Capítulo 17
Los virus informáticos

 

Índice · Capítulo 16 · Capítulo 18 · Publicaciones · Saulo.Net

17-1 Introducción: Los virus informáticos

Los virus informáticos son programas diseñados para causar de forma intencionada daño a nuestro sistema. Los virus poseen una gran facilidad para reproducirse dentro de los discos. Debemos prestar mucha atención al concepto de virus = programa: un virus es un programa, es software. Este concepto implica lo siguiente:

 Índice · Arriba · Publicaciones · Saulo.Net

17-2 Motivos para fabricar un virus

Los motivos que pueden llevar a un programador a crear un virus informático pueden ser diferentes:

 

 Índice · Arriba · Publicaciones · Saulo.Net

17-3 Clasificación de los virus

Se pueden clasificar en dos tipos principales: a) aquellos que residen en el sector de arranque de un disco y b) aquellos que residen en un fichero ejecutable (EXE o COM).

En ambos tipos, el objetivo principal es reproducirse de la forma más rápida posible sin que se note (estado de latencia). Cuando el virus considera que se ha extendido lo suficiente pasa al estado de activación. Los efectos del programa en este periodo son tan variados como alcance la imaginación de los autores: unos destruyen datos difícilmente recuperables y otros se limitan a mostrar mensajes inofensivos en la pantalla.

 

Virus de sector de arranque

Estos virus se instalan en memoria cada vez que arrancamos con el disco que lo contiene. Si un virus infecta el sector de arranque de un disco duro, cada vez que arranquemos el ordenador (con el disco duro) el virus se acomodará en la memoria, actuando como filtro entre el sistema operativo y nosotros.

En esta ventajosa posición, el virus podría empezar a destruir datos, pero es poco probable. Si lo hiciera, el usuario se daría cuenta y pondría remedio: el principal objetivo del virus no se alcanzaría. Lo más normal es que busque nuevas víctimas antes de pasar al estado de activación.

Estos virus suelen interferir los servicios del sistema relacionados con los discos. Cuando se introduce un disquete, el virus lo detecta, comprueba que esté sin infectar y si se dan las condiciones propicias (por ejemplo, que el disco esté sin proteger), infecta su sector de arranque.

El virus debe realizar todas estas acciones de forma oculta al usuario. Si éste advirtiera alguna irregularidad en el funcionamiento del sistema tomaría medidas para eliminar el virus, impidiendo su objetivo principal: la reproducción.

Cuando el virus considere que ha infectado suficientes disquetes, pasará al estado de activación, destruyendo -generalmente- los datos del disco duro.

 

Virus de fichero

El código de estos virus se añade o se superpone a un fichero ejecutable (un procesador de textos, el command.com... ) y entran en funcionamiento únicamente al ejecutar el fichero infectado. Lógicamente, los ficheros están para ser ejecutados, por lo que tarde o temprano lo cargaremos, entrando en funcionamiento el programa intruso.

Los virus de fichero residentes se cargan en memoria cuando ejecutamos el programa. A partir de este momento, el virus tratará de infectar otros ficheros ejecutables (COM o EXE). Como la memoria RAM es temporal, al apagar el ordenador se borrará el virus de la memoria.

Los virus de fichero de acción directa no se cargan en memoria, solamente funcionan el cargarse un fichero infectado. En estos casos, el virus se añade en alguna posición al fichero sano. Cuando ejecutemos el fichero (ahora infectado), primero toma el control el virus, actúa y luego da paso al verdadero fichero. En el escaso tiempo que actúa, el virus deberá intentar infectar todos los ficheros que tenga a su alcance lo más rápidamente posible. Si el usuario observara demora, el intruso se delataría a sí mismo.

Los virus de fichero de sobrescritura superponen su propio código sobre el del programa sano. Cuando indicamos a ms-dos que ejecute un fichero con virus de este tipo, el virus se carga en la memoria y muestra en pantalla un mensaje de error para intentar engañar al usuario. El fichero primitivo ya no existe y por tanto no puede funcionar. Cuando observamos que cada vez menos programas arrancan, es señal inequívoca de un desastre, pero quizás sea ya demasiado tarde para poner remedio.

 

 Índice · Arriba · Publicaciones · Saulo.Net

17-4 Medidas para evitar el contagio

 

 Índice · Arriba · Publicaciones · Saulo.Net

17-5 Síntomas generales de la presencia de un virus

Los siguientes síntomas pueden aparecer cuando el virus se encuentra todavía en estado de latencia:

Alguno o varios de los siguientes síntomas aparecen cuando el virus está ejerciendo su acción destructora:

 

 Índice · Arriba · Publicaciones · Saulo.Net

17-6 Los anti-virus

Son programas diseñados para detectar y eliminar virus conocidos y desconocidos. Los fabricantes de los programas anti-virus poseen todo un catálogo con el nombre de los virus conocidos, cómo identificarlos y como eliminarlos.

El proceso seguido por los programas anti-virus suele ser el siguiente: analizar la memoria, el sector de arranque y luego, cada uno de los ficheros ejecutables del disco. Para buscar los virus de fichero, acostumbran a analizar cada fichero buscando unas cadenas de caracteres específicas que identifican a cada virus. El problema se complica cuando los virus utilizan técnicas de polimorfismo, es decir, ir adoptando formas diferentes en cada infección.

Los anti-virus disponen de múltiples formas de detección. Sin embargo, se pueden agrupar en dos grandes grupos: a) técnicas para detectar los virus conocidos y b) técnicas inteligentes que detectan virus desconocidos. Lógicamente, en estos casos, el programa detectará un posible virus pero no podrá ni asegurarlo ni decirnos su nombre. No todos los anti-virus son capaces de detectar virus desconocidos.

Es también muy importante que los anti-virus no sólo detecten correctamente el nombre del virus sino que la limpieza sea la mejor posible. Esta claro que siempre se puede eliminar un virus si formateamos el disco infectado a bajo nivel. Por esta razón sólo se justifica un programa anti-virus si es capaz de apartar los datos válidos del intruso y eliminar a éste último. Pero ni el mejor anti-virus es capaz de detectarlos a todos, ni todos los virus se pueden limpiar sin afectar a los datos.

Otro grupo de anti-virus son los residentes en memoria. Se suelen cargar en la memoria al arrancar el ordenador y revisan algunas acciones del sistema operativo para comprobar que no hay movimiento de virus. Poseen la ventaja de estar siempre alerta y la desventaja de ocupar memoria.

Recuerde, en todo momento, que la mejor medida para evitar la pérdida de datos es realizar de forma periódica copias de seguridad.

A partir de la versión 6.0, ms-dos lleva incorporadas dos herramientas anti-virus llamadas Msav (Microsoft anti-virus) y Vsafe.

A continuación se describe la utilización de cada una de estas herramientas.

 Índice · Arriba · Publicaciones · Saulo.Net

17-7 MSAV

Para detectar la presencia de virus en un disco escribimos MSAV a continuación del símbolo del sistema. Aparecerá un interface gráfico basado en menús. En todo momento puede pulsar F1 para acceder a una completa ayuda sensible al contexto.

Nota: Si desea que MSAV revise la memoria y el disco cada vez que arranca el ordenador, debe introducir la línea MSAV /P al final del AUTOEXEC.BAT. Si utiliza unidades de red, agregue además el parámetro /L para limitar el examen a las unidades locales.

Después de cargar el programa, aparece el llamado Menú rápido que posee 5 botones con diversas funciones. Para realizar un chequeo de un disco, primero elegimos la unidad (F2), luego establecemos las opciones (F8) y posteriormente elegimos entre detectar simplemente (F4) o detectar y limpiar (F5). Para salir pulsamos F3.

Observe la última línea de la pantalla que contiene un esquema del cometido de cada tecla de función. Nos damos cuenta que todas las opciones del menú rápido se encuentran representadas también mediante una tecla de función. En estos casos podemos elegir el botón oportuno con las teclas del cursor o pulsar la tecla de función asociada.

Vamos a describir todo lo que se puede hacer desde el menú rápido.

Ayuda (F1)  Ofrece información de ayuda. Al salir de la ayuda regresamos al mismo punto desde donde la pedimos. Cuando tenga dudas sobre lo que está haciendo en ese momento, pulse F1 y aparecerá una ayuda específica. Con las teclas de función puede acceder a un índice de contenidos y a un glosario de términos, entre otras informaciones de ayuda. Pulse F3 o Esc para salir de la ayuda.

Seleccionar nueva unidad (F2)  En la pantalla se muestra la unidad para explorar. Para cambiarla, pulse F2 o seleccione el tercer botón.

Salir (F3)  Termina la ejecución de Msav. Aparece una pantalla de despedida. Si activamos la casilla "Guardar configuración", se graban las opciones elegidas para la siguiente vez.

Detectar (F4)  Detecta virus en la unidad elegida.

Detectar y limpiar (F5)  Detecta y limpia virus en la unidad elegida.

Borrar (F7)  Borra los ficheros con los totales de verificación creados por Msav. Estos ficheros los utiliza el anti-virus para guardar algunos datos de cada fichero ejecutable (tamaño, atributos, fecha...) y comprobar si estos datos han variado. Estos ficheros llamados CHKLIST.MS se crean en todos los directorios del disco.

Opciones (F8)  Establece las opciones para la detección de virus. Cada una de las opciones se explica más abajo.

Lista (F9)  Visualizar la lista de todos los virus conocidos por Msav. Si tenemos interés en un virus determinado podemos seleccionarlo para obtener información del virus. Esta información nos dice el tipo del virus, sus características y efectos secundarios. Al final de la lista se encuentra el total de virus detectados por Msav.

 

Opciones de Msav

Si pulsamos F8 o seleccionamos el botón "Opciones" del Menú rápido accedemos a un cuadro de diálogo denominado "Definición de opciones":

A continuación se describe cada casilla de verificación.

Verificar integridad  Si está activada verifica la integridad de cada fichero, es decir, comprueba que no haya ninguna modificación desde la última ejecución de Msav. Si está activada pueden aparecer falsas alarmas. Por ejemplo, si cambiamos el fichero CONFIG.SYS, Msav lo detecta y nos avisa. Si al explorar el disco, Msav muestra cambios en un fichero que nosotros no hemos variado, puede ser síntoma de virus. Utiliza los ficheros CHKLIST.MS de cada directorio. Es recomendable tenerla activada.

Crear nuevos totales de verificación  Si está activada, se actualizan los ficheros CHKLIST.MS de cada directorio con los nuevos valores. Se recomienda activarla.

Crear totales en disquete  Si están activadas la casilla anterior y ésta, actualiza los ficheros CHKLIST.MS de los disquetes. Se recomienda tenerla desactivada.

Desactivar sonido de alarma  Cuando Msav detecta un posible virus hace sonar un aviso por el altavoz del ordenador. Para evitar el sonido, activamos esta casilla.

Crear copia  Con esta casilla activada, Msav crea una copia del fichero infectado antes de limpiarlo. El fichero infectado quedará con extensión VIR y el sano con el nombre original. Es recomendable tenerla desactivada.

Crear informe  Crea un fichero en el directorio raíz de la unidad con el resultado de la exploración llamado CPAV.RPT.

Mensaje-guía de detección  Muestra un cuadro de diálogo al detectar un posible virus. Los tres mensajes más usuales se describen más adelante. Si está desactivada, Msav no pide confirmación. En este último caso conviene crear un informe para saber el resultado del análisis. Es recomendable tenerla activada.

Anti Stealth  Si se activa a la vez que "Verificar integridad", Msav desarrolla una rutinas a bajo nivel capaces de detectar virus desconocidos o virus camuflados -fenómeno stealth-. Debido al bajo rendimiento de esta opción, se recomienda desactivarla.

Verificar todos los archivos  Si la casilla está activada se chequean todos los ficheros del disco, sino sólo los ficheros con extensiones EXE, COM, OVL, OVR, SYS, BIN, APP y CMD. Como los virus suelen afectar solamente a ficheros ejecutables, se recomienda desactivarla.

 

Cuadros de diálogo durante la exploración

Muestra que un fichero ejecutable ha cambiado. Si aparece este mensaje debemos hacer memoria y saber si lo hemos modificado nosotros _falsa alarma_. Si fue así pulsamos "Actualizar", si tenemos dudas podemos pulsar "Continuar".

Actualizar  Para que tenga efecto debe estar activada la opción Crear nuevos totales de verificación. Después de pulsar éste botón, Msav tomará como correcta la nueva información del fichero y no volverá a detenerse en él.

Reparar  Deja al fichero modificado como estaba en un principio.

Continuar  Ignora el error y sigue adelante.

Detener  Ignora el error y detiene la exploración.

 

Msav ha detectado un virus en el sector de arranque de un disco. Nos ofrece tres botones:

Limpiar  Limpia el virus del sector de arranque. Se recomienda.

Continuar  Ignora el virus y sigue adelante.

Detener  Ignora el virus y detiene la exploración.

 

Msav ha detectado la presencia de un virus. Muestra el nombre del virus y en qué fichero ha sido encontrado. Ofrece cuatro botones:

Limpiar  Limpiar el virus del fichero. Se recomienda.

Continuar  Ignora el virus y sigue adelante

Detener  Ignora el virus y detiene la exploración

Borrar  Borra el fichero completo.

 

Crear un disquete de arranque

Suponga que su disco duro no arranca por culpa de un virus. La única alternativa que tiene es usar un disquete de arranque. Para crear un disco de arranque y copiarle el anti-virus, hacemos lo siguiente:

  1. Formatear un disquete nuevo en la unidad A:

C:\>format a: /s

  1. Copiarle los ficheros del anti-virus de Microsoft:

C:\>copy c:\dos\msav*.* a:\

  1. Proteger el disquete contra escritura, pegarle una pegatina que lo identifique y guardarlo en lugar seguro.

Si ocurre lo peor, introduzca el disquete anterior en la unidad A: y encienda el ordenador. Cuando se cargue ms-dos, teclee MSAV C:

 

 Índice · Arriba · Publicaciones · Saulo.Net

17-8 VSAFE

Esta herramienta comprueba continuamente el ordenador para detectar la presencia de virus. Vsafe es un programa residente en memoria que controla todas las acciones del sistema operativo. Si Vsafe detecta algo inusual interfiere lo que estemos haciendo y pregunta qué hacer.

Nota: Para utilizar Vsafe en el entorno Windows, debe cargar Vsafe desde el ms-dos, ejecutar Windows y luego, cargar el programa MWAVTSR.EXE.

Cuando escribamos Vsafe a continuación del símbolo del sistema, éste quedará cargado en memoria hasta que lo desactivemos.

Nota: Si deseamos que Vsafe se cargue cada vez que arranque el ordenador debemos introducir la línea VSAFE al final del AUTOEXEC.BAT

Para ver o seleccionar la manera en que Vsafe va a inspeccionar nuestro equipo pulsamos Alt+V en cualquier momento. Un cuadro de diálogo aparecerá en la pantalla:

Observamos 8 opciones de aviso:

  1. Avisa si se intenta formatear el disco duro. Por defecto está activada.

  2. Avisa si un programa cualquiera intenta permanecer en memoria. Por defecto está desactivada.

  3. Avisa si se intenta escribir en un disco. Por defecto está desactivada.

  4. Comprueba los ficheros ejecutables que ms-dos utilice en cada momento en busca de virus. Por defecto está activada.

  5. Comprueba el sector de arranque de todos los discos. Por defecto está activada.

  6. Avisa si se intenta cambiar el sector de arranque de un disco duro o su tabla de particiones. Por defecto está activada.

  7. Avisa si se intenta cambiar el sector de arranque de un disquete. Por defecto está desactivada.

  8. Avisa si se está modificando un fichero ejecutable. Por defecto está desactivada.

Si Vsafe detecta algo inusual, toma el control del ordenador y muestra un mensaje en pantalla titulado "Advertencia de Vsafe". A continuación indica el motivo de la interrupción y presenta 3 botones:

Continuar  Ignora la advertencia y permite al programa continuar. Debemos pulsarlo si nosotros mismos hemos provocado la situación. Por ejemplo, si modificamos la etiqueta del disco duro, estamos modificando también el sector de arranque, por lo que Vsafe mostrará su advertencia.

Detener  Impide al programa continuar. Debemos pulsarlo si sospechamos la presencia de un virus.

Iniciar  Reinicia el ordenador. Se perderá el trabajo que estemos realizando.

 

Índice · Arriba · Capítulo 18 · Publicaciones · Saulo.Net