HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOSORMÁTICA GRUPO 2
ANTONIO MAZUELOS MARÍN INFORMÁTICA GRUPO 2
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
ÍNDICE: 1. DEFINICIÓN DE VIRUS INFORMÁTICO Y MALWARE
PÁGINA 3
2. TIPOS DE VIRUS Y SOFTWARES MALICIOSOS
PÁGINA 3
3. HISTORIA DE LOS VIRUS INFORMÁTICOS
PÁGINA 9
4. EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
PÁGINA 12
4.1 INTERNET Y CORREO ELECTRÓNICO COMO MEDIO DE PROPAGACIÓN PÁGINA 13 4.2 LOS LENGUAGES DE PROPAGACIÓN DE LOS VIRUS PÁGINA 14 4.3 DESARROLLO DE LOS LENGUAJES DE PROGRAMACIÓN Y APARICIÓN DE ELEMENTOS HARDWARECADA VEZ MÁS POTENTES PÁGINA 16 4.4 TROYANOS: APROVECHAMIENTO DE LA VULNERAVILIDAD PÁGINA 19 4.5 DOS TIPOS DE AMENAZA
PÁGINA 20
5. MEDIDAS DE PREVENCIÓN CONTRA VIRUS INFORMÁTICOS PÁGINA 21 5.1 SOFTWARES ANTIVIRUS
PÁGINA 21
5.2 ACCESO A PÁGINAS WEB SEGURAS
PÁGINA 24
5.3
PÁGINA 24
FILTRADO MAC
6. OTROS DATOS A TENER EN CUENTA SOBRE LOS VIRUS INFORMÁTICOS
Antonio Mazuelos Marín GRUPO 2 Página -2
PÁGINA 26
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
1. DEFINICIÓN DE VIRUS INFORMÁTICO Y MALWARE •MALWARE: Malware (del inglés malicious software), también llamado badware, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar un ordenador sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático es utilizado en muchas ocasiones para referirse a todos los tipos de malware, incluyendo los verdaderos virus.
•VIRUS INFORMÁTICO: Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.
2. TIPOS DE VIRUS Y SOFTWARES MALICIOSOS Los virus informáticos se pueden clasificar siguiendo criterios muy diversos. Residentes De acción directa De sobreescritura De boot De macro De enlace o directorio Encriptados Polimórficos
Multipartites De fichero De compañía De FAT Gusanos Troyanos Bombas lógicas Virus falsos
Los virus se pueden clasificar en función de múltiples características y criterios: según su origen, las técnicas que utilizan para infectar, los tipos de ficheros que Antonio Mazuelos Marín GRUPO 2 Página -3
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS infectan, los lugares donde se esconden, los daños que causan, el sistema operativo o la plataforma tecnológica que atacan, etc. Todas estas clasificaciones tienen muchos puntos en común, por lo que un mismo virus puede pertenecer a varias categorías al mismo tiempo. Por otro lado, continuamente surgen nuevos virus que por su reciente aparición o por sus peculiares características no pueden ser incluidos inicialmente en ninguna categoría, aunque esto no es lo habitual. A continuación, exponemos un amplio resumen sobre los tipos virus más significativos: Virus residentes La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, etc. Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas previamente por su creador (por ejemplo, una fecha y hora determinada). Mientras tanto, permanecen ocultos en una zona de la memoria principal, ocupando un espacio de la misma, hasta que son detectados y eliminados. Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky. Virus de acción directa Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos. Además, también realizan sus acciones en los directorios especificados dentro de la línea PATH (camino o ruta de directorios), dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra en el directorio raíz del disco duro). Los virus de acción directa presentan la ventaja de que los ficheros afectados por ellos pueden ser desinfectados y restaurados completamente.
Antonio Mazuelos Marín GRUPO 2 Página -4
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
Virus de sobre escritura Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles. También se diferencian porque los ficheros infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero (esto se debe a que se colocan encima del fichero infectado, en vez de ocultarse dentro del mismo). La única forma de limpiar un fichero infectado por un virus de sobre escritura es borrarlo, perdiéndose su contenido. Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot, Trivial.88.D. Virus de boot o de arranque Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador. Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un disquete infectado, el virus de boot infectará a su vez el disco duro. Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los disquetes contra escritura y no arrancar nunca el ordenador con un disquete desconocido en la disquetera. Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE. Virus de macro El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw, etc. Las macros son micro-programas asociados a un fichero, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
Antonio Mazuelos Marín GRUPO 2 Página -5
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán de forma automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección. Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo, no todos los programas o herramientas con macros pueden ser afectadas por estos virus. Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K. Virus de enlace o directorio Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos. Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar. Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales. Virus encriptados Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran o encriptan a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar. Estos son algunos ejemplos de este tipo de virus: Elvira, Trile. Virus polimórficos Son virus que en cada infección que realizan se cifran o encriptan de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
Antonio Mazuelos Marín GRUPO 2 Página -6
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Algunos ejemplos de este tipo de virus son: Elkern, Marburg, Satan Bug, Tuareg. Virus multipartites Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos de sus acciones. Algunos ejemplos de estos virus son: Ywinz. Virus de Fichero Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos. La mayoría de los virus existentes son de este tipo. Virus de compañía Son virus de fichero que al mismo tiempo pueden ser residentes o de acción directa. Su nombre deriva de que "acompañan" a otros ficheros existentes en el sistema antes de su llegada, sin modificarlos como hacen los virus de sobreescritura o los residentes. Para efectuar las infecciones, los virus de compañía pueden esperar ocultos en la memoria hasta que se lleve a cabo la ejecución de algún programa, o actuar directamente haciendo copias de sí mismos. Algunos ejemplos de este tipo de virus son: Stator, Asimov.1539, Terrax.1069. Virus de FAT La Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador. Los daños causados a la FAT se traducirán en pérdidas de la información contenida en ficheros individuales y en directorios completos.
Antonio Mazuelos Marín GRUPO 2 Página -7
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Gusanos (Worms) De un modo estricto, los gusanos no se consideran virus porque no necesitan infectar otros ficheros para reproducirse. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus. Básicamente, los gusanos se limitan a realizar copias de sí mismos a la máxima velocidad posible, sin tocar ni dañar ningún otro fichero. Sin embargo, se reproducen a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran. Las infecciones producidas por estos virus casi siempre se realizan a través del correo electrónico, las redes informáticas y los canales de Chat (tipo IRC o ICQ) de Internet. También pueden propagrase dentro de la memoria del ordenador. Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F, Trile.C, Sobig.D, Mapson. Troyanos o caballos de Troya Técnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen infectando otros ficheros. Tampoco se propagan haciendo copias de sí mismo como hacen los gusanos. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus. El objetivo básico de estos virus es la introducción e instalación de otros programas en el ordenador, para permitir su control remoto desde otros equipos. Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el troyano. Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar ficheros o destruir la información del disco duro. Pero además pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota. Estos son algunos ejemplos de Troyanos: IRC.Sx2, Trifor. Bombas lógicas Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni siquiera son programas independientes, sino un segmento camuflado dentro de otro programa. Tienen por objetivo destruir los datos de un ordenador o causar otros daños de consideración en él cuando se cumplen ciertas condiciones. Mientras este hecho no
Antonio Mazuelos Marín GRUPO 2 Página -8
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS ocurre, nadie se percata de la presencia de la bomba lógica. Su acción puede llegar a ser tremendamente destructiva. Virus falsos Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o programas que en ciertos casos son confundidos con virus, pero que no son virus en ningún sentido. El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son virus, sino mensajes de correo electrónico engañosos, que se difunden masivamente por Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los usuarios. Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo una serie de acciones a realizar para librarse de la supuesta infección. Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es borrarlo sin prestarle la más mínima atención y no reenviarlo a otras personas.
3. HISTORIA DE LOS VIRUS INFORMÁTICOS Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con el advenimiento y auge de Internet. A continuación, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras. En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939. Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros. Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch Antonio Mazuelos Marín GRUPO 2 Página -9
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS me if you can!" (soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), ya que por aquella época se desconocía el concepto de los software antivirus. En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América, precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días en desarrollar el programa antivirus correspondiente. Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados minutos. 1981 La IBM PC En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC. Un año antes, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar, viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul". Es cuando oportunamente aparece Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS. El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs). La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier programa con extensión EXE o COM. 1983 Keneth Thompson Este joven ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático. 1984 Fred Cohen
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un foro de debates de la ahora revista BYTE reportaron la presencia y propagación de algunos programas que habían ingresado a sus computadoras en forma subrepticia, actuando como "caballos de troya", logrando infectar a otros programas y hasta el propio sistema operativo, principalmente al Sector de Arranque.
Antonio Mazuelos Marín GRUPO 2 Página -10
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones. 1986 El comienzo de la gran epidemia En ese año se difundieron los virus Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los diskettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM. 1991 La fiebre de los virus En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo en el cual, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones. En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose terriblemente famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a tal punto que se han escrito muchos artículos y hasta más de un libro acerca de este virus, el mismo que posteriormente inspiró en su propio país la producción masiva de sistema generadores automáticos de virus, que permiten crearlos sin necesidad de programarlos. 1991 Los virus peruanos Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional. Continuando con la lógica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción. No es nuestra intención narrar en forma exhaustiva la historia completa de los virus y sus connotaciones, de tal modo que consideramos tratar como último tema, los macro virus, que son las especies virales que rompieron los esquemas de programación y ejecución de los virus tradicionales. En el capítulo "FAQ acerca de virus", de esta misma página web resolvemos preguntas frecuentes acerca de los virus informáticos. Y en el capítulo "Programación de virus" tratamos sobre las nuevas técnicas de programación de las especies virales. 1995 Los macro virus A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su Antonio Mazuelos Marín GRUPO 2 Página -11
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS vez, sin ser archivos ejecutables podían auto-copiarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos. En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor información sírvanse revisar la opción Macro Virus, en este mismo módulo. 1999 Los virus anexados (adjuntos) A principios de 1999 se empezaron a propagar masivamente en Internet los virus anexados (adjuntos) a mensajes de correo, como el Melisa o el macro virus Melissa. Ese mismo año fue difundido a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más. A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del Shell de la extensión .SHS. 2000 en adelante Los verdaderos codificadores de virus, no los que simplemente los modifican, han re-estructurado sus técnicas y empezado a demostrar una enorme malévola creatividad. El 18 de Septiembre del 2001 el virus Nimda amenazó a millones de computadoras y servidores, a pocos días del fatídico ataque a las Torres Gemelas de la isla de Manhattan, demostrando no solo la vulnerabilidad de los sistemas, sino la falta de previsión de muchos de los administradores de redes y de los usuarios. Los gusanos, troyanos o la combinación de ellos, de origen alemán como MyDoom, Netsky, etc. revolucionaron con su variada técnica. No podemos dejar de mencionar la famosa "Ingeniería Social", culpable de que millones de personas caigan en trampas, muchas veces ingenuas. Los BOT de IRC y a finales del 2005 los temibles Rootkit. Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresión cultural de "graffiti cibernético", así como los crackers jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha entre el bien y el mal ahora se ha extendido al ciber espacio.
4. EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Al igual que cualquier otra rama de la informática, los virus han evolucionado (y mucho), a lo largo de los años. A continuación quedan expuestos los cambios que han experimentado los códigos maliciosos desde su aparición hasta el momento actual: En 1949 el matemático John Von Neumann ya describió programas que se reproducían a sí mismos y que podrían asemejarse a los que hoy conocemos como virus informáticos. Sin embargo, hay que avanzar hasta los años 60 para encontrar a los precursores de los virus actuales. Antonio Mazuelos Marín GRUPO 2 Página -12
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS En concreto, fueron unos programadores que desarrollaron un juego llamado Core Wars, que tenía la capacidad de reproducirse cada vez que se ejecutaba y podía llegar a saturar la memoria del equipo de otro jugador. A su vez, los creadores del curioso juego inventaron también el primer antivirus, una aplicación llamada Reeper, que destruía las copias hechas por Core Wars. Con posterioridad, en 1983, uno de aquellos programadores dio a conocer la existencia de Core Wars. Éste sería el punto de partida de los que hoy conocemos como virus informáticos. En esa época, el sistema operativo que comenzaba a imponerse en todo el mundo era un jovencísimo MS DOS.
A pesar de todo ello, en 1986, el nuevo sistema operativo ya cuenta con un virus: Brain, un código malicioso originario de Pakistán que infecta los sectores de arranque de los discos de forma que impide acceder a su contenido. Ese mismo año aparece también el primer troyano en forma de una aplicación llamada PC-Write. Muy pronto, los autores de virus se dieron cuenta de que infectar archivos podía causar aún más daño. Así, en 1987 aparece Suriv-02, un virus que infectaba ficheros COM y que dio origen al famoso virus Jerusalem o Viernes 13. Pero lo peor aún estaba por llegar, y en 1988 hace su aparición el famoso gusano de Morris que llegó a infectar 6000 ordenadores. A partir de aquí, y hasta 1995, se van desarrollando los tipos de códigos maliciosos que hoy conocemos: aparecen los primeros virus de macro, los virus polimórficos, algunos de los cuales (como MichaelAngelo) llegaron a causar epidemias. Sin embargo, un acontecimiento cambió radicalmente el panorama vírico mundial, y fue el uso masivo de Internet y del correo electrónico. Poco a poco, los virus fueron adaptándose a la nueva situación hasta la aparición, en 1999, de Melissa, el primer código malicioso que provocó una epidemia a nivel mundial, y que inauguró una nueva era para los virus informáticos.
4.1. INTERNET Y CORREO ELECTRÓNICO COMO MEDIOS DE PROPAGACIÓN Internet y el correo electrónico revolucionaron el mundo de las telecomunicaciones y, rápidamente, los creadores de códigos maliciosos se dieron cuenta de que en ambos podían tener muchas posibilidades para dar a conocer y difundir sus obras. Antonio Mazuelos Marín GRUPO 2 Página -13
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
A su vez, esto provocó que cambiaran su objetivo, que pasó de ser la infección de unos cuantos equipos de la forma más llamativa posible, a tratar de dañar el mayor número de ordenadores en el más breve espacio de tiempo, tal y como sucedió con el gusano Melissa, que protagonizó la primera epidemia vírica global. Con Melissa se empezó a hablar (por primera vez) del daño económico que el ataque de un virus podía producir. Los usuarios (sobre todo las empresas) también comenzaron a preocuparse seriamente por la seguridad de sus equipos informáticos frente a los virus y a descubrir la existencia de los antivirus, que comenzaron a ser instalados de forma masiva. A su vez, los creadores de virus empezaron a buscar estrategias para evitar los antivirus, y conseguir que los usuarios ejecutasen ficheros infectados. La respuesta a cuál de las estrategias víricas era la más eficaz vino de la mano de un nuevo gusano: Love Letter, alias I love you, que utilizaba una artimaña simple pero efectiva, y que puede considerarse una forma de ingeniería social. Se trata de incluir falsos mensajes que hagan que los usuarios no sospechen que el e-mail que han recibido contiene, en realidad, un virus, sino cualquier otro contenido. En el caso del mencionado gusano era bien simple, ya que hacía creer que se había recibido una carta de amor. La técnica empleada por el gusano I love you sigue siendo una de las más utilizadas en la actualidad. Tras ella se encuentra otra que en los últimos tiempos está dando mucho de qué hablar: el uso de las vulnerabilidades de software de uso habitual. Esta táctica ofrece muchas posibilidades, dependiendo de cuál sea el problema de seguridad que aprovechen. Los primeros códigos maliciosos que utilizaron las vulnerabilidades de software de uso habitual fueron los gusanos BubbleBoy y Kakworm que, para aprovechar una vulnerabilidad de MS Internet Explorer, incluían en el cuerpo del mensaje de correo electrónico un código HTML que les permitía ejecutarse de forma automática, sin que el usuario tuviese que llevar a cabo ninguna acción. En la práctica, las vulnerabilidades permiten llevar a cabo muchas y diversas acciones como, por ejemplo, introducir virus en los ordenadores directamente a través de Internet, tal y como hacía el gusano Blaster.
4.2. LOS LENGUAGES DE PROPAGACIÓN DE LOS VIRUS » Los precursores de los virus: Core Wars Unos programas denominados Core Wars (y desarrollados por ingenieros de una importante empresa de telecomunicaciones) son considerados los precursores de Antonio Mazuelos Marín GRUPO 2 Página -14
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS los virus modernos. La informática estaba en sus inicios y los lenguajes de programación apenas se habían desarrollado. Por esa razón, sus autores emplearon un lenguaje prácticamente igual al código máquina para programarlo. Uno de los programadores de Core Wars fue Robert Thomas Morris, cuyo hijo creó (años después) el gusano de Morris. Este código malicioso se hizo extraordinariamente famoso debido a que fue capaz de infectar 6.000 ordenadores, cifra nada desdeñable para el año 1988. » Los nuevos gurús de los 8 bits y el lenguaje ensamblador Los nombres Altair, IMSAI y Apple en USA, así como Sinclair, Atari y Commodore en Europa hacen recordar tiempos pasados en los que una incipiente generación de apasionados por la informática “peleaban” por hacerse un hueco en el mundo de la programación.
Ser el mejor requería un profundo conocimiento de código máquina y ensamblador, ya que los intérpretes de lenguajes de alto nivel(*) consumían demasiado tiempo de ejecución. Por ejemplo, BASIC era un lenguaje relativamente fácil de aprender. Es más, desarrollar un programa con este lenguaje resultaba cómodo y rápido. Sin embargo, BASIC tenía muchas limitaciones, lo que originó que surgieran dos ramas de programadores. Una de ellas estaba conformada por aquellos que utilizaban ensamblador, y la otra por quienes se decantaron por lenguajes de alto nivel. Ciertamente, los aficionados a la informática de esa época disfrutaban más haciendo software útil que malware. Sin embargo, en 1981 aparece el que puede considerarse el primer virus de 8 bits. Su nombre era Elk Cloner, y estaba programado en código máquina. Era capaz de infectar sistemas Apple II y, además, mostraba un mensaje en el momento en que infectaba un equipo. (*) Los lenguajes de programación pueden dividirse en alto nivel y bajo nivel, en función de que su sintaxis sea más comprensible para el programador o para la máquina. Las expresiones que usan los lenguajes de bajo nivel están más cercanas al código máquina, pero resultan muy difíciles de entender para cualquier persona que no haya participado en el proceso de programación. Uno de los lenguajes de este tipo más conocidos (y más potentes que existen) es el ensamblador.
Antonio Mazuelos Marín GRUPO 2 Página -15
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
4.3. DESARROLLO DE LOS LENGUAJES DE PROGRAMACIÓN Y APARICIÓN DE ELEMENTOS HARDWARECADA VEZ MÁS POTENTES En 1981, casi al mismo tiempo que Elk Kloner (el primer virus para procesadores de 8 bits) entra en escena un nuevo sistema operativo que comienza a hacerse muy popular. Su nombre completo era Microsoft Disk Operating System, aunque pronto los aficionados a la informática de todo el mundo lo conocerían por sus siglas: DOS. El desarrollo de DOS se produce paralelamente al de nuevos y potentes elementos hardware. Poco a poco, los ordenadores personales van ganando espacio entre las herramientas de uso cotidiano, permitiendo que muchas más personas tengan acceso a ellos, y que más usuarios se planteen la posibilidad de crear un virus. En este periodo comienzan a aparecer los primeros virus y troyanos para DOS escritos en lenguaje ensamblador, lo que demuestra cierta pericia por parte de sus autores. Pocos programadores conocen el lenguaje ensamblador en comparación con aquellos que dominan los lenguajes de alto nivel, mucho más fáciles de aprender. De esa manera, comienzan a aparecer códigos maliciosos escritos en Fortran, Basic, Cobol, C o Pascal. Los dos últimos, por su amplia difusión y potencia, son los más utilizados, sobre todo en sus versiones TurboC y Turbo Pascal. Esto, finalmente, tiene como consecuencia la aparición de familias de virus, es decir, de virus a los que siguen infinidad de ejemplares con leves modificaciones respecto al original.
Por su parte, también hay otros usuarios maliciosos que se decantan por crear virus destructivos que no exigen grandes conocimientos de programación, por lo que empiezan a aparecer los virus en ficheros de procesos por lotes, más conocidos como virus de BAT. » Virus para Win16 El desarrollo de los procesadores de 16 bits da paso a una nueva era para la informática. La primera consecuencia es el nacimiento de Windows que, por aquella época, es sólo una aplicación para hacer más sencillo el manejo de DOS a través de una interfaz gráfica. Antonio Mazuelos Marín GRUPO 2 Página -16
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS La estructura de los archivos de Windows 3.xx es difícil de entender y la codificación en ensamblador complicada, por lo que son pocos los programadores que se atreven a desarrollar virus para esta plataforma. Pero este problema queda resuelto en un breve espacio de tiempo gracias al desarrollo de herramientas de programación para lenguajes de alto nivel, sobre todo Visual Basic. Tal es la efectividad de esta aplicación que muchos creadores de virus la adoptan como herramienta de trabajo habitual. Hacer un virus ya es una tarea muy sencilla, y comienzan a crearse por cientos. A esto se une la aparición de los primeros troyanos capaces de robar passwords. El resultado es que, por ejemplo, se contabilizan más de 500 variantes de la familia de troyanos AOL, diseñados para robar información personal de los ordenadores afectados.
Mientras Windows pasaba de ser sólo una aplicación para hacer más sencillo el manejo de DOS a convertirse en una plataforma de 32 bits y en un verdadero sistema operativo, los creadores de virus volvían a adoptar ensamblador como el principal lenguaje de programación de virus. Visual Basic (VB), por su parte, evolucionaba a las versiones 5 y 6, afianzándose junto a Borland Delphi (la evolución de Pascal al entorno de Windows) como una de las herramientas preferidas de los creadores de troyanos y gusanos. Visual C, un entorno potente de desarrollo en C para Windows, es adoptado para crear virus, troyanos o gusanos. Este último tipo de malware cobra una fuerza inusitada desplazando, casi totalmente, a los virus. Aunque las características de los gusanos varían a lo largo de su evolución, todos tienen el mismo objetivo: propagarse al mayor número de equipos en el menor tiempo posible.
Con el paso del tiempo, Visual Basic cosecha un gran éxito, y Microsoft implementa parte de la funcionalidad de este lenguaje, como un intérprete capaz de ejecutar ficheros con script de sintaxis similar. Coincidiendo con la implantación de la plataforma Win32 aparecen los primeros virus de script: malware dentro de un simple fichero con texto. Se basan en que no sólo el código ejecutable (los .EXE y los .COM) puede contener virus.
Antonio Mazuelos Marín GRUPO 2 Página -17
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Como ya se demostrara con los virus de BAT, existen otros medios de propagación, haciéndose realidad la máxima de que todo aquello que pueda ejecutarse directamente o mediante un programa intérprete, puede ser utilizado como malware. En concreto, surgen los primeros virus dentro de macros de Microsoft Office. De esta manera, Word, Excel, Access y Power Point se vuelven vías de propagación de armas letales, que destruyen la información de los usuarios cuando estos abren un simple documento. Con el paso del tiempo, la potencia de los intérpretes de script de Microsoft Office permitió a los autores de virus incluir en sus creaciones características de gusanos. Un claro ejemplo es Melissa, un virus de macro con particularidades de gusano que infecta documentos de Word, tanto en su versión para Office 97 como 2000. Melissa se autoenvía, adjunto a un mensaje de correo electrónico, a los 50 primeros contactos de la libreta de direcciones de Outlook del ordenador al que afecta. Esta técnica, que desgraciadamente hoy es muy habitual, tiene su origen en este virus que en marzo de 1999, y en apenas unos días, protagonizó uno de los casos de infección masiva más importantes de la historia de los virus informáticos. De hecho, compañías de la talla de Microsoft, Intel o Lucent Technologies tuvieron que bloquear sus conexiones a Internet debido a la acción de Melissa. La escuela iniciada por Melissa fue continuada en 1999 por ejemplares como VBS/Freelink que, a diferencia de su predecesor, se enviaba a sí mismo a todos los contactos que el Pc afectado tuviese incluidos en su libreta de direcciones. Tras él asistimos a la proliferación de gusanos capaces de enviarse a todas las direcciones que encuentran en la libreta de direcciones del Outlook de los ordenadores a los que afectan.
De entre todos ellos destaca, de manera sobresaliente, el gusano VBS/LoveLetter, más conocido como I love You, que apareció en mayo de 2000 y cuya epidemia tuvo un impacto económico de 10.000 millones de euros, según estimaciones de Computer Economics. Para atraer la atención del usuario, y así conseguir propagarse, se mandaba por correo electrónico en un mensaje cuyo asunto era ILOVEYOU e incluía adjunto un fichero denominado LOVE-LETTER-FOR-YOU.TXT.VBS. Si tras recibir el mensaje el usuario abría el citado archivo, el equipo resultaba infectado. Antonio Mazuelos Marín GRUPO 2 Página -18
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS En el año 1999, además de Melissa aparece (en noviembre) VBS/BubbleBoy, un nuevo tipo de gusano de Internet escrito en VB Script, que también marcó un antes y un después en la historia de los virus. En concreto, VBS/BubbleBoy se activaba sin necesidad de ejecutar ningún fichero adjunto, ya que con tan solo abrir el mensaje de correo o visualizarlo lleva a cabo su acción, aprovechándose para ello de un agujero de seguridad de Internet Explorer 5. Tras él, en el año 2000, apareció JS/Kak.Worm, que se propaga mediante su ocultación, tras un guión de Java Script, en la autofirma de Microsoft Outlook Express, lo que también le permite infectar los sistemas sin que para ello sea necesario abrir ningún fichero adjunto. Son los primeros representantes de una serie de gusanos a los que más adelante se sumarán aquellos capaces de atacar un equipo cuando el usuario navega por Internet.
4.4. TROYANOS: VULNERAVILIDAD
APROVECHAMIENTO
DE
LA
Los autores de virus comenzaron a aprovechar vulnerabilidades (o fallos de seguridad) de los programas más utilizados, para conseguir difundir sus creaciones al mayor número posible de equipos. El aprovechamiento de vulnerabilidades de software, por parte de los códigos maliciosos, empezó en 1998 con Back Orifice. Este troyano utilizaba puertos de comunicaciones desprotegidos para introducirse en los sistemas y dejarlos a merced de hackers, que podían controlarlos de forma remota. Tras él, en 1999, apareció el gusano BubbleBoy que, aprovechando un agujero de seguridad de Internet Explorer, se activaba de forma automática simplemente con visualizar el mensaje de correo en el que llegaba al equipo. Esto mismo también lo hacía el gusano Kak, cuyo código se ocultaba en la autofirma de los mensajes generados con Microsoft Outlook Express. Casi siempre, el aprovechamiento de una vulnerabilidad de software por parte de un virus se hace a través de un exploit, que ha sido previamente programado por otros usuarios y, raramente, por el propio autor del código malicioso. Técnicamente, un exploit es un bloque de código que se ejecuta si en la máquina objeto del ataque se produce un error esperado y muy concreto, es decir, en el caso de que la máquina presente la vulnerabilidad que el exploit trata de utilizar. La incorporación de exploits a virus o gusanos informáticos puede considerarse el inicio de una nueva era de los códigos maliciosos. Si se trata de un problema de seguridad que afecta a un sistema operativo, como puede ser Windows, supone que millones de equipos de todo el mundo son víctimas potenciales de sus ataques. Los códigos maliciosos que incorporan exploits suelen tener una velocidad de propagación extremadamente rápida, ya que nada se interpone en su camino. Así, por ejemplo, los que aprovechan una vulnerabilidad (para introducirse en los ordenadores a través de un puerto de comunicación desprotegido) son detectados y eliminados por el software antivirus cuando ya se encuentran dentro del equipo. Antonio Mazuelos Marín GRUPO 2 Página -19
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Sin embargo, el antivirus no podrá evitar que vuelvan a entrar una y otra vez, hasta que se instale la actualización que resuelve la vulnerabilidad empleada. Klez.I, Blaster, Mydoom y Sasser son algunos ejemplares que han utilizado, con gran éxito, dicho recurso, que les ha permitido seguir afectando equipos de todo el mundo, mucho tiempo después de su aparición.
4.5. DOS TIPOS DE AMENAZA El presente artículo va a centrar su atención en dos tipos de amenazas (denominadas blended threats y flash threats) que, sin duda, marcarán el futuro de los virus informáticos. Actualmente, el malware (término que engloba cualquier programa, documento o mensaje como los virus, los gusanos, los troyanos, el spam, los dialers, las hacking tools, los jokes y los hoaxes susceptibles de causar perjuicios a los usuarios de los sistemas informáticos), se adapta a los avances tecnológicos con el objetivo de difundirse más rápidamente. Así, han surgido las llamadas blended threats o amenazas combinadas, que utilizan simultáneamente distintos vectores o vías de propagación: vulnerabilidades, correo electrónico, red, etc. El virus Nimda, que apareció en el año 2001 y afectó a un gran número de servidores, es un claro ejemplo de esta adaptación. Cada vez es más frecuente la aparición de gusanos que descargan troyanos, como Mydoom, o troyanos que descargan todo tipo de malware en los equipos a los que afectan. En la práctica, una amenaza combinada no sólo es capaz de infectar muchos equipos en poco tiempo, también permite robar datos confidenciales, principalmente los relacionados con cuentas bancarias o tarjetas de crédito. Si la situación actual es preocupante, el futuro no se presenta más alentador, tal y como ha puesto de manifiesto Nicholas C. Weaver, de la Universidad de Berkeley, en el estudio Warhol worms: The Potential for Very Fast Internet Plagues. En él describe, de forma hipotética, cómo podrán ser los gusanos de la próxima generación, a los que denomina Warhol y Flash, capaces de infectar todos los ordenadores vulnerables conectados a Internet en menos de 15 minutos. Un claro ejemplo de lo que puede depararnos el futuro es SQLSlammer que, en enero de 2003, infectó 100.000 ordenadores vulnerables en menos de media hora. Si bien SQLSlammer no es propiamente un gusano tipo Warhol, ya que no utiliza las técnicas descritas en el estudio, sí demuestra que es posible crear un virus que se propague a todos los ordenadores vulnerables de una forma tan rápida que sea imposible proporcionar antes ninguna solución viable. La seguridad informática necesita adoptar un nuevo enfoque, ya que la exigencia de los niveles de protección es cada vez mayor. Los antivirus tradicionales son reactivos, ya que para ser plenamente eficaces necesitan ser actualizados, lo que implica un intervalo de tiempo (desde que aparece una amenaza, hasta que pueden detectarla y eliminarla) que puede ser vital en el caso de un gusano de propagación muy rápida. Antonio Mazuelos Marín GRUPO 2 Página -20
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS
La solución a este problema es el empleo de sistemas capaces de adelantarse a la propia amenaza o, lo que es lo mismo, sistemas que piensen por sí mismos, reconociendo y deteniendo el peligro antes de lleve a cabo sus acciones maliciosas. Consciente de ello, Panda Security ha estado trabajando durante años en las Tecnologías TruPrevent, capaces de detectar y neutralizar virus desconocidos e intrusos.
5. MEDIDAS DE PREVENCIÓN CONTRA VIRUS INFORMÁTICOS 5.1 SOFTWARES ANTIVIRUS Preparación y prevención: Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobre escribir el disco. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legítimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. Detección de virus: Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivíricos. Los programas de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables. Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca. Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobre escritura de ficheros informáticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten. Contención y recuperación: Una vez detectada una infección viral, ésta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son Antonio Mazuelos Marín GRUPO 2 Página -21
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS satisfactorios. Se obtienen resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de arranque inicial. ESTRATEGIAS DE LOS VIRUS: Los autores de un virus cuentan con varias estrategias para escapar de los programas antivirus y propagar sus creaciones con más eficacia. • Los llamados virus polimórficos efectúan variaciones en las copias de sí mismos para evitar su detección por los programas de rastreo. • Los virus sigilosos se ocultan del sistema operativo cuando éste comprueba el lugar en que reside el virus, simulando los resultados que proporcionaría un sistema no infectado. • Los virus llamados infectores rápidos no sólo infectan los programas que se ejecutan sino también los que simplemente se abren.
Esto hace que la ejecución de programas de rastreo antivírico en un ordenador infectado por este tipo de virus pueda llevar a la infección de todos los programas del ordenador. Los virus llamados infectores lentos infectan los archivos sólo cuando se modifican, por lo que los programas de comprobación de suma interpretan que el cambio de suma es legítimo. Los llamados infectores escasos sólo infectan en algunas ocasiones: por ejemplo, pueden infectar un programa de cada 10 que se ejecutan. Esta estrategia hace más difícil detectar el virus. Los Antivirus. Los antivirus son programas que tratan de detectar, si un objeto informático ejecutable es infectado por un programa Virus. La mayoría de los antivirus pueden restaurar el archivo infectado a su estado original, aunque no siempre es posible, dado que los virus pueden haber hecho cambios no reversibles. Los antivirus pueden también borrar los archivos infectados o hacer el virus inofensivo. ¿Por qué y para qué se crearon los antivirus? ¿Por qué?: Porque los virus en muchos casos causan daños los datos y archivos. En caso contrario todavía queda la reducción del rendimiento de la computadora, causado por el aumento de tamaño de los archivos, y la actividad computacional adicional para su reproducción. ¿Para qué?: Para detectar la infección, y para eventualmente restaurar los archivos infectados. También se aplican preventivamente: Antes de introducir un archivo al sistema por copia de un disquete o guardar un archivo añadido a un Email, o antes de ejecutar, abrir o copiar un archivo dentro del sistema se revisa si presenta infección, y se aborta la acción intentada, o retrasada hasta que el archivo u objeto informático esté desinfectado Antonio Mazuelos Marín GRUPO 2 Página -22
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Tipos de antivirus. Clasificación A, por acción: Solo detección Detección y desinfección Detección y aborto de la acción Detección y eliminación del archivo/objeto Clasificación B, por método de detección: Comparación directa Comparación por signatura Comparación de signatura de archivo (detección por comparación con atributos guardados). Por métodos heurísticos Clasificación C, por instante de activación: Invocado por el/la usuario/a Invocado por actividad del sistema (abrir, ejecutar, copiar, guardar archivo) Clasificación D, por Objeto infectado: Sector de Arranque Archivo Ejecutable Macro Virus (Excel, Word) Java ¿Cómo realizan las detecciones los Antivirus? A medida que evolucionan las técnicas empleadas por los virus y éstas son investigadas, los programas antivirus incorporan medidas de búsqueda y detección más avanzadas como las siguientes: • Búsqueda
de Cadenas:
Cada uno de los virus contiene en su interior determinadas cadenas de caracteres que le identifican (firmas del virus). Los programas antivirus incorporan un fichero denominado "fichero de firmas de virus" en el que guardan todas estas cadenas, para hacer posible la detección de cualquiera de ellos. Por lo tanto, para detectar un virus, se analizan los ficheros comprobando si alguno de ellos contiene alguna de las cadenas comentadas. Si el fichero analizado no contiene ninguna de ellas, se considera limpio. Si el programa antivirus detecta alguna de esas cadenas en el fichero, indica la posibilidad de que éste se encuentre infectado. En tal caso, se producirá la desinfección. • Excepciones:
Una alternativa en lo que se refiere a la detección de virus, es la búsqueda de excepciones. Cuando un virus utiliza una cadena para realizar una infección, pero en posteriores infecciones emplea otras distintas, es difícil detectarlo. En ese caso lo que Antonio Mazuelos Marín GRUPO 2 Página -23
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS el programa antivirus consigue es realizar directamente la búsqueda de un virus en concreto. • Análisis
Heurístico:
Cuando no existe información para detectar un posible nuevo virus (que aun no se conoce), se utiliza esta técnica. Con ella se analizan los archivos, obteniendo determinada información (tamaño, fecha y hora de creación, posibilidad de colocarse en memoria,...etc.). Esta información es contrastada por el programa antivirus con las informaciones que se hayan podido recogen en ocasiones anteriores a cerca de cada uno de los ficheros objeto del análisis. El antivirus será quien decida si puede tratarse de una infección vírica, o no. • Protección
Permanente:
La protección permanente vigila constantemente todas aquellas operaciones realizadas en el ordenador que sean susceptibles de permitir una infección por un virus. Si se tiene activada una buena protección, el riesgo de contagio es mínimo, y se facilita enormemente trabajo con el ordenador, ya que no hay que estar pendiente de analizar todo lo que se recibe: la protección permanente se encarga de ello automáticamente. Vacunación El programa antivirus almacena información sobre cada uno de los archivos. Si se detecta algún cambio entre la información guardada y la información actual, el antivirus avisa de lo ocurrido. Existen dos tipos de vacunaciones: • Interna: la información se guarda dentro del propio archivo analizado. Al ejecutarse, él mismo comprueba si ha sufrido algún cambio. • Externa: la información se guarda en un archivo especial y desde él se contrastan las posibles modificaciones.
5.2 ACCESO A PÁGINAS WEB SEGURAS Algunas páginas Web utilizan una conexión segura entre éstas y tu navegador. Esto es muy importante, por ejemplo, si deseas pagar en línea utilizando una tarjeta de crédito y deberás ingresar información personal. Para saber si estas navegando en un sitio Web seguro, puedes ver en la parte inferior derecha de la pantalla. Si al lado del símbolo de Internet vez un candado amarillo, entonces significa que el sitio Web que estas visitando es un sitio seguro. Si no aparece, entonces el sitio Web no tiene una conexión segura con tu navegador. También puedes observar la barra de direcciones. Si la URL de la página empieza con https://, estás en una página segura; si la URL empieza con http://, la página no es segura.
5.3 FILTRADO MAC Normalmente tenemos nuestras redes Wifi protegidas mediante WEP o WPA, que son protocolos teóricamente seguros. Pero estos protocolos siempre pueden ser burlados de una u otra manera, aunque WPA sea bastante más seguro que WEP. Antonio Mazuelos Marín GRUPO 2 Página -24
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Siempre podemos tener un vecino espabilado que consiga averiguar la clave de nuestra red y se beneficie de nuestra conexión a Internet en vez de pagar la suya propia. Para evitar este tipo de cosas usaremos en nuestra red un filtrado de Mac Address. La Mac Address (dirección Mac) se conoce también como dirección física. Es un número de 48 bytes que está formado por 6 números en hexadecimal. La llevan grabada todas las tarjetas de red. Sirve, básicamente, para diferenciar unas de otras dentro de una misma red. Un ejemplo de Mac Address sería 00-08-74-4C-7F-1D. En teoría una Mac es única y no es posible cambiarla. Lo que vamos a hacer para protegernos de los intrusos es poner un filtrado de Mac para que si se produce un intento de conexión al router desde una tarjeta de red con una Mac que no está permitida, este sea denegado. Existe la posibilidad de que nuestro vecino sea muy inteligente y sepa cambiar su Mac, pero dado que cambiar la Mac es algo que requiere más conocimientos sobre informática de los que tiene la mayoría de la gente podemos considerar que estamos seguros. El filtrado de Mac se configura desde el panel de configuración del router, el cual es distinto dependiendo de la marca y el modelo. Mi router Conceptronic C54BRS4 es muy fácil de configurar y supongo que el resto tendrá una interfaz igual de sencilla. En la configuración, me voy a la sección Wireless y tengo lo siguiente: Basic Settings Advanced Settings Security Settings Access Control
Me voy a Access Control y tengo esto:
En cada hueco podemos poner una dirección Mac hasta un total de veinte (en este caso), y sólo las direcciones añadidas a esta lista tendrán acceso al router y por tanto a la conexión a Internet. Con esto no estaremos del todo seguros, ni mucho menos, pero nos protegerá de vecinos que quieran aprovecharse de nosoros y de nuestra conexión. Para que este método sea eficaz es mejor combinarlo con otras medidas de seguridad como usar WEP o WPA, y así lograremos tener una red WiFi invulnerable a Antonio Mazuelos Marín GRUPO 2 Página -25
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS casi todos los intrusos. Estas medidas puede que sean tratadas más adelante en este blog.
6. OTROS DATOS A TENER EN CUENTA SOBRE LOS VIRUS INFORMÁTICOS Los virus informáticos afectan en mayor o menor medida a casi todos los sistemas más conocidos y usados en la actualidad. Cabe aclarar que un virus informático sólo atacará el sistema operativo para el que fue desarrollado. MS-Windows Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras causas, a: Su gran popularidad, como sistema operativo, entre los ordenadores personales, PC. Se estima que, en el 2007, un 90% de ellos usa Windows. [cita requerida] Esta popularidad basada en la facilidad de uso sin conocimiento previo alguno, facilita la vulnerabilidad del sistema para el desarrollo de los virus, [cita requerida] y así atacar sus puntos débiles, que por lo general son abundantes. Falta de seguridad en esta plataforma (situación a la que Microsoft está dando en los últimos años mayor prioridad e importancia que en el pasado). Al ser un sistema muy permisivo con la instalación de programas ajenos a éste, sin requerir ninguna autentificación por parte del usuario o pedirle algún permiso especial para ello (en los Windows basados en NT se ha mejorado, en parte, este problema). Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e incluidos de forma predeterminada en las últimas versiones de Windows, son conocidos por ser vulnerables a los virus ya que éstos aprovechan la ventaja de que dichos programas están fuertemente integrados en el sistema operativo dando acceso completo, y prácticamente sin restricciones, a los archivos del sistema. Un ejemplo famoso de este tipo es el virus ILOVEYOU, creado en el año 2000 y propagado a través de Outlook. La escasa formación de un número importante de usuarios de este sistema, lo que provoca que no se tomen medidas preventivas por parte de estos, ya que este sistema está dirigido de manera mayoritaria a los usuarios no expertos en informática. Esta situación es aprovechada constantemente por los programadores de virus. Unix y derivados En otros sistemas operativos como las distribuciones GNU/Linux, BSD, OpenSolaris, Solaris, Mac OS X y otros basados en Unix las incidencias y ataques son prácticamente inexistentes. Esto se debe principalmente a: Tradicionalmente los programadores y usuarios de sistemas basados en Unix han considerado la seguridad como una prioridad por lo que hay mayores medidas frente a virus, tales como la necesidad de autenticación por parte del usuario como administrador o root para poder instalar cualquier programa adicional al sistema. Los directorios o carpetas que contienen los archivos vitales del sistema operativo cuentan con permisos especiales de acceso, por lo que no cualquier usuario o programa puede acceder fácilmente a ellos para modificarlos o borrarlos. Existe una jerarquía de permisos y accesos para los usuarios. Antonio Mazuelos Marín GRUPO 2 Página -26
HISTORIA Y EVOLUCIÓN DE LOS VIRUS INFORMÁTICOS Relacionado al punto anterior, a diferencia de los usuarios de Windows, la mayoría de los usuarios de sistemas basados en Unix no pueden normalmente iniciar sesiones como usuarios "administradores' o por el superusuario root, excepto para instalar o configurar software, dando como resultado que, incluso si un usuario no administrador ejecuta un virus o algún software malicioso, éste no dañaría completamente el sistema operativo ya que Unix limita el entorno de ejecución a un espacio o directorio reservado llamado comúnmente home. Estos sistemas, a diferencia de Windows, son usados para tareas más complejas como servidores que por lo general están fuertemente protegidos, razón que los hace menos atractivos para un desarrollo de virus o software malicioso. En el caso particular de las distribuciones basadas en GNU/Linux y gracias al modelo colaborativo, las licencias libres y debido a que son más populares que otros sistemas Unix, la comunidad aporta constantemente y en un lapso de tiempo muy corto actualizaciones que resuelven bugs y/o agujeros de seguridad que pudieran ser aprovechados por algún malware. Características Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos. Una de las características es la posibilidad que tienen de diseminarse por medio de replicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas no tienen la seguridad adecuada. Otros daños que los virus producen a los sistemas informáticos son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc. Hay que tener en cuenta que cada virus plantea una situación diferente.
Antonio Mazuelos Marín GRUPO 2 Página -27