VIRUS INFORMATICOS.

INTRODUCCIN: Virus informtico, programa de ordenador que se reproduce a s mismo e interfiere con el hardware de una computadora o con su sistema operativo (el software bsico que controla la computadora). Los virus estn diseados para reproducirse y evitar su deteccin. Como cualquier otro programa informtico, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo. Existen otros programas informticos nocivos similares a los virus, pero que no cumplen ambos requisitos de reproducirse y eludir su deteccin. Estos programas se dividen en tres categoras: caballos de Troya, bombas lgicas y gusanos. -1COMO SE CLASIFICAN LOS VIRUS? Aunque en la actualidad casi todos los virus tienen comportamientos complejos e incorporan caractersticas de varias clases, se podran diferenciar los siguientes tipos de virus: TROYANOS: su nombre viene del mitologa griega del Caballo de Troya, ya que el virus viene enmascarado como un archivo aparentemente inofensivo. VIRUS DE ARRANQUE O BOOTEO: no afectan archivos sino que atacan el sector de arranque de los diskettes y el disco duro. Como el trgicamente famoso virus Michelangelo. BOMBAS LOGICAS: permanecen inactivas hasta que se cumple un condicin especial, que puede ser una combinacin de teclas o una fecha especfica. VIRUS DE SISTEMA: afectan en primer lugar el archivo intrprete de comandos COMMAND.COM y posteriormente a otras reas vitales del sistema como son el Sector de Boot o el Master Boot Record (MBR), otros archivos ejecutables de extensin . VIRUS DE ARCHIVOS EJECUTABLES: infectan los archivos de programas con extensin COM. y EXE. Tambin llamados virus parsitos, porque se adosan a los archivos ejecutables y son los ms habituales. Estos virus al ejecutarse se instalan en memoria y esperan a que el usuario ejecute otro programa utilizando un evento como un activador para infectar dicho programa. -2VIRUS DE ARCHIVOS DE DATOS: stos virus infectan los archivos de datos de diferentes extensiones. De accin menosnotable ya que daan los archivos que creamos con las aplicaciones, usando como medio el programa creador del mismo. VIRUS DE MACROS O MACROVIRUS: Creados con el lenguaje de programacin que incluyen algunas utilidades como procesadores de texto o planillas de clculo para ayudar a los usuarios a automatizar ciertas tareas, creando pequeos programas llamados macros. Un virus de macro es simplemente una macro para uno de estos programas con un cdigo daino. Cuando un documento o plantilla que contiene la macro infectada se abre en la aplicacin de destino, el virus se ejecuta y causa el dao correspondiente. Adems, est programado para copiarse a otros documentos, de modo que el uso continuo del programa da como resultado la distribucin continua del virus. GUSANOS (WORMS): se duplican a si mismos pero no infectan a otros archivos. Realizan copias hasta saturar la memoria del sistema. Son de los ms difundidos en la actualidad.

Adems existen los virus polimrficos que se alteran solos cuando se duplican, de modo que el software antivirus que busca comportamientos especficos no encontrar todas las apariciones de los virus. -3Virus que existen hoy en da. 1. Anlisis de Virus SIRCAM DESCRIPCION DEL VIRUS Alias: SCAM.A, TROJ_SCAM.A , W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam Descubierto: 17 de julio, 2001 Nivel de riesgo: Alto Tipo de virus: Gusano (por su accionar) Troyano (por su modo de contagio) Destructivo: Si Activacin: Al ejecutarse Accin: Borra archivos y carpetas del disco. Se auto enva en un archivo adjunto va correo electrnico y mediante unidades de red compartidas. Afecta el desempeo del sistema: agrega texto al archivo c:\recycled\sircam.sys en cada arranque. Idioma: Espaol e Ingls Plataforma: Windows Detalles del Virus: Este gusano llega como un archivo adjunto de un mensaje de correo electrnico. El archivo es elegido al azar del disco duro del usuario infectado. Puede tener una extensin .LNK, .EXE, o .PIF. -4El mensaje de un correo infectado es semi-aleatorio y tiene versiones espaol o ingls: Asunto: Es aleatorio y por lo general es el nombre del archivo adjunto Cuerpo de mensaje: Versin en Espaol: Primera lnea: Hola como estas? Ultima lnea: Nos vemos pronto, gracias. Entre estas dos frases, puede aparecer parte del siguiente texto: Versin en Espaol: Te mando este archivo para que me des tu punto de vista Espero me puedas ayudar con el archivo que te mando Espero te guste este archivo que te mando Este es el archivo con la informacin que me pediste Descripcin de su accionar:

1 Al abrirse el adjunto del correo, copia el gusano los archivos ocultos SCam32.EXE en el directorio System y SIRC32.EXE en la carpeta C:\Recycled y en la carpeta Temp (por defecto es C:\Windows\Temp)

2 Se autocopia a C:\Recycled\Sirc32.exe y %System%\Scam32.exe. ( por defecto %System% es C:\Windows\System). -53 Modifica el registro del sistema de manera de ejecutarse cada vez que se inicie Windows: Agrega la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Y como su valor: Driver32 = %System%\scam32.exe 3 Modifica el registro para ejecutarse cada que se corre un archivo .EXE. El valor de la clave de registro HKEY_CLASSES_ROOT\exefile\shell\open\command es modificado a C:\recycled\sirc32.exe "%1" %*" 4 Crea una clave en el registro donde almacena datos necesarios para sus actividades: Crea la clave de registro: HKEY_LOCAL_MACHINE\Software\SirCam con los siguientes valores: FB1B - Almacena el nombre de archivo del gusano como almacenado en el directorio Reciclado.

FB1BA - almacena la direccin SMTP IP. FB1BB - Almacena la direccin de correo electrnico del emisor. FC0 - Almacena el nmero de veces que se ha ejecutado el gusano. FC1 - Almacena lo que parece ser el nmero de versin del gusano. FD1 - Almacena el nombre del archivo del gusano que ha sido ejecutado, sin el sufijo. 5 Busca en la computadora local los archivos que puedan tener direcciones de correo electrnico (como la Libreta de Direcciones). Toma las direcciones encontradas y se enva adjunto con un archivo elegido aleatoria mente. -66 En una red, verifica las conexiones existentes e infecta las unidades compartidas: hace una copia de s mismo en la carpeta Recycled como SIRC32.EXE. agrega al archivo AUTOEXEC.BAT: "@win \recycled\sirc32.exe" reemplaza c:\windows\rundll32.exe por c:\recycled\sirc32.exe

7 El virus ocasionalmente deja copias de s mismo con otros nombres aparte de SIRC32.EXE, SCAM32.EXE, o RUNDL32.EXE. Si alguno de stos archivos es ejecutado intenta borrar todos los archivos y carpetas en la computadora que no estn siendo utilizados. -7Virus NIMDA 2.NIMDA

Fue descubierto el 18 de Septiembre de 2001. Es un nuevo gusano que utiliza el correo electrnico para auto propagarse. La amenaza llega como un archivo adjunto llamado readme.exe. Ataca el servidor Internet Information Server de Microsoft de la misma manera que lo hicieron varios virus previos, incluyendo el Cdigo Rojo. Nimda explota una conocida vulnerabilidad del software IIE, que opera sobre los sistemas operativos Windows NT o Windows 2000 de la misma firma. Los agujeros de seguridad del IIS, son varios y no son una novedad. Regularmente se lanzan parches para subsanar esos problemas, pero los responsables de stos no siempre los utilizan. El Nimda y el Cdigo Rojo atacan fallas de seguridad ya conocidas, y a pesar de eso hicieron y hacen estragos. Su nombre al revs sera "admin" (por administrador) y parecera ser una burla a los responsables de los servidores de Internet. Ataca los servidores Microsoft IIS para tratar de auto propagarse usando una vulnerabilidad que ya ha sido utilizada por otros virus. Existe un parche de actualizacin de seguridad para evitar ste accionar, pero sigue siendo una constante entre los administradores de los servidores de no actualizar su software. -8Los servidores infectados pueden desplegar una pgina web que le sugiere al visitante descargar un archivo de Outlook que contiene el gusano como un archivo adjunto. DESCRIPCION DEL VIRUS Alias: W32.Nimda.A@mm, Troj_nimda.a Descubierto: 18 de setiembre, 2001 Nivel de riesgo: Alto - Medio Tipo de virus: Gusano (por su accionar) Troyano (por su modo de contagio) Destructivo: Si Distribucin : Archivo adjunto a un e- mail con nombre README.EXE de tamao 57344 bytes. Activacin: Al visualizar el e-mail (no es necesario ejecutar el adjunto) Accin: E-mailing de gran escala: Utiliza MAPI para auto enviarse como README.EXE En red abre la unidad C como una porcin de la red compartida. Objetivo de la infeccin: Trata de infectar servidores IIS no parchados Idioma: Espaol e Ingls Plataforma: Windows -9Mtodo de infeccin Se activa con slo visualizar un e-mail. El virus est escrito directamente en cdigo HTML entre cuyas lneas se realiza una llamada a un archivo adjunto o anexo a un mensaje de correo electrnico (por lo general se llama README.EXE). Normalmente, cuando se trata de un archivo ejecutable(*) es el sistema quien se encarga de preguntar lo que se quiere hacer con el mismo: guardarlo en el disco o abrirlo directamente. * Nota: siempre que el usuario no haya predefinido que este tipo de archivos se abra por defecto.

Esto se realiza debido al tipo de extensin MIME a la que se identifica cada uno de los archivos. Sin embargo determinados archivos no requieren de la autorizacin del sistema para ejecutarse, como sucede con los archivos de audio, que se ejecutan directamente. Este nuevo virus altera el funcionamiento por defecto e identificada el archivo ejecutable adjunto como archivo de audio. Al realizar la vista previa del mensaje, una lnea de comandos llama a este archivo, dejando que se ejecute por s solo sin que el usuario pueda impedirlo. El gusano descarga en el directorio C:\Windows\Temp un correo en el formato e-mail que contiene el archivo que ser enviado adjunto al mensaje de e-mail. -10El archivo adjunto comnmente se denomina readme.exe, pero existen tambin variantes con las extensiones .wav y .com. El gusano se propaga empleando su propio motor SMTP y las APIS de mensajera, pudindose ejecutar el troyano al abrirse el mensaje con MS Outlook o Outlook Express con solo realizar la vista previa del mensaje. El mensaje no se repite, sino que llega con mensajes distintos en cada caso. Alguien est protegido? Los usuarios de Internet Explorer V5.01 o V5.5 -(IE 5 con el Service Pack 2 o posterior instalado o IE6 no son afectados). Se recomienda no abrir el cliente de correo electrnico hasta que el antivirus est actualizado con la base de datos correspondiente y descargar el parche correspondiente del cliente de correo. >> Descarga de PARCHES para evitar el contagio... -113.Virus W32.Badtrans.B@mm, Badtrans W32/Badtrans.B es la denominacin de un peligroso gusano que ha empezado a difundirse por correo electrnico desde el 26 de noviembre, 2001 Se trata de un peligroso gusano capaz de propagarse con gran rapidez, mediante correo electrnico, en un fichero cuyo nombre es variable (ya que se genera a partir de tres listas diferentes de palabras). La caracterstica ms importante de W32.Badtrans es que utiliza un agujero de seguridad en el navegador Internet Explorer (versiones 5.01 y 5.5). La vulnerabilidad consiste en permiter ejecutar, en el cliente de correo Outlook, un fichero adjunto a un mensaje de correo electrnico mediante la vista previa del mismo. Es decir, no es necesario abrir el archivo adjunto en forma manual (como el caso del virus Sircam); la ejecucin es automtica al visualizar el mensaje en vista previa. Al ejecutarse el W32/Badtrans crea una copia de s mismo en el directorio de sistema de Windows. Adems instala, en el mismo directorio, un troyano que est diseado para robar datos confidenciales (contraseas, etc...) del ordenador infectado. Por ltimo, y para asegurar su presencia en el sistema cada vez que este se reinicia, aade una nueva entrada al registro de Windows. Para evitar sta nueva plaga informtica se recomienda realizar la actualizacin del software Antivirus que se este utilizando desde la web correspondiente a la empresa. -12Para solucionar la vulnerabilidad del navegador Microsoft Internet Explorer que posibilita ste tipo de ataques, se puede descargar el parche correspondiente, que se encuentra disponible en la direccin: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

DESCRIPCION DEL VIRUS Alias: W32.Badtrans.B@mm Descubierto: Noviembre 24, 2001 Nivel de riesgo: Alto (nivel de contagio) Tipo de virus: Gusano Destructivo: S (saturacin) Distribucin: Archivo adjunto a un e-mail con nombre elegido al azar de una lista de tamao 29,020 bytes Nombre del archivo adjunto: Card, docs, fun, HAMSTER, Humor, images, info, Me_nude, New_Napster_Site, news_doc, Pics, README, SETUP, Sorry_about_yesterday, stuff, YOU_are_FAT! Extensin del archivo adjunto:.doc, .mp3, .zip, .pif ,.scr Activacin: Al visualizar el e-mail (no es necesario ejecutar el adjunto) Accin: E-mailing de gran escala: Utiliza MAPI para auto enviarse. Luego agrega el valor: Kernel32 / kernel32.exe al registro de windows: -13HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunOnce Idioma: Ingls Plataforma: Windows Remocin del virus: http://securityresponse.symantec.com/avcenter/FixBadtr.exe (sitio de la empresa Symantec)

-144.Virus W32.Klez.E@mm Descubierto en Enero del 2002, el virus W32.Klez.E@mm es un gusano que enva e-mail en forma masiva y se copia en los recursos compartidos de la red. Utiliza mensajes aleatorios, tanto en el asunto, en el cuerpo del mismo y en el archivo adjunto con el que se distribuye. El virus explota una vulnerabilidad del Microsoft Outlook y del Outlook Express, que le posibilita auto ejecutarse con solo realizar la vista previa del mensaje (como lo hace el virus Nimda). Sobre escribe archivos para ocultarse y deshabilitaalgunos antivirus residentes. Se puede obtener ms informacin sobre sta vulnerabilidad en http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Se puede descargar el parche de Microsoft para resolver este problema: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp. DESCRIPCION DEL VIRUS Alias: W32/Klez@mm

Descubierto: Enero del 2002 Nivel de riesgo: medio Tipo de virus: Gusano. Distribucin:masiva por e-mail - asunto, mensaje y archivo adjunto son aleatorios. Archivo adjunto con extensin: .bat, .exe, .pif o .scr Activacin: con slo visualizar el email Accin: E-mailing de gran escala utilizando una rutina propia para auto enviarse. Puede impedir el correcto arranque de la computadora infectado y sobre escribe archivos ejecutables, quedando stos inservibles -15Idioma: ingls Plataforma: Windows Caractersticas del email Asunto (utiliza alguno de sta lista) How are you Let's be friends Darling Don't drink too much Your password Honey Some questions Please try again Welcome to my hometown the Garden of Eden introduction on ADSL Meeting notice Questionnaire Congratulations Sos! japanese girl VS playboy Look,my beautiful girl friend Eager to see you Spice girls' vocal concert Japanese lass' sexy pictures Mensaje: es aleatorio pero puede estar vaco Archivo adjunto tiene extensin .PIF, .SCR, .EXE o .BAT.

-16Descripcin de su Accionar W32/Klez-E trata de deshabilitar el software anti-virus que se encuentre residente en memoria, eliminando algunos archivos vitales de los mismos. Adems trata de eliminar los archivos utilizados por los anti-virus para almacenar el estado correcto de los archivos del sistema para detectar modificaciones. Como por ejemplo: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMART CHK.MS, SMARTCHK.CPS, AVGQT.DAT, AGUARD.DAT (dependiendo del software instalado). Sobrescribe archivos aleatoria mente de varias extensiones: TXT, HTM, HTML, WAB, DOC, XLS, JPG, C, PAS, MPG, MPEG, BAK,MP3. Si est disponible una red, hace copias de si mismo en los recursos compartidos usando nombre aleatorios. Se copia en el directorio Windows System con un nombre aleatorio y modifica el registro de Windows agregando la siguiente clave (*): HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\XX donde "XX" es el nombre elegido al azar del archivo que lo contiene; de sta manera se asegura su ejecucin automtica al iniciar Windows. Tambin puede optar por crear la entrada: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinkXX siendo "XX" caracteres aleatorios. -17TIPOS DE VIRUS

3b Trojan (alias PKZIP Virus). AOL4Free Virus Hoax. Baby New Year Virus Hoax. BUDDYLST.ZIP BUDSAVER.EXE Budweiser Hoax Death69 Deeyenda E-Flu FatCat Virus Hoax Free Money Get More Money Hoax Ghost Good Times Hacky Birthday Virus Hoax Hairy Palms Virus Hoax Irina

Join the Crew Londhouse Virus Hoax Microsoft Virus Hoax Millenium Time Bomb Penpal Greetings Red Alert Returned or Unable to Deliver Teletubbies Time Bomb Very Cool Win a Holiday World Domination Hoax Yellow Teletubbies -18A.I.D.S. hoax email virus AltaVista virus scare AOL riot hoax email ASP virus hoax Back Orifice Trojan horse Bill Gates hoax Bloat, see MPEG virus hoax Budweiser frogs screen-saver scare Good Times hoax email virus Irina hoax virus Java virus scare Join the Crew hoax email virus 'Millennium' virus misunderstanding MPEG virus hoax 'My clock says 2097/2098' virus misunderstanding New virus debug device hoax email virus with attached Trojan horse Open: Very Cool, see A.I.D.S. hoax email virus Penpal Greetings, see Good Times hoax email virus PKZ300 Trojan virus scare Returned or Unable to Deliver hoax email virus Walt Disney greeting, see Bill Gates hoax

Win a Holiday hoax email virus Windows '98 MS Warning. -195. PING PONG: Este virus fue el primero en hacer explosin en Argentina. Fue descubierto en marzo de 1988 y en poco tiempo estuvo en nuestro pas, en donde se convirti rpidamente en epidemia. La falta de conocimiento sobre los virus ayud a que se diseminara ampliamente y fuera incontrolable en un principio. En centros universitarios como la Facultad de Ciencias Exactas de la UBA o la Facultad de Informtica de la Universidad de Morn era difcil encontrar un disco sin infectar. Ese mismo desconocimiento llev a que pasara bastante tiempo hasta que se empezaran a tomar medidas. Slo despus de algunos meses, en revistas especializadas en informtica, empezaron a publicarse formas de desinfectar los discos, y como consecuencia de ello se aplicaron polticas de seguridad en las universidades. Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. ms profundamente, por ejemplo el boot sector: qu es y para qu sirve, ya que las mquinas eran utilizadas pero pocos saban cmo funcionaban realmente. Como tena un sntoma muy evidente (una pelotita que rebotaba), se pens que todos los virus deban ser visibles, pero los siguientes fueron ms subrepticios, y se limitaban a reproducirse o destruir sin avisar al usuario. -20El Ping Pong original no poda infectar discos rgidos, pero la versin que se populariz en el pas fue la B, que s poda hacerlo. Se cre una variante en Argentina, que probablemente fue la primera variante de virus originada en el pas, el Ping Pong C, que no mostraba la pelotita en la pantalla. Este virus est extinto en este momento ya que slo poda funcionar en mquinas con procesador 8088 8086, porque ejecutaba una instruccin no documentada en estos e incorrecta en los modelos siguientes. -216.AVISPA: Escrito en Noviembre de 1993 que en muy poco tiempo se convirti en epidemia. Infecta archivos .EXE Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY, MEM, SETVER y EMM386 para maximizar sus posibilidades de reproduccin, ya que estos archivos son de los ms frecuentemente utilizados. Este virus est encriptado siempre con una clave distinta (polimrfico), para dificultar su deteccin por medio de antivirus heursticos. 7.MENEM TOCOTO: Esta adaptacin del virus Michelangelo apareci en 1994. En los disquetes se aloja en el boot sector, y en los discos rgidos en la tabla de particiones. Es extremadamente sencillo y, por ende, fcil de detectar. -228.CAMOUFLAGE II:

Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla de particin de los discos rgidos. Es bastante simple y fcil de ser detectado. 9.LEPROSO: Creado en 1993, en Rosario, provincia de Santa F. Se activa el da 12 de Enero (cumpleaos del autor), y hace aparecer un mensaje que dice: "Felicitaciones, su mquina est infectada por el virus leproso creado por J. P.. Hoy es mi cumpleaos y lo voy a festejar formateando su rgido. Bye... (Vamos Newell's que con Diego somos campeones)." 10.PINDONGA: Virus polimrfico residente en memoria que se activa los das 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la informacin contenida en el disco rgido. -2310.TEDY: Es el primer virus argentino interactivo. Apareci hace poco tiempo. Infecta archivos con extensin .EXE, y se caracteriza por hacer una serie de preguntas al usuario. Una vez activado, una pantalla muestra: TEDY, el primer virus interactivo de la computacin! Responda el siguiente cuestionario:

Los programas que Ud. utiliza son originales? (s/n) Los de Microsoft son unos ladrones? (s/n)
Si se responde afirmativamente a la primer pregunta, el virus contestar: 5 archivos menos por mentiroso En caso contrario: 2 archivos menos por ladrn En cuanto a la segunda pregunta, el nico mensaje que se ha visto es: Te doy otra oportunidad para responder bien. Con este virus, los archivos infectados aumentan su tamao en 4310 bytes. -2411. El Virus Melissa Recientemente circul en Internet la noticia de este virus que se propaga mediante un archivo de Word anexo a un mensaje de correo electrnico. Se trata de un tpico virus que infecta documentos con "Macros", pero que tiene la caracterstica de que al abrirse el archivo infectado, el virus se copia en hasta 50 documentos que son enviados como anexos en otros tantos correos que se transmiten utilizando el paquete de correo Outlook de Microsoft (en caso de que la mquina infectada cuente con l). As mismo, el virus deshabilita los mecanismos de proteccin de Word. El virus tambin infectar otros documentos, an y cuando el usuario no cuente con el programa Outlook, los cuales podran ser enviados por correo en forma inadvertida por el usuario. Las direcciones para enviar los correos las obtiene el virus de la libreta de direcciones del Usuario, y los mensajes se envan de parte de ste (informacin que obtiene de la configuracin de Word), por lo que los receptores pueden ser engaados acerca de su procedencia. El mensaje de correo que enva lleva el siguiente encabezado: "Important message from" Nombre del Usuario (Mensaje

importante de Nombre del Usuario) y el texto del mensaje dice lo siguiente: "Here is the document you asked for....don't show anyone else ;-)" (Este es el documento que pediste....no se lo ensees a nadie ms ;-)). Recuerde que el virus no entrar en accin mientras no abra el documento anexo; el mensaje de correo en s mismo es inofensivo. Si llega a recibir este correo simplemente borre totalmente el archivo anexo (incluso de la bandeja de documentos borrados), avsele al remitente y por precaucin revise su maquina con un antivirus actualizado. -25VI. Historia En 1949, el matemtico estadounidense de origen hngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), plante la posibilidad terica de que un programa informtico se reprodujera. Esta teora se comprob experimentalmente en la dcada de 1950 en los Laboratorios Bell, donde se desarroll un juego llamado Core Wars en el que los jugadores creaban minsculos programas informticos que atacaban y borraban el sistema del oponente e intentaban propagarse a travs de l. En 1983, el ingeniero elctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acu el trmino de "virus" para describir un programa informtico que se reproduce a s mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de grficos llamado EGABTR y un juego llamado NUKELA. Pronto les sigui un sinnmero de virus cada vez ms complejos. El virus llamado Brain apareci en 1986, y en 1987 se haba extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruz Estados Unidos de un da para otro a travs de una red informtica. El virus Dark Avenger, el primer infector rpido, apareci en 1989, seguido por el primer virus polimrfico en 1990. En 1995 se cre el primer virus de lenguaje de macros, WinWord Concept. Un virus informtico es un pequeo programa cuyo objetivo es provocar daos o alteraciones en los archivos o en reas fundamentales de un sistema. Al igual que sus parientes biolgicos, se autoreproducen e infectan a un receptor desde un transmisor. Este contagio puede ser provocado intencionalmente o sin el consentimiento del transmisor. -26UN POCO DE HISTORIA... El primer virus fue creado como parte de una tesis doctoral de un ingeniero electrnico. Luego una competencia de estudiantes cuyo objetivo fue crear un programa que consumiera la memoria del computador para convertirse en el ganador, tambin crearon nuevos programas del tipo virus. En la dcada de los 80' y hasta mediados de los 90' los virus se propagaban por medio de los disquete, ya que era la forma de intercambiar informacin. Los virus de arranque como el Michelangelo, que apareci en en Asia en 1991, infectaban las computadoras mediante la lectura de un disquete infectado. El Michelangelo tard 2 aos en llegar a Amrica. En la actualidad Internet se ha convertido en la autopista de la informacin y en el principal medio de propagacin de la nueva generacin de virus. En 1999 en virus Melissa provoc prdidas por ms de 80 millones de dlares y en el 2000 el famoso virus I Love You, afect a miles de computadoras en todo el mundo, provocando prdidas por ms de 15 mil millones de dlares. su difusin fue masiva gracias a Internet y el correo electrnico.

En el 2001, el virus Kournikova tard slo dos horas para dar la vuelta al mundo por medio del correo electrnico. Con el auge de Internet los virus a progagarse a velocidades increibles, siendo el correo electrnico la forma ms utilizada para propagar virus. Miles de archivos infectados con virus viajan a travs de Internet en todo momento, principalmente por emails dentro de los archivos adjuntos o anexados (attached). -27Mientras que para un usuario de Pc domstico, una infeccin infeccin puede causarle desde un dolor de cabeza hasta perder la informacin de su Pc; para las grandes empresas y organismos estatales, el ataque de un virus puede causar prdidas millonarias. Tcticas antivricas A. Preparacin y prevencin Los usuarios pueden prepararse frente a una infeccin viral creando regularmente copias de seguridad del software original legtimo y de los ficheros de datos, para poder recuperar el sistema informtico en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningn virus pueda sobreescribir el disco. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legtimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. B. Deteccin de virus Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivricos. Los programas de rastreo pueden reconocer las caractersticas del cdigo informtico de un virus y buscar estas caractersticas en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados peridicamente para resultar eficaces. -28Algunos programas de rastreo buscan caractersticas habituales de los programas virales; suelen ser menos fiables. Los nicos programas que detectan todos los virus son los de comprobacin de suma, que emplean clculos matemticos para comparar el estado de los programas ejecutables antes y despus de ejecutarse. Si la suma de comprobacin no cambia, el sistema no est infectado. Los programas de comprobacin de suma, sin embargo, slo pueden detectar una infeccin despus de que se produzca. Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobreescritura de ficheros informticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecucin de un programa. Dentro del caparazn de integridad se efecta automticamente una comprobacin de suma, y si se detectan programas infectados no se permite que se ejecuten. C. Contencin y recuperacin Una vez detectada una infeccin viral, sta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando slo discos protegidos contra escritura. Para que un sistema informtico se recupere de una infeccin viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios. -29-

Se obtienen resultados ms fiables desconectando la computadora infectada, arrancndola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyndolos por copias de seguridad de ficheros legtimos y borrando los virus que pueda haber en el sector de arranque inicial. V. Estrategias virales Los autores de un virus cuentan con varias estrategias para escapar de los programas antivirus y propagar sus creaciones con ms eficacia. Los llamados virus polimrficos efectan variaciones en las copias de s mismos para evitar su deteccin por los programas de rastreo. Los virus sigilosos se ocultan del sistema operativo cuando ste comprueba el lugar en que reside el virus, simulando los resultados que proporcionara un sistema no infectado. Los virus llamados infectores rpidos no slo infectan los programas que se ejecutan sino tambin los que simplemente se abren. Esto hace que la ejecucin de programas de rastreo antivrico en un ordenador infectado por este tipo de virus pueda llevar a la infeccin de todos los programas del ordenador. Los virus llamados infectores lentos infectan los archivos slo cuando se modifican, por lo que los programas de comprobacin de suma interpretan que el cambio de suma es legtimo. Los llamados infectores escasos slo infectan en algunas ocasiones: por ejemplo, pueden infectar un programa de cada 10 que se ejecutan. Esta estrategia hace ms difcil detectar el virus. -30DAOS QUE OCACIONAN Salvo los cdigos que expertos denominan JOKER a los virus que slo son burlas o chistes, los virus por lo general slo tienen una finalidad: provocar daos o alteraciones en los sistemas. Los otros objetivos comunes de los virus: - reas vitales del sistema: la memoria, el sector de arranque (boot sector), la Tabla de Particiones o el sector absoluto del disco llamado Master Boot Record (MBR). - archivos ejecutables de aplicaciones: con extensin .EXE o .COM, y se podran incluir las libreras de windows .DLL - archivos de datos: son los que crea el usuario usando las aplicaciones. Dependiendo del tipo de virus, un software antivirus puede reparar y reconstruir los archivos y reas afectadas del sistema. Algunos virus por su accionar no pueden ser removidos de los archivos infectados o sus daos no pueden recuperarse. -31Ciclo de Vida de un Virus Los virus informticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente. El siguiente resumen describe cada etapa: Creacin: hasta unos aos atrs, crear un virus requera del conocimiento del lenguaje de programacin assembler. Hoy en da, cualquiera con un poco de conocimiento en programacin puede crear un virus. Generalmente, los creadores de los virus, son personas maliciosas que desean causar dao a las computadoras. Gestacin: Luego de que el virus es creado, el programador hace copias asegurndose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego envindolo a algn BBS o distribuyendo copias en oficinas, colegios u otras organizaciones. Reproduccin: Los virus se reproducen naturalmente. Un virus bien diseado se reproducir por un largo tiempo antes de activarse, lo cual permite que se disemine por todos lados.

Activacin: Los virus que contienen rutinas dainas, se activarn bajo ciertas condiciones, por ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina daina no se activan, pero causan dao al robar espacio en el disco. Descubrimiento: Esta fase por lo general viene despus de la activacin. Cuando se detecta y se asla un virus, se enva al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo menos un ao antes de que el virus se convierta en una amenaza para la comunidad informtica. Asimilacin: En este punto, quienes desarrollan los productos antivirus, modifican su programa para que ste pueda detectar los nuevos virus. Esto puede tomar de un da a seis meses, dependiendo de quien lo desarrolle y el tipo de virus. -32Erradicacin: Si suficiente cantidad de usuarios instalan una proteccin antivirus actualizada, puede erradicarse cualquier virus. Hasta ahora, ningn virus ha desaparecido completamente, pero algunos han dejado de ser una amenaza. DAOS DE LOS VIRUS. Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad de tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por los virus, de acuerdo a la gravedad.

DAOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.

DAOS MENORES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar despus de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos. -33c.DAOS MODERADOS. Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicacin de Archivos), o sobreescribe el disco rgido. En este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una hora.

DAOS MAYORES.
Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar desapercibidos, pueden lograr que ni an restaurando un backup volvamos al ltimo estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realiz. Cuando este contador llega a 16, elige un sector del disco al azar y en l escribe la frase: "Eddie lives somewhere in time" (Eddie vive en algn lugar del tiempo). Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en que detectemos la presencia del virus y queramos restaurar el ltimo backup notaremos que tambin l contiene sectores con la frase, y tambin los backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup. -34d.DAOS SEVEROS. Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).

DAOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la clave. El dao es entonces realizado por la tercera persona, quien ingresar al sistema y hara lo que quisiera. -35II. Cmo se producen las infecciones Los virus informticos se difunden cuando las instrucciones o cdigo ejecutable que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus est activado, puede reproducirse copindose en discos flexibles, en el disco duro, en programas informticos legtimos o a travs de redes informticas. Estas infecciones son mucho ms frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a travs de discos flexibles o de redes informticas no reguladas. Los virus funcionan, se reproducen y liberan sus cargas activas slo cuando se ejecutan. Por eso, si un ordenador est simplemente conectado a una red informtica infectada o se limita a cargar un programa infectado, no se infectar necesariamente. Normalmente, un usuario no ejecuta conscientemente un cdigo informtico potencialmente nocivo; sin embargo, los virus engaan frecuentemente al sistema operativo de la computadora o al usuario informtico para que ejecute el programa viral. Algunos virus tienen la capacidad de adherirse a programas legtimos. Esta adhesin puede producirse cuando se crea, abre o modifica el programa legtimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus tambin pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automticamente. En las redes informticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema. -36SNTOMAS TPICOS DE UNA INFECCIN.

El sistema operativo o un programa toma mucho tiempo en cargar sin razn aparente. El tamao del programa cambia sin razn aparente. El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente as. Si se corre el CHKDSK no muestra "655360 bytes available".

En Windows aparece "32 bit error". La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este sntoma con mucho cuidado, porque no siempre es as). No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate. Aparecen archivos de la nada o con nombres y extensiones extraas. Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido). Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS). En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A". En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows '98 (No puedo evitarlo, es mas fuerte que yo...!!). Una infeccin se soluciona con las llamadas "vacunas" (que impiden la infeccin) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado. -37SOFTWARE DE PROTECCION Para aquellos usuarios que estn conectados siempre a Internet como en cable mdem, que tienen un IP fijo (que es la direccin nica de una computadora en Internet), son los que tienen mayor posibilidad de acceso remoto por intrusos. Las conexiones mediante modem (Dial Up telefnico), no son tan propensas a intrusos ya que stas direcciones se van renovando con cada coneccin. An as cada vez que estamos conectados a Internet, estamos vulnerables a ataques de terceros. Para proteger los sistemas de computacin de accesos de extraos existen programas denominados Firewalls (murallas de fuego). Su funcin es crear una barrera para evitar la intromisin en la Pc o la red sin consentimiento. Los firewalls brindan seguridad haciendo que los puertos (los canales por el que los datos van y vienen por la red) sean invisibles. Algunos firewalls poseen ms cualidades que otros, definen reglas especficas para cada puerto y tambin actan sobre ciertas aplicaciones. Ellos monitorean todos los datos que circulan por la conexin de la mquina a Internet, asegurando que la mquina acepta trfico que el mismo firewall aprueba. -38ALGUNOS ANTIVIRUS.

DR. SOLOMON'S ANTIVIRUS TOOLKIT. Certificado por la NCSA. Detecta ms de 6.500 virus gracias a su propio lenguaje de deteccin llamado VirTran, con una velocidad de deteccin entre 3 y 5 veces mayor que los antivirus tradicionales. Uno de los ltimos desarrollos de S&S es la tecnologa G. D. E. (Generic Decription Engine, Motor de Desencriptacin Genrica) que permite detectar virus polimrficos sin importar el algoritmo de encriptacin utilizado.

Permite detectar modificaciones producidas tanto en archivos como en la tabla de particin del disco rgido. Para ello utiliza Checksumms Criptogrficos lo cual, sumado a una clave personal de cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptacin. Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y tablas de particin la proteccin es genrica, es decir, independiente del virus encontrado. Otras caractersticas que presenta este antivirus, son:

Ocupa 9K de memoria extendida o expandida. Documentacin amplia y detallada en espaol y una enciclopedia sobre los virus ms importantes. Actualizaciones mensuales o trimestrales de software y manuales. Trabaja como residente bajo Windows. A. H. A. (Advanced Heuristic Analysis, Anlisis Heurstico Avanzado). -39NORTON ANTIVIRUS. Certificado por la NCSA. Posee una proteccin automtica en segundo plano. Detiene prcticamente todos los virus conocidos y desconocidos (a travs de una tecnologa propia denominada NOVI, que implica control de las actividades tpicas de un virus, protegiendo la integridad del sistema), antes de que causen algn dao o prdida de informacin, con una amplia lnea de defensa, que combina bsqueda, deteccin de virus e inoculacin (se denomina 'inoculacin' al mtodo por el cual este antivirus toma las caractersticas principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en dichas reas, NAV avisa al usuario y provee las opciones de Reparar - Volver a usar la imagen guardada - Continuar - No realiza cambios - Inocular - Actualizar la imagen. Utiliza diagnsticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos. El escaneo puede ser lanzado manualmente o automticamente a travs de la planificacin de fecha y hora. Tambin permite reparar los archivos infectados por virus desconocidos. Incluye informacin sobre muchos de los virus que detecta y permite establecer una contrasea para aumentar as la seguridad. La lista de virus conocidos puede ser actualizada peridicamente (sin cargo) a travs de servicios en lnea como Internet, Amrica On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros. -40VIRUSSCAN. Este antivirus de McAfee Associates es uno de los ms famosos. Trabaja por el sistema de scanning descripto anteriormente, y es el mejor en su estilo. Para escanear, hace uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Cdigo) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Cdigo). Una de las principales ventajas de este antivirus es que la actualizacin de los archivos de bases de datos de strings es muy fcil de realizar, lo cual, sumado a su condicin de programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuracin de cmo detectar, reportar y eliminar virus. -41CONCLUSION.

En razn de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informticos:

No todo lo que afecte el normal funcionamiento de una computadora es un virus. TODO virus es un programa y, como tal, debe ser ejecutado para activarse. Es imprescindible contar con herramientas de deteccin y desinfeccin. NINGN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debera tratar de implementar estrategias de seguridad antivirus, no slo para proteger su propia informacin sino para no convertirse en un agente de dispersin de algo que puede producir daos graves e indiscriminados. -42BIBLIOGRAFIA: *Enciclopedia multimedia encarta * Buscadores: Google.com Yahoo.com Openchile.cl Icarito.cl -43INDICE: Introduccin 1 Como se clasifican los virus 2,3 Analisis del virus SIRCAM 4,5,6,7 Analisis del virus NIMDA 8 y 9 Metodo de infeccion del virus NIMDA 10 y 11 Virus W32. BADTRASNS.B@MM 12,13,14 Virus W32.KLEZ.E@MM 15,16,17 Tipos de virus 18,19 Virus Ping Pong 20,21 Virus Avispa y Menem Tocoto 22 Virus Camouflage II , leproso, pindonga 23 Virus Tedy 24 Virus Melissa 25 Historia del Virus 26,27 Tacticas Antivricas 28,29 Estrategias Virales 30 Daos que ocacionan 31 Ciclo de vida de un virus 32

Tipos de daos 33,34,35 Como se producen las infecciones 36 Sntomas tipicois de una infeccion 37 Software de proteccion 38 DR. Solomon`s y antivirus Toolkit 39 Norton Antivirus 40 Virusscan 41 Conclusin 42 Bibliografa 43