¿ Qué es un Virus ?

Un virus es un programa (o parte de programa) con carácter dañino hacia un sistema informático.

En los años 1986-87 se produce la explosión del fenómeno virus en PCs. Fue en el entorno universitario donde se detectaron los primeros casos de infección masiva. Los protagonistas fueron el virus paquistaní Brain en la universidad de Delaware, Lehigh en la universidad del mismo nombre en Bethlehem y el archiconocido Viernes 13 en la universidad hebrea de Jerusalem.  

Clasificación:

Se pueden clasificar en dos categorías generales: los que necesitan un programa anfitrión y los que no lo necesitan.

a) Los que necesitan un programa anfitrión no son programas completos, si no porciones de código que se unen a un programa de sistema o aplicación, y cuando se ejecuta el programa malicioso cuando se ejecuta el programa anfitrión. Los tipos de programas maliciosos que necesitan un programa anfitrión son:

- Puertas secretas ("trapdoors"): es una forma secreta de ejecutar un programa obviando ciertos controles al comenzar la ejecución. Una puerta secreta legítima debe ser removida antes de que el programa sea puesto en operación. El problema surge cuando ésta no es removida del sistema, el programa es puesto en operación, y un programador inescrupuloso obtiene acceso al sistema sin autorización.

- Bombas lógicas: son código dentro de un programa que se activa cuando se cumple alguna condición o cuando ocurre algún evento especial: una fecha, la presencia/ausencia de un archivo o un dato en un archivo, etc. Cuando la bomba se activa, puede eliminar o alterar el contenido de uno o más archivos, paralizar el sistema, entre otros posibles actos.

- Caballos de Troya: Los caballos de Troya son porciones de código maliciosas que se encuentran en programas aparentemente útiles. Cuando el programa se ejecuta, se ejecuta el caballo de Troya. Al activarse, puede destruir archivos, incluso borrar todo el disco duro del sistema, o tratar de obtener información de un usuario, como su password, o incluso modificar información del usuario para permitir a quién plantó el programa malicioso el accesar esa información. Hay que destacar que los Caballos de Troya, a diferencia de los virus, no tienen capacidad de replicación. Podemos encontrarnos con Caballos de Troya que simulan el compresor ARJ o el antivirus McAfee. Uno de los troyanos que más impacto causó, por la repercusión en los medios de comunicación, fue el conocido AIDS.

- Virus: es una porción de código que, al ejecutarse, "infecta" o se adhiere a otros programas. Cuando estos programas se ejecutan, el virus se ejecuta e infecta a otros programas; de esta forma se propaga. Las siguientes son cinco posibles categorías en las que podemos clasificar los virus.

virus parásitos: se adhiere a módulos ejecutables, y se replica cuando el módulo anfitrión se ejecuta.

virus residente en memoria: se aloja en la memoria primaria, y cada vez que un programa se ejecuta, el virus se adhiere a él.

"boot sector virus": infecta el "boot sector", o sea, el sector del disco desde donde comienza el proceso de cargar el sistema a la memoria primaria; al cargarse el sistema, se carga el virus y comienza a infectar.

"stealth virus": virus que emplea técnicas para evitar ser detectado por los programas antivirus; emplea técnicas de compresión para que el programa infectado sea del mismo tamaño que una versión sin infectar, entre otras técnicas.

virus polimórfico: virus que cambia cada vez que se replica, también para evitar ser detectado por programas antivirus que buscan porciones de código conocidas de virus para detectarlos; los cambios que el virus crea en sus copias son funcionalmente equivalente, es decir, la conducta del virus es la misma: invertir instrucciones independientes, código irrelevante a la acción del virus puede modificarse por otro, entre otras técnicas.

b) Los que no necesitan un programa anfitrión son los independientes, que se pueden ejecutar sin necesidad de otro programa; se les asigna el procesador como a cualquier otro programa en el sistema. Los tipos de programas maliciosos independientes son:

- Bacterias: Las bacterias son programas que no causan daño explícito en el sistema, o sea, no modifican o destruyen información, pero se reproducen exponencialmente, y eventualmente consumen los recursos del sistema a tal punto que éstos no están accesibles a los usuarios.

- Gusanos: Los gusanos son programas que se propagan a través de las redes de información, de una computadora a otra. Los gusanos pueden contener caballos de Troya, o comportarse como virus, bacterias o bombas lógicas. Tienen como objetivo realizar múltiples copias de sí mismo, lo que suele terminar por desbordar y colapsar al sistema. El gusano más famoso fue el de Robert Morris, que consiguió bloquear la red ARPAnet.

c) Por último, los applets Java y ActiveX, de la mano de los lenguajes orientados a Internet, han permitido la potenciación y flexibilidad de los desarrollos en la Red. Sin embargo, estas nuevas tecnologías abren también un nuevo mundo a explotar por los creadores de virus. Si bien aún no se ha producido un uso masivo de estas técnicas, pruebas realizadas de forma aislada vienen a demostrar la factibilidad del uso de estos lenguajes para realizar las funciones de los programas anteriormente comentados. La mayoría de las casas antivirus hace tiempo que vienen dando a sus productos un enfoque orientado a la Red. En estos momentos, y ante la amenaza que se prevé, son muchas las que han comenzado a implementar técnicas de detección de applets Java y controles ActiveX maliciosos. 

Antivirus

Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas heurísticas. Se basa en el desensamblado del código del programa que se intenta analizar con el objetivo de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que combine la búsqueda de cadenas características y además cuente con técnicas heurísticas. 

Métodos de defensa:

La prevención y la compra de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino no deseado en el PC. Ante esta situación lo primero que debemos hacer es arrancar el ordenador con un disco de sistema totalmente libre de virus. Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos el riesgo de que no localice mutaciones recientes o nuevos virus. 

En el disco de sistema limpio (que crearemos con la orden «format a: /s») incluiremos utilidades como «mem.exe», «chkdsk.exe», «sys.com», «fdisk.exe» y todos los controladores para que el teclado funcione correctamente. Si disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC. 

Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden «sys c:», siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos ejecutar «fdisk /mbr».