
infectado comienza a sufrir una serie de comportamientos anómalos o
imprevistos. Dichos comportamientos pueden dar una pista del problema y
permitir la recuperación del mismo.
- Dentro de las contaminaciones más frecuentes por
interacción del usuario están las siguientes:
- Mensajes que ejecutan automáticamente programas (como el
programa de correo que abre directamente un archivo adjunto).
- Ingeniería social, mensajes como ejecute este programa
y gane un premio.
- Entrada de información en discos de otros usuarios
infectados.
- Instalación de software pirata o de baja calidad.
Métodos de protección:
Los
métodos para disminuir o reducir los riesgos asociados a los virus pueden ser
los denominados activos o pasivos.
Activos
- Antivirus: los llamados programas antivirus
tratan de descubrir las trazas que ha dejado un software malicioso, para
detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación.
Tratan de tener controlado el sistema mientras funciona parando las vías
conocidas de infección y notificando al usuario de posibles incidencias de
seguridad.
- Filtros de ficheros: consiste en
generar filtros de ficheros dañinos si el ordenador está conectado a una red.
Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando
técnicas de firewall. En general, este sistema proporciona una seguridad donde
no se requiere la intervención del usuario, puede ser muy eficaz, y permitir
emplear únicamente recursos de forma más selectiva.
LOS ANTIVIRUS
Los antivirus son programas
cuya función es detectar y eliminar Virus informáticos y otros programas
maliciosos (a veces denominados malware).
Básicamente,
un antivirus compara el código de cada archivo con una base de datos de los
códigos (también conocidos como firmas o vacunas) de los virus conocidos, por
lo que es importante actualizarla periódicamente a fin de evitar que un virus
nuevo no sea detectado.
Actualmente
a los antivirus se les ha agregado funciones avanzadas, como la búsqueda de
comportamientos típicos de virus (técnica conocida como Heurística) o la
verificación contra virus en redes de computadoras.
Normalmente
un antivirus tiene un componente que se carga en memoria y permanece en ella
para verificar todos los archivos abiertos, creados, modificados y ejecutados
en tiempo real. Es muy común que tengan componentes que revisen los adjuntos de
los correos electrónicos salientes y entrantes, así como los scripts y programas
que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).
Métodos de
contagio:
Existen
dos grandes grupos de contaminaciones, los virus donde el usuario en un
momento dado ejecuta o acepta de forma inadvertida la instalación del virus, o
los gusanos donde el programa malicioso actúa replicándose a través de las
redes.
En
cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir
una serie de comportamientos anómalos o no previstos. Dichos comportamientos
son los que nos dan la traza del problema y tienen que permitir la recuperación
del mismo.
Dentro
de las contaminaciones más frecuentes por interacción del usuario están las
siguientes:
- Mensajes que ejecutan automáticamente programas (como el
programa de correo que abre directamente un archivo adjunto)
- Ingeniería social, mensajes como ejecute este programa
y gane un premio.
- Entrada de información en discos de otros usuarios
infectados.
Instalación de software pirata o de
baja calidad, que pueda contener junto con el software uno o varios programas
maliciosos
Antivirus
(activo)
Estos
programas como se ha mencionado tratan de encontrar la traza de los programas
maliciosos mientras el sistema este funcionando.
Tratan
de tener controlado el sistema mientras funciona parando las vías conocidas de
infección y notificando al usuario de posibles incidencias de seguridad.
Como
programa que esté continuamente funcionando, el antivirus tiene un efecto
adverso sobre el sistema en funcionamiento. Una parte importante de los
recursos se destinan al funcionamiento del mismo. Además dado que están
continuamente comprobando la memoria de la maquina, dar más memoria al sistema
no mejora las prestaciones del mismo.
Otro
efecto adverso son los falsos positivos, es decir al notificar al
usuario de posibles incidencias en la seguridad, éste que normalmente no es un
experto de seguridad se acostumbra a dar al botón de autorizar a todas
las acciones que le notifica el sistema. De esta forma el antivirus funcionando
da una sensación de falsa seguridad
Tipos de vacunas:
- CA: Sólo detección: son vacunas que
solo detectan archivos infectados sin embargo no pueden eliminarlos o
desinfectarlos.
- CA: Detección y desinfección: son vacunas que
detectan archivos infectados y que pueden desinfectarlos.
- CA: Detección y aborto de la acción: son
vacunas que detectan archivos infectados y detienen las acciones que causa el
virus.
- CA: Detección y eliminación de archivo/objeto: son
vacunas que detectan archivos infectados y eliminan el archivo u objeto que
tenga infección.
- CB: Comparación directa: son vacunas que
comparan directamente los archivos para revisar si alguno esta infectado
- CB: Comparación por signatura: son vacunas
comparan las signaturas de archivos sospechosos para
saber si están infectados.
- CB: Comparación de signatura de archivo: son
vacunas que comparan las signaturas de los atributos guardados en tu equipo.
- CB: Por métodos heurísticos: son vacunas que
usan métodos heurísticos para comparar archivos.
- CC: Invocado por el usuario: son vacunas que
se activan instantáneamente con el usuario.
- CC: Invocado por la actividad del sistema: son
vacunas que se activan instantáneamente por la actividad del sistema
Filtros de ficheros (activo)
- Otra
aproximación es la de generar filtros dentro de la red que proporcionen un
filtrado más selectivo. Desde el sistema de correos, hasta el empleo de
técnicas de firewall, proporcionan un método activo y eficaz de eliminar
estos contenidos.
- En
general este sistema proporciona una seguridad donde el usuario no requiere de
intervención, puede ser más tajante, y permitir emplear únicamente recursos de
forma más selectiva.
- Cuando
el número de puestos a filtrar crece puede ser conveniente
Copias de seguridad (pasivo)
Mantener
una política de copias de seguridad garantiza la recuperación de los datos y la
respuesta cuando nada de lo anterior ha funcionado.
Asimismo
las empresas deberían disponer de un plan y detalle de todo el software
instalado para tener un plan de contingencia en caso de problemas.
Planificación
La
planificación consiste en tener preparado un plan de contingencia en caso de
que una emergencia de virus se produzca, así como disponer al personal de la formación
adecuada para reducir al máximo las acciones que puedan entrañar riesgo.
