¿Qué es un virus informático? ¿Cómo funciona un virus? ¿Cuáles son las características principales de los virus? ¿Qué significan los prefijos en los nombres de los virus? ¿Puedo infectarme sólo por abrir un mail? ¿Qué es un Troyano? Mi antivirus detecta un virus en memoria pero no puede desinfectarlo, ¿qué debo hacer? ¿Cuáles son los métodos que utilizan los antivirus para detectar virus?

Que es un virus informático?

Un virus es un archivo ejecutable capaz de realizar acciones sin el consentimiento del usuario. Existen varios tipos de virus:

• Programas: archivos ejecutables con extensiones .com., .exe, .drv, .ovl, .sys, .bin, .bat, etc; también archivos con la posibilidad de ejecutar macros, como los .doc, .xls, .ppt, etc.
• Boot: rutinas que se ejecutan durante el booteo, en el sector de booteo, la tabla de partición, y la FAT.
• Multipartite: capaces de hacer ambas cosas.

Un virus puede reproducirse, auto ejecutarse, ocultarse, infectar otros tipos de archivos, encriptarse, cambiar de forma (polimórficos), residir en memoria, etc.

Los archivos que sólo contienen datos, no pueden ser infectados, dado que no pueden ejecutar ninguna rutina, pero sí pueden ser dañados. Virus

Cómo funciona un virus?

Los virus sólo se activan cuando el programa infectado es ejecutado, o cuando el registro de booteo es leído. En el momento que se activan, ejecutan su rutina, y pueden realizar cualquier acción no deseada sin que el usuario lo noté.

Los virus residentes en los registros de booteo, pueden infectar archivos o ejecutarse, cuando leemos un disquete o cualquier otro dispositivo, sin que ejecutemos nada que se encuentre en él.

Los otros virus sólo pueden realizar acciones cuando el archivo ejecutable infectado es ejecutado. Virus

Cuáles son las características principales de los virus?

Un virus puede tener más de una de las siguientes características:

• Residir en Memoria: un programa puede cargarse en la memoria del ordenador, y desde allí infectar todos los archivos ejecutables que se usen, y monitorear cualquier acción que el usuario realice.
• No residentes: no se cargan en memoria, por lo tanto sólo pueden correr rutinas infecciosas cuando el programa infectado es ejecutado.
• Ocultamiento (Stealth): Un virus puede esconderse de los antivirus, en forma completa, redirigiendo la lectura del disco hacia otro sector, o por el tamaño del archivo que infectan, modificando la información para que el antivirus no detecté que el archivo creció.
• Encriptado: este es otro método de ocultamiento, por el cual el virus permanece encriptado hasta que se ejecuta.
• Polimórficos: un virus polimórfico tiene la capacidad de mutar cambiando parte de su programación para lucir distinto de un momento a otro.
• Ejecutables por evento (Trigger o Payload): capaces de ejecutarse cuando un evento sucede en la PC. Por ejemplo, ejecutarse en una fecha en especial, o cuando el usuario apaga el computador, etc.
• Multipartitos: aquellos virus que son capaces de infectar tanto archivos como sectores de booteo.

Qué significan los prefijos en los nombres de los virus?

Este tipo de prefijos son los nombres que se le da a los virus para clasificarlos. Según ese prefijo se puede saber qué tipo de virus es. La siguiente es una lista de estos prefijos:

• A97M: Macro Virus. Sólo infecta Bases de Datos de Microsoft Access 97.
• Backdoor: Virus capaz de abrir una "puerta trasera" por la que usuarios no deseados puedan entrar al sistema infectado.
• O97M: Macro Virus. Infecta archivos de Microsoft Office 97.
• Trojan: Troyanos..
• V5M: Infecta archivos de Visio 2000 (versión 5). Están escritos en Visual Basic For Applications.
• VBS: Virus de Visual Basic Script.
• W2K: Capaz de infectar archivos o sectores de booteo. Corre sólo bajo Windows 2000.
• W32: Capaz de infectar archivos o sectores de booteo. Corre en cualquier ambiente Windows 32 (Windows 95, 98 y NT).
• W95 o Win95: Capaz de infectar archivos o sectores de booteo. Corre en Windows 95 y 98.
• W97M: Macro Virus. Sólo infecta Documentos de Microsoft Word 97.
• WM: Macro Virus. Sólo infecta Documentos de Microsoft Word 95.
• WNT: Capaz de infectar archivos o sectores de booteo. Corre sólo bajo Windows NT.
• Worm: Gusanos. Aquellos virus cuya función es reproducirse sin infectar archivos.
• X97F: Macro Virus. Sólo infecta Planillas de Microsoft Excel 97 a través de sus fórmulas.
• X97M: Macro Virus. Sólo infecta Planillas de Microsoft Excel 97 a través de sus macros.
• XF: Macro Virus. Sólo infecta Planillas de Microsoft Excel 95 a través de sus fórmulas.
• XM: Macro Virus. Sólo infecta Planillas de Microsoft Excel 95 a través de sus macros.

Puedo infectarme sólo por abrir un email?

No. Con sólo abrir el texto del email no puedes infectarte de ningún virus. Sólo puedes infectarte al abrir o ejecutar el attach que adjunte el email. Esto es algo muy importante, dado que no todo el mundo sabe esto.

Hay que tener en cuenta que las únicas formas de infectarse abriendo un email son si el cliente de correo electrónico que se utiliza son realiza alguna de las siguientes acciones:

• Abrir automáticamente los attachs recibidos.
• Interpretar los attachs en formato de página web (.htm, .html).

Existe una excepción a esta regla, y es cuando existen agujeros de seguridad en los clientes de correo electrónico, como en el caso del virus BubbleBoy, que se aprovecha de un error de seguridad en Outlook, para que, con sólo abrir un mensaje con ese virus, la PC se infecte.

Qué es un troyano?

Un troyano no es directamente un virus, dado que no se reproducen. Son programas ejecutables que son ingresados a un sistema por un usuario malicioso de una forma encubierta, como un programa amistoso, gráficos, juegos, etc. De esta manera, al ser ejecutados, realizan acciones que el usuario no desea y que fueron desarrolladas por el escritor del virus. Conocidos ejemplos de estos "virus" son el Back Oriffice o el NetBus.

Mi antivirus detecta un virus en memoria pero no puede desinfectarlo, ¿qué debo hacer?

Existe un tipo de virus conocido como residentes. Estos virus se encuentran activos desde que el sistema se inicia hasta que se apaga. Pueden ser residentes de dos maneras distintas:

• En el Master Boot Record (Registro Maestro de Booteo), por lo que se inician desde que el equipo comienza la carga del sistema desde un disco duro o disquete infectado.
• Como un proceso o driver del sistema operativo (Windows 95/98, NT o 2000), por lo que se inician en cuanto el mismo es arrancado.

Al hacer esto, no permiten que los antivirus puedan eliminarlos dado que se encuentran ejecutandose, y ningún archivo en ejecución puede ser eliminado directamente por un antivirus. Entonces, ¿qué debemos hacer en estos casos?

Sí el virus se encuentra en el sector de booteo (Master Boot Record), es necesario seguir estos pasos:

• Iniciar la PC con un disquete booteable que se encuentre libre de virus.
• Una vez arrancado el equipo, debe ser iniciado el sistema operativo si este no lo hizo automáticamente.
• Ejecutar nuevamente el antivirus, que en esta ocasión permitirá la desinfección o eliminación del virus.

Si el virus "corre" como un proceso o driver del sistema operativo es necesario realizar las siguientes acciones:

• Identificar si el virus es cargado desde el WIN.INI, SYSTEM.INI o el Registro de Windows, y eliminar la sentencia o entrada que ejecuta el virus.
• Reiniciar el equipo, y ejecutar el antivirus para eliminar el virus.

.

Cuáles son los métodos que los antivirus utilizan para detectar virus?

Existen varios métodos que intentaremos explicar a continuación:

Búsqueda por Cadena de Caracteres: Una cadena de caracteres es una parte de código o información que contiene datos únicos que pertenecen a la codificación de un virus. Los antivirus buscan dentro de los archivos por estas cadenas de caracteres que tienen almacenadas en sus bases de datos. Este método es el más común entre muchos programas antivirus.

Búsqueda por Algoritmo: Este método inspecciona ciertos parámetros que aparecen normalmente en archivos infectados, y sí existen, determina que el archivo examinado está infectado. Para esto, los antivirus utilizan una base de datos que contiene las relaciones entre los virus y sus respectivos algoritmos.

Método de Vacunación: En este caso los antivirus guardan información acerca de los archivos del disco donde se encuentran instalados, y los chequean para saber si sufrieron cambios o no, lo que algunas veces se debe a actividad vírica.

Método de Investigación: Consiste de la prueba de las capacidades de un supuesto virus encontrado en memoria para conocer si el mismo tiene capacidades de infección.

Método de Anti-Ocultamiento: Sólo puede ser utilizado cuando el virus ya se encuentra activo. Previene que aplicaciones o virus manipulen los recursos del sistema para modificar el código original del sistema o aplicación.

.                  VOLVER MENU

Fuente: http://www.giba.com.ar