c



Un 
 es un programa que se reproduce por sí mismo, que puede viajar a través de redes
utilizando los mecanismos de éstas y que no requiere respaldo de software o hardware (como un
disco duro, un programa host, un archivo, etc.) para difundirse. Por lo tanto, un gusano es 


 
.

c

 


Los gusanos actuales se diseminan principalmente con usuarios de correo electrónico (en especial
de Outlook) mediante el uso de adjuntos que contienen instrucciones para recolectar todas las
direcciones de correo electrónico de la libreta de direcciones y enviar copias de ellos mismos a
todos los destinatarios.

Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos ejecutables

enviados como un adjunto, que se activan cuando el destinatario hace clic en el adjunto.










Es sencillo protegerse de la infección de un gusano. El mejor método es no abrir ciegamente

archivos que le llegan como adjuntos.

En el caso de que se abra un archivo adjunto, cualquier archivo ejecutable, o archivo que el SO
pueda interpretar, potencialmente puede infectar el equipo. Los archivos con las siguientes
extensiones, en particular, tiene más posibilidades de estar infectados:

exe, com, bat, pif, vbs, scr, doc, xls, msi, eml
En Windows, se recomienda deshabilitar la opción "|
 
| 
", ya que esta
opción puede engañar al usuario al hacerle creer que un archivo tiene una extensión
diferente. Por lo tanto, un archivo con extensión  
se verá como un archivo  .

El SO no interpreta los archivos con las siguientes extensiones. Por lo tanto, el riesgo de infección
de ellos es mínimo:

txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm
Es común escuchar que los archivos GIF o JPG contienen virus.
En realidad, cualquier tipo de archivo puede tener un código que porte un virus, pero
primero el sistema debe haber sido modificado por otro virus para interpretar el código que
se encuentra en los archivos.

Antes de abrir cualquier archivo cuya extensión indique que puede estar infectado (o en el caso de
extensiones que usted no reconoce), asegúrese de instalar un programa antivirus y analizar
sistemáticamente cada adjunto antes de abrirlo.

A continuación le ofrecemos una lista más completa (aunque breve) de extensiones de archivos
que pueden contener un virus:

Ä 


386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS,
CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML,
EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT,
MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT,
OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW,
SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE,
VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP

Î 


Un Î  es un programa de informática que produce operaciones malintencionadas sin el

conocimiento del usuario. El nombre "Troyano" proviene de una leyenda contada por los griegos en
la è (escrita por ||) sobre el bloqueo de la ciudad de Troya.

Según la leyenda, a los griegos, que no lograban traspasar las defensas de la ciudad de Troya, se
les ocurrió la idea de abandonar el bloqueo y, en cambio, entregar una ofrenda a la ciudad: el
regalo consistía en un caballo de madera gigante.

Los habitantes de Troya (Troyanos) aceptaron el regalo aparentemente inofensivo sin sospechar
nada, y lo introdujeron dentro de los muros de la ciudad. Pero el caballo estaba lleno de soldados
que esperaron a que la población se durmiera para salir del interior del caballo, abrir las puertas de
la ciudad para facilitar la entrada del resto del ejército.

Volviendo al campo de la informática, se denomina Troyano a un programa oculto dentro de otro

que ejecuta comandos furtivamente y que, por lo general, abre el acceso al ordenador y lo opera
abriendo una    
 . Por esta razón, a veces se lo conoce como Î  por la analogía
con los ciudadanos de Troya.

Similar a un virus, un Troyano es un código malicioso que se encuentra en un programa sano (por
ejemplo, un comando falso para crear una lista de archivos que los destruye en lugar de mostrar la
lista).

Un Troyano puede, por ejemplo:

i robar contraseñas
i copiar fechas confidenciales
i realizar cualquier otra operación maliciosa
i etc.

Y aún peor, este programa puede crear una infracción intencional de seguridad dentro de la red
para que los usuarios externos puedan acceder a áreas protegidas de esa red.

Los Troyanos más comunes abren puertos en la máquina que permiten al diseñador tener acceso
al ordenador a través de la red abriendo una    
 . Por esta razón se usa
frecuentemente el término 

 u | |
|.

Un Troyano no es necesariamente un virus porque su objetivo no es reproducirse para

infectar otras máquinas. Además, algunos virus también pueden ser Troyanos. ¡Es decir,
se diseminan como tales y abren puertos en máquinas infectadas!

Es difícil detectar este tipo de programas ya que se debe determinar si la acción realizada por el
Troyano es deseada o no por el usuario.
ð  



La infección de un Troyano generalmente aparece después de abrir un archivo contaminado que

contiene el Troyano (consulte el artículo acerca de cómo protegerse de los gusanos) y la infección
es evidente por los siguientes síntomas:

i Actividad anormal del módem, adaptador de red o disco duro: los datos se cargan aunque
el usuario no registre actividad.
i Reacciones extrañas del ratón.
i Programas que se abren en forma inesperada.
i Bloqueos repetidos.

ë   Î 


La instalación de un firewall (programa que filtra los datos que entran y salen de su máquina) es
suficiente para protegerlo de este tipo de intrusión. Un firewall controla tanto los datos que salen de
su máquina (generalmente iniciados por los programas que está utilizando) como los que se
introducen en ella. Sin embargo, el firewall puede detectar conexiones externas de las   

 

de un hacker. Éstas pueden ser pruebas realizadas por su proveedor de servicios de
Internet o un hacker que está analizando de forma aleatoria una cantidad de direcciones de IP.

Existen dos firewalls gratuitos y muy útiles para los sistemas Windows:

i ZoneAlarm
i Tiny Personal Firewall

Ä



El firewall pide la confirmación de la acción antes de iniciar una conexión si un programa, cuyos
orígenes desconoce, intenta abrir una conexión. Es muy importante que no autorice conexiones
para un programa que desconoce porque podría tratarse de un Troyano.

Si esto vuelve a ocurrir, es conveniente verificar que su ordenador no esté infectado con un
Troyano usando un programa que los detecta y elimina. (denominado|
| ).
Un ejemplo es  , el cual se puede descargar desde http://www.moosoft.com.

ï
ðë 
 ð

| Muy difíciles de detectar y eliminar, debido a que cada copia del virus es diferente
de otras copias.

| Sus instrucciones cambian cada vez que se autoencriptan.

| El virus produce varias copias diferentes de sí mismo.

| Cambian su forma (código) cada vez que infectan un sistema, de esta manera
parece siempre un virus distinto y es más difícil que puedan ser detectados por un
programa antivirus.

| Pero existe un fallo en está técnica, y es que un virus no puede codificarse por
completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina
la que buscan los antivirus para la detección del virus.
ï
ðÄðÎ
Î ð

i Tipo de virus más antiguos y poco frecuentes.

i Su medio de propagación es a través de programas ejecutables.

i Su forma de actuar es sencilla.

i Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo que
no este todavía infectado.

i Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos fijos
como el COMMAND.COM del Sistema Operativo.

i No permanecen en memoria más que el tiempo necesario para infectar uno o varios
archivos.

i Pueden ser virus destructivos en el caso de que sobrescriban la información del programa
principal con su código de manera irreversible.

i A veces bloquean el control del sistema operativo, sobrescribiéndolo.

ï
ð
Äð Ä
ÎÄð

i Virus que permanecen indefinidamente en memoria incluso después de haber finalizado el

programa portador del virus.

i Una vez ejecutado el programa portador del virus, éste pasa a la memoria del computador
y se queda allí hasta que apaguemos el ordenador. Mientras tanto va infectando todos
aquellos programas ejecutables que utilicemos.

ï
ðÄðÎ
Î ïð

i Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros datos.

i Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro.

i Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestión de segundos
inutilizan los datos del disco duro.

i ï
ð ë

Î ð

| Es un virus poco frecuente.

| Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su código (el
algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede
haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus
destructivo.
 i ï
ðë
Ä
ð

| Son los virus más sencillos de hacer.

| Cuando en un mismo directorio existen dos programas ejecutables con el mismo

nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS
carga primero el archivo con extensión .COM.

| Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo
ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo .COM
que contiene el virus. Después el virus llamaría al programa original.

| El archivo infectado no podría ser visto con un simple comando DIR en C :\, porque
contiene el atributo de oculto.

| ï
ðÄÎðÄÎ
Ä




Ä

o Como su nombre lo indica, infecta el sector de arranque del disco duro.

o Dicha infección se produce cuando se intenta cargar el sistema operativo

desde un disco infectado.

o Infecta los diskettes o discos duros, alojándose en el boot sector.

o Cuando se enciende el computador, lo primero que hace la BIOS es

inicializar todo (tarjetas de vídeo, unidades de disco, chequear memoria,
entre otros).

Y entonces lee el primer sector del disco duro, colocándolo en la memoria.

Normalmente es un pequeño programa que se encarga de preparar al Sistema Operativo.

Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el
virus informático para que se cargue en el Sistema Operativo.

Almacenando el boot sector original en otra parte del disco o simplemente lo reemplaza en
su totalidad.

También localiza un sitio en el Disco Duro para guardar la antigua rutina que había en el
BOOT.

Î
Äë 
Äð

o Realizan funciones parecidas a los virus biológicos. Ya que se autoreplican

e infectan los programas ejecutables que se encuentren en el disco.

o Se activan en una fecha, hora programada, cada determinado tiempo, contando a

partir de su última ejecución o simplemente al sentir que se les trata de detectar.
o
| ÄðÄ
Äë
ÎÄ 

o No son virus destructivos.

o Se activan cuando se intenta copiar un archivo que está protegido contra

escritura.

o También se ejecutan cuando se intenta copiar softwares o programas.

| ï
ð
ÄÎ
ÄðÄë
c


ðÄÄÎ
Äð

o La infección se produce al ejecutar el programa que contiene el virus, en

ese momento busca todos los programas cuyas extensiones sean .COM o
.EXE.

o Cuando un programa infectado está ejecutándose, el virus puede

permanecer residente en memoria e infectar cada programa que se
ejecute.

o Los virus de este tipo tienen dos formas de alojarse en el ejecutable.

o Graban su código de inicio al principio del archivo, realizando un salto para

ejecutar el programa básico y regresar al programa infectado.

o Sobrescribiendo en los sectores del disco, haciendo prácticamente

imposible su recuperación, si no cuenta con los originales.