Escolar Documentos
Profissional Documentos
Cultura Documentos
En realidad hay que desconfiar de aquellos que todo lo saben, ya que nunca sern
capaces de admitir la necesidad de formacin continua que presiona al rea
informtica. El rea de hardware y software est en constante desarrollo, de tal
modo que los ciclos de 6 o 12 meses necesarios para que se volvieran obsoletas
las tecnologas hace unos pocos aos, ya son ciclos de 4-5 meses o an menos. La
carrera del conocimiento avanza de manera apresurada y hoy ya es muy difcil no
recurrir a los manuales, las bsquedas va Internet y an las interconsultas para
resolver problemas difciles y complejos. El avance del software, los sistemas
operativos, los incontables parches, agujeros de seguridad, bugs, no son sino
slo una parte del todo, formado tambin por placas, microprocesadores, locks,
controladores, redes, telecomunicaciones, software mal desarrollado y un largo
etc.
Esta gua sin ser un tratado exhaustivo del tema de virus informticos, tiene por
objeto mantener actualizados los conocimientos sobre este tipo de programas,
facilitando las bases necesarias para un estudio ms profundo, indispensable ya
para todo aquel que dependa en mayor o menor medida de su sistema PC.
La primer aclaracin que cabe es que los virus de computadoras, son simplemente
programas, y como tales, hechos por programadores. Son programas que debido sus
caractersticas particulares, son especiales. Para hacer un virus de computadora,
no se requiere capacitacin especial, ni una genialidad significativa, sino
conocimientos de lenguajes de programacin, de algunos temas no difundidos para
pblico en general y algunos conocimientos puntuales sobre el ambiente de
programacin y arquitectura de las PC's.
La segunda aclaracin que debe hacerse es que en esta gua no se trata al tema de
los virus como acadmicamente se debera desde el punto de vista de la
programacin, sino que se observan desde el punto de vista funcional. En la vida
diaria, ms all de las especificaciones tcnicas, cuando un programa invade
inadvertidamente el sistema, se replica sin conocimiento del usuario y produce
daos, prdida de informacin o fallas del sistema, mi concepto es que es un
. Dentro de la nueva clasificacin de virus que hago llegar con esta gua, vern
que hay programas que no se replican, o que no invaden al sistema, y sin embargo
yo afirmo que son virus. Para el usuario se comportan como tales y funcionalmente
lo son en realidad. Esta gua est pensada para el usuario final y de ah este
particular punto de vista. Si alguien necesita un manual tcnico de virus, debo
decir que ya existen innumerables expertos e incontables libros que hablan,
describen, teorizan, clasifican y desglosan infinitesimalmente virus desde el
punto de vista acadmico de la programacin. Si usted necesita eso, no lea esta
gua.
Los virus actan enmascarados por "debajo" del sistema operativo, como regla
general, y para actuar sobre los perifricos del sistema, tales como discos
duros, disqueteras, ZIP's CD-ROM's, hacen uso de sus propias rutinas aunque no
exclusivamente. Un programa "normal" por llamarlo as, usa las rutinas del
sistema operativo para acceder al control de los perifricos del sistema, y eso
hace que el usuario sepa exactamente las operaciones que realiza, teniendo
control sobre ellas. Los virus, por el contrario, para ocultarse a los ojos del
usuario, tienen sus propias rutinas para conectarse con los perifricos de la
computadora, lo que les garantiza cierto grado de inmunidad a los ojos del
usuario, que no advierte su presencia, ya que el sistema operativo no refleja su
actividad en la PC. Esto no es una "regla", ya que ciertos virus, especialmente
los que operan bajo Windows, usan rutinas y funciones operativas que se conocen
como APIs. Windows, desarrollado con una arquitectura muy particular, debe su
gran xito a las rutinas y funciones que pone a disposicin de los programadores
y por cierto, tambin disponibles para los desarrolladores de virus. Una de las
bases del poder destructivo de este tipo de programas radica en el uso de
funciones de manera "sigilosa", oculta a los ojos del usuario comn.
La clave de los virus radica justamente en que son programas. Un virus para ser
activado debe ser ejecutado y funcionar dentro del sistema al menos una vez.
Dems est decir que los virus no "surgen" de las computadoras espontneamente,
sino que ingresan al sistema inadvertidamente para el usuario, y al ser
ejecutados, se activan y actan con la computadora husped.
Desde el ao 1997, en que apareci por primera vez esta monografa, hasta ahora
ha habido incontables cambios en la vida de los virus. Existen nuevos tipos,
nuevas metodologas, novedosas tcnicas de programacin, nuevos agujeros de
seguridad en los programas y sistemas operativos. Hasta la aparicin del programa
MICROSOFT OUTLOOK, era imposible adquirir virus mediante el correo electrnico.
Los mail no podan de ninguna manera infectar una PC. Solamente si se adjuntaba
un archivo susceptible de infeccin, se bajaba a la PC, y se ejecutaba, se poda
ingresar un archivo infectado a la mquina. Esta paradisaca condicin cambi de
pronto con las declaraciones de Padgett Peterson, miembro de Computer Antivirus
Research Organizacin, el cual afirm la posibilidad de introducir un virus en el
disco duro del usuario de Windows 98 mediante el correo electrnico. Esto fue
posible porque el gestor de correo OUTLOOK 98 es capaz de ejecutar programas
escritos en Visual Basic para Aplicaciones (antes conocido como Visual Language,
propiedad de Microsoft), algo que no suceda en Windows 95. Esto fue negado por
el gigante del software y se intent ridiculizar a Peterson de diversas maneras a
travs de campaas de marketing, pero como sucede a veces, la verdad no siempre
tiene que ser probada. A los pocos meses del anuncio, hizo su aparicin un nuevo
virus, llamado BubbleBoy, que infectaba computadoras a travs del e-mail,
aprovechndose del agujero anunciado por Peterson. Una nueva variedad de virus
haba nacido.
Para ser infectado por el BubbleBoy, slo es necesario que el usuario reciba un
mail infectado y tenga instalados Windows 98 y el programa gestor de correo
Outlook. La innovacin tecnolgica implementada por Microsoft y que permitira
mejoras en la gestin del correo, result una vez ms en agujeros de seguridad
que vulneraron las computadoras de desprevenidos usuarios.
Las mejoras que provienen de los lenguajes de macros de la familia Microsoft
facilitan la presencia de "huecos" en los sistemas que permiten la creacin de
tcnicas y herramientas aptas para la violacin nuestros sistemas. La gran
corriente de creacin de virus de Word y Excel, conocidos como Macro-Virus, naci
como consecuencia de la introduccin del Lenguaje de Macros WordBasic (y su
actual sucesor Visual Basic Para Aplicaciones), en los paquetes de Microsoft
Office. Actualmente los Macro-Virus representan el 80 % del total de los virus
que circulan por el mundo.
Hoy en da tambin existen archivos de pginas Web que pueden infectar su PC,
algo no pensado hace algunos pocos meses atrs. El boom de Internet ha permitido
la propagacin instantnea de virus a todas las fronteras, haciendo susceptible
de ataques a cualquier usuario conectado. La red mundial de Internet debe ser
considerada como una red insegura, susceptible de esparcir programas creados para
aprovechar los huecos de seguridad de Windows y que faciliten el "implante" de
los mismos en nuestros sistemas. Los virus pueden ser programados para analizar y
enviar nuestra informacin a lugares remotos, y lo que es peor, de manera
inadvertida. El protocolo TCP/IP, desarrollado por los creadores del concepto de
Internet, es la herramienta ms flexible creada hasta el momento, permite la
conexin de cualquier computadora con cualquier sistema operativo. Este
maravilloso protocolo, que controla la transferencia de la informacin, al mismo
tiempo, vuelve sumamente susceptible de violacin a toda la red. Cualquier
computadora conectada a la red, puede ser localizada y accedida remotamente si se
siguen algunos caminos que no analizaremos por razones de seguridad. Lo cierto es
que cualquier persona con conocimientos de acceso al hardware por bajo nivel,
pueden monitorear una computadora conectada a Internet. Durante la conexin es el
momento en el que el sistema se vuelve vulnerable y puede ser "hackeado". Slo es
necesario introducir en el sistema un programa que permita "abrir la puerta" de
la conexin para permitir el acceso del intruso o directamente el envo de la
informacin contenida en nuestro disco. En realidad, y para ser completamente
sincero, hackear un sistema Windows es ridculamente fcil. La clave de todo es
la introduccin de tal programa, que puede realizarse por un archivo adjunto a un
mail que ejecutamos, un disquete que recibimos y contiene un programa con el
virus, o quiz un simple mail. El concepto de virus debera ser ampliado a todos
aquellos programas que de alguna manera crean nuevas puertas en nuestros sistemas
que se activan durante la conexin a Internet para facilitar el acceso del
intruso o enviar directamente nuestra informacin privada a usuarios en sitios
remotos.
4) "Virus" Bug-Ware: son programas que en realidad no fueron pensados para ser
virus, sino para realizar funciones concretas dentro del sistema, pero debido a
una deficiente comprobacin de errores por parte del programador, o por una
programacin confusa que ha tornado desordenado al cdigo final, provocan daos
al hardware o al software del sistema. Los usuarios finales, tienden a creer que
los daos producidos en sus sistemas son producto de la actividad de algn virus,
cuando en realidad son producidos por estos programas defectuosos. Los programas
bug-ware no son en absoluto virus informticos, sino fragmentos de cdigo mal
implementado, que debido a fallos lgicos, daan el hardware o inutilizan los
datos del computador. En realidad son programas con errores, pero funcionalmente
el resultado es semejante al de los virus.
6) Virus de e-mail: dentro e este grupo, incluyo a dos tipos de virus: los que
junto a un mail hacen llegar un archivo adjunto que necesariamente debe abrirse o
ejecutarse para activar el virus, y dentro de ellos menciono a Melissa como el
precursor de esta variedad, y tambin englobo a los gusanos (worms) que
aprovechan los agujeros de seguridad de programas de correo electrnico para
infectar a las computadoras, de los cuales BubbleBoy fue el precursor. Esta
variedad difiere de los otros virus en el hecho de que no necesitan de la
ejecucin de un programa independiente (adjuntos) para ser activados, sino que
ingresan e infectan las PC's con la simple visualizacin del mail. Hasta la
aparicin de estos virus, la infeccin era provocada por un descuido del usuario,
pero a partir de ellos, la infeccin puede producirse an manteniendo protocolos
de seguridad impecables. Aprovechan fallas de los programas (Vea los "virus" Bug-
Ware) y de ese modo ingresan a las computadoras. De este modo, no es necesaria la
impericia del usuario, sino mantenerse informado constantemente de los fallos de
seguridad de los programas usados, cosa muy difcil de realizar para el usuario
comn. Por todos es conocida la poltica obsesiva de las empresas productoras de
software de producir programas "amigables", que complican la programacin y
llevan a cuidar estticamente un producto y a fallar en funciones esenciales.
Windows ha abierto la puerta a la belleza visual, pero esto trae adems la
presencia de productos de software mediocres, que tratan de tapar graves defectos
estructurales con mens atractivos y componentes multimedia. Dentro de este grupo
incluyo a los mail-bombers que si bien acadmicamente no son catalogados como
virus, provocan fallas en nuestro sistema al saturar nuestro correo. Los mail-
bombers son programas especialmente preparados para enviar un nmero definido de
copias de un e-mail a una vctima, con el objeto de saturar su casilla de correo
e-mail. Algunos de estos programas, aprovechando los agujeros de seguridad,
envan mails tipo gusano. Los mail-bombers no afectan en realidad nuestro sistema
PC, pero provocan el colapso de nuestro correo electrnico, as es que
funcionalmente se comportan para el usuario de computadoras como si fueran virus,
ms all de cualquier etiqueta acadmica.
7) Virus de MIRC: al igual que los bug-ware y los mail-bombers, no son
considerados virus, pero los nombro debido a que tienen caractersticas comunes.
Son una nueva generacin de programas que infectan las PC's, aprovechando las
ventajas proporcionadas por Internet y los millones de usuarios conectados a
cualquier canal IRC a travs del programa Mirc y otros programas de chat.
Consisten en un script para el cliente del programa de chateo. Cuando se accede a
un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto,
el subdirectorio donde se descargan los archivos es el mismo donde esta instalado
el programa, esto causa que el "script.ini" original se sobrescriba con el
"script.ini" maligno. Los autores de ese script acceden de ese modo a informacin
privada de la PC, como el archivo de claves, y pueden remotamente desconectar al
usuario del canal IRC.
Evitan que se muestren los errores de escritura cuando el virus intenta escribir
en discos protegidos.
Restar el tamao del virus a los archivos infectados cuando se hace un DIR.
Una parte del cdigo del virus queda inmutable y es el que resulta vulnerable y
propicio para ser detectado por los antivirus. La forma ms utilizada para la
codificacin es la operacin lgica XOR, debido a que es reversible: En cada
operacin se hace necesaria una clave, pero por lo general, usan una clave
distinta en cada infeccin, por lo que se obtiene una codificacin tambin
distinta. Otra forma muy usada para generar un virus polimrfico consiste en
sumar un nmero fijo a cada byte del cdigo vrico.
* Tunneling: es una tcnica de evasin que tiende a burlar los mdulos residentes
de los antivirus mediante punteros directos a los vectores de interrupcin. Es
altamente compleja, ya que requiere colocar al procesador en modo paso a paso, de
tal manera que al ejecutarse cada instruccin, se produce la interrupcin 1, para
la cual el virus ha colocado una ISR (interrupt Service Routine), ejecutndose
instrucciones y comprobndose si se ha llegado a donde se quera hasta recorrer
toda la cadena de ISRs que haya colocado el parche al final de la cadena.
Como antes mencion, para que un virus se active en memoria, se debe ejecutar el
programa infectado en primer trmino para que el virus inicie sus actividades
dentro de nuestro sistema. En este caso, no es necesario arrancar ningn
programa, sino simplemente abrir un archivo de Word o Excel infectado.
Ahora bien, en el caso de mails va Internet, por lo explicado, debe quedar claro
que:
Los mails no son programas. Algunos mails no poseen macros (los que s poseen
macros son los mails de Microsoft Outlook). Aquellos que no tienen lenguaje de
macros NO PUEDEN CONTENER VIRUS.
Recuerde que los archivos adjuntos asociados al mail pueden llevar virus (siempre
que sean susceptibles de ser infectados). Bajen el adjunto, y chequenlo.
Asegrense que el antivirus chequee los zipeados o comprimidos si lo adjuntado es
un archivo de ese tipo. Si el adjunto es un documento que puede tener macros,
desactiven las macros del programa Word ANTES DE ABRIRLO. Si el adjunto es un
archivo de texto plano, es decir ASCII puro o slo texto, pueden quedarse
tranquilos. Ahora bien, en caso de duda o inseguridad extrema, queda el recurso
de borrar en forma definitiva el archivo adjuntado que encuentre sospechoso.
Las nuevas versiones del Norton Antivirus y otros programas, permiten el chequeo
antivirus de e-mails y adjuntos, de manera que si su antivirus permite esta
opcin, es otro punto a su favor y un escaln ms a favor de su propia seguridad.
De acuerdo a mi experiencia, debo decir que los mdulos residentes distan mucho
de ser una solucin satisfactoria para controlar los virus de las computadoras, y
mi consejo ms fervoroso es que los operadores se acostumbren a seguir los
protocolos de seguridad apropiados para tener un control efectivo de los archivos
ingresados a su PC y en su defecto, programen la activacin automtica de sus
antivirus (si tienen esa posibilidad) con el fin de correr el programa principal
por lo menos una vez a la semana.
Obviamente los virus son programas, y como tales requieren de recursos del
sistema para funcionar y su ejecucin, ms al ser repetitiva, llevan a un
alentamiento global en las operaciones.
El cdigo viral, como ya dijimos, ocupa parte de la RAM y debe quedar "colgado"
de la memoria para activarse cuando sea necesario. Esa porcin de cdigo que
queda en RAM, se llama residente y con algn utilitario que analice la RAM puede
ser descubierta. Aqu tambin es valioso comparar antes / despus de la infeccin
y / o arrancando desde un disco "limpio".
Tiempos de carga mayores.
En mayor o menor medida, todos los virus, al igual que programas residentes
comunes, tienen una tendencia a "colisionar" con otras aplicaciones. Aplique aqu
tambin el anlisis pre/post-infeccin.
Chequear todo disquete que provenga del exterior, es decir que no haya estado
bajo nuestro control, o que haya sido ingresado en la disquetera de otra PC. Si
ingresamos nuestros disquetes en otras PC's, asegurarnos de que estn protegidos
contra escritura.
Si nos entregan un disquete y nos dicen que est revisado, NO CONFIAR NUNCA en
los procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos
si esa persona sabe operar correctamente su antivirus. Puede haber chequeado slo
un tipo de virus y dejar otros sin controlar durante su escaneo, o puede tener un
mdulo residente que es menos efectivo que nuestro antivirus, o puede tener un
antivirus viejo.
NUNCA ABRIR UN ATACHADO A UN E-MAIL sin antes chequearlo con nuestro antivirus.
Si el atacado es de un desconocido QUE NO NOS AVISO PREVIAMENTE DEL ENVO DEL
MATERIAL, DIRECTAMENTE BORRARLO SIN ABRIR.
HAGA EL BACKUP PERIDICO DE SUS ARCHIVOS. Una vez cada 15 das es lo mnimo
recomendable para un usuario domstico. Si usa con fines profesionales su PC,
debe hacer backup parcial de archivos cada 48 horas como mnimo. Llamo backup
parcial de archivos a la copia en disquete de los documentos que graba, un
documento de Word, por ejemplo. Al terminarlo, grbelo en su carpeta de archivos
y cpielo a un disquete. Esa es una manera natural de hacer backup constantes. Si
no hace eso, tendr que hacer backups totales del disco rgido cada semana o cada
15 das, y eso s realmente es un fastidio. Actualmente una caja de disquetes
ronda los U$S 3-4. A razn de U$S 0,40 cada disquete, creo que es razonable para
mantener a resguardo su informacin.
ANTIVIRUS RECOMENDADOS
Si bien ya mencion antes cmo elegir un antivirus, debo admitir que las
consultas de clientes y amigos se centran en tres aspectos fundamentales:
facilidad de adquisicin de las actualizaciones, menor costo posible y facilidad
de uso. Atendiendo a esos tres requisitos, recomiendo en primer trmino al
antivirus de origen Islands F-PROT, que puede conseguirse fcilmente en
Internet. El producto para uso particular, no corporativo, es totalmente
gratuito. Sirve para entornos DOS - Windows 32 bits. F-Prot me ha demostrado a lo
largo de los aos ser un producto efectivo, confiable y robusto. Si bien no es un
producto tan difundido como otros, el marketing y la publicidad no son
ciertamente parmetros confiables a la hora de definir criterios de seleccin.
Tiene la ventaja de avisar automticamente de la caducidad de su base de datos.
Es algo "duro" en su interfaz de usuario porque no permite el uso de ratn y su
actualizacin cada 2-3 meses es muy alejada del ideal que requiere este loco
mundo de la informtica.
Si tengo que dar una opinin dira que la asociacin NORTON / F-PROT / PROTOCOLO
es casi ideal. Y digo casi porque como programador, no creo en los paradigmas
absolutos
Por:
Ricardo Daniel Ponce
ricardodp@losandesinternet.com.ar