Virus, Gusanos y Troyanos

Prof. Santiago Mena Zorrilla

 ¿Qué es un Virus informático?
Un programa de ordenador que puede infectar otros programas modificándolos
para incluir una copia de sí mismo.
¿Quién los crea?
Tradicionalmente, el perfil de un creador de virus responde al de una persona
joven, con amplios conocimientos de informática, la mayoría programadores
que trabajan en el sector de la Informática y que, en sus ratos libres, se
dedicaban a programar virus.
Actualmente, las cosas han cambiado y con la expansión de Internet cualquier
persona con la suficiente mala intención y unos conocimientos mínimos es
capaz de infectar miles de ordenadores con un virus hecho a la carta.
Posiblemente, el objetivo de estos programadores no es de tipo económico sino
más bien de satisfacción personal: que el programa se propague al mayor
número posible de ordenadores y redes de ordenadores, obteniendo así el
reconocimiento de otrosprogramadores de virus.
 Tipos de Virus

Virus de archivos:(Files virus). Como su nombre indica, se instalan en los archivos,

utilizando cualquier sistema operativo para propagarse. Pueden infectar todos los
tipos de archivos ejecutables del DOS Estándar (Archivos BAT, SYS, EXE, COM) y
archivos de otros sistemas operativos como Windows en todas sus versiones
(incluyendo sus drivers), OS2, Macintosh y Unix. También son capaces de infectar
archivos que contienen código fuente, librerías o módulos de objetos, e incluso
archivos de datos.

Virus de sector de arranque maestro:(MBR, Master Boot Record). Infectan el sector

de arranque de los disquetes o discos duros y sustituyen el sector de arranque
original guardando o no una copia de este en otro sector del disco.También
pueden guardar parte del virus en otros sectores además del MBR.Formatear el
disco o disquete no tiene ningún efecto sobre ellos ya que esta acción no
modifica el MBR. La única salida en este caso es un formateo abajo nivel que
regenere la tabla de particiones.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE
Virus mixtos, bimodales o multiparte: Son una combinación de virus de archivo y
virus de sector de arranque. Se trata de virus muy avanzados, que pueden
realizar múltiples infecciones, combinando diferentes técnicas para ello. Su
objetivo es cualquier elemento que pueda ser infectado: archivos, programas,
macros, discos, etc. Se consideran muy peligrosos por su capacidad de
combinar muchas técnicas de infección y por los dañinos efectos de sus
acciones.
Algunos ejemplos de estos virus son: Ywinz.
Virus del BIOS:(Basic Input Output System) Se instalan en la BIOS del ordenador de
forma que, cada vez que éste arranca, se infectan los archivos de sistema y el
disco duro queda inservible en pocos minutos.
Virus de compañía:(Companion Virus). Se caracterizan porque no cambian los
archivos infectados sino que crean un clon del archivo infectado que al
ejecutarse le da el control al virus. Pueden hacerlo de varias maneras, creando
un archivo alternativo (por ejemplo, infecta el archivo xcopy.EXE que
permanece inalterado y se crea un archivo xcopy.COM que contiene el código
viral, de forma que al ser llamado el xcopy.EXE se ejecuta xcopy.COM). Otra
variante es renombrando el archivo original sin cambiarlo y adoptando su
nombre el virus.
Algunos ejemplos de este tipo de virus son: Stator, Asimov.1539, Terrax.1069.
Virus de macros: El objetivo de estos virus es la infección de los ficheros creados
usando determinadas aplicaciones que contengan macros: documentos de Word
(archivos con extensión .DOC), hojas de cálculo de Excel (archivos con extensión
.XLS), bases de datos de Access (archivos con extensión .MDB), presentaciones de
PowerPoint (archivos con extensión PPS), archivos de Corel Draw, etc.Las macros
son micro-programas asociados a un archivo, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser
infectadas.
Cuando se abre un archivo que contenga un virus de este tipo, las macros se
cargarán de forma automática, produciéndose la infección. La mayoría de las
aplicaciones que utilizan macros cuentan con una protección antivirus y de
seguridad específica, pero muchos virus de macro sortean fácilmente dicha
protección.
Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de
Excel, de Access, de PowerPoint, multiprograma o de archivos .RTF. Sin embargo, no
todos los programas o herramientas con macros pueden ser afectados por estos
virus.

Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K.

Retrovirus: Especialmente diseñados para infectar programas antivirus, para lo cual
incluyen rutinas que les permiten evitar ser detectados y deshabilitar o dañar
determinados antivirus.
Virus de sobreescritura: Sobrescriben el contenido de los ejecutables con su propio
código fuente, destruyendo el contenido original. El ejecutable infectado no
trabaja apropiadamente y no puede ser restaurado. Se caracterizan porque los
archivos infectados no aumentan de tamaño, a no ser que el virus ocupe más
espacio que el propio archivo (esto se debe a que se colocan encima del archivo
infectado, en vez de ocultarse dentro del mismo).La única forma de limpiar un
archivo infectado por un virus de sobreescritura es borrarlo, perdiéndose su
contenido.
Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot y Trivial.88.D
Virus parasitos: Cambian el contenido de archivos infectados al transferirles su copia
y permiten que los archivos sean parcial o completamente utilizables.La copia del
virus puede ser agregada al inicio o final del archivo afectado o insertada en el
medio.
Virus mutantes: (Companion Virus). Son los que al infectar realizan modificaciones
en el código para evitar ser detectados o eliminados. Algunos ejemplos de este
tipo de virus son: NATAS o SATÁN y Miguel Angel.
Virus sin punto de entrada: (Entry Point Obscuring). No graban las instrucciones de
paso de control al virus en el encabezamiento de los archivos .COM y no cambian
la dirección del punto de entrada en el encabezamiento de los archivos .EXE. La
instrucción para el salto al código viral lo graban en algún punto del medio del
archivo infectado, por lo que no toman el control inmediatamente al ejecutarse el
archivo, si no después de una llamada a la rutina que contiene la instrucción del
salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de
error específico. Como resultado, el virus puede permanecer "dormido" o
"latente" por tiempo muy prolongado y ser activado en condiciones limitadas o
muy específicas.
Ejemplos de este tipo de virus son los siguientes: Lucretia, Zhengxi, CNTV,
MidInfector, NexivDer, Avatar.Positron y Markiz.
Virus de Java y Active X: Un control ActiveX, un plug-in o cualquier elemento activo
no dejan de ser archivos ejecutables que se añaden a un navegador para agregarle
ciertas características. Al ser ejecutables pueden contener código malicioso
Virus BAT: Son de los más antiguos, se basan en la capacidad del DOS de ejecutar
archivos .BAT de proceso por lotes. Inicialmente fáciles de detectar al estar
escritos en modo texto, no podían ocultarse y tenían un poder
limitado.Actualmente son más modernos y versátiles, estando desarrollados en
WinScript (evolución del .BAT para Windows).
Virus de script: A este tipo pertenecen los virus de script para mIRC y los orientados
a redes como los virus de HTML, VBS, JavaScript o JScript. Pueden desconectar al
usuario del IRC y acceder a información sensible del PC o sw la LAN, abrir el
archivo de claves del Windows, bajar el "etc/passwd“ en el caso de sistemas
operativos basados en UNIX o abrir una sesión FTP.
Virus Bomba de tiempo: Este tipo de virus se caracteriza por ocultarse en la
memoria del sistema o en los discos y en los archivos de programas ejecutables
con tipo COM o EXE a la espera de una fecha o una hora determinadas para
activarse. Algunos de estos virus no son destructivos y solo exhiben mensajes en
las pantallas al llegar el momento de la activación. Llegado el momento, se
activan cuando se ejecuta el programa que las contiene.
 Características de los virus
Latencia: Un virus es capaz de permanecer inactivo hasta que un hecho externo hace que
el programa se ejecute o que el sector de arranque sea leído. De esa forma el programa
del virus se activa y se carga en la memoria del ordenador desde donde puede esperar
un evento que dispare su sistema de destrucción o de duplicación de sí mismo.
Tipo de residencia: Hace unos años, la mayoría de los virus se caracterizaban por ser
residentes en memoria. De esta forma, cada vez que arrancaba el ordenador, el virus
hacía de las suyas infectando los archivos del disco duro. Menos comunes son los virus
no residentes que no necesitan permanecer en la memoria después que el programa
huésped se haya cerrado. Ahora, los virus tienden a camuflarse para evitar la detección
y reparación. Para ello, el virus reorienta la lectura del disco y modifica los datos sobre
el tamaño del directorio infectado en la FAT para evitar que se descubran bytes extra
que aporta el virus.

Forma de infección: Los primeros virus se infectaban a través de archivos ejecutables

infectados en disquetes que, al ser introducidos en la unidad de disco flexible,
infectaban la RAM o el sector de arranque. Otra vía de infección era a través de
programas descargados de BBS (Bulletin Board System o Sistema de Tablero de
Anuncios) o a través de copias de software no original, infectadas a propósito o
accidentalmente. También se pusieron muy de moda (y siguen vigentes) los virus que
infectaban cualquier archivo que contenga "ejecutables" o "macros".
Composición: En todo virus informático se pueden distinguir tres módulos
principales: módulo de reproducción, módulo de ataque y módulo de defensa

El módulo de reproducción es el encargado de manejar las rutinas de "parasitación"

de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin
de que el virus pueda ejecutarse subrepticiamente. De esta manera, logra tomar el
control del sistema e infectar otras entidades permitiendo trasladarse de un
ordenador a otro a través de algunos de estos archivos.
El módulo de ataque es de carácter optativo y en caso de ir incorporado es el
encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el
conocido virus Michelangelo, además de producir los daños típicos de un virus de
su clase, tiene un módulo de ataque que se activa cuando el reloj del ordenador
indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del
disco rígido volviéndola inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus y como el de
ataque, puede estar o no presente en la estructura. Sus rutinas están diseñadas
para evitar todo aquello orientado a la eliminación del virus y a retardar, en todo lo
posible, su detección.
 Daños producidos por los virus
De acuerdo a la gravedad de los efectos producidos por un virus, los daños se
pueden clasificar en seis categorías
Daños triviales: La eliminación del daño se produce en un intervalo de tiempo muy
breve. Un ejemplo es el virus FORM un virus de tipo infector genérico del sector
de arranque maestro que no daña información del disco duro, pero puede
generar fallos en disquetes y que se activa el 18 de cada mes de forma que cada
vez que se presiona una tecla hace sonar el beep. Deshacerse de este virus
implica, generalmente, segundos o minutos.
Daños menores: Un ejemplo de este tipo de daño es el producido por el virus
Jerusalem. Este virus borra, los viernes 13, todos los programas que se intenten
usar después de que el virus haya infectado la memoria residente. En el peor de
los casos, habrá que reinstalar los programas perdidos. En menos de treinta
minutos puede estar solucionado el problema.
Daños moderados: Son los típicos daños causados cuando un virus formatea el disco
duro, mezcla los componentes de la FAT o sobreescribe los datos de disco duro.
La reparación de estos daños implica reinstalar el sistema operativo y restaurar
los datos y programas utilizar el último backup. El tiempo empleado en la
reparación depende de la cantidad de información a restaurar y de la capacidad
del disco duro. Una hora puede ser suficiente.
Daños mayores: alta capacidad de pasar desapercibidos, pueden lograr que ni aún
restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es
el virus Dark Avenger, que infecta archivos y acumula la cantidad de infecciones que
realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe
la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado sucediendo durante un largo periodo de tiempo sin que nos
hayamos percatado de ello, hasta el día en que se detecta la presencia del virus de
forma que cuando queramos restaurar el último backup notaremos que también
contiene sectores con la citada frase, así como también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados
con posterioridad.
Daños severos: Los daños severos tienen lugar cuando un virus no detectado realiza
cambios mínimos, graduales y progresivos de forma que no sabemos cuándo los datos
son correctos o han cambiado ya que el virus ha actuado de forma silenciosa sin dejar
pistas tan claras como en el caso del Dark Avenger (la dichosa frasecita)
Daños ilimitados: Suelen ser debidos a troyanos y no se limitan a fastidiar el
funcionamiento del disco duro o de cualquier otro elemento del ordenador sino que
intentan pasar lo más desapercibidos posibles con objeto de obtener claves de acceso
y privilegios que les permitan explotar otros recursos como cuentas bancarias,
obtención de la dirección IP, accesos a sitios restringidos que almacenan información
privilegiada, etc.
 Daños al software
Los más generales son los siguientes:

Modificación de las aplicaciones instaladas hasta el punto de que no

puedan ejecutarse.
Modificación de las aplicaciones instaladas de forma que su
funcionamiento produzca continuos errores.
Modificación de los datos.
Eliminación de aplicaciones y/o datos.
Agotamiento paulatino del espacio libre existente en el disco duro.
Ralentización del sistema.
Obtención fraudulenta de información confidencial.
 Daños al Hardware
Borrado de la información de la BIOS.
Destrucción del microprocesador por exceso el de temperatura provocada por una
falsa información del sensor de temperatura.
Rotura del disco duro al provocar que las cabezas lectoras lean repetidamente
sectores específicos que fuercen su funcionamiento mecánico.
Mal funcionamiento de tarjetas como la de red, sonido y vídeo.
Bloqueos del ordenador que provocan continuos reinicios.
Reinicios aleatorios sin causa aparente.
 Síntomas típicos infección
• El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
• El tamaño del programa cambia sin razón aparente.
• El disco duro se queda sin espacio o informa de falta de espacio sin que esto sea necesariamente así.
• El pilotito indicador del disco duro continúa parpadeando aunque no se este trabajando ni haya
protectores de pantalla activados.
• Aparecen archivos de la nada o con nombres y extensiones extrañas.
• Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en
ventanas tipo DOS).
• Cambios en la fecha y / u hora de los archivos.
• Ralentización en la carga de aplicaciones.
• Iniciación del sistema operativo más lenta de lo habitual.
• Sectores defectuosos en los disquetes.
• Mensajes de error inusuales.
• Actividad extraña en la pantalla.
• Errores continuos e inesperados en la ejecución de los programas.
• Errores continuos y persistentes al arrancar o inicializar el equipo.
• Escrituras fuera de tiempo en el disco.
 Troyanos

Programa camuflado dentro de otro (de ahí el nombre, asociado al caballo que los
griegos utilizaron para ganar su guerra contra Troya) cuyo objetivo era conseguir
que un usuario de un ordenador lo ejecutara pensando que en realidad estaba
ejecutando un programa lícito.
Conjunto de instrucciones no autorizadas incrustadas en el código fuente de un
programa legal que ejecutan funciones desconocidas para el usuario y no
deseadas por el mismo. Cualquier programa que aparentemente haga una
función deseable y necesaria pero que no la cumpla y/o contenga instrucciones
no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el
usuario.
Cualquier programa que contenga otro subprograma con instrucciones no
deseadas o virus.
Cualquier programa que permita operaciones de monitoreo y/o control remoto del
ordenador de un usuario sin su conocimiento ni consentimiento. Este tipo de
programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.
 Objetivo de los troyanos
Este tipo de código malicioso es el más empleado a la hora de espiar y obtener sin
permiso información delicada o discrecional y el interés del atacante podría
incluir pero no estar limitado a:

Información de tarjetas de crédito (utilizadas a menudo para registro de

dominios o compras)
Cualquier dato de cuentas (contraseñas de correo, contraseñas de acceso
telefónico, contraseñas de servicios Web, etc)
Documentos confidenciales
Direcciones de correo electrónico (por ejemplo, detalles de contacto de clientes)
Diseños o fotografías confidenciales
Información de calendario relativa al paradero de los usuarios
Utilización de su equipo para propósitos ilegales, como hacking, scan, flood o
infiltrarse en otros equipos de la red o de Internet.
Captar las pulsaciones del teclado del ordenador víctima, de forma que cualquier
tecla pulsada queda registrada. De esta forma el dueño del troyano puede
registrar las claves, contraseñas, números de tarjetas de crédito, etc.
introducidas por el usuario del ordenador víctima.
Espiar la ejecución de las aplicaciones que se ejecutan en el escritorio del
ordenador víctima: lectura de los mensajes de correo, conversaciones
mantenidas con el programa de mensajería instantánea, páginas web visitadas,
vídeo conferencias establecidas, etc.
Acceder y leer el contenido de los archivos logs que almacenan las conversaciones
mantenidas a través de programas clientes de mensajería instantánea. Así, por
ejemplo Messenger (en alguna de sus versiones) crea una carpeta llamada "my
chats logs".
Visualizar el historial de páginas visitadas.
Monitorizar los procesos, programas activos, aplicaciones en marcha, historial de
programas utilizados, etc.
Visualizar el contenido de la carpeta Mis documentos, consultar el historial de
documentos abiertos recientemente pudiendo borrarlos o modificarlos.
 Síntomas de infección por troyano
1.La unidad de CD-ROM se abre y cierra sin intervención del usuario.
2. La pantalla del ordenador se ve invertida o al revés.
3. El fondo del escritorio cambia por sí solo. Este tipo de comportamiento puede ser iniciado por el atacante, colocando imágenes
obscenas copiadas por el mismo.
4. La página de inicio del navegador es una página extraña o desconocida para el usuario y/o se ejecuta automáticamente,
colocando como página de inicio una página desconocida para el usuario, normalmente una página de carácter pornográfico.
5. La apariencia del escritorio de Windows cambia por si sola.
6. El protector de pantalla cambia por sí solo.
7. Los botones del ratón invierten su función.
8. El puntero del ratón desaparece.
9. El puntero del ratón se desplaza sólo a lo largo y ancho de la pantalla.
10. El ordenador reproduce sonidos grabados por el micrófono con anterioridad, sin conocimiento del usuario.
11. El volumen del sonido cambia solo.
12. Los programas ejecutan solos.
13. El ordenador puede iniciar una conversación con el usuario.
14. El ordenador se empeña en mostrar el contenido del portapapeles de Windows.
15. Mensajes extraños de advertencia, información o error aparecen sin razón alguna en la pantalla del ordenador.
16. El ordenador marca un número de teléfono automáticamente.
17. La fecha y hora del ordenador cambian por sí solos.
18. La barra de tareas desaparece de forma inesperada.
19. El ordenador se apaga de forma aleatoria.
20. Aparecen compras extrañas que nunca hemos realizado con nuestra tarjeta de crédito.
21. Aparecen archivos bloqueados o en uso inesperadamente.
22. El teclado deja de funcionar inesperadamente.
23. Cada vez que intenta reiniciar el ordenador aparece una mensaje de que todavía hay usuarios conectados al sistema.
24. La secuencia de teclas Ctrl+Alt+Del deja de funcionar.
 Precauciones contra troyanos

Tener un antivirus y/o antitroyanos monitorizando constantemente nuestro

ordenador.
Realizar escaneos esporádicos a todo el sistema con antivirus y/o antitroyanos.
Tener instalado y activo un cortafuegos.
Utilizar monitores de sistema y registro, ya sean específicos o se encuentren
formando parte de un cortafuegos, antitroyanos, antivirus,...
Desconfiar de todo archivo obtenido por cualquiera de las vías de Internet,
especialmente de aquellos con los que tengamos algún problema en su primera
ejecución.
Escanear como norma general todo fichero que entre en nuestro sistema.
Utilizar siempre un cortafuegos para detectar intentos de comunicación de
un posible troyano con el dueño del mismo.
Panda,Norton,Windows Defender McAffe
 Gusanos
Un gusano (worm) es un tipo de virus cuya característica principal consiste en la
capacidad de poder reenviarse a sí mismo. Efectivamente, esta es la gran
diferencia entre los virus y los gusanos: la capacidad que tienen estos últimos de
utilizar el ordenador de cualquier usuario para infectar otros ordenadores, vía
Internet.
Al contrario de lo que ocurre con los virus informáticos (en el sentido estricto, son
programas que tienen la capacidad de copiarse a sí mismos y de modificar el
código de programas para infectarlos), los gusanos son programas completos que
pueden funcionar por sí solos, y que por tanto no necesitan afectar el código de
otros programas para replicarse y, su presencia y permanencia se basa
normalmente en errores o debilidades (vulnerabilidades) de los protocolos de
red o de los programas incluidos en los sistemas operativos que los utilizan. Es
decir, los gusanos tienen por finalidad copiarse así mismos tantas veces como sea
posible hasta conseguir saturar la memoria del sistema.
Su entrada la hacen por el correo y su salida por alli tambien
 Precauciones contra gusanos

La mayoría de los antivirus pueden configurarse para explorar automáticamente

nuestro ordenador así como para detectar, identificar y proteger contra los
daños que pueda causar un virus, pero también es muy importante actualizar el
software antivirus periódicamente y mantenerlo activo en todo momento, sobre
todo porque de esta forma detectará los mensajes de correo contaminados.
Hacer en todos los casos copias de seguridad de los datos de la computadora

Finalmente, no es necesario adoptar una actitud hipocondríaca cuando se trata

de protegernos contra virus o gusanos informáticos. Lo mejor es "prevenir y no
lamentar".