Elementos útiles para conocer los virus informáticos - Clasificación

La clasificación de los virus es muy variada. Pueden agruparse por la entidad que parasitan -sector de arranque o archivos ejecutables-, por su grado de dispersión a escala mundial, por su comportamiento, por su agresividad, por sus técnicas de ataque o por la forma en que se ocultan. En 1984, el Dr. Fred Cohen clasificó a los nacientes virus de computadoras en tres categorías:3,11

1. Caballos de Troya (Troyan horses)
   Los caballos de Troya son impostores, es decir, archivos que parecen benignos pero que, de hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que no se replican. Los caballos de Troya contienen códigos dañinos que, cuando se activan, provocan pérdidas o incluso robo de datos. Para que un caballo de Troya se extienda es necesario dejarlo entrar en el sistema, por ejemplo, al abrir un archivo adjunto de correo.
2. Gusanos (worms)
   Los gusanos son programas que se replican de sistema a sistema, sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga. Normalmente el gusano generará un documento que contendrá la macro del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el documento completo debe considerarse como gusano.
3. Virus
   

Un virus informático es un pequeño programa creado para alterar la forma en que funciona un equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos características:

• Debe ser capaz de autoejecutarse. A menudo coloca su propio código en la ruta de ejecución de otro programa.
• Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado.

Los virus pueden infectar tanto equipos de escritorio como servidores de red.

A partir de 1988, los virus empezaron a infectar y dañar archivos con diferentes extensiones: DLL, DBF, BIN, VBS, VBE, HTM, HTML, etcétera. Hoy, los virus no infectan áreas del sistema o tipos de archivos en forma específica y limitada. Sucede de acuerdo con cómo lo deseen sus creadores, dejando a un lado las clasificaciones tradicionales. Los virus requieren ejecutarse para lograr sus objetivos y por esa razón buscan adherirse a los archivos .COM, .EXE, .SYS, .DLL y .VBS, entre otros o a las áreas vitales del sistema: sector de arranque, memoria, tabla de particiones o al MBR. Una vez activados atacarán a otros archivos ejecutables o áreas, haciendo copias de sí mismos, sobrescribiéndolos o alterando archivos de cualquier otra extensión, no ejecutables. Los ficheros con extensiones diferentes a .COM, .EXE, .SYS, .DLL, .VBS y otras, sólo servirán de receptores pasivos, no activos,y pueden quedar alterados o inutilizados, pero jamás contagiarán a otros archivos.3


Existen cinco tipos de virus conocidos:11

• Virus que infectan archivos: atacan a los archivos de programa. Normalmente infectan el código ejecutable, contenido en archivos .COM y .EXE, por ejemplo. También pueden infectar otros archivos cuando se ejecuta un programa infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus están residentes en memoria. Una vez que la memoria se infecta, cualquier archivo ejecutable que no esté infectado pasará a estarlo.
• Virus del sector de arranque: infectan el área de sistema de un disco, es decir, el registro de arranque de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los que sólo contienen datos) tienen un pequeño programa en el registro de arranque que se ejecuta cuando se inicia el equipo. Los virus del sector de arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos virus están residentes en memoria por naturaleza. La mayoría se crearon para DOS, pero todos los equipos, independientemente del sistema operativo, son objetivos potenciales para este tipo de virus. Para que se produzca la infección basta con intentar iniciar el equipo con un disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estén protegidos contra escritura quedarán infectados al acceder a ellos.
• Virus del sector de arranque maestro: residen en memoria e infectan los discos de la misma forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar en que se encuentra el código vírico. Los virus del sector de arranque maestro normalmente guardan una copia legítima de dicho sector de arranque en otra ubicación.
• Virus múltiples: infectan tanto los registros de arranque como los archivos de programa. Son especialmente difíciles de eliminar. Si se limpia el área de arranque, pero no los archivos, el área de arranque volverá a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del área de arranque, los archivos que se limpiaron volverán a infectarse.
• Virus de macro: atacan los archivos de datos.
  

Con la aparición de los virus Macro, a mediados de 1995, y en 1998 con los virus de Java, Visual Basic Scripts, Controles ActiveX y HTML, se hizo necesario, además, una clasificación por sus técnicas de programación.12


Una de las últimas técnicas empleadas es la llamada Ingeniería social. En ella no se emplea ningún software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para lograr que otra persona revele información importante con la que, además, el atacante puede dañar su computadora.


En la práctica, los creadores de virus utilizan esta técnica para que sus ingenios se propaguen rápidamente. Para ello, atraen la atención del usuario inexperto y consiguen que realice alguna acción, como la de abrir un fichero, que es el que ejecuta la infección, mediante la alusión a un fichero o página con explícitas referencias eróticas, personajes famosos, relaciones amorosas, alternativas para encontrar parejas, juegos, entre otros.


Algunos virus que utilizan la técnica de ingeniería social son:

• W32/Hybris: reclama la curiosidad de los usuarios mediante un mensaje sugerente sobre una posible versión erótica del cuento de Blancanieves y los siete enanitos.
• W32/Naked: atrae la atención del usuario al intentar mostrarle un archivo cuyo nombre (NakedWife.exe) sugiere la imagen de una mujer desnuda.
• "AnnaKournikova" alias VBS/SST.A o "I-Worm/Lee.O"-: trata de engañar al usuario haciéndole creer que le ha recibido un fichero con la fotografía de la tenista Anna Kournikova.
• Trojan.Butano: aprovecha la imagen del conocido locutor de radio José María García, para esconder un programa que elimina todos los archivos existentes en el directorio raíz del disco duro.
• VBS/Monopoly: se autoenvía por correo electrónico en un mensaje que tiene como asunto "Bill Gates joke" ("Broma sobre Bill Gates"), y como cuerpo "Bill Gates is guilty of monopoly. Here is the proof.:" (Bill Gates es culpable de monopolio).
• I-Worm/Pikachu: se envía por correo electrónico en un mensaje cuyo asunto es "Pikachu Pokemon", en clara referencia al popular personaje infantil de videojuegos y series de animación.
• W32/Matcher: utiliza como reclamo -en el cuerpo del mensaje en el que se envía- un texto que ofrece una alternativa para encontrar pareja.
• VBS/LoveLetter -alias "Iloveyou"-: se envía por correo electrónico en un mensaje cuyo asunto es "ILOVEYOU" y el fichero que incluye se denomina "LOVE-LETTER-FOR-YOU.TXT.VBS". Dicho fichero utiliza doble extensión para engañar a los usuarios de Windows, porque este sistema no emplea las extensiones de los archivos.

Los virus pueden causar diferentes daños y molestias, como son:

En software

• Modificar programas y datos (virus Black Box: agrega un número de bytes a los programas infectados.)
• Eliminar programas y datos (Melissa: Macrovirus de Word). Se envía a sí mismo por correo. Daña todos los archivos
• DOC; virus JERUSALEM: borra, los viernes 13, todos los programas que el usuario trate de utilizar después de haberse infectado la memoria residente.
• Agotar el espacio libre del disco rígido.
• Demorar el trabajo del sistema.
• Sustraer información confidencial (Mighty: gusano para Linux:, Troj/Backdoor.Netdex.A: trojano, W32/Daboom): gusano de Internet, caballo de Troya tipo RAT.
• Producir mensajes o efectos extraños en pantalla (WinWord.Concept): Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y el WORD funciona incorrectamente.
• Emitir música o ruidos (virus FORM): el día 18 de cada mes cualquier tecla que se presione hace sonar el beep.

En hardware

• Borrar el BIOS (Chernobyl (W95.CIH): Intenta reescribir el BIOS de la PC lo que obliga a cambiar la motherboard.
• Formatear el disco rígido (FormatC): Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rígido.
• Borrar la FAT (tabla de partición de archivos), Chernobyl (W95.CIH): Borra el primer Mb del diso duro, donde se encuentra la FAT. Obliga a formatear el disco duro. Además intenta reescribir el BIOS de la PC lo que obliga a cambiar la motherboard. Se activa el 26 de abril. Michelangelo: Virus del sector de arranque. Se activa el 6 de marzo.
• Sobreescribe la FAT, deja el disco inutilizable.
• Alterar el MBR (Master Boot Record), Troj/Killboot.B. Trojano que borra el MBR llenándolo de ceros.

Cuando alguno de estos daños ocurre en una computadora aislada, las pérdidas pueden ser insignificantes, pero cuando se trata de una gran empresa, universidad, banco, institución militar, centro de salud, aeropuerto, proveedor de servicios de Internet u otro, los daños pueden ser incalculables e irreparables.


Ahora bien, es oportuno señalar que los virus son controlables y que, si se cumplen una serie de normas, que no varían mucho, establecidas por las entidades que se dedican a la protección de las redes y sus usuarios, puede lograrse una protección aceptable. Baste con recordar que ningún virus es capaz de hacer daño alguno, si antes no se ejecuta.