Virus (informática)

Virus informáticos Caricatura alegórica que muestra insectos (parecidos a cucarachas) atacando una computadora. Desarrollador muchos Lanzamiento inicial 1983, por el ingeniero estadounidense Fred Cohen.

Un virus informático es un programa informático, generalmente destructivo, que se introduce en la computadora (al leer un disco o acceder a una red informática) y puede provocar pérdida de la información (programas y datos) almacenados en el disco duro. Existen programas antivirus que los reconocen y son capaces de 'inmunizar' o eliminar el virus del ordenador.

Un virus informático es un programa de ordenador que se reproduce a sí mismo e interfiere con el hardware de una computadora o con su sistema operativo (el software básico que controla la computadora). Los virus están diseñados para reproducirse y evitar su detección. Como cualquier otro programa informático, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.

Existen otros programas informáticos nocivos (malware) similares a los virus, pero que no cumplen ambos requisitos de reproducirse y eludir su detección. Estos programas se dividen en tres categorías: caballos de troya, bombas lógicas y gusanos. Un caballo de troya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos. Una bomba lógica libera su carga activa cuando se cumple una condición determinada, como cuando se alcanza una fecha u hora determinada o cuando se teclea una combinación de letras. Un gusano se limita a reproducirse, pero puede ocupar memoria de la computadora y hacer que sus procesos vayan más lentos.

Historia

En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars en el que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de él.

En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término de "virus" para describir un programa informático que se reproduce a sí mismo. En 1985 aparecieron los primeros Caballos de troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 se había extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de internet, que cruzó Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger, el primer infector rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En 1995 se creó el primer virus de Lenguaje de macros, WinWord Concept.

El listado de los [[virus informáticos más destructivos de los últimos años|virus informáticos en la primera década del año 2000 alcanza la decena y el daño, por ellos efectuado, muy alto.

Cómo se producen las infecciones

Los virus informáticos se difunden cuando las instrucciones o código ejecutable que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas solo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del Disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el Software que permite al usuario conectarse al sistema.

Espacios de residencia

En virtud que los virus son programas pueden residir en:

• Memoria Principal

En este caso el virus se coloca automáticamente en la memoria principal (RAM) en forma permanente, esperando que se ejecute un programa con extensión EXE o COM para infectarlo.

• Documento con Macros

Un macro se puede considerar un pequeño programa o subrutina que otro programa puede llevar acabo como las herramientas de office (Word, Excel, Power Point, etc.), en estas subrutinas se pueden acomodar rutinas de algún virus, que al momento de ser ejecutado el macro en algún tipo de documento de Office, el programa se contamine.

• Sectores de Arranque

Los discos duros y discos flexibles tiene dentro de sus sectores un sector llamado de arranque, donde se encuentra información acerca de las características del disco y el contenido del mismo. En este sector se puede acomodar un virus, que al intentar encender la compuadora, el virus se ejecute dentro del mismo sector contaminando el programa.

• Archivos Adjuntos (Attachaments)

Como se mencionó anteriormente los archivos adjuntos de correos electrónicos son medios "eficacez" para la propagación de virus; ya que el código del virus se puede enviar como un archivo anexo con cualquier nombre y extensión que de momento no cause sospecha.

• Páginas Web

Quizás en la escala de suceptible ocupe lo últimos lugares, porque son archivos de hipertextos, el problema sería con aquellas páginas de carácter interactiva como las que contienen formularios, ya que estas y otras partes de la páginas contienen programas llamados Applets de Java y controles ActiveX. Ahora bien, existen diferentes y un gran cantidad de virus, lo que conviene hacer una clasificación de los mismos. A continuación se presenta una de las clasificaciones más generalizadas, esto quiere decir que existen otras con una mayor sofisticación.

Especies de virus

Existen seis categorías de virus: parásitos, del sector de arranque inicial, multipartitos, acompañantes, de vínculo y de fichero de datos.

Los virus parásitos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren al huésped de tal forma que el código del virus se ejecuta en primer lugar. Estos virus pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para infectar cada vez que se ejecuta.

Un virus residente se oculta en la memoria del ordenador e infecta un programa determinado cuando se ejecuta dicho programa.

Los virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles.

Los virus multipartitos combinan las capacidades de los virus parásitos y de sector de arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.

los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al sistema operativo para que lo ejecute.

Los virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado.

Un virus de vínculo puede infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus. Otros virus infectan programas que contienen lenguajes de potentes macros (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus, llamados virus de ficheros de datos, están escritos en lenguajes de macros y se ejecutan automáticamente cuando se abre el programa legítimo. Son independientes de la máquina y del sistema operativo.

Tácticas antivíricas

Heurística antivirus

La heurística muchas veces es vista como magia, como esa capacidad que tiene una solución antivirus para clasificar como maliciosa una muestra sin tener consignada una firma específica para la misma. Una técnica "mágica" que permite marcar al software como sospechoso de tener un comportamiento potencialmente malicioso.

Todos somos heurísticos

Nada más lejos de la realidad. El principio de la heurística es muy sencillo y fácil de comprender. Otro tema bien distinto es que los algoritmos resultantes sean mejores o peores, que es donde está realmente el quid de la cuestión. Imagínate que vas por la calle y notas que te sigue alguien. Te fijas por un reflejo o te das la vuelta y ves que ese alguien tiene un aspecto sospechoso y actúa de forma sospechosa. Lo más normal es que en este punto, tú clasifiques a ese individuo como sospechoso y cambies tu estado de tranquilidad por un estado de alerta. Eso es heurística, es un comportamiento basado en la experiencia, que se va modificando en función a los acontecimientos. Wikipedia: Se denomina heurística a la capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines.

Heurística en computación

En computación el concepto es perfectamente portable. Si tenemos el motor antivirus corriendo y detecta un comportamiento sospechoso, este pasará a un estado de alerta y nos notificará que la muestra es potencialmente peligrosa. El antivirus no va a estar totalmente seguro del carácter malicioso, puesto que lo ha marcado como sospechoso en función a indicios de comportamiento, y no en función a una firma conocida y con la que existe un 100% de coincidencia. El sistema realiza innovaciones positivas para su finalidad (nuestra salvaguarda) en tiempo real, o al menos, de modo inmediato.

Wikipedia: Los productos antivirus suelen tener técnicas de reconocimiento inteligente de códigos maliciosos (virus, gusanos, caballos de troya, etc), las cuales se conocen comúnmente bajo el nombre de heurísticas. El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensemblado, desempaquetamiento, entre otros.

De lo sencillo a lo complicado

Este análisis de comportamiento sencillito da origen a toda una rama de las ciencias exactas. Las matemáticas heurísticas son complejas, ya que a fin de cuentas tratan de modelizar comportamientos y no realidades claras y directas. La gran mayoría de las veces, los resultados de este tipo de aproximaciones no podrán ser explicadas. Estas técnicas de reconocimiento inteligente son lo que matemáticamente se conoce como algoritmos exploratorios multivariantes. Veamos qué es cada cosa en esa frase.

• Algoritmo: Modelización matemática de un comportamiento finito, es decir, que tiene un comienzo y un final.
• Exploratorio: Método de observación y análisis que permite, posteriormente, la toma de decisiones.
• Multivariante: Carácter matemático que establece la dependencia de un evento determinado de múltiples factores concurrentes.

En resumen, si la detección heurística de virus es un problema matemático de exploración multivariante que necesita ser modelizado, a través de distintos algoritmos. Se trata por tanto, de observar la realidad y ver cómo afectan todas las condiciones de contorno consideradas en la detección de la muestra, para posteriormente poder extraer inteligencia del proceso, convirtiendo el experimento de observación en un modelo escalable que sea válido en futuras aproximaciones sin perder su capacidad de representación óptima de la realidad.

Firmas genéricas

Muchos códigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.

Reconocimiento de código compilado

Cuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar ciertas acciones. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.

Desensamblado

Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos productos antivirus es capaz de analizar el código fuente de los programas sospechosos con el fin de reconocer en él técnicas de desarrollo que normalmente sean usadas por los programadores de virus y así reconocer un código malicioso nuevo sin la necesidad de una actualización.

Desempaquetamiento

Los programadores de códigos maliciosos suelen usar empaquetadores de archivos con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Empaquetadores como UPX, son ampliamente utilizados para esto. Para evitar ser engañados por un código malicioso antiguo, reempaquetado, los antivirus incluyen en sus técnicas heurísticas métodos de desempaquetamiento con el fin de poder analizar el código real del programa, y no el empaquetado.

Evaluaciones retrospectivas

La heurística es un aspecto muy difícil de probar en los productos antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas. Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período de tiempo X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los productos antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas. Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.

La mejor heurística, la más óptima

Por definición, un algoritmo heurístico es aquel que, sin poder obtener certeza de un evento, se pretende aproximar lo máximo a la realidad. Parece por tanto adecuado deducir que el mejor algoritmo heurístico será aquel que, para una actividad determinada, se aproxime más al comportamiento real de los sucesos sometidos a exploración. Los factores de mejora básicos de la optimización son los siguientes:

• Inversión mínima de recursos computacionales
• Minimización de falsos positivos y fallidos verdaderos
• Extensibilidad del modelo a escenarios de alta variabilidad

Esto es lo que hace que una solución antivirus heurística pase de ser mediocre a buena. La capacidad de aproximación a la realidad y la multivarianza de los factores de amenaza. Un motor antivirus heurístico que califique todas las muestras como sospechosas es un motor heurístico, pero no es óptimo. Tampoco lo es el que comete demasiadas falsas identificaciones, ni tampoco lo es el que no termina de estar seguro y deja pasar como válidas muestras que no lo son.

Preparación y prevención

Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobreescribir el disco. Las infecciones virales pueden prevenirse obteniendo los programas de Fuentes legítimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible.

Detección de virus

Para detectar la presencia de un virus pueden emplearse varios tipos de Programas antivíricos. Los Programas de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables.

Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, solo pueden detectar una infección después de que se produzca.

Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobreescritura de ficheros informáticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.

Contención y recuperación

Una vez detectada una infección viral, esta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando solo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios.

Se obtienen resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de arranque inicial.

Estrategias virales

Los autores de un virus cuentan con varias estrategias para escapar de los programas antivirus y propagar sus creaciones con más eficacia. Los llamados virus polimórficos efectúan variaciones en las copias de sí mismos para evitar su detección por los programas de rastreo. Los Virus sigilosos se ocultan del sistema operativo cuando este comprueba el lugar en que reside el virus, simulando los resultados que proporcionaría un sistema no infectado.

Los virus llamados infectores rápidos no solo infectan los programas que se ejecutan sino también los que simplemente se abren. Esto hace que la ejecución de programas de rastreo antivírico en un ordenador infectado por este tipo de virus pueda llevar a la infección de todos los programas del ordenador. Los virus llamados infectores lentos infectan los archivos solo cuando se modifican, por lo que los programas de comprobación de suma interpretan que el cambio de suma es legítimo. Los llamados infectores escasos solo infectan en algunas ocasiones: por ejemplo, pueden infectar un programa de cada diez que se ejecutan. Esta estrategia hace más difícil detectar el virus.

Acceso

El mayor problema que tienen que resolver las técnicas de seguridad informática es el acceso no autorizado a datos. En un sistema seguro el usuario, antes de realizar cualquier operación, se tiene que identificar mediante una clave de acceso. Las claves de acceso son secuencias confidenciales de caracteres que permiten que los usuarios autorizados puedan acceder a un ordenador. Para ser eficaces, las claves de acceso deben resultar difíciles de adivinar. Las claves eficaces suelen contener una mezcla de caracteres y símbolos que no corresponden a una palabra real. Para ponérselo difícil a los impostores, los sistemas informáticos suelen limitar el número de intentos de introducir la clave.

Lista de los virus más dañinos de los últimos años

Conocer los virus más dañinos de la primera década del siglo XXI es una necesidad de todo personal interesado en el tema ya que los virus han evolucionado desde la época en que hackers adolescentes los creaban para competir entre ellos y causar un poco de desorden. Ahora, los hackers profesionales pertenecen a bandas criminales o agencias de espionaje, ya que se trata de robo de información o destrucción con un propósito, los daños son mayores y los malware son capaces de afectar la producción de industrias y el funcionamiento de bancos y agencias gubernamentales.

El listado recoge la primera década del siglo XXI (2000-2010):

• 10. Carta de amor/ I LOVE YOU (2000)

En el año 2000, millones de personas cometieron el error de abrir lo que parecía ser un correo electrónico de un admirador secreto. Llevaba por título simplemente “I Love You” (‘te amo’), pero en vez de ser una confesión amorosa, realmente era un “gusano”, que después de sobrescribir las imágenes de los usuarios se mandaba por correo electrónico a 50 contactos de la agenda Windows del usuario. En tan solo unas horas se convirtió en una infección global.

• 9. Code Red (2001)

Comparado al malware moderno Code Red parece no ser tan peligroso, sin embargo en el 2001 sorprendió a expertos de seguridad en línea al utilizar una falla en el Servidor de Información de Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas momentáneamente.

• 8. Slammer (2003)

En enero del 2003, Slammer probó que tan dañino podía ser un gusano para los servicios públicos y privados. El gusano liberaba una avalancha de paquetes de red, y la cantidad de datos que transmitía a través del internet causó que varios servidores suspendieran actividades casi inmediatamente. Entre las víctimas del gusano se encontraron Bank of America, el servicio de emergencias estadounidense 911 y una planta nuclear en Ohio.

• 7. Fizzer (2003)

Los gusanos que se habían visto hasta el año 2004 eran principalmente para crear un poco de caos, Fizzer, iba tras el dinero. Muchos desestimaron al gusano ya que no se movía con la rapidez de Code Red, pero lo que lo hacía más peligroso es que era un gusano creado para obtener ganancias –una vez en tu correo electrónico enviaba correos no solo para propagarse, si no para enviar spam de porno y pastillas.

• 6. My Doom (2004)

En el 2004 logró infectar alrededor de un millón de máquinas lanzando una negación masiva del servicio de ataque, al hacer esto abruma a su objetivo al enviarle información de diversos sistemas. El gusano se propagaba por correo electrónico y lo hizo con una rapidez jamás antes vista.

• 5. PoisonIvy (2005)

Es la pesadilla de todo sistema de seguridad ya que permite que el virus controle la computadora que ha infectado. PoisonIvy pertenece al grupo de malware conocido como “un troyano remoto”, ya que le permite al creador del virus tener acceso completo a las máquinas que infectado usando una especie de puerta trasera, al grado que permite grabar y manipular información del equipo. Inicialmente se le consideró una herramienta de hackers principiantes, el virus ha llegado a afectar a muchas compañías de occidente.

• 4. Zeus (2007)

Actualmente es el malware más usado para obtener, de manera ilegal, información personal. Se puede comprar por un precio de 50 centavos de dólar en el mercado del crimen virtual y permite robar contraseñas y archivos. La información personal robada puede ser utilizada para hacer compras en línea o crear cuentas bancarias a nombre de una identidad comprometida.

• 3. agent.btz (2008)

Este malware fue el responsable de la creación de un nuevo departamento militar en Estados Unidos, el Cyber Command. El virus se propaga a través de memorias infectadas que instalan un malware que roba información. Cuando se encontró agent.btz en computadoras del Pentágono, sospecharon que era el trabajo de espías extranjeros.

• 2. Virus Conficker (2009)

En el 2009 este nuevo virus afectó a millones de máquinas con Windows en todo el mundo. Logró crear una especia de ejército global que robaba todo tipo de información. Debido a que era realmente difícil de parar se creó un grupo de expertos dedicados específicamente a detenerlo, el virus se llegó a conocer como el “súper bicho”, o “super gusano”. Lo que ha dejado a los expertos realmente perplejos es que nadie sabe para qué es exactamente, la información robada jamás se utilizó.

• 1. Stuxnet (2009-2010)

Este virus fue el primero en ser creado para causar daño en el mundo real y no solo en el mundo virtual. El malware tenía como objetivo principal dañar sistemas industriales –se cree que el virus fue responsable de causar daños al equipo que procesaba uranio en una planta de Natanz en Irán-. Basándose en información de la Agencia Internacional de Energía Atómica, los expertos creen que el virus fue responsable de causar que muchas centrifugues que procesaban uranio en Irán giraran hasta perder el control y se autodestruyeran. El virus no se descubrió hasta el 2010 pero sospechan que infectó computadoras desde el 2009.

Véase también

• Seguridad informática
• Antivirus informático
• Segurmática
• Microsoft Defender
• McAfee VirusScan
• Nod32
• Malware

Fuentes

• «Virus informático», artículo publicado en el sitio web Wikipedia. El nombre del artículo está mal creado, ya que el nombre más común es "virus"; y como existe otro artículo llamado virus (biología), se requiere una desambiguación entre paréntesis. Consultado el 30 de abril de 2020.
• Así funciona una heurística antivirus. Consultado el 11 de febrero de 2010. Disponible en: "www.sahw.com"
• Enciclopedia Informática v1.105. Ing. Osmanys Sánchez Díaz. 2005. Consultado el 11 de febrero de 2010.
• www.smithsonianmag.com Consultado el 4 de febrero de 2015.
• http://historiaybiografias.com/virus1/
• http://historiaybiografias.com/virus2/
• http://dianapg.blogspot.es/1306800268/