Los virus informáticos. Un peligro para el mundo cibernético (página 2)

La barrera entre Virus puros y el
resto de programas
malignos es muy difusa, prácticamente invisible, puesto
que ya casi todos los Virus incorporan características
propias de uno o de varios de estos programas: por ejemplo, los
Virus como el Viernes 13 son capaces de infectar otros archivos, siendo
así Virus puro, pero también realizan su efecto
destructivo cuando se da una condición concreta, la fecha
Viernes 13, característica propia de una bomba lógica;
por último, se oculta en programas ejecutables teniendo
así una cualidad de Caballo de Troya. De ahí la
gran confusión existente a este respecto.

• Historia de los Virus.

Muchas personas consideran hoy erróneamente que los
Virus
Informáticos son un problema nuevo que ha surgido con
el desarrollo
actual de la Informática, sin embargo desconocen que
John Von Neumann,
describió programas que se reproducen a sí mismos
en su libro
"Teoría
y Organización de Autómatas
Complicados" a finales de la primera mitad del pasado siglo. No
es hasta mucho después que se les comienza a llamar como
Virus.

La característica de auto-reproducción y mutación de estos
programas, que las hace parecidas a las de los Virus
biológicos, parece ser el origen del nombre con que hoy
los conocemos.

Lo que se sabe de los Virus desde 1949 hasta 1989, es muy
poco, y lo que se sabia se ocultó muy bien para evitar el
pánico
entre los clientes de las
grandes empresas y
prestigiosos bancos.

Se reconoce como antecedente de los Virus actuales, un
juego creado
por programadores de la empresa
AT&T (mamá Bey), que desarrollaron la primera
versión del sistema operativo
Unix, en los
años 60. Para entretenerse, y como parte de sus investigaciones,
desarrollaron un juego, "Core War", que tenía la capacidad
de reproducirse cada vez que se ejecutaba. Este programa
tenía instrucciones destinadas a destruir la memoria del
rival o impedir su correcto funcionamiento.

Al mismo tiempo,
desarrollaron un programa llamado "Reeper", que destruía
las copias hechas por Core Ware. Un antiVirus o
antibiótico, al decir actual. Conscientes de lo peligroso
del juego, decidieron mantenerlo en secreto, y no hablar
más del tema. No se sabe si esta decisión fue por
iniciativa propia, o por órdenes superiores.

En 1982, los equipos Apple II comienzan a verse afectados por
un Virus llamado "Cloner" que presentaba un mensaje en forma de
poema.

El año siguiente, 1983, el Dr. Ken Thomson, uno de los
programadores de AT&T, que trabajó en la
creación de "Core War", rompe el silencio acordado, y da a
conocer la existencia del programa, con detalles de su estructura, en
una alocución ante la Asociación de Computación.

La Revista
Scientific American a comienzos de 1984, publica la información completa sobre esos programas,
con guías para la creación de Virus. Así
comienza el
conocimiento público de estos dañinos programas
y naturalmente de su difusión sin control, en las
computadoras
personales. En esta misma fecha el Dr. Fred Cohen hace una
demostración en la Universidad de
California, presentando un Virus
informático residente en una PC. Al Dr. Cohen se le
conoce hoy día, como "el padre de los Virus".
Paralelamente aparece en muchas PCs un Virus, con un nombre
similar a Core War, escrito en Small-C por un tal Kevin Bjorke,
que luego lo cede a dominio
público.

El primer Virus destructor y dañino plenamente
identificado que infecta muchas PC"s aparece en 1986. Fue creado
en la ciudad de Lahore, Paquistán, y se le conoce con el
nombre de BRAIN. Este Virus logró infectar en un corto
tiempo mas de 20 000 computadoras. Los códigos del Virus
Brain fueron alterados en los EE.UU., por otros programadores,
dando origen a muchas versiones de ese Virus, cada una de ellas
peor que la precedente. Hasta esa fecha nadie estaba tomando en
serio el fenómeno, que comenzaba a ser bastante molesto y
peligroso.

A partir del año 1989, el desarrollo en la
creación de Virus es vertiginoso, podemos afirmar que hoy
en día surgen más de 1000 nuevos Virus cada mes,
los cuales causan graves daños en las PC, sobre todo
porque generalmente encuentran formas y situaciones apropiadas
para su propagación, a pesar de las muchas alertas que al
respecto se hacen diariamente por personal
calificado en el tema.

• Formas de infección.

Antes de nada, hay que recordar que un Virus no puede
ejecutarse por si solo, necesita un programa portador para
poder cargarse
en memoria e
infectar; asimismo, para poder unirse a un programa portador
necesita modificar la estructura de este, para que durante su
ejecución pueda realizar una llamada al código
del Virus.

Las partes del sistema
más susceptibles de ser infectadas son el sector de
arranque de los disquetes, la tabla de partición y el
sector de arranque del disco duro, y
los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas
partes tenemos un tipo de Virus, aunque muchos son capaces de
infectar por sí solos estos tres componentes del
sistema.

Con todo, el tipo de Virus que más abunda es el de
fichero; en este caso usan como vehículo de
expansión los archivos de programa o ejecutables, sobre
todo .EXE y .COM, aunque también a veces .OVL, .BIN y
.OVR. AL ejecutarse un programa infectado, el Virus se instala
residente en memoria, y a partir de ahí permanece al
acecho; al ejecutar otros programas, comprueba si ya se
encuentran infectados. Si no es así, se adhiere al
archivo
ejecutable, añadiendo su código al principio y al
final de éste, y modificando su estructura de forma que al
ejecutarse dicho programa primero llame al código del
Virus devolviendo después el control al programa portador
y permitiendo su ejecución normal.

Este efecto de adherirse al fichero original se conoce
vulgarmente como "engordar" el archivo, ya que éste
aumenta de tamaño al tener que albergar en su interior al
Virus, siendo esta circunstancia muy útil para su
detección.

Efectos destructivos de los Virus.

Los efectos perniciosos que causan los Virus son variados;
entre éstos se encuentran el formateo completo del disco
duro, eliminación de la tabla de partición,
eliminación de archivos, ralentización del sistema
hasta limites exagerados, enlaces de archivos destruidos,
archivos de datos y de
programas corruptos, mensajes o efectos extraños en la
pantalla, emisión de música o sonidos.

• Formas de ocultamiento.

Un Virus puede considerarse efectivo si, además de
extenderse lo más ampliamente posible, es capaz de
permanecer oculto al usuario el mayor tiempo posible; para ello
se han desarrollado varias técnicas
de ocultamiento o sigilo. Para que estas técnicas sean
efectivas, el Virus debe estar residente en memoria, puesto que
debe monitorizar el funcionamiento del sistema operativo. La base
principal del funcionamiento de los Virus y de las
técnicas de ocultamiento, además de la
condición de programas residentes, la intercepción
de interrupciones. El DOS y los programas de aplicación se
comunican entre sí mediante el servicio de
interrupciones, que son como subrutinas del sistema operativo que
proporcionan una gran variedad de funciones a los
programas. Las interrupciones se utilizan, por ejemplo, para leer
o escribir sectores en el disco, abrir ficheros, fijar la hora
del sistema, etc. Y es aquí donde el Virus entra en
acción,
ya que puede sustituir alguna interrupción del DOS por una
suya propia y así, cuando un programa solicite un servicio
de esa interrupción, recibirá el resultado que el
Virus determine.

Entre las técnicas más usuales cabe destacar el
ocultamiento o stealth, que esconde los posibles
signos de
infección del sistema. Los síntomas más
claros del ataque de un Virus los encontramos en el cambio de
tamaño de los ficheros, de la fecha en que se crearon y de
sus atributos, y en la disminución de la memoria
disponible.

Estos problemas son
indicadores de
la posible presencia de un Virus, pero mediante la técnica
stealth es muy fácil (siempre que se encuentre residente
el Virus) devolver al sistema la información solicitada
como si realmente los ficheros no estuvieran infectados. Por este
motivo es fundamental que cuando vayamos a realizar un chequeo
del disco duro arranquemos el ordenador con un disco de sistema
totalmente limpio.

La autoencriptación o self-encryption es una
de las técnicas víricas más extendidas. En
la actualidad casi todos los nuevos ingenios destructivos son
capaces de encriptarse cada vez que infectan un fichero,
ocultando de esta forma cualquier posible indicio que pueda
facilitar su búsqueda. No obstante, todo Virus encriptado
posee una rutina de desencriptación, rutina que es
aprovechada por los antiVirus para remotoizar el origen de la
infección.

El mayor avance en técnicas de encriptación
viene dado por el polimorfismo. Gracias a él un
Virus no sólo es capaz de encriptarse sino que
además varía la rutina empleada cada vez que
infecta un fichero. De esta forma resulta imposible encontrar
coincidencias entre distintos ejemplares del mismo Virus, y ante
esta técnica el tradicional método de
búsqueda de cadenas características se muestra
inútil.

Otra técnica básica de ocultamiento es la
intercepción de mensajes de error del sistema. Supongamos
que un Virus va a infectar un archivo de un disco protegido
contra escritura; al
intentar escribir en él, obtendríamos el mensaje:
"Error de protección contra escritura leyendo Unidad A
Anular, Reintentar, Fallo", por lo que descubriríamos
el anormal funcionamiento de nuestro equipo. Por eso, al Virus le
basta con redireccionar la interrupción a una rutina
propia que evita la salida de estos mensajes, consiguiendo
así pasar inadvertido.

• Prevención, detección y
  eliminación.

Una buena política de
prevención y detección nos puede ahorrar muchos
inconvenientes. Las medidas de prevención pasan por el
control, en todo momento, del software ya introducido o
que se va a introducir en nuestro ordenador, comprobando la
fiabilidad de su fuente. Esto implica la actitud de no
aceptar software no original, ya que el pirateo es una de las
principales fuentes de
contagio de un Virus, siendo también una practica ilegal y
que hace mucho daño a
la industria del
software.

Por supuesto, el Sistema Operativo (SO), que a fin de cuentas es el
elemento software más importante del ordenador, debe ser
totalmente fiable; si éste se encuentra infectado,
cualquier programa que ejecutemos resultara también
contaminado. Por eso, es imprescindible contar con una copia en
disquetes del sistema operativo, protegidos éstos contra
escritura; esto último es muy importante, no solo con el
S.O. sino con el resto de disquetes que poseamos. Es muy
aconsejable mantenerlos siempre protegidos, ya que un Virus no
puede escribir en un disco protegido de esta forma. Por
último es también imprescindible poseer un buen
software antiVirus, que detecte y elimine cualquier tipo de
intrusión en el sistema.

• AntiVirus y Vacunas

A partir de la proliferación de los Virus, se ha
desarrollado igualmente una industria dedicada a la
creación de programas, llamados Vacunas, que
tienen como finalidad detectarlos, erradicarlos y prevenir las
infecciones virales.

El problema con los Virus es que están, escritos en
códigos de programación muy diferentes, que tienen
características de funcionamiento muy diversas, lo que
hace que los programas antiVirus, antibióticos o vacunas,
como se les denomina, sólo sean eficaces para combatir el
tipo de Virus para el cual fueron diseñados.

Existe gran cantidad de Vacunas, pero debemos tener en cuenta
que se han descubierto muchos más Virus, los cuales
aunados a las modificaciones que se les agregan, representan
grandes retos para los programadores que se dedican a ayudar en
la cruzada AntiVirus. En diferentes partes del mundo sin embargo,
existen asociaciones que se han dedicado a la creación de
programas AntiVirus que ayudan a erradicar muchos Virus, y se
actualizan de tal manera que son capaces de reconocer un Virus
días después de haberse conocido.

En caso de encontrar algún Virus, el programa da un
mensaje que indica el directorio, nombre del archivo y nombre del
Virus, que se encontró, veamos un ejemplo:

DOSCOMMAND.COM se encontró DARK AVENGER
[DAV] LOTUS123.EXE se encontró MICHELANGELO [MICH]
WP51WP.EXE se encontró STONED [STONED].

El primer mensaje indica que al revisar el programa del
COMMAND.COM, se encontró que el Virus Dark Avenger,
había incrustado en él algunas instrucciones
ajenas. De igual modo, MICH y STONED modificaron los ejecutables
de Word Perfect y
Lotus.

Si al hacer su revisión, el programa, no encuentra
Virus en el sistema, lo señala emitiendo el siguiente
mensaje:

"Su sistema y unidades de disco están
libres de Virus".

Este mismo programa destruye los Virus, haciendo la función de
antibiótico.

El antibiótico o antiVirus saca el Virus
parásito del programa ejecutable, dejándolo limpio.
Lamentablemente en muchas ocasiones el programa queda
dañado, por lo que no correrá en el futuro.

La creciente conexión de usuarios a Internet y el envío
de correos electrónicos por esa vía, permiten a los
piratas infectar con gran facilidad a muchos usuarios de todo el
mundo. Sin embargo, podemos afirmar que si se siguen los pasos
pertinentes y se emplean antiVirus apropiados para la
función que se realiza, entonces la posibilidad de
infección se reduce ostensiblemente.

Mencionaremos ahora algunos antiVirus destacados:

Panda NOD 32

AVP (Kaspersky) Norton

Sophos InoculateIT,

F-Secure MacAfee

De cada uno de los cuales podemos destacar
virtudes y defectos, en dependencia de la tarea que le
asignemos.

CONCLUSIONES:

Como conclusiones del presente trabajo
podemos decir que toda persona que
manipule una computadora
debe tener presente lo siguiente:

• 1. Las Computadoras no deben funcionar sin antiVirus
  instalado.

• 2. Como los Virus también penetran por discos
  extraíbles, es indispensable revisar con el antiVirus
  el mismo antes de abrirlo para determinar si está o no
  contaminado y de estarlo, proceder a descontaminarlo. En caso
  de que el antiVirus instalado no elimine el Virus no utilizar
  el disco.

• 3. Tenga sumo cuidado al recibir Correos
  Electrónicos, ellos son una causa importante de
  contaminación por Virus en las computadoras.

• 4. Mantener actualizados los antiVirus instalados en
  su PC.

• 5.  Todos debemos saber detectar Virus y
  descontaminar utilizando el antiVirus que tengamos instalado
  en la máquina donde trabajemos. Este producto
  además de efectivo contra los Virus que entran al
  país, nos brinda mucha información sobre los
  Virus Informáticos.

• 6.  Debemos mantenernos informados sobre la fecha en
  que se activan determinados Virus que son muy dañinos.
  Esta alerta se brinda por los medios masivos de
  comunicación.

• 7.  Descontaminar con el AntiVirus que poseamos de
  forma periódica la computadora donde trabajamos.

• 8.  Conocer bien a los enemigos, nos permite
  prepararnos para combatirlos. Hay que conocer los Virus, como
  nos infectan, como, cuando y donde nos dañan.

Los Virus Informáticos son parte real y
presente en la cultura
computacional.

¡Nos guste o no, tendremos que
aprender a convivir con ellos!

Bibliografía:

• 1. A.Goretsky, "Viruscan Documentation
  Manual"MacAfee Associates, California, 1995.

• 2. A. Goretsky, "VShield ver. 4.8B89
  Manual", MacAfee Associates, California, 1992.

• 3. S. White, D. Chess, C. Kuo, "Coping
  with Computer Viruses and Related Problems", Research Report
  (RC14405), IBM

• 4. T.J. Watson G. Ferreira, "Virus en
  las Computadoras", Macrobit Editores, México,
  1991.

• 5.  Intranet e Internet de Princesa
  http://www.princesa.pri.sld.cu.

• 6.  Virus, www.monografias.com

Autor:

M.Sc. Oscar C. Izquierdo Castillo

Lic. en Física y Astronomía en el ISP "Félix Varela
de Pinar del Río, Cuba en
1984

M.Sc. en Nuevas
Tecnologías para la Educación y
Profesor
Asistente en la UPR "Hermanos Saíz Montes de Oca" de Pinar
del Río, Cuba en el 2007

Lic. Hiliana Milián
Martínez

Lic. en Física y Astronomía en el
ISP "Félix Varela de Pinar del Río, Cuba en
1986.

Profesora Asistente y Jefa de Departamento de
Informática e Investigaciones de la Filial de Tecnología de la
Salud
"Simón Bolívar"
de Pinar del Río, Cuba.