Ensayos e tareas, cursos e trabajos para la education

 Ensayostube.com - biblioteca de ensayos, notas de cursos, trabajos de investigación. Consultar ensayos de calidad
Ensayostube
Consultar ensayos de calidad


¿Qué es un antivirus?, ¿Qué es un virus?, Especies de virus, Técnicas de programación de virus



Índice
Pag.
Portada 1
Índice 2
Introducción 3
¿Qué es un antivirus? 4
Funcionamiento del antivirus 6
Historia del antivirus 7
¿Qué es un virus? 9
Algunas de las características de estos agentes víricos 10
Generalidades sobre los virus de computadora 12
Estrategias de infección realizadas por los virus 14
Especies de virus 16
Virus por su destino de infección 18
Virus por sus acciones o modos de activación 24
Técnicas de programación de virus 31
Como saber si tenemos un virus 35¿Qué medidas de protección resultan efectivas? 37
Formas de prevención y eliminación del virus 38
Conclusión 40

Introducción
En la actualidad las computadoras no solamente se utilizan como herramientas auxiliares en nuestra vida, sino como un medio eficaz para obtener y distribuir información. La informatica esta presente hoy en día en todos los campos de la vida moderna facilitandonos grandemente nuestro desempeño, sistematizando tareas que antes realizabamos manualmente.


Este esparcimiento informatico no sólo nos ha traído ventajas sino que también problemas de gran importancia en la seguridad de los sistemas de información en negocios, hogares, empresas, gobierno, en fin, en todos los aspectos relacionados con la sociedad. Y entre los problemas estan los virus informaticos cuyo propósito es ocasionar perjuicios al usuario de computadoras. Pueden ocasionar pequeños trastornos tales como la aparición de mensajes en pantalla hasta el formateo de los discos duros del ordenador, y efectivamente este puede ser uno de los mayores daños que un virus puede realizar a u ordenador.
Pero como para casi todas las cosas dañinas hay un antídoto, para los virus también lo hay: el antivirus, que como mas adelante se describe es un programa que ayuda a eliminar los virus o al menos a asilarlos de los demas archivos para que nos los contaminen.
¿Qué es antivirus?
Los antivirus son aplicaciones desoftware que han sido diseñados como medida de protección y seguridad para resguardar los datos y el funcionamiento de sistemas informaticos caseros y empresariales de aquellas otras aplicaciones conocidas comúnmente como virus o malware que tienen el fin de alterar, perturbar o destruir el correcto desempeño de las computadoras.
Un programa de protección de virus tiene un funcionamiento común que a menudo compara el código de cada archivo que revisa con una base de datos de códigos de virus ya conocidos y, de esta manera, puede determinar si se trata de un elemento perjudicial para el sistema. También puede reconocer un comportamiento o patrón de conducta típico de un virus. Los antivirus pueden registrar tanto los archivos que se encuentran adentro del sistema como aquellos que procuran ingresar o interactuar con el mismo.
Como nuevos virus se crean en forma casi constante, siempre es preciso mantener actualizado el programa antivirus, de forma de que pueda reconocer a las nuevas versiones maliciosas. Así, el antivirus puede permanecer en ejecución durante todo el tiempo que el sistema informatico permanezca encendido, o bien, registrar un archivo o serie de archivos cada vez que el usuario lo requiera. Normalmente, los antivirus también pueden revisar correos electrónicos entrantes y salientes y sitios web visitados.
Un antivirus puede complementarse con otras aplicaciones de seguridad como firewalls o anti-spyware que cumplen funciones accesorias para evitar el ingreso de virus.












Funcionamiento del antivirus
El funcionamiento de un antivirus varía de unoa otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuales son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador esta en uso. Asimismo, cuentan con un componente de analisis bajo demando (los conocidos scanners, exploradores, etc.), y módulos de protección de correo electrónico, Internet, etc. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informaticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección.

Historia del antivirus
En 1949 un grupo de programadores crearon el primer virus, un programa denominado Core War desarrollado en los laboratorios de Bell Computers, que ejecutaba programas que poco a poco disminuía la capacidad de memoria de los ordenadores. En realidad, Core War no fue un virus informatico, sino mas bien un juego mediante el cual se propagó unode los primeros software con características maliciosas.
En el año de 1972, Bob Thomas, desarrolló un nuevo virus, el Creeper. Este virus atacaba los IBM 360, siendo detectado por Arpanet. A pesar de que Core War marcó el comienzo de la era de los virus informaticos, en realidad Creeper fue el primer virus que incluía las características típicas de un verdadero virus.
Creeper infectaba ordenadores DEC PDP-10 que utilizaban el sistema operativo TENEX. Cuando Creeper llegaba a una computadora, normalmente por ARPANET, el virus se autoejecutaba y comenzaba a mostrar el siguiente mensaje: 'I'm the creeper, catch me if you can! que en español sería algo así como 'Soy la enredadera, atrapame si puedes!'.
El virus no se replicaba de verdad, sino que únicamente iba de un ordenador a otro, eliminandose del ordenador anterior, por ello Creeper nunca se instalaba en un solo ordenador, sino que se movía entre los distintos ordenadores de una misma red.
Para eliminarlo se creó el programa Reaper que no era mas que otro virus que también se extendía en las maquinas conectadas en red y cuando se encontraba con Creeper, lo eliminaba.
El primer antivirus fue el Reaper conocido popularmente como 'segadora' fue lanzado en 1973. Fue creado para buscar y eliminar al virus de red Creeper. Reaper no es un antivirus como los que conocemos hoy en día, pero llevaba a cabo las mismas funcionalidades. Decimos que no es un antivirus en sí ya que en realidad era un virus porque se auto replicaba y se entendía a través de la red.
Hay una gran cantidad de rumores sobre los autores del Reaper, y muchossospechan que fue también el creador de Creeper ya que se ha dicho que la creación del virus fue posiblemente una broma o un experimento científico que se les fue de las manos.
Una posibilidad alternativa es que no lo hizo una sola persona. Hubo considerable participación militar en la red ARPANET y un aspecto de la investigación de ARPANET fue examinar si el sistema es suficientemente robusto para soportar una guerra nuclear y seguir proporcionando una red de comunicaciones. El Reaper podría haber sido un experimento militar para poner a prueba la vulnerabilidad de la red y protección. Esto explicaría por qué la identidad del creador nunca se ha filtrado.




¿Qué es un virus?
Los Virus informaticos son programas de ordenador que se reproducen a sí mismos e interfieren con el hardware de una computadora o con su sistema operativo (el software basico que controla la computadora). Los virus estan diseñados para reproducirse y evitar su detección. Como cualquier otro programa informatico, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informaticos nocivos similares a los virus, pero que no cumplen ambos requisitos de reproducirse y eludir su detección. Estos programas se dividen en tres categorías: Caballos de Troya, bombas lógicas y gusanos. Un caballo deTroya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos. Una bomba lógica libera su carga activa cuando se cumple una condición determinada, como cuando se alcanza una fecha u hora determinada o cuando se teclea una combinación de letras. Un gusano se limita a reproducirse, pero puede ocupar memoria de la computadora y hacer que sus procesos vayan mas lentos.
Algunas de las características de estos agentes víricos
Son programas de computadora: En informatica programa es sinónimo de Software, es decir el conjunto de instrucciones que ejecuta un ordenador o computadora.
Es dañino: Un virus informatico siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que vaya a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador.
Es auto reproductor: La característica mas importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Imaginemos que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días mas tarde tendríamos tres de ellos o mas.
Es subrepticio: Esto significa que utilizara varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo demostrar el tamaño del archivo e incluso todos sus atributos.
Las acciones de los virus son diversas, y en su mayoría inofensivas, aunque algunas pueden provocar efectos molestos y, en ciertos, casos un grave daño sobre la información, incluyendo pérdidas de datos. Hay virus que ni siquiera estan diseñados para activarse, por lo que sólo ocupan espacio en disco, o en la memoria. Sin embargo, es recomendable y posible evitarlos.











Generalidades sobre los virus de computadoras
La primer aclaración que cabe es que los virus de computadoras, son simplemente programas, y como tales, hechos por programadores. Son programas que debido a sus características particulares, son especiales. Para hacer un virus de computadora, no se requiere capacitación especial, ni una genialidad significativa, sino conocimientos de lenguajes de programación, de algunos temas no difundidos para público en general y algunos conocimientos puntuales sobre el ambiente de programación y arquitectura de las computadoras.
En la vida diaria, mas alla de las especificaciones técnicas, cuando un programa invade inadvertidamente el sistema, se replica sin conocimiento del usuario y produce daños, pérdida de información o fallas del sistema. Para el usuario se comportan como tales y funcionalmente lo son en realidad.
Los virus actúan enmascarados por 'debajo' del sistema operativo, como regla general, y para actuar sobre los periféricos del sistema, tales como disco rígido, disqueteras, ZIP’s CD’s, hacen uso de sus propias rutinas aunque no exclusivamente. Un programa 'normal' por llamarlo así, usa lasrutinas del sistema operativo para acceder al control de los periféricos del sistema, y eso hace que el usuario sepa exactamente las operaciones que realiza, teniendo control sobre ellas. Los virus, por el contrario, para ocultarse a los ojos del usuario, tienen sus propias rutinas para conectarse con los periféricos de la computadora, lo que les garantiza cierto grado de inmunidad a los ojos del usuario, que no advierte su presencia, ya que el sistema operativo no refleja su actividad en la computadora. Esto no es una 'regla', ya que ciertos virus, especialmente los que operan bajo Windows, usan rutinas y funciones operativas que se conocen como API’s. Windows, desarrollado con una arquitectura muy particular, debe su gran éxito a las rutinas y funciones que pone a disposición de los programadores y por cierto, también disponibles para los desarrolladores de virus. Una de las bases del poder destructivo de este tipo de programas radica en el uso de funciones de manera 'sigilosa', se oculta a los ojos del usuario común.
La clave de los virus radica justamente en que son programas. Un virus para ser activado debe ser ejecutado y funcionar dentro del sistema al menos una vez. Demas esta decir que los virus no 'surgen' de las computadoras espontaneamente, sino que ingresan al sistema inadvertidamente para el usuario, y al ser ejecutados, se activan y actúan con la computadora huésped.

Estrategias de infección utilizadas por los virus.
Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de maneraque el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su facil detección.
Inserción
El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.
Reorientación
Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
Polimorfismo
Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinamicos para evitar ser detectados por losantivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.


Especies de virus

Existen seis categorías de virus: parasitos, del sector de arranque inicial, multipartitos, acompañantes, de vínculo y de fichero de datos. Los virus parasitos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren al huésped de tal forma que el código del virus se ejecuta en primer lugar. Estos virus pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o mas programas para infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria del ordenador e infecta un programa determinado cuando se ejecuta dicho programa. Los virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles. Los virus multipartitos combinan las capacidades de los virus parasitos y de sector de arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.
Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que unprograma legítimo y engañan al sistema operativo para que lo ejecute. Los virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus. Otros virus infectan programas que contienen lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus, llamados virus de ficheros de datos, estan escritos en lenguajes de macros y se ejecutan automaticamente cuando se abre el programa legítimo. Son independientes de la maquina y del sistema operativo.
Los virus se pueden clasificar de dos formas: Por su destino de infección y pos sus acciones o modo de activación.




Virus por su destino de infección
Infectores de archivos ejecutables
Estos también residen en la memoria de la computadora e infectan archivos ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez, comparten con los virus de area de boot el estar en vías de extinción desde la llegada de sistemas operativos que reemplazan al viejo DOS. Los virus de infección de archivos se replican en la memoria toda vez que un archivo infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de haber sido activados, en ese caso se dice queson virus residentes, o pueden ser virus de acción directa, que evitan quedar residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado el programa infectado. Se dice que estos virus son virus de sobre escritura, ya que corrompen al fichero donde se ubican.
Virus multipartitos (Multi-partite)
Una suma de los virus de area de boot y de los virus de infección de archivos, infectan archivos ejecutables y el area de booteo de discos.
Infectores directos
El programa infectado tiene que estar ejecutandose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas).
Infectores residentes en memoria
El programa infectado no necesita estar ejecutandose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción.
Infectores del sector de arranque
Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Ademas, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de 'Non-system Disk' o 'Disk Error' en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus seejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que parecen esconder estos virus, son de una clase que esta tendiendo a desaparecer, sobre todo desde la explosión de Internet, las redes y los sistemas operativos posteriores al DOS. Algunos virus de boot sector no infectan el sector de arranque del disco duro (conocido como MBR). Usualmente infectan sólo disquetes como se menciona anteriormente, pero pueden afectar también al Disco Rígido, CD, unidades ZIP, etc. Para erradicarlos, es necesario inicializar la Computadora desde un disquete sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector infectado con el sector de arranque original.
Macrovirus
Son los virus mas populares de la actualidad. No se transmiten a través de archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros. Por ende, son específicos de cada aplicación, y no pueden afectar archivos de otro programa o archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete Office (Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access) y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos (llamada en el Word normal.dot), de forma que sean infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseencapacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-mails, etc. Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran variedad de acciones, con diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así
1. Se abre el archivo infectado, con lo cual se activa en memoria.
2. Infecta sin que el usuario se dé cuenta al normal.dot, con eso se asegura que el usuario sea un reproductor del virus sin sospecharlo.
3. Si esta programado para eso, busca dentro de la Computadora los archivos de Word, Excel, etc., que puedan ser infectados y los infecta.
4. Si esta programado, verifica un evento de activación, que puede ser una fecha, y genera el problema dentro de la computadora (borrar archivos, destruir información, etc.)
De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando esta conectado a Internet y se ejecutan cuando la pagina Web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión WWW de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio Web, etc.
De HTML
Un mecanismo de infección mas eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con soloconectarse a Internet, cualquier archivo HTML de una pagina Web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Windows 98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.
Troyanos/Worms
Los troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de auto reproducción, sino que generalmente son diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusión del virus. (Generalmente son enviados por e-mail). Los troyanos suelen ser promocionados desde alguna pagina Web poco confiable, por eso hay que tomar la precaución de bajar archivos ejecutables sólo de sitios conocidos y revisarlos con un antivirus antes de correrlos. Pueden ser programados de tal forma que una vez logre su objetivo se autodestruya dejando todo como si nunca nada hubiese ocurrido.








VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIÓN
Bombas
Se denomina así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u horadeterminada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso, etc.
Retro Virus
Son los virus que atacan directamente al antivirus que esta en la computadora. Generalmente lo que hace es que busca las tablas de las definiciones de virus del antivirus y las destruye.
Virus lentos
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el sistema operativo, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podra infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .exe y .com cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.
Virus voraces
Alteran el contenido de los archivos indiscriminadamente. Este tipo de viruslo que hace es que cambia el archivo ejecutable por su propio archivo. Se dedican a destruir completamente los datos que estén a su alcance.

Sigilosos o Stealth
Este virus cuenta con un módulo de defensa sofisticado. Trabaja a la par con el sistema operativo viendo como este hace las cosas y tapando y ocultando todo lo que va editando a su paso. Trabaja en el sector de arranque de la computadora y engaña al sistema operativo haciéndole creer que los archivos infectados que se le verifica el tamaño de bytes no han sufrido ningún aumento en tamaño.
Polimorfos o Mutantes
Encripta todas sus instrucciones para que no pueda ser detectado facilmente. Solamente deja sin encriptar aquellas instrucciones necesarias para ejecutar el virus. Este virus cada vez que contagia algo cambia de forma para hacer de las suyas libremente. Los antivirus normales hay veces que no detectan este tipo de virus y hay que crear programas específicamente (como son las vacunas) para erradicar dichos virus.
Camaleones
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad estan haciendo algún tipo de daño. Cuando estan correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tareaadicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.
Reproductores
Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms)
Los gusanos son programas que constantemente viajan a través de un sistema informatico interconectado, de computadora en computadora, sin dañar necesariamente el hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Mas alla de los problemas de espacio o tiempo que puedan generar, los gusanos no estan diseñados para perpetrar daños graves.
Backdoors
Son también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente la computadora infectada. Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro delsistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo ve en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la computadora infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.
'Virus' Bug-Ware:
Son programas que en realidad no fueron pensados para ser virus, sino para realizar funciones concretas dentro del sistema, pero debido a una deficiente comprobación de errores por parte del programador, o por una programación confusa que ha tornado desordenado al código final, provocan daños al hardware o al software del sistema. Los usuarios finales, tienden a creer que los daños producidos en sus sistemas son producto de la actividad de algún virus, cuando en realidad son producidos por estos programas defectuosos. Los programas bug-ware no son en absoluto virus informaticos, sino fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador. En realidad son programas con errores, pero funcionalmente el resultado es semejante al de los virus.
Virus de MIRC
Al igual que los bug-ware y los mail-bombers, no son considerados virus. Son una nueva generación de programas que infectan las computadoras, aprovechando las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe por DCC unarchivo llamado 'script.ini'. Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el 'script.ini' original se sobre escriba con el 'script.ini' maligno. Los autores de ese script acceden de ese modo a información privada de la computadora, como el archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
Virus Falsos (Hoax)
Un último grupo, que decididamente no puede ser considerado virus. Se trata de las cadenas de e-mails que generalmente anuncian la amenaza de algún virus 'peligrosísimo' (que nunca existe, por supuesto) y que por temor, o con la intención de prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de panico sin sentido y genera un molesto trafico de información innecesaria.








Técnicas de programación de virus
Los programadores de virus utilizan diversas técnicas de programación que tienen por fin ocultar a los ojos del usuario la presencia del virus, favorecer su reproducción y por ello a menudo también tienden a ocultarse de los antivirus. A continuación se citan las técnicas mas conocidas
Stealth: Técnica de ocultación utilizada para esconder los signos visibles de la infección que podrían delatar su presencia. Sus características son
Mantienen la fecha original del archivo.
Evitan que se muestren los errores de escritura cuando el virus intenta escribir en discos protegidos.
Restar el tamaño del virus a los archivos infectados cuando se hace un DIR
Modificar directamente la FAT.
Modifican la tabla de vectores de interrupción(IVT).
Se instalan en los buffers del DOS.
Se instalan por encima de los 640 KB normales del DOS.
Soportan la reinicializacion del sistema por teclado.
Encriptación o auto encriptación: Técnica de ocultación que permite la encriptación del código del virus y que tiene por fin enmascarar su código viral y sus acciones en el sistema. Por este método los virus generan un código que dificulta la detección por los antivirus.
Anti-debuggers: Es una técnica de protección que tiende a evitar ser desensamblado para dificultar su analisis, paso necesario para generar una 'vacuna' para el antivirus.
Polimorfismo: Es una técnica que impide su detección, por la cual varían el método de encriptación de copia en copia, obligando a los antivirus a usar técnicas heurísticas. Debido a que el virus cambia en cada infección es imposible localizarlo buscandolo por cadenas de código, tal cual hace la técnica de escaneo. Esto se consigue utilizando un algoritmo de encriptación que de todos modos, no puede codificar todo el código del virus. Una parte del código del virus queda inmutable y es el que resulta vulnerable y propicio para ser detectado por los antivirus. La forma mas utilizada para la codificación es la operación lógica XOR, debido a que es reversible: En cada operación se hace necesaria una clave, pero por lo general, usan una clave distinta en cada infección, por lo que se obtiene una codificación también distinta. Otra forma muy usada para generar un virus polimórfico consiste en sumar un número fijo a cada byte del código vírico.
Tunneling: Es una técnica de evasión que tiende aburlar los módulos residentes de los antivirus mediante punteros directos a los vectores de interrupción. Es altamente compleja, ya que requiere colocar al procesador en modo paso a paso, de tal manera que al ejecutarse cada instrucción, se produce la interrupción 1, para la cual el virus ha colocado una ISR (interrupt Service Routine), ejecutandose instrucciones y comprobandose si se ha llegado a donde se quería hasta recorrer toda la cadena de ISR’s que haya colocando el parche al final de la cadena.
Residentes en Memoria o TSR: Algunos virus permanecen en la memoria de las computadoras para mantener el control de todas las actividades del sistema y contaminar todos los archivos que puedan. A través de esta técnica permanecen en memoria mientras la computadora permanezca encendida. Para logra este fin, una de las primeras cosas que hacen estos virus, es contaminar los ficheros de arranque del sistema para asegurar su propia ejecución al ser encendido el equipo, permaneciendo siempre cargado en RAM.













Como saber si tenemos un virus
La mejor forma de detectar un virus es, obviamente con un antivirus, pero en ocasiones los antivirus pueden fallar en la detección. Puede ser que no detectemos nada y aún seguir con problemas. En esos casos 'difíciles', entramos en terreno delicado y ya es conveniente la presencia de un técnico programador. Muchas veces las fallas atribuidas a virus son en realidad fallas de hardware y es muy importante que la persona que verifique el equipo tenga profundos conocimientos de arquitectura de equipos, software, virus, placas dehardware, conflictos de hardware, conflictos de programas entre sí y bugs o fallas conocidas de los programas o por lo menos de los programas mas importantes. Las modificaciones del Setup, cambios de configuración de Windows, actualización de drivers, fallas de RAM, instalaciones abortadas, rutinas de programas con errores y aún oscilaciones en la línea de alimentación del equipo pueden generar errores y algunos de estos síntomas. Todos esos aspectos deben ser analizados y descartados para llegar a la conclusión que la falla proviene de un virus no detectado o un virus nuevo aún no incluido en las bases de datos de los antivirus mas importantes.
Aquí se mencionan algunos de los síntomas posibles
Reducción del espacio libre en la memoria RAM: Un virus, al entrar al sistema, se sitúa en la memoria RAM, ocupando una porción de ella. El tamaño útil y operativo de la memoria se reduce en la misma cuantía que tiene el código del virus. Siempre en el analisis de una posible infección es muy valioso contar con parametros de comparación antes y después de la posible infección. Por razones practicas casi nadie analiza detalladamente su computadora en condiciones normales y por ello casi nunca se cuentan con patrones antes de una infección, pero sí es posible analizar estos patrones al arrancar una computadora con la posible infección y analizar la memoria arrancando el sistema desde un disco libre de infección.
Las operaciones rutinarias se realizan con mas lentitud: Obviamente los virus son programas, y como tales requieren de recursos del sistema para funcionar y su ejecución, mas al serrepetitiva, llevan a un enlentecimiento global en las operaciones.
Aparición de programas residentes en memoria desconocidos: El código viral, como ya dijimos, ocupa parte de la RAM y debe quedar 'colgado' de la memoria para activarse cuando sea necesario. Esa porción de código que queda en RAM, se llama residente y con algún utilitario que analice la RAM puede ser descubierto. Aquí también es valioso comparar antes y después de la infección o arrancando desde un disco 'limpio'.
Tiempos de carga mayores: Corresponde al enlentecimiento global del sistema, en el cual todas las operaciones se demoran mas de lo habitual.
Aparición de mensajes de error no comunes: En mayor o menor medida, todos los virus, al igual que programas residentes comunes, tienen una tendencia a 'colisionar' con otras aplicaciones. Aplique aquí también el analisis pre / post-infección.
Fallos en la ejecución de los programas: Programas que normalmente funcionaban bien, comienzan a fallar y generar errores durante la sesión.
¿Qué medidas de protección resultan efectivas?
Obviamente, la mejor y mas efectiva medida es adquirir un antivirus, mantenerlo actualizado y tratar de mantenerse informado sobre las nuevas técnicas de protección y programación de virus. Gracias a Internet es posible mantenerse al tanto a través de servicios gratuitos y pagos de información y seguridad. Hay innumerables boletines electrónicos de alerta y seguridad que advierten sobre posibles infecciones de mejor o menor calidad. Existen herramientas, puede decirse indispensables para aquellos que tienen conexiones prolongadas a Internetque tienden a proteger al usuario no sólo detectando posibles intrusiones dentro del sistema, sino chequeando constantemente el sistema, a modo de verdaderos escudos de protección. Hay herramientas especiales para ciertos tipos de virus, como por ejemplo protectores especiales contra el Back Oriffice, que certifican la limpieza del sistema o directamente remueven el virus del registro del sistema.




Formas de prevención y eliminación del virus
Copias de seguridad
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas.
Copias de programas originales
No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido.
Utilice contraseñas
Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
Antivirus
Tenga siempre instalado un antivirus en su computadora, como medida general analice todos los discos que desee instalar. Si detecta algún virus elimine la instalación lo antes posible.
Actualice periódicamente su antivirus
Un antivirus que no esté actualizado puede ser completamente inútil. Todos los antivirus existentes en el mercado permanecen residentes en la computadora para controlar todas las operaciones deejecución y transferencia de ficheros analizando cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.











Conclusión
Hay demaciados tipos de virus que pueden dañar a tu computadora tanto física como virtualmente y esto se debe a que no hay un antivirus en el equipo que se encargue de detectar y eliminar los virus malignos que se meten al equipo distintas maneras.
Gracias al antivirus hoy en día esos virus que se encargan de dañar al equipo son eliminados y las computadoras son mucho mas rapidas y eficaces para nosotros.
Un virus es un programa pensado para poder reproducirse y replicarse por sí mismo, introduciéndose en otros programas ejecutables o en zonas reservadas del disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un daño importante en el ordenador donde actúan. Pueden permanecer inactivos sin causar daños tales como el formateo de los discos, la destrucción de ficheros, etc.
El verdadero peligro de los virus es su forma de ataque indiscriminado contra cualquier sistema informatico, cosa que resulta realmente crítica en entornos dónde maquinas y humanos interactúan directamente.
La mejor forma de controlar una infección es mediante la información previa de los usuarios del sistema. Es importante saber qué hacer en el momento justo para frenar un avance que podría extenderse a mayores. Como toda otra instancia de educación sera necesario mantenerse actualizado e informado de los últimos avances en el tema, leyendo noticias, leyendo paginas Web especializadas, etc.


Política de privacidad