Professional Documents
Culture Documents
Introduccin
Los virus informticos son un tipo de programa malicioso (malware). El trmino virus informtico
suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus
verdaderos1. Por lo que en la actualidad sera ms correcto mejor usar el trmino MALWARE en el
momento de referirse a cualquier cdigo malicioso (parsito/infeccin).
Malware - malicious software - software malicioso - tambin llamado badware, cdigo maligno, o
software malintencionado. Es un tipo de software que tiene como objetivo infiltrarse o
daar una computadora o sistema de informacin sin el consentimiento de su propietario.
El software se considera malware en funcin de los efectos que provoque en un computador.
En s, el trmino malware es muy utilizado por profesionales de la informtica para referirse a una
variedad de software hostil, intrusivo o molesto. Debe aclararse que Malware no es lo mismo que
software defectuoso (este ltimo contiene bugs2 peligrosos, pero no de forma intencionada).
En el mundo de los Malware encontramos
nombres como Virus, Troyanos(Trojans),
Gusanos (Worm), y Spywares, pero tambin ha
habido una evolucin de como los conocamos,
surgiendo nuevos integrantes como Rootkits (la
mayor parte), ladrones de los Troyanos
Bancarios, secuestradores de PCs (Botnets),
"Falsos Antivirus" (Rogues), FakeAVs,
Keyloggers, Ransomwares, Adware intrusivo,
Hijackers, Bootkits, Scareware, Crimeware y
otros software malicioso e indeseable que no
dejarn de salir.
Si se trata de clasificar, los Malware podra
tenerse los siguientes grandes grupos: el Malware infeccioso, el Malware oculto y el Malware para
obtener beneficios.
El Malware infeccioso incluye a los virus y gusanos. El Malware oculto incluye a los Backdoor
(puerta trasera), drive by downloads, Rootkis y troyanos. Del Malware para obtener beneficios, se
tienen diferentes tipos, una subclasificacin podra ser: Mostrar publicidad (Spyware, Adware,
Hijacking); robar informacin personal (Keyloggers, Stealers), realizar llamadas telefnicas
(Dialers), Ataques distribuidos (Botnets), otros (Rogue, Ransomware).
Existen otros programas como los Hoax y los Joke que no son virus, pero que si son molestos, ya que bsicamente son
mensajes indeseados. Los Hoax, mensajes de contenido falso que incita al usuario a hacer copias y enviarla a sus
contactos. Joke un ejemplo una pgina pornogrfica que se mueve de un lado a otro de la pantalla.
2
Un error de software, comnmente conocido como bug (bicho), es un error o fallo en un programa de computador o
sistema de software que desencadena un resultado indeseado. Los programas que ayudan a la deteccin y eliminacin
de errores de programacin de software son denominados depuradores (debuggers).
3
Puede encontrar una lista de virus dainos en http://www.taringa.net/posts/info/14214947/Los-10-Virus-DeComputadora-Mas-Daninos-De-La-Historia.html
Compilador: Bertha Lpez Azamar
pasa a ser portador del virus y por tanto, una nueva fuente de infeccin.
Un virus infecta a una computadora y su funcin bsicamente es propagarse en ella con diversos
propsitos, no se replican a s mismos porque no tienen esa facultad (como el Gusano informtico),
son muy nocivos y algunos contienen adems una carga daina (payload) con distintos objetivos,
desde una simple broma (inofensivos pero molestos), hasta realizar daos importantes en los
sistemas (destruir los datos almacenados en una computadora, robo de informacin, o bloquear las
redes informticas generando trfico intil).
Por lo general el virus intenta pasar desapercibido por el usuario el mayor tiempo posible. Suele
quedar residente en memoria. Lo ms habitual es que los virus permanezcan ocultos en archivos del
tipo ejecutable (.exe y .com), pero pueden existir en otros formatos.
El contagio por un virus suele producirlo el mismo usuario al ejecutar un programa que est
infectado y toma los servicios bsicos del sistema operativo para lograr sus objetivos.
Los tipos de virus conocidos afectan diferentes partes del sistema, as pueden daar archivos, sector
de arranque del sistema operativo, el sector de arranque maestro, archivos de programas, datos del
usuario.
De acuerdo a la forma en la que actan los virus, se pueden presentar:
Virus residentes4: se ocultan en la memoria RAM de forma permanente o residente. De este modo,
pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo,
infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados,
renombrados, copiados.
Virus de accin directa: Estos virus no permanecen en memoria, su objetivo prioritario es
reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una
determinada condicin, se activan y buscan los ficheros ubicados dentro de su mismo
directorio para contagiarlos.
En general existen cinco tipos bsicos de virus conocidos:
Virus que infectan archivos: atacan a los archivos de programa. Normalmente infectan el
cdigo ejecutable, contenido en archivos .COM y .EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS
e incluso BAT. Tambin pueden infectar otros archivos cuando se ejecuta un programa
infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus estn
residentes en memoria, as que una vez que la memoria se infecta, cualquier archivo ejecutable
que no est infectado pasar a estarlo. Estos se activan cada vez que el archivo infectado es
ejecutado, ejecutando primero su cdigo vrico y luego devuelve el control al programa
infectado pudiendo permanecer residente en la memoria durante mucho tiempo despus de que
hayan sido activados.
5
6
Virus del sector de arranque -de boot (bot_kill)-: infectan el rea de sistema de un disco, es
decir, el registro de arranque de los disquetes y los discos duros. Los virus del sector de
arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el
sistema desde el disco infectado. Estos virus estn residentes en memoria por naturaleza. Para
que se produzca la infeccin basta con intentar iniciar el equipo con un disquete infectado.
Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estn
protegidos contra escritura quedarn infectados al acceder a ellos. Por tanto, el mejor modo de
defenderse contra ellos es proteger los dispositivos de almacenamiento contra escritura y no
arrancar nunca el ordenador con uno de estos dispositivos desconocido en el ordenador.
Virus del sector de arranque maestro: residen en memoria e infectan los discos de la misma
forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar
4
Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
6
Los trminos boot o sector de arranque hacen referencia a una seccin muy importante de un disco o unidad de
almacenamiento CD,DVD, memorias USB etc. En ella se guarda la informacin esencial sobre las caractersticas del
disco y se encuentra un programa que permite arrancar el ordenador.
5
en que se encuentra el cdigo vrico, los virus del sector de arranque maestro normalmente
guardan una copia legtima de dicho sector de arranque en otra ubicacin.
Virus mltiples: infectan tanto los registros de arranque como los archivos de programa. Son
especialmente difciles de eliminar. Si se limpia el rea de arranque, pero no los archivos, el
rea de arranque volver a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del
rea de arranque, los archivos que se limpiaron volvern a infectarse.
Virus de macro: atacan los archivos de datos. Los virus de macro son aplicaciones especficas
que viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de
archivos. Son escritos en Visual Basic y son muy fciles de crear. Pueden infectar diferentes
puntos de un archivo en uso, por ejemplo, cuando ste se abre, se graba, se cierra o se borra. Lo
primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros
insertadas por el virus, as cada documento que abramos o creemos, se incluirn las macros
"vricas". En si vinculan sus acciones a modelos de documentos y a otros archivos de modo que,
cuando una aplicacin carga el archivo y ejecuta las instrucciones contenidas en el archivo, las
primeras instrucciones ejecutadas sern las del virus.
Sin embargo, tambin se suele clasificar a los virus segn alguna caracterstica en particular, as se
pueden encontrar diferentes listas de tipos de virus. En general obsrvese la siguiente lista que trata
de englobar distintos tipos de virus aun no sealados en el texto:
Virus de sobreescritura: se caracterizan por destruir la informacin contenida en los ficheros
que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que
queden total o parcialmente inservibles.
Virus de enlace o directorio7: Su tarea consiste en alterar las direcciones que indican donde se
almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensin
EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus,
ya que ste habr modificado la direccin donde se encontraba originalmente el programa,
colocndose en su lugar. Una vez producida la infeccin, resulta imposible localizar y trabajar
con los ficheros originales.
Virus de FAT8: Los virus que atacan a la FAT son especialmente peligrosos, ya que impedirn
el acceso a ciertas partes del disco, donde se almacenan los ficheros crticos para el normal
funcionamiento del ordenador.
Virus cifrados: Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos,
que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a s mismos para
no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se
descifra a s mismo y, cuando ha finalizado, se vuelve a cifrar:
Virus polimrficos (o mutante): Tal vez son los ms difciles de detectar, ya que cambia su
firma (signature9) cada vez que se replica e infecta un nuevo archivo (utilizando diferentes
algoritmos y claves de cifrado). Esto se debe a que sus cadenas no son las mismas cada vez
que crea una copia de s mismo. Una de sus tcnicas suele ser la auto-encriptacin utilizando
llaves variantes. De esta forma, generan una elevada cantidad de copias de s mismos e
impiden que los antivirus los localicen a travs de la bsqueda de cadenas o firmas, por lo que
suelen ser los virus ms costosos de detectar.
Virus multipartites virus stealth-: son virus muy avanzados, que pueden realizar mltiples
infecciones, combinando diferentes tcnicas para ello, de forma que intenta ocultarse de los
antivirus. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas,
7
Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por unidad de disco y directorio), que el
sistema operativo conoce para poder localizarlos y trabajar con ellos.
8
La tabla de asignacin de ficheros o FAT (del ingls File Allocation Table) es la seccin de un disco utilizada para
enlazar la informacin contenida en ste. Se trata de un elemento fundamental en el sistema.
9
signature = firma. La signature de un virus es una nica cadena de bits, o un patrn binario, de todo o parte de un virus
informtico. La signature o firma de un virus, es como la huella dactilar que puede ser usada para detectar e identificar
especficamente a un virus. Los antivirus suelen utilizar, entre otras tcnicas, el reconocimiento de las signatures de los
virus para detectar la presencia de cdigos maliciosos.
Compilador: Bertha Lpez Azamar
macros, discos, etc. Suele ocultar las modificaciones que hace a los archivos, registros de
inicio o a las claves del registro del sistema, generalmente tomando el control de las funciones
del sistema relacionadas al almacenamiento. Por ejemplo, si un antivirus quiere leer un
archivo infectado, les mostrar una versin no infectada del mismo. Esta tcnica la utilizaba
uno de los primeros virus de este tipo llamado Braian, que infectaba el sector de arranque y
luego monitoreaba la entrada/salida y redireccionaba cualquier intento de leer el sector
infectado.
Virus Bomba de tiempo -time bomb- es un determinado programa o rutina que se accionar en
una determinada fecha u hora en un sistema infectado. Muchas veces a la bomba de tiempo
tambin se le llamada bomba lgica pero las activan aspectos distintos10.
Virus Bomba lgica -logic bomb- se refiere a programas o rutina que se activan cuando se dan
condiciones especficas que, adems de una fecha/hora determinadas, pueden ser otras
acciones o estados (ejemplo enviar un e-mail, ingresar a alguna aplicacin). Normalmente su
activacin es oculta a los ojos del usuario y sus consecuencias varan (puede destruir la
informacin del sistema, interceptar los servicios del sistema para propagarse a travs del
correo electrnico).
Virus Parsito: se adhieren a archivos (especialmente ejecutables), como lo hara un parsito.
Ese archivo ejecutable es denominado portador (o host) y el virus lo utiliza para propagarse.
Si el programa es ejecutado, lo primero que se ejecuta es el virus y luego, para no levantar
sospechas, se ejecuta el programa original. Muchas veces es aqu donde los virus parsitos
fallan, porque hay programas que detectan estas modificaciones y lanzan errores (incluso
errores de advertencias de presencia de virus).
Virus de MailBomb: escribes un texto que quieras, una direccin de e-mail (victima) introduces
el nmero de copias y ya est. El programa crea tantos mensajes como el nmero de copias
indicado antes, seguidamente empezara a enviar mensajes hasta saturar el correo de la
vctima.
Virus de VBS: Mensajes de correo electrnico, que contienen archivos Visual Basic Scripts,
anexados, los cuales tienen la extensin .VBS. Un Visual Basic Script es un conjunto de
instrucciones lgicas, ordenadas secuencialmente para realizar una determinada accin al
iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una
aplicacin, almacenadas bajo un nombre de archivo y extensin adecuada. Los Scripts pueden
ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una
aplicacin mIRC, pIRC, AutoCad, etc.
Virus de Web (active x y java): Los applets de JAVA y los controles Active X, son unos
lenguajes nuevos orientados a Internet, pero las nuevas tecnologas abren un mundo nuevo a
explotar por los creadores de virus. A partir del 2000, superaran en nmero a los virus de
macro
Criptovirus: Tipo de virus que "secuestra" archivos del usuario y luego pide un "rescate" en
dinero para liberarlos. Entran en la categora de los Ransomware.
al sistema al creador de la amenaza. Algunos troyanos, los menos, simulan realizar una funcin til
al usuario a la vez que tambin realizan la accin daina.
La similitud con el caballo de Troya de los griegos es evidente y debido a esa caracterstica
recibieron su nombre.
Troyanos bancarios (Trojan-Bankings): la mayora de estos especmenes de cdigo
malicioso estn diseados precisamente con el objetivo de conseguir beneficios econmicos
para sus creadores a travs de fraudes bancarios.
Gusanos o lombrices (Worm): Su principal diferencia con los virus radica en que no necesitan de
un archivo anfitrin para seguir vivos. Se autorplica, residiendo en memoria. Muchas veces dejan
de lado el hecho de daar directamente el sistema de los usuarios infectados, y se preocupan ms
por que se replique.
Existen dos variantes de gusanos:
- Los que comienzan a consumir los recursos de la computadora por su incontrolada
replicacin de s mismos, afectando el rendimiento o produciendo bloqueos del sistema.
- Los que suelen usar la red conectada a la computadora infectada para autoreplicarse
enviando copias de s mismo a otros nodos, de forma que logren colapsar la red. En general,
los gusanos pueden reproducirse utilizando diferentes medios de comunicacin como las
redes locales, el correo electrnico, los programas de mensajera instantnea, redes P2P,
dispositivos USBs y las redes sociales. Existen distintos tipos de gusanos: gusanos de
emails, gusanos de IRC, gusanos de mensajeros instantneos, gusanos de redes de
intercambio de archivos, gusanos de internet en general.
Ladilla virtual -virtual crab- Tipo de programa maligno que, como analoga al parsito de
transmisin sexual, entra en una computadora a travs del sexo virtual, sitios pornogrficos o
cualquier aplicacin relacionada. Los sitios web pornogrficos suelen ser un gran caldo de cultivo
para estos parsitos virtuales.
Backdoor (puerta trasera): Estos programas son diseados para abrir una puerta trasera en
nuestro sistema de modo tal de permitir al creador de esta aplicacin tener acceso al sistema y hacer
lo que desee con l. El objetivo es lograr una gran cantidad de computadoras infectadas para
disponer de ellos libremente hasta el punto de formas redes.
Rootkits: son la crem de la crem de malware, funcionando de una manera no muy diferente a
las unidades de elite de las fuerzas especiales: colarse, establecer comunicaciones con la sede, las
defensas de reconocimiento, y el ataque de fuerza.
Es una herramienta muy usada por intrusos informticos o crackers, y sirve para esconder los
procesos y archivos que permiten al intruso mantener el acceso al sistema informtico. Un Rootkit
permite un acceso de privilegio continuo a una computadora, ya que necesita llevar a cabo algunas
tareas que se podran considerar tpicas, como adquirir derechos de root, modificar llamadas bsicas
al sistema operativo, falsear sistemas de reporte de datos del sistema, por mencionar algunas. Todas
esas tareas parecen poco peligrosas, sin embargo juntas en el mismo momento por el mismo
programa, significan un peligro mayor.
Estn diseados para pasar desapercibidos, no pueden ser detectados fcilmente. Su presencia activa
se mantiene oculta al control de los administradores al corromper el funcionamiento del sistema
operativo y de otras aplicaciones.
Si el usuario intenta analizar el sistema para ver qu procesos estn ejecutndose, el Rootkit
mostrar informacin falsa, mostrando todos los procesos excepto l mismo y los que est
ocultando. Igualmente si se intenta ver un listado de los ficheros, este software lo que hace
es ocultar el propio fichero del Rootkits y de los procesos que esconde.
Compilador: Bertha Lpez Azamar
Si se detectan y se hacen intentos por eliminarlas, todo el infierno se desata. Cada removedor de
rootkit que se precie advierte que la eliminacin del rootkit podra causar problemas para el sistema
operativo, hasta el punto de donde no podr arrancar. Esto es porque el rootkit se entierra
profundamente en el sistema operativo, en sustitucin de los archivos crticos con aquellos bajo el
control del rootkit. Y cuando los archivos reemplazados asociados con el rootkit se retiran, el
sistema operativo puede ser inutilizado.
Se puede prevenir la infeccin, vigilando adems de los archivos en el disco, debe vigilarse lo que
hacen al ejecutarse. Si ya se infecto el sistema, lo mejor es arrancar el sistema operativo, no desde el
disco duro, sino utilizando un disco diferente al sistema infectado, por ejemplo un CD o un DVD, e
intentar localizar y eliminar el rootkit, aunque no todos los antivirus son efectivos.11
Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft
Windows.
Botnets (los secuestradores de PCs): es una red de equipos infectados por cdigos maliciosos,
que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma
conjunta y distribuida. Cuando una computadora ha sido afectado por un malware de este tipo, se
dice que es un equipo es un robot o zombi. Este tipo de redes son usadas para el envo masivo de
spam12 o para lanzar ataquesDDoS13 contra organizaciones como forma de extorsin o para impedir
su correcto funcionamiento. La ventaja que ofrece a los spammers (de spam) el uso de ordenadores
infectados es el anonimato, que les protege de la persecucin policial.
Stealers - ladrn de informacin- Al igual que los keyloggers roban informacin privada pero
solamente la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas
instalados en el equipo y si tienen contraseas recordadas, por ejemplo en los navegadores web o en
clientes de mensajera instantnea, descifran esa informacin y la envan al creador.
Dialers: son programas maliciosos que toman el control del mdem dial-up, realizan una llamada
a un nmero de telfono de tarificacin especial, muchas veces internacional, y dejan la lnea
abierta cargando el coste de dicha llamada al usuario infectado. La forma ms habitual de infeccin
suele ser en pginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso
11
mediante conexin telefnica. Suelen utilizar como seuelos videojuegos, salva pantallas,
pornografa u otro tipo de material.
Adware: No deben asociarse este tipo de programas con aquellos que incluyen spyware, aunque
es cierto que muchas veces van de la mano. Muchos programas Adware monitorizan la actividad de
sus usuarios sin su consentimiento (ejemplo el Kazaa). Muchos tambin son espas como Gator
Hotbar. Los sntomas de tener un Adware: se dedican a mostrarnos publicidades en los programas
que estos vienen incluidos por medios de banners en estos, pero ya los ms peligrosos nos van a
abrir ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y van a
instalarnos barras de herramientas con el nico objetivo de que naveguemos siempre dentro de sus
redes de publicidad.
Ransomware: el trmino hoy da se utiliza tambin para hacer referencia a aquellos malware que
mediante distintas tcnicas es capaz de bloquear archivos, carpetas o incluso el acceso al propio
sistema, es decir, "secuestran" archivos, y piden "rescate" en dinero por ellos, obligando a la vctima
a tener que abonar determinada suma de dinero para poder recuperar control del PC.
Por lo general estos programas malignos encriptan la informacin de algunos archivos considerados
importantes para el usuario, y no entregan la clave para lograr desencriptarlos si el usuario no paga.
Virus de la Polica tambin conocido como Virus Ukash (Trojan.Ransom). se ha
convertido una de las plagas ms insidiosas de los ltimos tiempos. Cientos de usuarios en
Espaa, Europa y Latinoamrica, han visto cmo su ordenador se bloqueaba nada ms
iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Polica, que con
la excusa de haberse producido accesos a pginas que contienen pornografa infantil solicita
cierta cantidad de dinero para desbloquearlo. El troyano se basa en los sistemas de pago
online Ukash y Paysafecard.
Entra dentro de la categora de Ransomware, ya que utiliza una campaa de marketing
bastante agresiva que bsicamente consiste en bloquear todo el sistema Windows y mostrar
Compilador: Bertha Lpez Azamar
una pantalla inamovible con un supuesto mensaje de la polica, la cual obliga a la vctima al
pago una multa para poder restaurarle el acceso a su computador y no borrarle sus archivos.
En el aspecto tcnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo
del troyano, puesto que impide arrancar el administrador de tareas.15
Grayware (o greyware) y graynet (o greynet) (del ingls gray o grey, "gris"): son trminos
aplicados para clasificar aplicaciones o programas de cmputo que se instalan sin la autorizacin
del departamento de sistemas de una compaa; se comportan de modo tal que resultan molestos o
indeseables para el usuario, pero son menos peligrosos que los malware. En este rubro se incluyen:
adware, dialers, herramientas de acceso remoto, programas de bromas (Virus joke), programas para
conferencias, programa de mensajera instantnea, spyware y cualesquiera otros archivos y
programas no bienvenidos que no sean virus y que puedan llegar a daar el funcionamiento de una
computadora o de una red.
antivirus.
Un estudio hecho por Google en 2010 encontr hasta 11 mil dominios de internet que
promocionaban o alojaban programas antivirus falsos.
Cmo llegan a la computadora?
- Al descargar algn falsos codecs o falso plugin que se nos ofrece como necesario al intentar
ver un video en Internet (por lo general videos del tipo ertico/pornogrfico).
- Al visitar algunos sitios directamente fraudulentos o que su cdigo web ha sido
comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento.
- A travs de alguno de los miles de Virus del tipo Troyano que estn afiliados a estos y al
infectarnos con uno de estos nos empezara a generar algunos de los sntomas.
Sntomas visibles de infeccin con un Rogue:
- Secuestro del navegador web.
- Enlentecimiento general del PC.
- Ventanas emergentes (pop-ups)
- Secuestro el fondo de escritorio.
- Secuestro de las bsquedas de Google.
- Secuestro de la pantalla de inicio de Windows.
- Secuestro de la pagina de Google que vemos en nuestro PC.
- Falsos mensajes de Alertas en barra de tareas al lado del reloj.
- Imposibilidad de actualizar y/o ejecutar su Antivirus o Antispywares tradicional
- Imposibilidad de acceder a sitios webs dedicados a la seguridad como
10