Universidad de Panamá

Facultad de Agropecuaria
Ing. De Manejo De Cuenca Y Ambiente
Nombre:
David Rudy
Ced:
3-748-2449
Fecha:
23-2-2022
 Virus Informáticos

¿Qué son los virus?

En la Real Academia nos encontramos con la siguiente definición del término

virus: “Programa introducido subrepticiamente en la memoria de un computador
que, al activarse, destruye total o parcialmente la información almacenada”.

De una forma más coloquial y quizás más correcta podríamos decir que un virus
informático es programa que se copia automáticamente (sin conocimiento ni
permiso del usuario), ya sea por medios de almacenamiento o por Internet, y que
tiene por objeto alterar el normal funcionamiento del computador, que puede ir
desde una simple broma; acceso a tus datos confidenciales; uso de tu computador
como una maquina zombie; borrado de los datos; etc.

En un principio estos programas eran diseñados casi exclusivamente por los

hackers y crackers que tenían su auge en los Estados Unidos y que hacían
temblar a las grandes compañías. Tal vez esas personas lo hacían con la
necesidad de demostrar su creatividad y su dominio de las computadoras, por
diversión o como una forma de manifestar su repudio a la sociedad que los
oprimía. Hoy en día, resultan un buen medio para el sabotaje corporativo,
espionaje industrial y daños a material de una empresa en particular.

Un virus puede ser o no, muy peligroso, pero independientemente de dicho grado,
si el sistema a comprometer es crítico, un virus de bajo grado de peligrosidad
podrá causar graves daños. Si por el contrario dicho virus es muy peligroso y
afecta a una computadora familiar sus daños serán mínimos. Por ello desde el
punto de vista de una empresa o gran corporación, un virus sea cual sea, debe ser
considerado siempre como peligroso.

Características comunes
Dañino: Todo virus causa daño, ya sea de forma implícita, borrando archivos o
modificando información, o bien disminuyendo el rendimiento del sistema. A pesar
de esto, existen virus cuyo fin es simplemente algún tipo de broma.

Autorreproductor: La característica que más diferencia a los virus es ésta, ya que

ningún otro programa tiene la capacidad de autorreplicarse en el sistema.

Subrepticio: Característica que le permite ocultarse al usuario mediante diferentes

técnicas, como puede ser mostrarse como una imagen, incrustarse en librerías o
en programas, …

¿Cómo funcionan?

Se podría decir que la mayor parte de los virus estaban y quizás estén
programados en Ensamblador, lenguaje de bajo nivel que permite trabajar
directamente sobre el hardware, sin tener que interactuar con el Sistema
Operativo. Actualmente no todos los virus se desarrollan en Ensamblador, sino
que se utilizan todo tipo de lenguajes de alto nivel, que no permiten realizar todas
las acciones que permite el ensamblador, pero sí facilitan mucho su codificación.

Lo que tratan los virus es de ser ejecutados para con ello poder actuar y
replicarse, ya que ningún usuario ejecutaría un virus de forma intencionada. Los
virus deben ocultarse, ya sea tras otros programas “benignos” o bien utilizando
otras técnicas.

Por norma general, un virus intentará cargarse en la memoria para poder

ejecutarse, y controlar las demás operaciones del sistema.

Como formas más comunes de infección de los virus podríamos tener las
siguientes:

En el caso de que un virus tratara de cargarse en el arranque, intentaría dos

cosas.
Primero si existe la posibilidad de cargarse en la CMOS, lo cual sería posible si la
memoria no es ROM, sino que es Flash-ROM.

Si esto no es posible, intentará cargarse en el sector de arranque. El sistema

cargará el MBR en memoria RAM que le indicará las particiones, el tamaño, cual
es la activa (en la que se encuentra el S.O.) para empezar a ejecutar las
instrucciones. Es aquí donde el virus deberá cargar el MBR en un sector
alternativo y tomar su posición de tal forma que cada vez que se arranque el
sistema el virus se cargará. Así, ya que el antivirus se carga tras el S.O. la carga
del virus en memoria no será detectada.

Por otro lado, si virus infecta un archivo ejecutable .EXE, intentará rastrear en el
código los puntos de entrada y salida del programa. Teniendo conocimiento de
estos dos puntos, el virus se incrustará antes de cada uno de ellos, asegurándose
así de que cada vez que dicho programa se ejecute, el virus será ejecutado. Una
vez esté en ejecución decidirá cuál es la siguiente acción de llevar a cabo, ya sea
replicarse introduciéndose en otros programas que estén en memoria en ese
momento, ocultarse si detecta antivirus, etc.

Tanto virus como gusanos, troyanos, entre otros, tienen unos objetivos comunes.
Ocultarse al usuario; reproducirse ya sea en otros ficheros o en el caso de los
gusanos autoenviarse; y finalmente llevar a cabo la acción para la cual ha sido
programado, destrucción de datos, obtención de datos personales, control remoto
de la máquina.

Para conseguir dichos objetivos podríamos decir que su estructura se divide en

tres módulos principales:

Módulo de reproducción: Es la parte encargada de gestionar las rutinas gracias a

las cuales el virus garantiza su replicación a través de ficheros ejecutables. Dichos
ficheros ejecutables cuando sean trasladados a otras computadoras provocarán
también la dispersión del virus.
Módulo de ataque: Módulo que contiene las rutinas de daño adicional o implícito.
Este podrá ser disparado por distintos eventos del sistema: una fecha, hora, el
encontrar un archivo específico (COMMAND.COM).

Módulo de defensa: Módulo encargado de proteger el código del virus. Sus rutinas
se ocuparán de disminuir los síntomas que puedan provocar su detección por
parte de los antivirus. Utiliza para ello técnicas que pueden ir desde una simple
encriptación, a técnicas muy sofisticadas.

Tipos de Virus

Existen diversas clasificaciones de los virus. Cada una de ellas clasifica según una
característica, ya sea dependiendo de la técnica usada, su origen, lugar donde se
esconde, ficheros a los que ataca, daños que produce, etc. No se puede
considerar que ninguna de estas clasificaciones sea errónea, ya que muchas de
ellas tienen muchos puntos en común. A pesar de que todos se pueden considerar
virus, los hemos separado en distintas “categorías”:

Virus

Virus residentes

Este tipo de virus se oculta en la memoria principal del sistema (RAM) de tal
manera que pueden controlar todas las operaciones realizadas en el Sistema
Operativo, pudiendo así infectar todos los archivos que deseen. Normalmente sus
creadores le indican una serie de condiciones (fecha, hora, entre otros) bajo las
cuales llevará a cabo la acción para la cual fue programado.

Ejemplos de este tipo de virus son: Randex, CMJ, Meve.

Virus de acción directa

Estos virus no se ocultan en la memoria. Su funcionamiento consiste en que, una

vez cumplida una determinada condición, actuarán buscando los ficheros a
infectar dentro de su mismo directorio o en aquellos directorios que se encuentren
especificados en la línea PATH del fichero AUTOEXEC.BAT. Este tipo de virus se
puede desinfectar totalmente y recuperar los archivos infectados.

Virus de sobreescritura

Se escriben dentro del contenido del fichero infectado, haciendo que pueda
quedar inservible. Se ocultan por encima del fichero de tal forma que la única
manera de desinfectarlo es borrar dicho archivo, perdiendo así su contenido.
Algún ejemplo: Trj.Reboot, Trivial.88.D.

Virus de boot o arranque

Son aquellos virus que no infectan a ficheros directamente, sino que actúan sobre
los discos que los contienen, más concretamente al sector de arranque de dichos
discos, de tal manera que, si un computador se arranca con un disquete infectado,
el sector de arranque del disco duro se infectará. A partir de este momento, se
infectarán todas las unidades de disco del sistema.

Algún ejemplo de virus de boot: Polyboot.B.

Retrovirus

Un Retrovirus es un tipo de virus cuyo objetivo principal es atacar a los antivirus,

ya sea de una forma genérica o un ataque a un antivirus específico. En sí mismo
no produce ningún daño al sistema, sino que simplemente permiten la entrada de
otros virus destructivos que lo acompañan en el código.
Virus multipar tites

Tipo de virus muy complejo que ataca mediante el uso de diferentes técnicas,
infectando programas, macros, discos, etc. Sus efectos suelen ser bastante
dañinos. Por ejemplo, el virus Ywinz.

Virus de macro

Se caracterizan por infectar los ficheros que sean creados con aplicaciones que
usen macros (Word, Excel, PowerPoint, Corel Draw, entre otros).

Las macros son pequeños programas asociados a los ficheros cuya función es
automatizar conjuntos de operaciones complejas. Esto permite que, en un
documento de texto al existir un pequeño programa en su interior, dicho programa
y en consecuencia dicho documento pueda ser infectado.

Al abrirse, guardarse, realizar algún tipo de operación, puede que alguna de las
macros se ejecute, en cuyo caso si contiene virus, se ejecutará. La mayoría de las
aplicaciones que utilizan macros están protegidas, pero aun así existen virus que
esquivan dichas protecciones.

Estos son algunos ejemplos: Relax, Melissa.A, Bablas.

Virus de enlace o directorio

La característica principal de este tipo de virus reside en modificar la dirección que

indica donde se almacena un fichero. Así, cuando queramos ejecutar un fichero, si
a dicho fichero se le ha modificado la dirección se ejecutará el virus produciéndose
la infección.

Los ficheros se ubican en determinadas direcciones (compuestas básicamente por

unidad de disco y directorio), que el sistema operativo conoce para poder
localizarlos y trabajar con ellos.
Una vez producida la infección, resulta imposible localizar y trabajar con los
ficheros originales.

Virus de FAT

Tipo de virus muy dañino ya que atacan a la FAT (Tabla de Asignación de

Ficheros), que es la encargada de enlazar la información del disco. Al atacar dicha
tabla, impiden el acceso a ciertos ficheros o directorios críticos del sistema,
provocando pérdidas de la información contenida en dichos ficheros o directorios.

Virus de fichero

Infectan programas o ficheros ejecutables, por lo que al ejecutarse dicho fichero el

virus se activará y llevará a cabo las acciones para las cuales ha sido creado. La
mayoría de los virus existentes son de este tipo.

Virus de compañía

Clase de virus de fichero que como su nombre indica acompañan a otros ficheros
existentes antes de llegar al sistema. Pueden ser residentes o de acción directa.
Su modo de actuar consiste en o bien esperar ocultos en la memoria hasta que se
produzca la ejecución de algún programa o bien actuar directamente haciendo
copias de sí mismo. Como ejemplos citamos el virus Stator, Terrax.1069.

De Active Agents y Java Applets

Programas que se ejecutan y se graban en el disco duro cuando el usuario está

en una página web que los usa. Hoy en día cada vez que se necesita ejecutar o
guardar cualquiera de estos programas se le pide la autorización al usuario, el cual
será responsable de los posibles daños que causen.
De HTML

Son más eficaces que los anteriores ya que simplemente con acceder al contenido
de la página web el usuario puede ser infectado, ya que el código dañino se
encuentra en el código HTML de dicha web. Este tipo de virus son desarrollados
en Visual Basic Script.

Virus lentos

Como su nombre indica, estos virus infectan de forma lenta. Únicamente

infectarán aquellos archivos que el usuario hará ejecutar por el Sistema Operativo.
Son virus muy difíciles de eliminar ya que cuando se le muestra un aviso al
usuario, éste no presta atención ya que en ese determinado momento estaba
realizando alguna acción de la cual ya esperaba algún aviso. A pesar de esto con
este tipo de virus sí son eficaces los demonios de protección que vigilarán
cualquier creación, borrado, entre otros.

Virus voraces

Son altamente destructivos ya que se dedican a destruir completamente todos los

datos a los que pueden acceder.

Sigilosos o Stealth

Son virus que poseen módulos de defensa muy sofisticados. Se encuentran en el

sector de arranque y su modo de funcionamiento consiste en engañar al S.O. a la
hora de verificar el tamaño, fecha, nombre, de los ficheros.

Reproductores o conejos
Virus cuya característica principal es reproducirse constantemente hasta terminar
ya sea con la capacidad total del disco duro o con la capacidad de la memoria
principal. Esto lo consiguen simplemente creando clones de sí mismos que harán
lo mismo que ellos, reproducirse.

Virus encriptados

Más que un tipo de virus, son una técnica que usan diversos virus, los cuales se
descifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar.
De esta manera lo que intentan es evitar o dificultar ser detectados por los
antivirus.

Virus polimórficos

La diferencia esencial con los virus encriptados reside en que éstos se

cifran/descifran de forma distinta en cada una de sus infecciones. Así consiguen
impedir que los antivirus los localicen a través de la búsqueda de cadenas o
firmas. Por esta característica, este tipo de virus son los más difíciles de
detectarse.

Como ejemplos: Elkern, Satan Bug, Tuareg.

Gusanos (Worms)

Pueden no ser considerados como virus, ya que para replicarse no necesitan

infectar otros ficheros. Los gusanos realizarán una serie de copias de sí mismos
(sin tener que infectar ningún otro fichero) a la máxima velocidad posible y
enviándose a través de la red. Debido a esa replicación a alta velocidad pueden
llegar a saturar la red a través de la que se propagan. Los canales más típicos de
infección son el Chat, correo electrónico, …
Algún que otro ejemplo de gusano podrían ser los siguientes: PSWBugbear.B,
Lovgate.F, Trile.C, Sobig.D, Mapson.

Troyanos o caballos de troya

Se puede llegar a pensar que los troyanos no son realmente virus, ya que no
poseen su principal característica, la auto reproducción. A pesar de esto, al igual
que los gusanos, ambos son tratados como virus a la hora de ser detectados por
los antivirus.

Su nombre hace referencia a la historia griega, así su objetivo consiste en

introducirse en el sistema como un programa aparentemente inofensivo, siendo
verdaderamente un programa que permite el control remoto de dicho sistema.

Al igual que los virus, pueden modificar, eliminar, ciertos ficheros del sistema y a
mayores pueden capturar datos confidenciales (contraseñas, números de tarjetas
de crédito, etc), y enviarlos a una dirección externa.

Virus falsos

Hoy en día han surgido ciertos mensajes de correo electrónico, o programas, que
pueden ser confundidos con virus. El principal tipo son los hoaxes, emails
engañosos que pretenden alarmar sobre supuestos virus. Tratan de engañar al
usuario proponiendo una serie de acciones a realizar para eliminar dicho virus que
en realidad no existe. Lo más probable es que dichas acciones sean dañinas.

Bombas lógicas

Tampoco se replican, por lo que no son considerados estrictamente virus. Son

segmentos de código, incrustados dentro de otro programa. Su objetivo principal
es destruir todos los datos del computador en cuanto se cumplan una serie de
condiciones.
Bug-Ware

Quizás no deban de ser considerados como virus, ya que en realidad son

programas con errores en su código. Dichos errores pueden llegar a afectar o al
software o al hardware haciendo pensar al usuario que se trata de un virus.

De MIRC

Tampoco son considerados virus. El uso de estos virus está restringido al uso del
IRC, ya que consiste en un script, denominado script.ini, programado de forma
maliciosa, que se enviará a la máquina cliente por DCC. Si la victima acepta dicho
envío se sustituirá su script.ini por el malicioso, lo que provocará que el atacante
tenga acceso a archivos de claves, etc.

Métodos de infección

A la hora de realizar la infección se pueden utilizar diferentes técnicas. Algunas

podrían ser las siguientes:

Añadidura o empalme: Consiste en agregar al final del archivo ejecutable el código

del virus, para que así una vez se ejecute el archivo, el control pase primeramente
al virus y tras ejecutar la acción que desee, volverá al programa haciendo que
funcione de manera normal. El inconveniente de esta técnica es que el tamaño del
archivo será mayor que el original haciendo que sea más fácil su detección.

Inserción: No es una técnica muy usada por los programadores de virus ya que
requiere técnicas de programación avanzadas. El motivo es que este método
consiste en insertar el código del virus en zonas de código no usadas dentro del
programa infectado. Así lo que se consigue es que el tamaño del archivo no varíe,
pero el detectar las zonas de código en donde puede ser insertado el virus es
complejo.
Reorientación: Es una variante del método de inserción. Consiste en introducir el
código del virus en zonas del disco que estén marcadas como defectuosas o en
archivos ocultos del sistema. Al ejecutarse introducen el código en los archivos
ejecutables infectados. La ventaja principal es que, al no estar insertado en el
archivo, su tamaño puede ser mayor con lo que podría tener una mayor
funcionalidad. Como inconveniente se encuentra su fácil eliminación ya que
bastaría con eliminar archivos ocultos sospechosos o con sobrescribir las zonas
del disco marcadas como defectuosas.

Polimorfismo: Es el método más avanzado de contagio. Consiste en insertar el

código del virus en un ejecutable al igual que el método de añadidura o empalme,
pero para evitar que el tamaño de este aumente lo que realiza es una
compactación del propio código del virus y del archivo infectado, haciendo que
entre ambos el tamaño del archivo no aumente. Una vez se ejecuta el archivo, el
virus actúa des compactando en memoria las partes del código que había
compactado anteriormente. Esta técnica se podría mejorar usando métodos de
encriptación para disfrazar el código del virus.

Sustitución: Es el método más primitivo. Consiste en sustituir el código del archivo

infectado por el código del virus. Cuando se ejecuta, actúa únicamente el código
del virus, infectando o eliminando otros archivos y terminando la ejecución del
programa mostrando algún tipo de mensaje de error. La ventaja de esta técnica es
que cada vez que se ejecuta se realizan “copias” del virus en otros archivos.

Tunneling: Técnica compleja usada por programadores de virus y antivirus para

evitar las rutinas al servicio de interrupción y conseguir control directo sobre ésta.

El demonio de protección de los antivirus, cuelga de todas las interrupciones

usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26), de tal forma que
cuando un virus pretende escribir/abrir un ejecutable el antivirus recibe una alerta
donde comprobará si es o no virus y le permite o no su acceso. Si la llamada no
tiene peligro el módulo del antivirus llamará a la INT 21 original. De esta forma un
virus con tunneling intentará obtener la dirección original de la INT 21 que está en
algún lugar del módulo residente del antivirus. Si se consigue obtener esa
dirección podrá acceder directamente a INT 21 sin necesidad de pasar por el
antivirus. De esta forma le "pasará por debajo", lo "tuneleará".