A
pesar de conocer la existencia de los virus informáticos,
¿Cuántos de nosotros podríamos definirlos
y describir cómo infectan los sistemas? Estas breves
líneas intentan desmitificar los fundamentos de los virus
informáticos, resumiendo qué son, cómo
atacan y qué podemos hacer para protegernos contra ellos.
Introducción
Se
dice que a mediados de los ochenta los hermanos Amjad tenían
una tienda de informática en Pakistán. Frustrados
con la piratería informática, escribieron el primer
virus, un virus de sector de arranque llamado Brain. A partir
de estos principios tan simples ha surgido toda una industria
subterránea de creación y distribución
de virus, que nos ha legado las decenas de miles de virus que
existen en la actualidad.
En tan sólo una década, la mayoría de nosotros
ha tomado contacto con el término 'virus informático'.
Incluso aquellos que no saben como utilizar un PC han oído
hablar de los virus en las películas de Hollywood como
'Independence day' o 'Hackers: piratas informáticos'
(aunque la noción de virus presentada por Hollywood es
errónea). Las revistas internacionales y los periódicos
presentan las amenazas de virus como historias de primera página.
No hay duda de que nuestra cultura está fascinada por
el peligro potencial de estos virus.
Muchos creen que lo peor que un virus puede hacer es borrar
su disco duro. En realidad, ese tipo de efecto es inofensivo
para aquellos que guarden copias de seguridad de sus datos importantes.
Los virus que corrompen los datos solapadamente son mucho más
destructivos. Pongamos por ejemplo los efectos de un virus que
altere en un 10% las cifras en las hojas de cálculo de
un corredor de bolsa. Otros virus peligrosos pueden enviar,
utilizando su nombre, documentos confidenciales de su compañía
a grupos de noticias de Internet del tipo alt.sex, arruinando
así su reputación y la confidencialidad de la
empresa.
A pesar de conocer la existencia de los virus informáticos,
¿Cuántos de nosotros podríamos definirlos
y describir cómo infectan los sistemas? Este Libro Blanco
intenta desmitificar los fundamentos de los virus informáticos;
resumiendo qué son, cómo atacan y qué podemos
hacer para protegernos contra ellos.
¿Qué es
un virus informático?
La
diferencia entre un virus informático y otros programas
es que los virus están diseñados para auto reproducirse
(es decir, hacer copias de sí mismos). Normalmente se
auto reproducen sin que el usuario lo note. Los virus a menudo
contienen 'cargas explosivas'. Éstas son acciones que
el virus lleva a cabo aparte de la auto reproducción.
Las 'cargas explosivas' pueden variar desde lo molesto (por
ejemplo, el virus WM97/ Class-D, que muestra constantemente
el mensaje "I think 'nombre del usuario' is a big stupid
jerk"), a lo desastroso (por ejemplo, el virus CIH, que
intenta sobrescribir la BIOS Flash, causando así daños
irreparables en algunos sistemas).
Los virus pueden ocultarse en programas proporcionados por discos
flexibles o CD, en adjuntos de correo electrónico o en
material descargado de Internet. Si el virus no tiene una "carga
explosiva" obvia, es posible que el usuario sin software
antivirus ni siquiera se dé cuenta de que el sistema
está infectado.
Se considera que un sistema está infectado si contiene
una copia activa de un virus. La forma en la que se activa el
virus depende de su diseño (ejemplo: los virus de macro
pueden activarse tan sólo con que el usuario abra, cierre
o guarde un documento infectado).
Cómo se produce
la infección
Una
vez que el virus sea activo dentro del sistema, puede copiarse
a sí mismo e infectar otros archivos o discos a medida
que el usuario acceda a ellos. Los diversos tipos de virus infectan
los PC de maneras distintas; los tipos más comunes son
los virus de macro, de arranque y los parásitos.
Grafico que
muestra el ataque de los distintos tipos de virus
Virus de macro
Un
macro es una instrucción que lleva a cabo comandos de
programa de forma automática. Muchas aplicaciones corrientes
(ejemplo: aplicaciones de tratamiento de textos, hojas de cálculo
y láminas de presentación) los utilizan. Los virus
de macro son macros que se auto reproducen. Si el usuario accede
a un documento con un macro vírico y lo ejecuta involuntariamente,
éste puede copiarse dentro de los archivos de inicio
de esa aplicación. Así se ha infectado el PC (hay
una copia del virus dentro del sistema).
Cualquier documento de ese sistema que utilice la misma aplicación
podrá ser infectado. Si el PC forma parte de una red,
es probable que la infección se extienda rápidamente
a otros sistemas de la misma red. Es más, si se pasa
una copia del archivo infectado a alguien más (por medio
de email o discos flexibles, por ejemplo), el virus puede contagiarse
al sistema del receptor. Este proceso de contagio sólo
se detendrá cuando se detecte el virus y se erradiquen
todos los macros víricos. Los virus de macro son los
más comunes. Muchas de las aplicaciones actuales más
utilizadas incluyen macros. Estos virus pueden crearse con muy
pocos conocimientos de informática y pueden contagiarse
a cualquier plataforma en la que se ejecute la aplicación.
De cualquier forma, la causa principal de su 'éxito'
es que los documentos se intercambian con mucha más frecuencia
que los ejecutables o los discos (debido a la popularidad del
email y el uso del Internet).
Virus de sector de arranque
El
sector de arranque es el primer software que se carga en su
PC. Este programa se guarda en un disco, que puede ser el disco
duro dentro del sistema, un disco flexible o un CD. Cuando se
enciende el sistema, el hardware busca y ejecuta el sector de
arranque de forma automática. A continuación este
programa carga el resto del sistema operativo en la memoria.
Sin un sector de arranque, el PC no puede ejecutar software.
Los virus de sector de arranque infectan los sistemas modificando
los contenidos del programa del sector de arranque. Reemplazan
los contenidos auténticos con su propia versión
infectada. Sólo pueden infectar un sistema si se usan
para iniciar el PC; ejemplo: si inicia su PC utilizando un disco
flexible con un sector de arranque infectado, es muy probable
que su sistema se contagie. Los virus de sector de arranque
no pueden infectar un sistema si se introducen después
una vez que el PC esté ejecutando el sistema operativo.
Un ejemplo de virus de sector de arranque es Parity Boot. La
carga explosiva de este virus muestra el mensaje PARITY CHECK
y congela el sistema operativo, dejando el sistema inutilizable.
Este mensaje de virus está copiado del mensaje real de
error que se muestra cuando hay un error de memoria en el sistema;
de esta forma el usuario del PC infectado por el virus Parity
Boot cree que su sistema tiene un problema de memoria en lugar
de una infección vírica.
Virus parásitos
Los
virus parásitos se adhieren a programas, también
conocidos como ejecutables. Cuando un usuario inicia un programa
que contiene un virus parásito, el virus se inicia primero
de manera oculta. Para camuflar su presencia, el virus activa
a continuación el programa original. Los virus parásitos
tienen los mismos derechos que el programa al que se adjuntan,
ya que el sistema operativo lo considera parte del programa.
Estos derechos permiten que el virus se reproduzca, instale
en la memoria, o active su 'carga explosiva'. Si no hay ningún
software antivirus, sólo la 'carga explosiva' puede despertar
las sospechas del usuario normal. El famoso virus parásito
'Jerusalén' tiene una carga explosiva que enlentece el
sistema y finalmente borra todos los programas que el usuario
inicie.
Prevención
La
mejor forma en la que los usuarios pueden protegerse contra
los virus es aplicando las medidas antivirus siguientes:
1) Haga copias de seguridad de todo el software (incluyendo
los sistemas operativos), de forma que si se produce un ataque
de los virus, es fácil recuperar copias seguras de los
archivos y el software.
2) Informe a todos los usuarios de que el riesgo de contagio
crece exponencialmente cuando se intercambian discos flexibles,
se descargan materiales de Internet o se abren adjuntos de email
sin tomar precauciones.
3) Tenga software antivirus instalado y actualizado regularmente
para detectar, notificar y (cuando sea pertinente) desinfectar
virus.
4) Si tiene alguna duda sobre un elemento sospechoso que su
software antivirus no reconoce, póngase en contacto inmediatamente
con su proveedor para que sea analizado.
Busque el nombre de su antivirus y acutalizelo en pocos
minutos desde los sitios oficiales de cada empresa.
Sitio oficial del Servicio de Informática
del Instituto de Química Biológica - Facultad de Ciencias
- Universidad de la República - URUGUAY
Igua 4225 Esquina Mataojo Telefax (598-2) 525.0749 C.P. 11400
Derechos Reservados
2002
Ultima actualización:
24/01/03.
Recomendamos el uso de navegadores de 5ta generación
