| Artículos | 01 FEB 1998

Programas antivirus

Tags: Histórico
McAfee VirusScan 95 v3, Norton Antivirus 4.0, Panda Antivirus 5.0, Antivirus Anyware, F-PROT Professional 3.01, ThunderByte Antivirus 8.03 y Dr. Solomon"s Anti-Virus Toolkit
Javier Cáceres.

Cualquier persona que lleve en el mundo de la informática un tiempo, en algún u otro momento se ha topado con un virus informático, o al menos conoce a alguien que ha tenido problemas con ellos. Desde que aparecieran los primeros virus allá por la segunda mitad de la década de los 80, se han convertido en algo habitual y fuente de importantes pérdidas económicas en el ámbito corporativo, pese a que el 95% de los virus son inofensivos. Las últimas estimaciones establecen que cada día, aparecen en el mundo aproximadamente 10 nuevos virus o mutaciones de alguno anterior, que se suma a los más de 14.000 existentes.

En buena parte por culpa de diversos medios de comunicación, la imagen que se tiene de los virus y, sobre todo, de sus capacidades provocan que algunos asuman los virus como un inevitable riesgo informático más, y otros se los tomen como algo que forma parte de la propia ficción de las películas. Lo cierto es que los virus están ahí y son más numerosos, variados y letales que nunca.

El avance de los diversos sistemas de comunicaciones ha propiciado un uso cada día más amplio de las redes locales así como de Internet. Precisamente, ésta última ha permitido a miles de creadores de virus intercambiar conocimientos y difundir sus ?logros? más fácilmente pues, las redes en general, conllevan un considerable aumento en el volumen de información que se intercambia con fuentes desconocidas o faltas de seguridad. Esto consecuentemente, dispara el riesgo de adquirir algún tipo de virus.

A todo esto, se añade la aparición de los virus de macros, que podemos recibir a través de fuentes tan inusuales como el correo o documentos electrónicos. No es de extrañar pues, la conclusión que arroja un estudio realizado al respecto por la NCSA (National Computer Security Association) en Abril del año pasado: la probabilidad de adquirir un virus se ha multiplicado por 20 en los últimos dos años.

De cualquier forma, hemos de tener claro que al igual que sucede con sus homónimos biológicos, los virus informáticos se pueden prevenir y en muchos de los casos, erradicar de nuestro sistema simple y eficazmente. Para ello, existen excelentes y económicos paquetes antivirus, como los tratados en esta comparativa, que junto con una serie de medidas de prevención pueden acercar nuestra probabilidad de ser infectados al 0%.

¿Qué es un virus informático?

Por definición, un virus es un programa que se copia a sí mismo. Si quisiéramos profundizar un poco más, podríamos decir que es un pequeño segmento de código ejecutable escrito en ensamblador o lenguaje de macro, capaz de tomar el control de la máquina o aplicación en algún momento y autorreplicarse, alojándose en un soporte diferente al que se encontraba originalmente. Como soporte entenderemos el lugar donde el virus se oculta, ya sea un archivo ejecutable, sector de arranque o documento. Los virus se suelen componer de una sección dedicada a realizar una acción visible de cara al usuario, conocida como payload y otra encargada de activarla, denominada trigger.

Cuando se activa un virus, las consecuencias son de lo más diversas. Desde las más inocentes como hacer sonar una melodía, poner un mensaje en pantalla, hacer llover caracteres por nuestra pantalla o cambiar la etiqueta de nuestro disco hasta de lo más devastadoras como formatear el disco duro, borrar la CMOS, destruir el sector de arranque, borrar archivos, destruir o encriptar la FAT, etc. El detonante de esta situación, el trigger (gatillo) determina cuándo el virus ha de realizar su función visible. Un virus puede estar programado para realizar su acción nociva poco a poco e ir degradando así la integridad de la máquina o bien programado como una bomba lógica y realizar esta acción una sola vez en un momento determinado (una fecha concreta, una hora, al cumplirse cierto número de ejecuciones e incluso de forma aleatoria).

El esquema de ejecución de un virus es sencillo, si se cumple la condición definida por el gatillo, descarga su efecto nocivo y en caso contrario trata de desplegarse por el sistema. A partir de este esquema básico, podemos distinguir los virus de acción directa y los residentes. Los de acción directa tienen un mecanismo de infección simple. Toman el control del equipo, infectan a otros archivos y se descargan de la memoria. Son fáciles de programar y de escasa difusión (menos del 1%), pues son de infección lenta. Los virus residentes son mucho más que un simple programa TSR (Terminate and Stay Resident), pues utilizan diversas técnicas para ocultarse y controlar de alguna forma la máquina propagándose por el sistema en cualquier momento, por ejemplo cuando se arranca un programa, se hace un simple DIR, o se introduce un nuevo disco en la unidad.

Clases de Virus

Se suele hacer una clasificación de los virus en función de dónde se alojan:

Virus de sector de arranque: Hasta hace poco, los más difundidos. Infectan en el sector de arranque el MBR (Master Boot Record) o el DBR (Dos Boot Record) existente en todos los discos duros y disquetes. El virus sustituye el código de arranque original por su propio código o parte del mismo, almacenando la secuencia inicial y el resto de sí mismo en algún lugar del disco. Se propaga cuando introducimos un disco infectado en la unidad de arranque y encendemos el equipo. El ordenador ejecuta el MBR del disco infectado, carga el virus, el cual se copia al MBR del disco duro. A partir de ahí, todas las veces que arranquemos nuestro equipo, se cargará el virus en memoria de forma residente. Este tipo de virus infectan el PC, sin preocuparse por el sistema operativo que se ejecuta a posteriori. Obviamente, con sistemas distintos a DOS o Windows 95, aunque el PC esté infectado, el virus seguramente no se pueda seguir propagando, pero en ocasiones sí realizar su función destructiva.

Virus de archivo: Este tipo de virus infecta a archivos ejecutables como los del tipo EXE, COM, OVL, DRV, SYS, BIN, e incluso BAT. El virus se añade al principio o al final de los archivos huésped. Su código se ejecuta antes que el del programa que los aloja, pudiendo ser o no residentes. Una vez en memoria, buscan nuevos programas a los cuales puedan trasladarse.

Virus de acompañante (Companion): Estos virus se basan en el principio de que DOS, al encontrarse un programa COM y EXE en el mismo directorio siempre ejecutará antes el primero. De esta forma, el virus creará un nuevo archivo COM con el mismo nombre y en el mismo lugar que reside el archivo EXE a infectar. Después de que DOS arranque el virus, éste a su vez suele arrancar el programa original.

Virus de combinación (Multipartite): Son virus que pueden infectar tanto el sector de arranque como archivos ejecutables, son una combinación de los dos primeros tipos.

Virus de macro: Este tipo de virus ha destruido el concepto que hasta el momento se tenía de los virus en general. Infectan documentos de determinadas aplicaciones que dispongan o puedan hacer uso de un potente lenguaje de macros. Los primeros virus de este tipo aparecieron en el verano de 1995 y, ya a principios del siguiente año, se habían hecho tremendamente populares, hasta el punto de haber arrebatado el primer puesto en cuanto a porcentaje de infecciones a los viejos virus de sector de arranque. La inmensa mayoría utilizan el lenguaje de macros WordScript de Word (si bien podemos encontrar algunos desarrollados en otros lenguajes como pueda ser LotusScript para Lotus SmartSuite), aunque la aparición de VBA (Visual Basic for Applications) que emplea Microsoft Office, posibilita la creación de virus genéricos efectivos en cualquier aplicación con soporte para OLE2. Esta característica está propiciando que los virus creados con VBA se les denomine virus de OLE2. La infección comienza cuando se carga un documento, ya sea un texto de Word o Word Pro, una hoja de cálculo de Excel, etc

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información