DEFINICIÓN
Los virus son programas informáticos capaces de replicarse o reproducirse mediante la infección de otros programas //(ejecutables)//.
La característica fundamental que los define es la infección. La ocultación es un elemento esencial que añade complejidad al virus.
La propagación se realiza mediante ficheros infectados //(que llevan pegadas copias del virus)//. La vía puede ser a través de un disquete, de un correo electrónico o bien que el virus sea capaz de conectarse y enviar copias de sí mismo.
Se //“pega”// a un fichero ejecutable. Generalmente, si comprueba que no puede transmitirse a otro ordenador por no existir una conexión a una red, el programador le habrá incluido una rutina para infectar el ordenador en el que se encuentra. //No es necesario que dañe o destruya, cosa que se encuentra erróneamente en muchas definiciones de virus.//
La infección se producía al principio de forma masiva a través del intercambio de disquetes, luego por correo electrónico, ficheros adjuntos, software pirata, etc.
//Internet ha supuesto el boom de los virus y de los gusanos. Los programas de intercambio de música y películas son un filón inagotable.//
ESTRUCTURA
La estructura de un virus es tripartita:
~- Mecanismo de reproducción. Infección que genera copias del virus //“pegadas”// en ficheros ejecutables o en el sector de arranque de discos //(en realidad son programas también).//
~- Detonante //(trigger).// Esta parte del virus //(de su código)// se encarga de comprobar si se cumplen las situaciones previstas por el programador. Cuando se cumplan una o varias circunstacias: //puede ser una fecha concreta, una acción por parte del usuario, etc.//
~- Carga //(payload).// La acción que realiza el virus. No tiene por qué ser destructivo: //puede ser mostrar una ventana, un mensaje, etc.// Entre los payload destructivos o perjudiciales pueden encontrarse //desde el borrado de ficheros hasta el envío de información confidencial a destinos no autorizados.//
El virus intentará sobrevivir el máximo tiempo posible e infectar al mayor número de ficheros y/o ordenadores. Para esto, desde el sencillo //"Brain"// en 1986, se usan las llamadas técnicas de ocultación, que buscan engañar al usuario y a los antivirus.
Uno de los mitos más persistentes hacen referencia a las llamadas //“mutaciones”// de los virus, que en la mayoría de las ocasiones //son cambios que realizan determinados programadores sobre el código de un virus o gusano exitoso// //(y los medios de comunicación no se refieren al polimorfismo sino a lo citado).//
Otro es que la infección vírica destruye, pero la realidad es que no es destructora salvo errores //(bugs)// de programación. Lo que puede destruir es el //“payload”//.
LENGUAJES DE PROGRAMACIÓN
Pueden verse virus en casi cualquier lenguaje, desde el más sencillo como es el BATCH hasta el más complejo como es el ENSAMBLADOR.
Los virus interpretados, tanto de macro como de lenguajes script //(VBScript, etc... )//, están ganando un espacio considerable en los últimos años, por ser bastante más //fáciles de crear// que los realizados en ensamblador para infectar ejecutables en Windows 32.
@@|| ==== CLASIFICACIÓN DE VIRUS //(Aproximación)// ==== ||
|| TIPO || DESCRIPCIÓN BREVE ||
|| Virus de sector de arranque || Infecta la parte del disco usada para arrancar //(tiene código)// ||
|| Virus infector de ficheros || Infecta los ficheros ejecutables //(no sólo los EXE)// ||
|| Virus interpretado: //macro, script, ...// || Activa una serie de instrucciones a través de //“ejecutables”// que automatizan ciertas acciones ||
|| ||
|| SEGUN TÉCNICAS INFECCIÓN ||
|| TIPO || DESCRIPCIÓN BREVE ||
|| Virus de sobreescritura || Escribe el código vírico sobre el fichero, dejándolo inservible ||
|| Virus añadido //(appenders)// || Infectan el fichero sin destruirlo ||
|| Virus de compresión || La utilizan para evitar que aumente el tamaño //(también es una forma de ocultación)// ||
|| Virus de cavidad || Aprovecha los espacios libres de los ficheros ||
|| Virus de directorio || Aprovecha la estructura de los directorios ||
|| Virus multiproceso || Infecta el kernel32.dll //(centro de llamadas del S.O.)// ||
|| Virus multipartito || Varias técnicas de infección: arranque, ejecutable ||
|| Virus multiplataforma || Afectan a varios sistemas //(Windows, Mac ... )// ||
|| Virus de compañía //(companion)// || Crea un fichero COM para infectar uno EXE del mismo nombre //(el Sistema lo ejecuta antes)// ||
|| Virus de macro || Infectan las macros de documentos de texto ||
|| Virus parásito || Aquel que pega su código al ejecutable infectado ||
|| ||
|| SEGÚN TÉCNICAS DE OCULTACIÓN ||
|| TIPO || DESCRIPCIÓN BREVE ||
|| Stealth //(sigiloso)// || Engañar al sistema y al usuario ocultando la infección ||
|| Encriptación || Ocultar el código mediante cifrado y clave variable ||
|| Polimorfismo || El virus cambia completamente en cada mutación //(muy difíciles de detectar)// ||
|| Tunneling || Evitar la monitorización de los antivirus //(se anticipa)// ||
|| Antibait || Evitan los cebos //(bait)// de los antivirus ||
|| Armoring || Dificultar el desamblado //(estudio)// para buscar una “firma” //(identificador)// que permita detectar al virus ||
|| Retro || Ataca al antivirus. Desactiva la lista de virus y los registros de integridad de los ficheros //(checksums).// ||
@@
