home *** CD-ROM | disk | FTP | other *** search
/ CD Actual 1 / PC Actual CD 01.iso / f1 / tutor1.arj / DATOS / TEMA10.SAC < prev    next >
Encoding:
Text File  |  1980-01-01  |  18.3 KB  |  406 lines
  1.                         LECCION DECIMA
  2.  
  3.  
  4. En esta penúltima lección voy a hablar sobre los virus, ya
  5. que no es difícil que se infecte, este tema pretende
  6. indicarle como prevenir, evitar, y en último caso combatir el
  7. ataque de un virus.
  8.  
  9. No se actúa igual ante algo que se desconoce que ante un
  10. enemigo conocido al que se conocen los puntos débiles.
  11.  
  12. Los virus, en informática, no son mas que programas como
  13. cualquier otro que se ejecuta en un ordenador, pero con
  14. determinadas características que los hacen diferentes a
  15. estos.  Principalmente la principal facultad que poseen es la
  16. inteligencia programada.
  17.  
  18. Es decir que poseen la capacidad de decidir como y cuando
  19. actuar, esconderse, modificarse, transmitirse y copiarse, con
  20. la intención de intentar sobrevivir, reproducirse y hacer el
  21. mayor daño posible.
  22.  
  23. Se le da este nombre (aplicado de la terminología médica) por
  24. que su comportamiento no difiere prácticamente en nada del de
  25. los virus que afectan a los seres humanos y a los animales.
  26.  
  27. Incluso cuando comenzó a hablarse de ellos, fueron muchas las
  28. personas que pensaban, que eran virus reales y temían
  29. acercarse al ordenador por miedo a contagiarse, e incluso hoy
  30. hay quien cree que un ordenador se puede contagiar
  31. espontáneamente o por el tendido eléctrico (que burrada) y no
  32. enciende el ordenador por ejemplo los viernes 13.
  33.  
  34. Estas creencias tan ridículas están provocadas por la falta
  35. de cultura informática y por la difusión de los medios de
  36. comunicación, que han dado a entender por ejemplo que los
  37. viernes 13 no debe encenderse el ordenador para que no actúe
  38. dicho virus, pero cualquier usuario experimentado sabe que
  39. este virus muestra sus efectos durante todo el año, y
  40. que es el viernes 13 cuando se torna más destructivo.  Así si
  41. no hemos observado ningún efecto raro durante todo el año,
  42. ¿por que hemos de dejar apagado el ordenador?.
  43.  
  44. Existe una leyenda en torno a los virus es la de que son
  45. creados por los ▒hackers▓.  Es cierto que los hackers, a veces,
  46. crean programas que podrían denominarse virus con el objetivo
  47. de acceder a sistemas de datos, pero en ningún caso se puede
  48. decir que estos programas son virus, pues su misión no es
  49. destructiva.  Mas bien se los podría meter dentro de la
  50. categoría de Knowbots (pequeños programas inteligentes).
  51.  
  52. Otra leyenda que existe alrededor de los virus es la de que
  53. fueron creados como medio disuasorio por empresas de software
  54. para evitar la piratería de sus programas.  Pero es solo eso,
  55. una leyenda, para empezar ninguna empresa se arriesgaría a
  56. perder sus ventas introduciendo un virus en sus programas,
  57. que actuase cuando se copian los mismos.
  58. Los usuarios lo descubriesen (por ejemplo haciendo una copia
  59. de seguridad para utilizarla en vez del original, el virus se
  60. dispararía), no se fiarían de comprar programas de esta
  61. empresa, por miedo a los virus.
  62.  
  63. Pero la verdad es que los virus tienen su historia.
  64.  
  65. Una de las primeras personas en hablar de los virus fue A. K.
  66. Dewdney, el escritor de la sección "Juegos de Ordenador" de
  67. Investigación y Ciencia.  Habló de un programa, llamado
  68. "Cangrejos", que afectaba a las ventanas de las terminales de
  69. un centro de investigación de la AT&T, y un juego, llamado
  70. "Guerra Nuclear", en el que dos programas creados en un
  71. código especial llamado Redcode, se trataban de destruir uno
  72. a otro en una zona especial de la memoria de un ordenador que
  73. actuaba como arena de gladiadores.  En España, el código para
  74. realizar "Guerra Nuclear" en el Spectrum se publicó en
  75. MicroHobby.
  76.  
  77. (para los lectores de PC ACTUAL: el Redcode es algo así como
  78. el Batcode que esta revista ha publicado en un disco de la
  79. colección F1-PC ACTUAL, en el que dos programas han de
  80. destruirse dentro de un laberinto, pero se acerca más al
  81. código máquina que al lenguaje utilizado por el Batcode).
  82.  
  83. Se puede decir que los virus son evoluciones de programas,
  84. más pequeños que en un principio no eran más que experimentos
  85. sin malicia.
  86.  
  87. Un ejemplo de estos programas es el GEMINI.  Un programa que
  88. se copia a sí mismo a una nueva posición en la memoria.  Este
  89. programilla de solo 10 líneas de código consta de un simple
  90. bucle que copia el contenido de una dirección (en la que se
  91. encuentra el) en otra, y luego transfiere el control a la
  92. nueva posición, que estará 93 posiciones más adelante.
  93.  
  94. Probablemente el primer virus que se hizo para el sistema
  95. ▒PC▓ fue el Brian.  Fue programado en Enero de 1986 por dos
  96. hermanos como un experimento en una universidad.  Existen
  97. muchas versiones de este virus realizadas por alumnos de la
  98. misma universidad donde se originó, algunas de ellas
  99. destructivas.  Se transmite sólo en diskettes de 360 Kbytes,
  100. es decir, no afecta a discos duros ni a otro tipo de
  101. disquetes.  Al infectar el diskette cambia la etiqueta del
  102. volumen del disco por la de "(c) Brian".  Al editar el sector
  103. cero (BOOT) podemos ver el siguiente mensaje:
  104.  
  105.      Welcome to the  Dungeon         (c) 1986 Brain & Amjads
  106.      (pvt) Ltd VIRUS_SHOE  RECORD   v9.0   Dedicated to the
  107.      dynamic memories of millions of virus who are no longer
  108.      with us today - Thanks GOODNESS!!  BEWARE OF THE
  109.      er..VIRUS  : \this program is catching program follows
  110.      after these messege....
  111.  
  112. Este virus, en su versión original, es totalmente inofensivo.
  113. Sólo se reproduce y no afecta al sistema.  Para instalarse,
  114. genera tres sectores defectuosos donde se instala el virus y
  115. la antigua BOOT (zona donde se encuentra el sistema de
  116. arranque de un disco), de tal forma que, al arrancar, se
  117. carga el virus en memoria y luego sigue con la carga de la
  118. BOOT original, arrancando normalmente.
  119.  
  120. En nuestro país se comenzó a hablar de los virus informáticos
  121. en 1988, cuando en Barcelona hubo un importante foco de un
  122. virus inofensivo que mostraba una pelotita rebotando por la
  123. pantalla (virus de la pelotita) que afectó, sobre todo, a
  124. usuarios de Barcelona.  Este virus se origino probablemente
  125. en la FIB (Facultat d'Informàtica de Barcelona).
  126.  
  127. Hay otros virus programados en España como SPANISH, ZARAGOZA,
  128. SPANISH FOOLS y el INCORDIO (que al intentar ejecutar el
  129. antivirus SCAN destruye la partición de disco duro).
  130.  
  131. La gran cantidad de virus existentes en la actualidad se debe
  132. a las mutaciones de estos.  Una mutación, normalmente es o
  133. una nueva versión del virus o otro virus creado a partir del
  134. código fuente del virus original.
  135. Crear un virus desde el principio puede resultar bastante
  136. difícil, pero modificar uno ya existente es bastante fácil.
  137.  
  138. Como curiosidad se puede contar que en Bulgaria hay un BBS
  139. llamado "The virus Exchange BBS" en el que se puede encontrar
  140. el código fuente de multitud de virus, que puede ser
  141. modificado, para crear mutaciones o virus más perfectos.
  142. También en algunas BBSs se puede encontrar una revista
  143. electrónica llamada "40 Hex", que publica trucos para ayudar
  144. a los programadores de virus a mejorar sus virus.
  145.  
  146. Los virus quedan residentes en memoria copiándose a cualquier
  147. fichero que se ejecute o a cualquier disco que se introduzca,
  148. según su tipo.
  149.  
  150. Los virus se pueden clasificar de muchas formas.
  151.  
  152. Atendiendo a su forma de reproducción se pueden dividir en
  153. dos grandes grupos:
  154.  
  155.      -El primer grupo estaría formado por los virus que se
  156.       introducen en nuestro ordenador a través de un diskette
  157.       con arranque.  El virus instala una rutina en el sector
  158.       cero (área BOOT) que carga el virus, y después, carga
  159.       la antigua rutina de arranque para que el usuario no
  160.       note nada anormal.
  161.       El sector cero, ó área BOOT, es la parte del disco a la
  162.       que, el ordenador, siempre accede en el arranque.
  163.  
  164.       Estos virus sólo se pueden transmitir por copias de
  165.       disco, y no por red local.
  166.  
  167.       Una vez que el virus consigue infectar un ordenador,
  168.       cualquier disco que pase por el será contagiado.  Así,
  169.       por ejemplo, un simple comando "dir" provocará el
  170.       contagio, ya que cada vez que se produce un acceso a
  171.       disco el virus comprueba si ya está presente.  De no
  172.       ser así, se instala.
  173.  
  174.      -En el segundo grupo podemos clasificar todos aquellos
  175.       virus que se instalan en los ficheros ejecutables (EXE,
  176.       COM y OVL) añadiéndose a los mismos, generalmente al
  177.       final y haciéndolos crecer en una cantidad fija de
  178.       bytes cada vez que se ejecutan (a veces solo se añaden
  179.       una vez al fichero).  Algunos son fácilmente
  180.       detectables porque al ver la lista de programas
  181.       residentes podemos ver como hay algún programa
  182.       "extraño".  Casi todos desvían la ▒interrupción▓ 21h
  183.       (servicios del DOS) para producir la infección.
  184.  
  185.  
  186. Atendiendo a su forma de actuación se los puede catalogar
  187. como:
  188.  
  189.      -Troyanos: son programas independientes o rutinas
  190.       incluidas en una aplicación aparentemente divertida o
  191.       útil, que ejercen su acción en el mismo momento de
  192.       ejecutar el programa.  No tienen la capacidad de
  193.       reproducirse ellos mismos y solo lo hacen mediante las
  194.       copias que los usuarios hacen al programa.
  195.  
  196.       Así por ejemplo, miramos en un ordenador de un
  197.       instituto y encontramos un programa grabado y unos
  198.       ficheros que nos explican su funcionamiento y utilidad,
  199.       nosotros viendo que se anuncia que es de dominio
  200.       público, lo consideramos interesante y nos lo llevamos
  201.       a nuestra casa para probarlo.  Al ejecutarlo no hace lo
  202.       prometido sino que nos destroza el disco duro.
  203.  
  204.      -Bombas lógicas: actúan después de un cierto tiempo,
  205.       como por ejemplo tras copiarse 100 veces o arrancar 20
  206.       veces el ordenador o que sea un determinado día, lo que
  207.       hace que sea imposible determinar quien es el autor del
  208.       virus.
  209.  
  210.      -Gusanos: son autónomos y autosuficientes, pues han sido
  211.       diseñados para propagarse a través de las redes de
  212.       ordenadores.  Tras un determinado tiempo viajando por
  213.       la red e infectando los sistemas que la componen
  214.       destruyen los ficheros.  Estos han evolucionado a
  215.       partir de los programas que los hackers utilizaban para
  216.       infiltrarse en las redes.
  217.  
  218.  
  219. Algunos virus (últimamente casi todos los que salen), poseen
  220. características que los hacen muy difíciles de detectar.
  221. Mediante la utilización de técnicas denominadas "stealt" (de
  222. ocultamiento) pueden engañarnos de las más diversas formas:
  223.  
  224.      -Hay virus que parchean los accesos a disco, y aunque se
  225.       copien varias veces en los ficheros ejecutables,
  226.       aumentando su tamaño, si hacemos un "DIR" o desde un
  227.       programa vemos un listado de los ficheros ejecutables,
  228.       veremos como estos tienen su tamaño de siempre.
  229.  
  230.      -Otros se instalan en los sectores de arranque y los
  231.       copian a algún otro sitio, de forma que cuando los
  232.       vemos con algún programa que permita hacerlo, el virus
  233.       nos mostrará los antiguos sectores, con lo que todo
  234.       parecerá normal.
  235.  
  236.      -Otros son capaces incluso de informar de la cantidad de
  237.       memoria libre y de los programas que hay residentes,
  238.       pero sin mostrarse a si mismos y sin cambiar la
  239.       cantidad de memoria libre que había antes de cargarse
  240.       ellos.  Es decir que al utilizar el comando MEM del
  241.       sistema operativo, no habrá el menor rastro de virus.
  242.  
  243.      -Otros para evitar ser cazados por un antivirus son
  244.       capaces de encriptarse o recompilarse, cambiando así
  245.       sus cadenas de identificación.
  246.  
  247.  
  248. Un nuevo virus llamado Proto-T, para esconderse es capaz
  249. incluso de alojarse en la memoria RAM de las tarjetas VGA.
  250.  
  251. Este tipo de virus interceptan las ▒interrupciones▓ del
  252. ▒BIOS▓, para modificarlas de forma que puedan controlar su
  253. actuación y evitar ser descubiertos.
  254.  
  255. A pesar de correr el rumor de que pueden hacerlo, ningún
  256. virus puede estropear el ▒hardware▓.
  257.  
  258. La cúspide del refinamiento es infectar con un virus un
  259. programa antivirus, como ocurrió con el Flushot4, o el
  260. Notroj.  Lo que hace que al ejecutar un antivirus el sistema
  261. quede infectado, incluso pueden infectarse de una sola vez
  262. todos los ficheros ejecutables por medio de este sistema,
  263. pues el antivirus accede a todos para comprobar si están
  264. infectados, y en ese momento son infectados.
  265.  
  266. Los virus más conocidos son:
  267.  
  268.      -El Virus de la pelota: se copia en la BOOT y baja en
  269.       dos Kbytes la memoria del ordenador.
  270.       Al cabo de media hora imprime una pelotita que va
  271.       rebotando por toda la pantalla.
  272.       También lo hace instantáneamente si introducimos un
  273.       disco infectado para arrancar.
  274.  
  275.      -Virus viernes 13: también conocido como virus
  276.       Jerusalén.  Es el virus más conocido ya que hace
  277.       relativamente poco tiempo hubo una infección en masa, y
  278.       hubo miles de ordenadores infectados.  Todos los
  279.       indicios parecen indicar que este virus fue creado en
  280.       Diciembre de 1987.  Las primeras infecciones de dieron
  281.       en la Hebrew University de Jerusalen.  Su
  282.       funcionamiento es un tanto complejo: para empezar
  283.       infecta todos los ficheros ejecutables aumentando su
  284.       longitud en 1808 bytes.  Los ficheros con extensión
  285.       .COM sólo son infectados una vez, mientras que los
  286.       ficheros con extensión .EXE son infectados infinidad de
  287.       veces.  Tal acción provoca que el usuario note la
  288.       incursión del virus.  A los treinta minutos de tener
  289.       este virus en memoria, ralentiza todas las operaciones
  290.       del ordenador, bajando considerablemente la velocidad
  291.       de proceso, y haciendo un desplazamiento hacia arriba
  292.       de una zona de la pantalla.
  293.       Su efecto destructivo se pone en funcionamiento a
  294.       partir de cualquier viernes 13 de un año diferente a
  295.       1987, momento en el que borra todos los ficheros que se
  296.       ejecuten.  Todos los ficheros contaminados poseen en su
  297.       interior la cadena "sUMsDos".
  298.  
  299.      -Virus Anarkia: es una modificación del Viernes 13.
  300.       Actúa igual que el anterior, pero ralentiza todas las
  301.       operaciones a partir de la hora, no de los treinta
  302.       minutos como el Viernes 13.  En esta variación del
  303.       virus el efecto destructivo es el 12 de Octubre.  La
  304.       elección de esta fecha no está clara.  Se puede
  305.       localizar fácilmente buscando la la cadena "ANARKIA".
  306.  
  307.      -VG1: este virus infecta todos los ficheros con
  308.       extensión .EXE y .COM, pero sólo una vez, lo que lo
  309.       hace más difícil de detectar por el crecimiento de los
  310.       ficheros.  Sin embargo, si listamos con algún programa
  311.       los programas residentes, observaremos cómo hay algún
  312.       fichero residente que en realidad no lo es.  Por
  313.       ejemplo, si tenemos el CHKDSK contaminado cuando lo
  314.       carguemos se quedará residente.  Cuando llevamos una
  315.       hora con el ordenador encendido el virus produce un
  316.       efecto de pantalla un tanto gracioso, todas las letras
  317.       descienden hasta el fondo de la pantalla, y tras pasar
  318.       unos 20 segundos podemos contemplar perplejos como
  319.       vuelven a sus posiciones iniciales, dejando la pantalla
  320.       como si nada hubiese pasado.  Este virus se reproduce a
  321.       gran velocidad debido a que no sólo infecta los
  322.       ficheros que ejecutemos sino que en cada ejecución
  323.       aprovecha el tiempo para buscar un directorio e
  324.       infectar el primer fichero, en la segunda ejecución el
  325.       del programa el segundo, y así sucesivamente.  Esto
  326.       hace que el ordenador se vuelva algo lento, sobre todo
  327.       si trabajamos con diskettes.  Este virus se puede
  328.       localizar buscando la cadena "VG1" en interior de los
  329.       ficheros .EXE y .COM.
  330.  
  331.      -Flip: tiene su origen en la República Federal Alemana e
  332.       infecta fichero .EXE, .COM, y .OVL.  Altera la tabla de
  333.       partición y el sector de arranque de los discos duros.
  334.       Existen varias mutaciones de este virus, y su principal
  335.       causa de difusión es España puede que sean las copias
  336.       piratas de un disquete que regalaba el Ministerio de
  337.       Hacienda para realizar la declaración de la renta de
  338.       1991.
  339.  
  340.       El programa se instala como residente en la parte alta
  341.       de la memoria, infectando cualquier programa que se
  342.       ejecute.
  343.       El segundo día de cada mes los usuarios que posean una
  344.       tarjeta gráfica VGA o EGA, podrán ver como entre las
  345.       tres y las cinco de la tarde vibra la pantalla y las
  346.       letras se invierten.
  347.  
  348.      -Holocausto: se ha programado en Barcelona.  Se queda
  349.       residente en memoria y posee varios métodos de
  350.       encriptación, por lo que es difícil de localizar.
  351.       Es conocido también como virus anti-telefónica por
  352.       mostrar este mensaje al final de los programas
  353.       infectados:
  354.  
  355.         Anti-Virus - C.T.N.E. V2.10/a. (C) 1990. Kampanya
  356.         Anti-Telefónica. Menos tarifas y más servicio.
  357.         Programmed in Barcelona (Spain). 23-08-90 -666.
  358.  
  359.  
  360. Para no ser infectados por un virus basta con seguir las
  361. siguientes normas:
  362.  
  363.      -Realizar copias de seguridad con frecuencia: esto no
  364.       evita la acción de los virus pero permite recuperar los
  365.       datos perdidos.
  366.  
  367.      -Proteger los discos de programas: los discos flexibles,
  368.       siempre que podamos, los tendremos protegidos para
  369.       escritura.
  370.  
  371.      -Usar software legal: la principal fuente de propagación
  372.       de los virus es la piratería, cuando esta desaparezca,
  373.       desaparecerán los virus.  Si usamos software original,
  374.       tendremos la seguridad de no infectarnos a través de
  375.       ese software.
  376.  
  377.      -Usar un antivirus: es recomendable usar uno
  378.       frecuentemente, algunos son incluso shareware.
  379.       Hay antivirus que tienen módulos residentes que
  380.       detectan la aparición de cualquier virus e impiden el
  381.       contagio, pero a veces generan falsas alarmas y hay
  382.       virus diseñados para burlarlos.
  383.  
  384.  
  385. Un virus ▒PC▓ sólo puede afectar a ▒PCs▓, igual que un virus
  386. Macintosh sólo puede afectar a Macintosh.  Los virus en los
  387. sistemas Macintosh tienen la ventaja de que estos sistemas
  388. poseen disqueteras a las que se accede en el momento de meter
  389. un disquete, con lo que basta con meter un disquete para
  390. infectarse.
  391.  
  392. En la plataforma Commodore Amiga, la cosa va más allá, pues
  393. dispone de 2 Kbytes de memoria RAM no volátil, con lo que si
  394. un virus se instala en ella, no hay forma de eliminarlo hasta
  395. que se cree el antivirus, pues no desaparece de la memoria al
  396. apagar el ordenador.
  397.  
  398. Si desea obtener una lista de los virus que circulan
  399. actualmente en el sistema ▒PC▓ pulse este botón:
  400.  
  401.                      ┌──────────────────┐
  402.                      │  ▒lista de virus▓  │
  403.                      └──────────────────┘
  404.  
  405.  
  406.