Características de los virus
 
Características de los virus

      

 

El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de booteo sea leído.

 

De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se duplique a sí mismo.

 

Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los programas del sector de booteo, menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huesped es cerrado.

 

Los virus pueden llegar a camuflarse y esconderse para evitar la detección y reparación.

 

Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente.

También cualquier archivo que contenga ejecutables o macros puede ser portador de un virus: downloads de programas de lugares inseguros; e-mail con attachments, archivos de MS-Word y MS-Excel con macros.

 

Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser dañados por éstos.

 

Los virus de sectores de booteo se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobre escribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5 y todos los tipos de Zip de Iomega, Sony y 3M.

 

En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo.

 

Asimismo, se pueden distinguir tres módulos principales de un virus informático:

 

a)  El módulo de reproducción = Se encarga de manejar las rutinas de parasitación de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse ocultamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.

 

b) El módulo de ataque = Es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo.

 

En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.

 

c)  El módulo de defensa = Tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.  

¿Qué elementos infectan los virus?

Esta es una de las máximas del elemento virus:

 

"Toda porción de código ejecutable es susceptible de ser infectada."

 

"Toda porción de código no ejecutable es susceptible de ser infectada, pero nunca puede producir, por sí sola, una infección".

Objetivo principal de los virus

Archivos que se encuentran en un medio de almacenamiento como discos duros o disquetes. En especial los archivos que sean programas, es decir, aquellos con extensión exe o com que se han de ejecutar para efectuar determinadas funciones. También pueden infectar el propio medio de almacenamiento, es decir, los disquetes o disco duro, infectando posteriormente los archivos en ellos almacenados. De manera secundaria, ciertos virus infectan archivos que no son programas, pero que contienen macros, como más adelante veremos.

 

Creación (Programación y desarrollo)  = Es la etapa en la cual el programador, con conocimientos en lenguaje ensamblador u otro aplicable a la codificación de virus, establece en él las características y capacidades del virus, es decir, sus módulos de reproducción, de ataque y de defensa.

 

Gestación (infección al sistema)  = En esta etapa el virus después de haber infectado el sistema (vía e-mail, discos flexibles, etc) se aloja, usualmente en la memoria del computador para esperar una orden o instrucción que lo ejecute para poder causar los daños y en un futuro multiplicarse. Esta circunstancia es muy factible que pase totalmente desapercibida por el usuario.

 

Reproducción y propagación  = En esta fase el virus ejecuta la misión principal para la que fue creado, que no es el ataque o daño como pudiera parecer a primera vista: La reproducción. El programa realizará copias iguales (o con ligeras variaciones, lo que dificultará su detección por los antivirus) con el fin de propagarse. Incluso existen virus que se reproducen mientras esperan ser activados (ejecución de alguna acción por parte del usuario). Luego se auto envían a través de correo electrónico, se transportan a través de disquetes, etc. para continuar contagiando otros sistemas, que a su vez extenderán la infección.

 

Activación (inicio de actividad del virus)  = El durmiente despierta. El virus comienza a funcionar en un momento concreto, cuando se cumplen unas condiciones específicas. Estas pueden ser desde una fecha y hora concreta a la ejecución de algún programa por parte del usuario. Es entonces cuando el virus ejecuta su módulo de ataque y produce los daños en el sistema anfitrión para los que ha sido programado. Es cierto que algunos virus simplemente se reproducen, pero puede considerarse que un sistema es atacado si es modificado sin consentimiento.

 

Detección y Destrucción del virus  = Hoy en día la respuesta eficaz a los nuevos virus puede ser desarrollada por las casas de antivirus en cuestión de horas. Normalmente estas empresas reciben una muestra del nuevo ejemplar, analizan su código y lo incluyen en sus bases de datos lo más rápidamente posible. Una vez capacitados los antivirus para la detección y eliminación del virus, es el principio de su fin. Las últimas generaciones de virus tienen la capacidad de encriptarse hasta el momento de su activación, dificultando de esta manera su detección. En el momento de su activación se auto replican, pudiendo efectuar copias de sí mismos diferentes del virus original, las cuales a su vez se vuelven a encriptar y así sucesivamente, con el consecuente aumento proporcional de dificultad de detección y eliminación que podemos imaginar.