VIRUS
En primer lugar, está extremadamente claro que los virus son programas, realizados por personas, con el fin ineludible de causar daño en cualquiera de sus formas, aunque más no sea consumiendo memoria o espacio en disco y "molestando" al usuario. Una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco.
Los efectos perniciosos que causan los virus son variados: formateo completo del disco duro, eliminación de la tabla de partición, eliminación de archivos, ralentización del sistema hasta límites exagerados, enlaces de archivos destruidos, archivos de datos y de programas corruptos, mensajes o efectos extraños en la pantalla, emisión de música o sonidos.
Ahora bien, como es lógico, nadie desea copiar, transferir o distribuir un programa que sea dañino, por lo menos no en forma voluntaria; y es menos aún tenerlo funcionando en su propia máquina. En consecuencia, los virus se enfrentan al problema de cómo reproducirse y trasladarse. Con los programas habituales esa tarea está en manos de los usuarios; pero con los virus esta posibilidad queda anulada. Así pues, la única posibilidad que les queda es que se auto-reproduzcan. 0 sea, tomar el control del procesador, ejecutar la copia apropiada de sí mismo y causar el daño correspondiente. A este proceso de auto réplica se le conoce como "infección", de ahí que en todo este tema se utilice la terminología propia de la medicina: "vacuna", "tiempo de incubación", etc.
Finalmente, el virus debe hacer todo esto subrepticiamente, en forma oculta, subterránea, sin que el usuario se dé cuenta siquiera de su existencia, ya que si esto sucede tratará de interceptarlo y detenerlo (de hecho, lo lograría fácilmente). Obviamente, en el momento del ataque esta característica se debilita, dado que la producción del daño evidencia su presencia.
Esta necesidad de los virus de ser subrepticios los obliga a trabajar fuera del funcionamiento normal de los sistemas, utilizando mecanismos internos de la computadora; es por eso que los virus no son programas que se puedan identificar utilizando el comando Dir.
TIPOS DE VIRUS
Qué infectan
Los virus pueden infectar:
El sector de booteo y/o la tabla de partición (Virus ACSO - Anteriores a la Carga del Sistema Operativo). El sector de arranque es una zona situada al principio del disco duro o diskette, que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que arrancamos la computadora desde el mismo.
. Archivos ejecutables (Virus EXEVIR).
.Archivos de datos que admiten macros, por ejemplo, archivos de Word, Excel, etc. (MacroVirus)
Los virus NO infectan archivos de datos puros, ya que éstos, al no ser ejecutables, no sirven como reproductores. En cambio sí, obviamente, pueden ser objeto de daño.
Los virus ACSO sólo toman el control de una máquina si se arranca con el disco infectado. Por eso se ven limitados en sus posibilidades de reproducción. Pero el hecho de que el usuario sea sólo un espectador del proceso de arranque y que dicho proceso deba necesariamente llevarse a cabo cada día, hace que el área de booteo sea un sitio más que eficiente para instalar un virus. Si un disco rígido es infectado, en cada nuevo arranque el virus toma el control de la computadora. Para lograr infectar otras máquinas estos virus infectan todo diskette que se introduce en dicha máquina, con la esperanza de que alguno de esos diskettes se utilice para bootear otra computadora.
El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco. Como un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos.
La tabla de partición esta situada en el primer sector del disco duro, y contiene una serie de bytes de información de cómo se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Hay que tener muy en cuenta que aún cuando el booteo con un diskette infectado falla, el virus puede ejecutarse igual y tomar cualquier decisión o acción que quiera, por ejemplo, copar el disco rígido, ubicarse en memoria, infectar otrros archivos, e incluso bloquear las teclas Ctrl-Alt-Del.
Los EXEVIR suelen infectar los archivos ejecutables con extensiones .com, .exe., .vbs, .bat. Hay que aclarar muy bien que quien recibe un programa infectado con un EXEVIR está a salvo mientras que no lo ejecute. Pero es evidente que la posibilidad de reproducción es mayor en los virus EXEVIR que en los ACSO. Nótese precisamente que los archivos fluyen en forma habitual entre máquinas, y que en caso de transportar un programa de una computadora a otra es obvio que será para ejecutarlo en la última.
Al ejecutarse un programa infectado, el virus habitualmente se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al de éste, y modificando su estructura de forma que al ejecutarse dicho programa primero llame al código del virus devolviendo después el control al programa portador y permitiendo su ejecución normal. Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección. No todos los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador, éstos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros.
Los MACROVIRUS aprovechan el potente lenguaje de macros incluído en distintos paquetes de software, como el Visual Basic para Aplicaciones incluído en el Word de Microsoft. Sus efectos más destacables son su capacidad de propagación, mayor a la de los ACSO o EXEVIR. Este es el motivo de su peligrosidad, ya que el intercambio de documentos en disquete o por red es mucho más común que el de ejecutables.
Los virus ACSO son más difíciles de extraer pero más fáciles de prevenir que los virus EXEVIR.
Para prevenir una infección de virus ACSO sólo es necesario mantener control sobre el proceso de booteo o los arranques con diskettes extraños. En las máquinas más nuevas se puede incluso indicar que la secuencia de booteo comience por el disco rígido.
En el caso de los virus EXEVIR, la prevención es más complicada, ya que se debe mantener control sobre cada uno de los archivos ejecutables que se utilizan.
La dificultad de eliminar un virus ACSO se basa en que su inserción en la Tabla de Partición pone en peligro datos cruciales para el funcionamiento del Sistema Operativo; una remoción automática no siempre garantiza la salvaguarda de los datos almacenados en la computadora.
En cambio, en el caso de los virus EXEVIR la eliminación del virus es simple y natural; basta con borrar (con el comando DEL) el archivo ejecutable infectado. Obviamente se debe tener una copia de resguardo, o una versión original para reinstalar el programa
Cómo atacan los virus
Los virus pueden actuar:
. Directamente (virus AU)
. Indirectamente (virus TSR).
En el caso de los virus AU (de ataque único), trabajan buscando inmediatamente otro archivo para infectar y/o realizar el daño correspondiente, y luego dejan el control del procesador.
Si emplean el método indirecto, en cambio, se cargan en la memoria y permanecen allí como residentes, esperando a que se haga correr otro archivo ejecutable, para entonces infectarlo de inmediato.
Si bien la gran mayoría de los virus prefiere la modalidad residente, ya que les permite mayor dominio de la situación, no debe olvidarse la otra modalidad.
No hay comentarios:
Publicar un comentario