Virus en Internet

Cualquier usuario que utilice un ordenador sabe que se enfrenta al peligro de los virus informáticos. Con los años, estos algoritmos malignos han ido adquiriendo especial importancia, principalmente debido a las nuevas características malignas que los diseñadores les han ideado. Internet nos ha dado nuevos horizontes a todos, pero también se los ha dado a los creadores de virus (virus-maker).

Es curioso que los primeros algoritmos malignos, allá por los años sesenta, se diseñaron para que actuaran en las redes que por aquél entonces copaban el mundo informático, algunas de la cuales dieron origen al actual Internet. Posteriormente, y en los principios del auge de los ordenadores personales, los virus (salvo excepciones) limitaron su campo de actuación a sistemas operativos que poco tenían que ver con la Red. La razón, posiblemente, es que los diseñadores pasaron de ser universitarios o expertos con acceso a grandes sistemas a ser jovenes con un PC a su disposición.

Imagen del virus MARBURG
(pulse sobre la captura para ampliarla)

La situación ha cambiado, ya que raro es el usuario que hoy día no posee un fax-módem conectado a Internet. Por ello los virus-maker vuelven a los orígenes, y se han creado una serie de familias de virus, a cuál más peligroso. Por si fuera poco, Internet permite el intercambio de ideas y técnicas entre diseñadores. El objetivo primordial de un virus es infectar y/o destruir programas.

Internet presta a los algoritmos malignos la posibilidad de viajar de un punto a otro del globo a una velocidad y con una extensión inimaginable en los años sesenta. Ya no es el número de usuarios potenciales el que influye en exclusiva en la velocidad de difusión de un virus, sino el correo electrónico, las libretas de direcciones, o incluso los favoritos de los navegadores. Un ordenador infectado y conectado a Internet, podrá potencialmente infectar a todos aquellos ordenadores que figuren en la libreta de direcciones del usuario.

Asimismo, el auge de programas de IRC o ICQ, en los cuales se desarrollan auténticas guerras entre jóvenes usuarios, hace que aparezcan nuevas técnicas, como el desarrollo de Scripts, Applets o controles ActiveX malignos.

Hay que señalar sin embargo, que un virus que se reparta por una red no es necesariamente un virus de Internet. Usted puede mandar a un usuario un fichero infectado inadvertidamente, y eso no lo convierte en un virus de Internet. Los virus de Internet son los que pueden utilizar y aprovecharse de los protocolos de comunicación de la Red para transmitirse o infectar (como el FTP, o los que usan las posibilidades del IRC, por ejemplo). Vamos a ver varios grupos definidos, algunos de los cuales ya han proporcionado al mundo informático algún que otro famoso destructor de programas.

Términos víricos

Hoy en día la Seguridad Informática es tan compleja que conviene conocer algunos términos técnicos. Seguramente muchos le sonarán, por haberlos oído en alguna ocasión.

Dropper: Como habrá visto a lo largo del artículo, se trata de una técnica muy recurrida como apoyo a la infección o a la distribución. Consiste en un fichero de apariencia normal, que contiene en su interior el código del virus. Es obvio, que si se borra el Dropper…el virus queda o bien desactivado, o pasa a mejor vida. Por ello los diseñadores intentan disimularlos lo más posible. Cuidado con los programas "graciosos".

Bug: Error de programación. Se confunden con virus por lo mucho que molestan. Muchos empresarios de software, prefieren que les corten una mano antes que reconocer que alguno de sus productos lleva un bug.

Attach: Sistema que permite insertar un fichero en un mensaje de correo. Es muy utilizado para enviar macrovirus y sobre todo, troyanos.

Companion: Técnica que consiste en crear un fichero con el código vírico en el interior y nombrado de forma parecida a un fichero legal. Por ejemplo, si el fichero original se llama PEPE.EXE, el Companion se llamaría PEPE.COM. Así, el diseñador hace que el usuario ejecute el código sin darse cuenta.

Camaleón: Primo del Caballo de Troya. Se disfraza el virus (o troyano) como un programa legal y popular. Asegúrese de que la última versión de su empaquetador que amablemente le envían tiene un origen claro.

Conejo: Técnica muy usada por los gusanos. El código vírico usa el correo para reproducirse de forma acelerada, pudiendo bloquear el sistema de correo.

Leapfrog: Concretamente, técnicas varias para leer las listas de correo del usuario y poderles mandar regalos indeseables.

Spoofing: Diversas técnicas para bloquear el ordenador. Muy usadas por los troyanos.

Back Door: Es un agujero creado en el sistema. Usado por administradores remotos. La puerta trasera permite que el diseñador entre en el ordenador del usuario cuando éste está conectado a Internet.

Stealth: Una vez infectado el sistema, el virus puede usar varias técnicas para ocultar los cambios que inevitablemente se suelen producir en los ficheros infectados. Hay que ser buen programador para usarlas.

Variante: Virus semejante al original. Se dan muchas gracias a los generadores de virus que corren por Internet. Los cambios suelen ser mínimos.

Killer: Un virus que puede atacar a determinada vacuna o vacunas. Por ello conviene tener más de una vacuna a mano.

IRC/ICQ: Protocolos que se usan en programas de chat principalmente. Algunos muy populares como el ICQ de Mirabilis o el MIrc. Son tan flexibles que por desgracia dan muchas posibilidades a los diseñadores de virus.

Joke-program: No es un virus. Es un bromazo. A veces de mal gusto, claro. El típico en Internet es el de la web que al abierse abre a su vez múltiples ventanas hasta que bloquea el ordenador. Molesto, pero no más. Piense que siempre se puede aprender de los errores.

Falso Positivo: Cuando una vacuna detecta un virus que en realidad no existe. Su ordenador realmente no esta infectado. Este caso puede darse porque el antivirus no sea muy bueno. Antes solía suceder a menudo. Hoy en día cada vez menos, pues la calidad de los antivirus ha aumentado mucho.

Ralph Burger: Ingeniero y pionero de la Seguridad Informática. En 1986 diseño el virus VIRDEM como ejemplo para expertos. Pese a su negación a reconocer la existencia de infecciones reales de virus, un año después tuvo que cambiar de idea al aparecer el primer miembro de la familia VIENNA, basado en sus investigaciones.

Chat: Sistema de conversación por Internet. Muy usado por usuarios jóvenes y por empleados aburridos. Muy útil e interesante si no fuera por el uso que hacen de él piratas informáticos y diseñadores de virus.

Correo electrónico: Conocido popularmente como e-mail o "emilio" para los amigos. Se trata del correo electrónico. Uno de los medios más usados para transmitir Troyanos y todo tipo de virus. En este caso, el diseñador se aprovecha del exceso de confianza de la víctima.

Hoax: Falso aviso de virus. Se mandan por correo electrónico asustando a los usuarios y creando psicosis de virus. Informando de técnicas que no existen, o para ser más exactos, desinformando sobre el tema. Creados por bromistas. Contra ellos, lo mejor es informarse.


Virus de Java

Una buena solución para los virus-maker es usar lenguajes utilizados expresamente para su uso en Internet en el campo del diseño de páginas web. Por supuesto, en este grupo no incluimos aquellas páginas de broma. Algunos principiantes suelen programar páginas que producen efectos molestos. Un caso típico es el de la página web que comienza a abrir miles de nuevas ventanas hasta que bloquea la memoria del ordenador del usuario. En realidad esto no son virus.

Los virus de Java son mucho más sofisticados y, por supuesto, peligrosos. El sistema más recurrido es crear Applets o Módulos en dicho lenguaje. Un usuario ansioso por ver determinada página web, no impedirá la ejecución de unos u otros, iniciando la infección. Posiblemente, ni siquiera tomará la más mínima precaución.

Un sistema sofisticado (y por desgracia inteligente) es el que usa el BEANHIVE. El virus se divide en dos partes. Una activa (Main), para "atacar" e infectar y otra pasiva (Starter) en la que se guarda el programa propiamente dicho del virus, y que no se graba en el ordenador del usuario, sino en una web remota. Un intento en suma de borrar huellas y alejar el programa principal de un antivirus.

Los sistemas estándar de protección del navegador pueden poner difícil la reproducción y la infección. No está pues de más repasar la sección de seguridad.

Por supuesto, siempre debe usted comprobar de dónde vienen los módulos (plug-in). Algunos orígenes pueden ser dudosos. No se fíe ni de sus mejores amigos. Ellos pueden haber sido engañados. Y por supuesto, vigile los ficheros CLASS o utilice una herramienta de validación para comprobar los posibles cambios anómalos en los mismos.

Imagen del virus CALIGULA


Virus de Scripts

En un principio, cuando los diseñadores de virus se plantearon la posibilidad de utilizar las páginas web para realizar infecciones, encontraron un buen método de ataque en el uso de los Scripts que se añaden a las páginas HTML.

Hoy en día los ficheros HTML pueden llevar Scripts diseñados en lenguajes ejecutables como el Visual Basic Script, JavaScript u otros. Aparte de que esto permite que el virus adquiera más posibilidades malignas, hace que al abrir la página web, el usuario esté ejecutando inadvertidamente el virus de turno. En realidad la filosofía es parecida a los virus JAVA, ya que éstos vienen a ser algo así como unos hijos de los virus Script.

Como dijimos en la introducción, hay programas como el IRC o el ICQ que pueden ayudar a los diseñadores de virus, ya que es totalmente normal el desarrollo de Scripts para "mejorar" la apariencia o funcionamiento de estos programas. Con tantos Scripts, uno más pasa desapercibido.

Un ejemplo de utilización de ficheros mediante Scripts lo encontramos en el virus INF que usa los ficheros INF del Windows para reproducirse.

Muchos virus Script, como el HTML.INTERNAL, graban su código al principio de la cabecera del fichero HTML para asegurarse de que el virus se ejecuta al abrirse la página de turno. El diseñador en este caso, debe ser hábil para disimular la ocupación de la cabecera. Suelen utilizarse para ello los huecos vacíos que siempre existen en este tipo de ficheros. En general, los virus Script se caracterizan por crear ficheros nuevos en el ordenador, bien para apoyo de la reproducción o en menor caso, de la infección. Así, el RABBIT crea un fichero llamado CB.URL, el INF crea el VXER.TXT o el AVM, que crea el fichero AVM.VBS. En casos como éstos, el borrado de estos ficheros, si bien no destruye al virus, suele impedir la reproducción del mismo.

Métodos de profilaxis

Impedir al 100% que nos puedan dar un disgusto en un momento dado, es bastante difícil, y más si se es usuario de Internet. Pero siempre se puede conseguir un buen tanto por ciento de seguridad usando varios trucos:

1- Vigile todos aquellos ficheros vinculados que le lleguen por Internet, sean de lo que sean. Para ello basta con un buen antivirus. Nunca los ejecute sin pasar antes el antivirus.

2- Huya del software pirateado. Es peligrosísimo. Es mejor pagar, que terminar con un disgusto. Vigile sobre todo los ordenadores que sean utilizados por muchos usuarios. Si puede establecer un protocolo de uso, mejor. Consulte a un experto.

3- Si su programa de correo electrónico es muy popular, extreme el uso del antivirus con todo lo que le envíen.

4- Cuidado con la web a la que se conecta. No juegue con fuego. Conéctese a web serias. Tenga especial cuidado con algunos servidores de shareware, que no son todo lo serios que deberían.

5- Procure que su antivirus tenga un buen sistema de detección heurístico, pues muchos troyanos o gusanos pueden ser nuevos y no ser reconocidos por el sistema normal.

6- Complementando a lo anterior, suele ser aconsejable usar un par de vacunas. Una principal (legalizada) y otra de apoyo, que puede ser shareware (ya que algunas detectan bastante bien). Es algo así como pedir una segunda opinión en caso de duda.

7- Una utilidad de validación suele ser útil como sistema de apoyo.

8- Haga backups. Es conveniente que realice copias de seguridad periódicamente. Mejor prevenir que curar.

9- Si es usuario de IRC o similares, tenga mucho cuidado con lo que le envían y el origen de lo que le envían.

10- Si tiene una PYME, contrate a una empresa de seguridad informática. En España aún no está muy extendida la costumbre, pero en Europa se considera fundamental. También sus ordenadores necesitan un "seguro médico".


Virus de Ejecutables

Son virus muy clásicos. Pero algunos de ellos pueden aprovecharse de características de los protocolos de comunicaciones. Por ejemplo, el INCA infecta el MIrc y lo utiliza para transmitir un dropper llamado REVENGE.COM. En ese aspecto, presenta una cierta dualidad, ya que actúa como un troyano, y una vez ejecutado, como un virus. El PARVO, manda ficheros infectados usando protocolos estándar de correo electrónico. Estos virus resultan muy peligrosos si están bien diseñados. Suelen estar preparados para infectar ficheros y librerías fundamentales para el correcto funcionamiento de Windows. La naturaleza de los ficheros ejecutables de 16 y 32 bits permite magníficas posibilidades de ocultación, ya que su estructura está llena de huecos. El único problema para un diseñador es ocultar el llenado de los huecos.

No hay muchos virus de ejecutables que utilicen Internet, pero los que se han descubierto no son nada inofensivos. Por suerte, las vacunas más habituales del mercado proporcionan, convenientemente utilizadas, una adecuada protección contra ellos.


Macrovirus

Los virus tipo Macro son tal vez los más populares actualmente. La mayoría son demasiado peligrosos, o se limitan a sacar mensajes y simplemente reproducirse sin hacer nada más. No suele haber punto medio. Esto se debe a que suelen estar diseñados en Word Basic, que no parece que sea un lenguaje que entusiasme a los diseñadores. Muchos además son simples intentos o ensayos de virus.

Imagen del macrovirus MELISSA

Los ficheros de datos de programas como el Microsoft Word, Microsoft Excel, y otros, poseen una cabecera con una serie de macros que permiten realizar operaciones simples como la apertura del fichero, el salvado del mismo, etc…Un Macrovirus añadirá macros nuevas o modificará alguna de las habituales para que las operaciones no se realicen o lo hagan de forma anómala. Además de eso, algunos pueden reproducirse e incluso esparcirse utilizando los protocolos de comunicaciones.

Existe un reducido grupo de Macrovirus que son francamente peligrosos. Parte de su peligrosidad viene del hecho de que se diseñan para actuar sobre ficheros de datos de algunos de los programas más populares (y por tanto, usados) del mercado informático. Esto hace que estén muy difundidos, y que cuando aparece alguno realmente peligroso como sucedió con el MELISSA, se extienda por miles de equipos en un tiempo récord.

La técnica más normal que usan algunos Macrovirus es utilizar los protocolos de transmisión de correo electrónico para viajar de un ordenador a otro. El modus operandi, salvo pequeñas variaciones, consiste en que una vez que el usuario realiza una operación determinada con el fichero infectado (generalmente abrirlo o guardarlo), el virus infecta el programa de correo mediante un fichero temporal o un Dropper. Suelen ser víctimas los programas de correo más populares (los diseñadores por desgracia no son tontos).

Desde el programa de correo, el virus suele leer la libreta de direcciones del usuario para mandar copias de sí mismo a otros usuarios. La víctima infecta sin querer a sus amigos y clientes. Esto ha creado cierta psicosis infundada entre los usuarios acerca de todo tipo de ficheros de correo malignos. No hay que hacer caso. Muchos avisos de correos destructivos son lo que conocemos como Hoax, o lo que es lo mismo, mitos o bromazos sin fundamento (de muy mal gusto). Hay que dejar bien claro que un correo es simplemente un texto, y como tal, no puede infectar ni crear efectos malignos en un ordenador. Sólo por el hecho de leer su correo usted no infecta el ordenador. Estos correos electrónicos llevan insertado (attach) un fichero adicional que es el que está infectado. Este fichero insertado es el peligroso, no el correo. Lo peor es que algunos se disfrazan como información de utilidad sobre seguridad. El cinismo de los diseñadores a veces e increíble. Desconfíe también de utilidades que amablemente le envíen desconocidos por correo. Muchas de esas utilidades "milagrosas" realizan "milagros" de lo más desagradable. Un método menos utilizado, es enviar el fichero de trabajo infectado a grupos de NEWS, como hace el AGENT. Sin embargo, la forma de operar es la misma en realidad. Sólo cambia el medio.


Gusanos

Los Gusanos y Troyanos no son propiamente virus, pero no dejan de ser malignos, en algunos casos incluso muy peligrosos. Los Gusanos suelen actuar principalmente aprovechándose de programas de tipo IRC. Estos programas pueden ejecutar Scripts de muchos tipos. De hecho existe todo un mundo de utilidades que los usuarios se pasan unos a otros para mejorar botones, sonidos, transmisión, grupos de chat…No todas son lo simpáticas que deberían.

En algunos casos, como el CLAW, poseen una capacidad de infección terrible, infectando no sólo páginas HTML sino incluso ficheros ejecutables como el propio WIN.COM. La mayoría se sirven para actuar de la creación de un fichero tipo Dropper en el ordenador víctima para poder iniciar la infección. Si usted es usuario del ICQ o del MIrc, recibirá peticiones de ejecución de utilidades. No ejecute el botón de "forward" salvo que esté seguro del origen del mensaje. Piense además, que para un pirata no es muy difícil interceptar números de ICQ.

Generador de troyanos NETBUS


Troyanos
Los troyanos, se caracterizan porque es el propio usuario el que inadvertidamente debe ejecutarlos. El sistema más típico es mandarle a la incauta víctima (por correo electrónico, por ejemplo), un fichero aparentemente inocuo. Muy típico es el envío de supuestas animaciones porno o parecidos. Cuando el usuario intenta ejecutar el fichero, está ejecutando sin saberlo el troyano. Algunos troyanos, una vez ejecutados, se limitan a actuar como simples virus, borrando ficheros e incluso formateando el disco duro. Sin embargo, la filosofía más seguida actualmente por los diseñadores de virus consiste en crear "administradores remotos". Un troyano de este tipo actúa de forma parecida a la de algunos virus de JAVA o Script. Consta de dos partes. Al ejecutase el "regalo" que te mandan por correo, el ordenador se infecta y queda bajo el mando de un ordenador remoto que suele pertenecer al virus-maker de turno. Cada vez que el usuario se conecta a Internet, el troyano avisa a su diseñador. Éste puede realizar todo tipo de funciones, según el troyano de que se trate. Desde bloquear el Windows mediante errores de todo tipo hasta interceptar el teclado, la tarjeta de sonido o el CD-ROM. Una auténtica pesadilla.

Monitor de administración remota del troyano NETBUS

Los troyanos son más detectables por los antivirus que los gusanos, o los virus JAVA, lo que les convierte en vulnerables. De hecho, su mejor baza es el secretismo con que actúan, pues una vez detectados puede incluso rastrearse al bromista de turno. El cazador se convierte en cazado.

Monitor de administración remota del troyano DEEPTHOAT

Tienen por tanto una vulnerabilidad muy definida, pero son muy atractivos para los diseñadores por las grandes posibilidades que permiten, por su perfección de diseño, que gusta a los programadores y por cierto elemento de voyeurismo que llevan implícito, ya que no siempre se fabrican destructivos, sino como diversión para el diseñador. En determinadas páginas se pueden encontrar generadores de troyanos. Por ello, muchos usuarios con no demasiados conocimientos y si muchas ganas de venganza o similares, puede diseñar y lanzar variantes del NETBUS o el BACKORIFFICE, por ejemplo. Los antivirus pueden detectarlos, pero esto no siempre basta.


Volviendo a los orígenes

¿Quién diseña los virus? Ésta es una de las preguntas más frecuentes que se suele hacer a los expertos. Lo curioso es que hace años, mayoritariamente los virus eran diseñados por particulares, salvo honradas excepciones, como el desaparecido grupo inglés APACHE WARRIOR. Hoy en día la sofisticación de los virus obliga a una fase de experimentación. Muchos de ellos aparecen alrededor de grupos conocidos que se dedican a la investigación y desarrollo de algoritmos. No es que estos grupos realicen actividades delictivas. La ciencia y la tecnología implican el intercambio de ideas, y de igual forma que en tiempos de la guerra fría grupos de espionaje utilizaban el libre intercambio de información, así hay individuos aislados que se aprovechan de la información desarrollada por estos investigadores. Lo más que se les podría reprochar desde un punto de vista científico es la falta de reserva, pero hasta eso es discutible.

Hasta en este aspecto los virus han vuelto a sus orígenes, gracias a Internet. Decíamos al principio que los primeros virus se desarrollaron en las redes. Aquellos algoritmos como el CREEPER, el ELK CLONER y otros, atacaban a redes. En aquella época Internet no existía. Esos primeros virus pudieron desarrollarse a partir de investigación de campo, en un principio ideado con la mejor de las intenciones.

Hoy sucede lo mismo. Unos idean con la mejor de las intenciones y otros manipulan la información para hacer daño. En ese aspecto, no hemos cambiado mucho. ¿Verdad, Ralph Burger?

Lugares de interés sobre virus

• Antivirus Solomon: www.drsolomon.com

• Antivirus AVP: www.avp.com

• Antivirus Thunderbyte: www.thunderbyte.com

• Antivirus F-Secure: www.europe.datafellows.com

• Antivirus Mcafee: www.mcafee.com

• Antivirus Panda: www.pandasoftware.es

• Antivirus Norton: www.norton.com

• Antivirus Virusafe: www.virusafe.com

• Universidad de Hamburgo.Información de seguridad informática: agn-www.informatik.uni-hamburg.de

• Download del ICQ: www.mirabilis.com

• Ayuda sobre virus de Amiga: home4.inet.tele.dk/vht-dk/amiga

• Información de seguridad informática: www.stiller.com

• Mitos sobre seguridad informática: www.kumite.com

•  Enciclopedia AVP sobre virus: www.avp.ch/avpve

• Información y asesoría sobre seguridad: www.hispasec.com

• Información virus y seguridad: www.virusattack.com.ar

• Información sobre virus: www.datafellows.com/vinfo

• Información y asesoría sobre seguridad informática: www.datarescue.com

• Información sobre virus: info.ox.ac.uk/OUCS/micros/virus

• Download con vacunas shareware: www.shareware.com

• Download con vacunas shareware: www.download.com

• Download con vacunas shareware: www.tucows.com



 Jesús de Marcelo. [01/04/2000 ]