Virus Inf..

1
SERVICIO NACIONAL DE APRENDIZAJE

Centro Agroecológico y Empresarial
Regional Cundinamarca
VIRUS INFORMÁTICOS
¿QUÉ ES UN VIRUS INFORMÁTICO?
Un virus es un pequeño PROGRAMA (generalmente de menos de 1Kb), que se

instala de forma subrepticia (inadvertida) dentro de otro programa con el objeto
de tomar el control del Sistema Operativo (S.O), para causar algún tipo de
daño.
La definición de un virus podría ser la siguiente: "Cualquier programa de

informática que puede infectar a otro programa alterándolo gravemente y que
puede reproducirse". El nombre real que corresponde a los virus es Código
Auto Propagado pero por analogía con el campo de la medicina, se les dio el
nombre de "virus".
Todo virus tiene las siguientes características:
* Siempre produce algún tipo de DAÑO: Está programado para causar daño
en cualquiera de sus formas. En el mejor de los casos el daño es "TRIVIAL"
(puede bajar la performance del sistema al consumir Memoria, tiempo de
trabajo del Micro, espacio en disco, etc). En el peor de los casos el daño es
"SEVERO" y consiste en la pérdida TOTAL o PARCIAL de la Información.
* Tiene capacidad de AUTO-REPRODUCCIÓN: Posee la habilidad de realizar

copias de sí mismo, de manera que se asegura la supervivencia de su especie.
Al copiarse en archivos de una unidad de Diskette se asegura su proliferación y
transporte, supuestamente, hacia otra máquina.
* Es OCULTO y trabaja en forma OCULTA: El virus se instala dentro de un

programa ejecutable modificándolo internamente, aunque no en su apariencia,
de modo que su presencia no sea notoria. De esta manera será transportado
hacia la Memoria del equipo cada vez que el programa anfitrión se ejecute,
quedando residente para llevar a cabo de esa manera su accionar, sin que se
note su presencia.
Para lograr sus objetivos, un virus cuenta con las siguientes partes
constitutivas:
* Un Módulo de Reproducción: Es la parte del código del virus encargada de

realizar copias de sí mismo en otros archivos ejecutables con el objeto de que
se asegure la supervivencia de su especie.
Mantenimiento de Hardware
OSCAR M. RODRIGUEZ B.
Ingeniero De Sistemas
2

* Un Módulo de Defensa: Es la parte del virus encargada de ocultar, por

diversos medios, la presencia del virus ante la búsqueda de los programas
Antivirus.
* Un Módulo de Ataque: Es la parte del virus encargada de ejecutar la acción

destructiva, una vez dada una cierta condición.
FASES EN LA VIDA DE UN VIRUS
Las fases de actuación de un virus son las siguientes:
a) Infección: El virus llega al ordenador dentro de un programa existente en un

medio de almacenamiento o vía internet, o también sólo en el sector booteable
de un discket o memoria USB. El usuario, ignorando su presencia, ejecuta el
programa infectado trasladando también el VIRUS a la memoria RAM (donde
generalmente queda residente). A partir de su presencia en la memoria RAM
principal el virus intentará tomar el control del S.O. infectando los archivos de
sistema en primer lugar, luego el DBR y finalmente el MBR.
b) Reproducción: Una vez infectado el S.O comienza esta etapa, en la cual el

virus tiene el control de las operaciones de Sistema. Es aquí cuando comienza
a infectar todo programa que se ponga a su alcance (al ser ejecutado y
cargado en RAM).
Todo programa que se utiliza en ésta etapa será modificado por el virus para
incluir en él una copia del mismo. De éste modo, si uno de esos programas
infectados es copiado en un disket y llevado a otra máquina, la infección se
propagará a está.
c) Detonación: Una vez que se da una determinada circunstancia, como por

ejemplo la llegada de cierta fecha o la realización de cierta cantidad de copias
de sí mismo, el virus "detona" su acción destructiva. El tipo de acción
destructora es muy variada, desde borrar archivos ejecutables, a hacer
aparecer en la pantalla diversos objetos, borrar la Tabla de Partición o
formatear el HDD.
3

TIPOS DE VIRUS
Según el lugar donde se alojan (ZONA DE ATAQUE) se pueden clasificar en:
* Contaminadores del MBR, DBR y del S.O: Éste tipo de virus se aloja en las
áreas más importantes del Sistema para lograr de ésa manera cargarse en la
memoria RAM principal antes del booteo, cada vez que la máquina sea
encendida.
Existen virus que atacan una sola de ellas, o más de forma combinada.
Recordemos que las áreas más importantes del disco son:
1.- El MBR (Master Boot Record): El mismo es el primer sector físico de un

HDD (cyl 0, head 0, sector 1) y contiene no sólo la Tabla de Partición, sino
también, el Master Boot (de allí su nombre). Éste es un pequeño programa
que permite que indica que el hdd es booteable y dirige el proceso de arranque
hacia el DBR (DOS Boot Record, grabado en cyl 0, head 0, sector 1) el cual, a
su vez, llama a los archivos de Sistema (MSDOS.SYS , IO.SYS y
COMMAND.COM ) . Los virus que atacan éste sector sustituyen el Master Boot
por su propio código.
2.- El DBR ( DOS Boot Record ): Es el primer sector físico de la cara 1 de un

hdd ( cyl 0, head 1, sector 1 ), y contiene toda la información necesaria para
acceder al disco una vez formateado por el SO ( cantidad y tamaños de FAT,
tamaño de sector y de cluster, cantidad total de clusters, cantidad total de
sectores, cantidad máxima de archivos en directorio raíz, tamaño de Área de
Directorio, etiquet a de volumen, número de serie, etc). Además, el DBR orienta
la búsqeda de los archivos de sistema. Los virus que atacan éste sector lo
alteran de manera que se cargue el código del virus antes que los Archivos de
Sistema, modificando también la FAT o el NTFS.
3.- Los Archivos de Sistema: Los archivos de sistema conforman el SHELL o

interface con el usuario (Command.com) y el KERNELL (IO.SYS y
MSDOS.SYS, que son ocultos) y son los responsables de la administración de
todas las actividades del sistema. Los virus que atacan éstos archivos, copian
su código en ellos, de forma que pasan a ser parte del SO para actuar sin
restricciones y en forma totalmente desapercibida.
* Contaminadores de Archivos Ejecutables: Este tipo de virus atacan a los

archivos ejecutables cuyas extensiones suelen ser: .COM, .EXE, .OVL, .DRV,
y .SYS. Como ya sabemos, este tipo de virus copia su código dentro el
4

ejecutable de manera que al cargar el programa en la memoria, también se

cargue su propio código. Algunos virus SOBREESCRIBEN el programa,
dañándolo irreparablemente, otros, en cambio, se suman al archivo ,
cambiando su tamaño oculta o visiblemente.
Según la forma de actuar en la memoria RAM, se pueden clasificar en:
* Residentes o TSR: Se instalan residentes en la memoria RAM principal

cuando es ejecutado el programa "anfitrión" (es el caso de la mayoría).
* De ataque único: También se instalan en memoria al ser ejecutado el

programa "anfitrión", pero no quedan residentes, sino que actúan para realizar
su acción destructiva, abandonando luego la memoria del sistema.
Según su Peligrosidad se pueden clasificar en:
* Virus de Primera generación: Responden a las tres fases de vida, antes

descriptas, desatando rápidamente su acción destructora. Al activarse
destruyen sistemáticamente toda la información existente.
* Virus de Segunda Generación: La aparición de programas Anti-Virus hace

que los virus intenten ser menos notorios, con el objeto de permanecer activos
más tiempo antes de ser detectados y provocar el mayor daño posible. Así,
atacan ahora a los archivos de Datos, no destruyéndolos, sino alterando
sutilmente su información constantemente y de forma acumulativa.
· Virus de Tercera Generación: Son los más peligrosos. Cumplen con las
siguientes principales características:
- Superponen la fase de reproducción y ataque.
- Utilizan mecanismos de engaño para no ser detectados por los programas de

escaneo de antivirus como son: las técnicas STEALTH y el POLIMORFISMO y
TUNNELING.
Virus Stealth (Cautelosos): Si un virus Stealth está en memoria, cualquiera

programa que intente leer el archivo (o sector de un archivo) que contiene el
virus, es engañado por él, no advirtiendo su presencia en los datos leídos, y
determinando por lo tanto que el virus "no está allí".
Esto es posible ya que el virus activo en memoria filtra sus propios bytes, y
solamente muestra los bytes originales del programa.
5

* Virus Polimórficos: Polimorfo (proviene del griego y significa "que puede

tener formas múltiples"). Son virus capaces de auto-encriptarse gracias a un
parte de sí mismo (o módulo) llamada módulo de defensa que se encarga de
encriptar y desencriptar al virus, la cual es muy variable.
El Encriptado es un medio muy eficaz para evitar la detección por parte de los
programas antivirus que consiste básicamente en un desorden del código
original del virus, merced a un patrón o algoritmo de encriptación. Gracias a
sofisticadas técnicas de encriptado, dos copias de un virus polimórfico no
tienen ninguna secuencia de bytes en común, (debido a que el algoritmo de
encriptación varia con cada copia) de manera que se dificulta su detección por
parte de los programas de Escaneo Antivirus.
* Virus de efecto Tunneling: Son capaces de eludir la protección ofrecida por

los programas antivirus TSR (residentes), sin que se detecte su presencia por
esa vía de escaneo.
* Virus Mutados: En realidad, la mayoría de los virus son clones, o más

precisamente "virus mutados", lo que significa que son virus que han sido
reescritos por otros usuarios para cambiar su comportamiento o firma.
Al existir versiones múltiples del mismo virus (denominadas variantes) se

vuelven más difíciles de detectar ya que los editores de software antivirus
tienen que agregar nuevas firmas a sus bases de datos.
* Cazadores De Recompensas: Un "cazador de recompensas" es un virus

que modifica las firmas almacenadas por un programa antivirus para volverlas
inoperables.
* Macro Virus: Debido a la gran cantidad de programas que usan macros,

Microsoft diseñó un lenguaje compartido de secuencias de comandos que se
puede insertar en la mayoría de los tipos de documentos que pueden contener
macros. Se denomina VBScript a un subconjunto de Visual Basic. Actualmente,
estos virus pueden infectar macros en documentos de Microsoft Office, lo cual
significa que un virus se puede ubicar en un documento común de Word o
Excel y ejecutar una parte del código cuando se abre el archivo. De esta
manera, el virus puede propagarse entre los archivos y acceder al sistema
operativo (generalmente Windows) al mismo tiempo.
6

Con más y más aplicaciones que aceptan Visual Basic, cualquiera de ellas
puede convertirse en una posible víctima de un virus basado en VBScript.
El nacimiento del tercer milenio se caracteriza por la frecuente aparición de
secuencias de comandos Virtual Basic enviadas por correo electrónico como
adjuntos (indicadas por su extensión .VBS) cuyos asuntos impulsan al
destinatario a abrir el regalo infectado.
Una vez abierto por un cliente del correo electrónico de Microsoft, este "regalo"
puede acceder a todo el libro de direcciones y auto propagarse por la red. Este
tipo de virus se denomina gusano.
VIRUS Vs BOMBAS LÓGICAS, GUSANOS Y TROYANOS (o Programas de

Daño Intencional)
Recordemos que un programa para ser un virus debe cumplir con tres
condiciones:
a) Ser DAÑINO.
b) AUTOREPRODUCIRSE.
c) Ser OCULTO.
Estas características nos permiten diferenciarlos de otros programas similares,

los cuales son sus ANTECESORES. Ellos son: las Bombas Lógicas, los
Gusanos y los Troyanos.
Bombas Lógicas: Es un programa que, bajo la forma de un archivo

identificable y localizable a simple vista, que con un nombre sugestivo (ej:
leame.com) tiene por objeto destruir Datos (utilizando diversos medios), o bien
paralizar alguna parte o todo el equipo, de manera que no se pueda controlarlo
(Trabar el teclado o el video) sin tener que resetear.
Las "bombas lógicas" son piezas de código de programa que se activan en un

momento predeterminado, como por ejemplo, al llegar una fecha en particular,
al ejecutar un comando o con cualquier otro evento del sistema.
Por lo tanto, este tipo de virus se puede activar en un momento específico en

varios equipos al mismo tiempo (por lo que se lo denomina una bomba de
tiempo), por ejemplo, en el día de San Valentín o en el aniversario de un evento
7

importante: como la bomba lógica de Chernobyl, que se activó el 26 de abril de

1999, cuando se cumplía el 13er aniversario del desastre nuclear.
Normalmente, las bombas lógicas se utilizan para lanzar ataques de

denegación de servicio al sobrepasar la capacidad de red de un sitio Web, un
servicio en línea o una compañía.
Una bomba no cumple con las tres características de los virus, ya que:
a) Causa Daño. Pero....
b) No se Autoreproduce (la copia y transporta intencionalmente un usuario).
Y........
c) No es oculta (es visible).
Gusanos: Es un programa visible que cada vez que se ejecuta, genera

múltiples copias de sí mismo y en distintos lugares del disco. Su nombre se
debe a su facilidad de reproducción indiscriminada. Muchas veces sus copias
van cambiando ligeramente su nombre. El daño que producen consiste en el
consumo inútil de algunos recursos del sistema (memoria y espacio en disco).
El “gusano” es capaz de reproducirse por sí mismo, puede viajar a través de

redes utilizando los mecanismos de éstas y no requiere respaldo de software o
hardware (como un disco duro, un programa host, un archivo, etc.) para
difundirse. Por lo tanto, un gusano es un virus de red.
Una Gusano no cumple con las tres características de los virus, ya que:
a) Causa Daño.
b) Se Autoreproduce (lo copia y transporta intencionalmente un
usuario).Pero.....
c) No es Oculto (es visible).
Funcionamiento de un gusano en la década de 1980

La historia más famosa relacionada con un gusano data de 1988. Un
estudiante (Robert T. Morris, alumno de la Cornell University) creó un programa
capaz de expandirse a través de una red. Lo puso en funcionamiento, y, al
cabo de ocho horas logró infectar miles de equipos. Esto provocó que se
cayeran los sistemas de diversos equipos en cuestión de horas, ya que el
"gusano" (que al fin y al cabo es lo que era) tenía la capacidad de reproducirse
demasiado rápido como para que una red lo pudiese eliminar.
8

Además, todos estos gusanos saturaron el ancho de banda, lo cual obligó a la

NSA a cerrar las conexiones durante todo un día. Así es como se esparció el
gusano Morris a través de la red:
• El gusano obtuvo acceso a un equipo UNIX

• Creó una lista de equipos conectados a éste
• Forzó la obtención de todas las contraseña de una lista de palabras
• Se hizo pasar por un usuario de cada uno de los otros equipos
• Creó un pequeño programa en el equipo para poder reproducirse
• Se ocultó en el equipo infectado
• y así sucesivamente.
Gusanos Actuales
Los gusanos actuales se diseminan principalmente con usuarios de correo

electrónico (en especial de Outlook) mediante el uso de adjuntos que contienen
instrucciones para recolectar todas las direcciones de correo electrónico de la
libreta de direcciones y enviar copias de ellos mismos a todos los destinatarios.
Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos

ejecutables enviados como un adjunto, que se activan cuando el destinatario
hace clic en el adjunto.
¿Cómo se dispersan los gusanos?
Es sencillo protegerse de la infección de un gusano. El mejor método es no

abrir ciegamente archivos que le llegan como adjuntos. En el caso de que se
abra un archivo adjunto, cualquier archivo ejecutable, o archivo que el SO
pueda interpretar, potencialmente puede infectar el equipo. Los archivos con
las siguientes extensiones, en particular, tiene más posibilidades de estar
infectados: exe, com, bat, pif, vbs, scr, doc, xls, msi, eml
En Windows, se recomienda deshabilitar la opción "ocultar extensiones", ya
que esta opción puede engañar al usuario al hacerle creer que un archivo tiene
una extensión diferente. Por lo tanto, un archivo con extensión .jpg.vbs se verá
como un archivo .jpg.
El SO no interpreta los archivos con las siguientes extensiones. Por lo tanto, el

riesgo de infección de ellos es mínimo:
txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm
9

Es común escuchar que los archivos GIF o JPG contienen virus.

En realidad, cualquier tipo de archivo puede tener un código que porte un virus,
pero primero el sistema debe haber sido modificado por otro virus para
interpretar el código que se encuentra en los archivos.
Antes de abrir cualquier archivo cuya extensión indique que puede estar
infectado (o en el caso de extensiones que usted no reconoce), asegúrese de
instalar un programa antivirus y analizar sistemáticamente cada adjunto antes
de abrirlo.
A continuación le ofrecemos una lista más completa (aunque breve) de

extensiones de archivos que pueden contener un virus:
Extensiones de los virus gusanos

386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM,
CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL,
DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM,
HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD,
MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?,
PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS,
SHTML, SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE,
VBS, VBX, VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD,
WML, WSH, WSC, XML, XLS, XLT, ZIP
Troyanos: Un Troyano es un pequeño programa que se instala dentro de otro,

el cual deliberadamente tiene efectos destructivos diversos. Son los
antecesores directos de los virus.
No son capaces de reproducirse por sí mismos (tampoco poseen un módulo de

defensa) y realizan su proliferación a expensas de la copia realizada por los
usuarios. Un Troyano no cumple con las tres características de los virus, ya
que:
a) Causa Daño (generalmente SEVERO). Pero......

b) No se Autoreproduce (lo debe copiar intencionalmente un usuario).
c) Es oculto.
Algunos antivirus son capaces de detectar la presencia de diversos Troyanos.
10

El nombre "Troyano" proviene de una leyenda contada por los griegos en la

Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de Troya. Según la
leyenda, a los griegos, que no lograban traspasar las defensas de la ciudad de
Troya, se les ocurrió la idea de abandonar el bloqueo y, en cambio, entregar
una ofrenda a la ciudad: el regalo consistía en un caballo de madera gigante.
Los habitantes de Troya (Troyanos) aceptaron el regalo aparentemente

inofensivo sin sospechar nada, y lo introdujeron dentro de los muros de la
ciudad. Pero el caballo estaba lleno de soldados que esperaron a que la
población se durmiera para salir del interior del caballo, abrir las puertas de la
ciudad para facilitar la entrada del resto del ejército.
Volviendo al campo de la informática, se denomina Troyano a un programa

oculto dentro de otro que ejecuta comandos furtivamente y que, por lo general,
abre el acceso al ordenador y lo opera abriendo una puerta trasera. Por esta
razón, a veces se lo conoce como Troyano por la analogía con los ciudadanos
de Troya.
Similar a un virus, un Troyano es un código malicioso que se encuentra en un

programa sano (por ejemplo, un comando falso para crear una lista de archivos
que los destruye en lugar de mostrar la lista).
Un Troyano puede, por ejemplo:
• robar contraseñas
• copiar fechas confidenciales
• realizar cualquier otra operación maliciosa
• etc.
Y aún peor, este programa puede crear una infracción intencional de seguridad
dentro de la red para que los usuarios externos puedan acceder a áreas
protegidas de esa red.
Los Troyanos más comunes abren puertos en la máquina que permiten al
diseñador tener acceso al ordenador a través de la red abriendo una puerta
trasera. Por esta razón se usa frecuentemente el término puerta trasera u
orificio trasero.
Un Troyano no es necesariamente un virus porque su objetivo no es

reproducirse para infectar otras máquinas. Además, algunos virus también
pueden ser Troyanos. ¡Es decir, se diseminan como tales y abren puertos en
máquinas infectadas!
11

Principios del troyano
Debido a que generalmente un Troyano intenta (y cada vez con más

frecuencia) abrir un puerto en la máquina para que un hacker pueda controlarla
(por ejemplo, mediante el robo de datos personales almacenados en el disco
duro), el primer objetivo del hacker es infectar la máquina obligando a abrir un
archivo infectado que contiene el Troyano y, luego, acceder a la máquina a
través del puerto abierto.
Sin embargo, para poder infiltrar la máquina, el hacker usualmente conoce su
dirección de IP. Entonces:
• Usted puede tener una dirección de IP asignada (como ocurre con las
empresas, personas que tienen una conexión por cable o similar, etc.), en
ese caso esa dirección de IP se puede averiguar fácilmente, puede tener
una dirección de IP dinámica (reasignada cada vez que se conecta), como
en el caso de las conexiones por módem. En este caso, el hacker debe
analizar la dirección IP aleatoriamente para detectar aquellas que
corresponden a máquinas infectadas.
Protección contra troyanos
La instalación de un firewall (programa que filtra los datos que entran y salen
de su máquina) es suficiente para protegerlo de este tipo de intrusión. Un
firewall controla tanto los datos que salen de su máquina (generalmente
iniciados por los programas que está utilizando) como los que se introducen en
ella. Sin embargo, el firewall puede detectar conexiones externas de las
víctimas previstas de un hacker. Éstas pueden ser pruebas realizadas por su
proveedor de servicios de Internet o un hacker que está analizando de forma
aleatoria una cantidad de direcciones de IP.
Existen dos firewalls gratuitos y muy útiles para los sistemas Windows:
• ZoneAlarm
• Tiny Personal Firewall
12

FUENTES TÍPICAS DE CONTAGIO
Hay dos formas en que un virus puede llegar a alojarse en la memoria de una
máquina:
1.- Por lectura de DISKETTE o Memoria USB con Boot Sector infectado: Al
poner un diskete o una memoria USB en una unidad: el virus pasa a estar
activo en la memoria RAM
2.- Por ejecución de programa infectado: Como ya se aclaró más arriba, lo

peligroso no es tener un archivo infectado en el disco duro, sino
EJECUTARLO!, ya que de ese modo estamos transportando el virus a la
memoria.
Las vías más comunes de contagios son:
* DISKETES (archivos infectados y boot sector infectado)

*Memorias USB (archivos infectados y boot sector infectado)
* Transferencias de archivos infectados por MODEM.
* Transferencias de archivos infectados por LINKEO.
* Transferencias de archivos infectados EN RED.
13

PROGRAMAS ANTI – VIRUS
Son programas capaces de combatir a los virus de manera efectiva.

Generalmente son paquetes de software que incluyen más de un programa.
Un programa Antivirus puede...
* Detectar la presencia de un virus en memoria.

* Detectar la presencia de un virus en un archivo y eliminarlo.
* Detectar la presencia de un virus en las Áreas de Sistema del HDD (MBR
y DBR) y eliminarlo.
* Impedir que un virus se cargue en memoria.
Hay muchos métodos de erradicación:
• Eliminación del código en el archivo infectado que corresponde al virus.

• Eliminación del archivo infectado.
• Puesta en cuarentena del archivo infectado, lo cual implica su traslado a un
lugar donde no pueda ejecutarse.
La acción de detectar un virus es denominada ESCANEO (scan = rastreo o

búsqueda).
Existen cuatro técnicas básicas de detectar la presencia de un virus:
* SCANEO DE STRING O SIGNATURE.

* SCANEO HEURÍSTICO.
* CONTROL Y ADMINISTRACIÓN DE RECURSOS MEDIANTE UN TSR.
* CHEQUEO DE INTEGRIDAD.
Scaneo de String o Signature:

El scaneo por String constituye el método de defensa más conocido en la lucha
contra los virus. Su acción consiste en buscar en los archivos una porción de
código característica de un virus conocido, llamada generalmente signature o
string. Si esta cadena es encontrada, el programa infiere que el archivo en
cuestión está infectado con un determinado virus. Su única desventaja es que
detecta sólo virus conocidos, y esto puede llegar a ser determinante ya que los
expertos en virus analizan generalmente entre 150 y 200 nuevos virus cada
mes. Es por eso que se debe conseguir casi cada mes una ACTUALIZACION
14

del antivirus, la cual incluye las cadenas (o strings) de los virus de reciente
aparición.
Con la creciente popularidad de las PC's y el aumento drástico del uso de

Internet, nuevos virus están esparciéndose más y más rápido que nunca. Hasta
con actualizaciones mensuales, los usuarios pueden estar desprotegidos ante
aproximadamente 200 nuevos virus cada mes.
Scaneo Heurístico: El Análisis (o scaneo) Heurístico es la técnica de rastrear

en un archivo la presencia de códigos y algoritmos sospechosos de contener
un "Código Potencialmente Dañino". Esta técnica consiste en ejecutar un
desensamblado automático, interno y transitorio del programa a analizar, para
luego proceder al rastreo de sentencias o grupos de instrucciones que se
consideren peligrosas. El método Heurístico detecta tanto virus Conocidos
como Desconocidos.
Si bien éste sistema es efectivo, es muy difícil determinar qué código es

sospechoso.
Un código que podría ser inofensivo en un programa común (por ejemplo, el
que ejecuta el formateo del disco duro en el archivo FORMAT.COM) podría ser
muy sospechoso en un archivo ejecutable infectado por un virus. Por esta
razón, y para calcular cuán sospechoso parece un archivo, el análisis heurístico
generalmente instrumenta un sistema de PUNTAJE, y cualquiera archivo que
tiene elementos suficientemente sospechosos (o sea una puntuación suficiente
alta) es marcado como portador de un posible virus.
Los elementos sospechosos pueden incluir: Funciones no-documentadas del

DOS, técnicas anti-debug para evitar el desensamblado, existencia de una
máscara de búsqueda de archivos ejecutables (*.COM, *.EXE) etc.
Hay dos grandes problemas con las técnicas tradicionales de Análisis

Heurístico:
* Primero, a menos que se tenga mucho cuidado, los programas de escaneo

heurístico pueden dar alarmas falsas.
Una alarma falsa puede ser significativamente más problemática y ocupar más
tiempo de trabajo que una infección genuina. Lo normal es que un programa de
escaneo que utiliza técnicas de Análisis Heurístico tradicional exhiba tasas de
detección del 60% y tasas de Falsa
Alarma de 1 por 1000.
15

* En segundo lugar, los programas de escaneo Heurístico son incapaces de

detectar todos los virus existentes. Los autores de virus son conscientes de
cuales son los códigos que los desarrolladores de Anti-virus consideran
"sospechosos".
Algunos investigadores de anti-virus han liberado documentación detallada de

como trabaja su sistema de Puntaje para el escaneo de códigos sospechosos.
Con tal información es más fácil para el autor de virus escribir sus virus, de
manera que se evite su detección.
Programas Anti-Virus Residentes en memoria (TSR): Estos programas

pueden ser instalados en memoria cuando arranca la computadora (desde el
autoexec.bat), para proveer protección anti-virus por todo el tiempo que la
computadora esté prendida. Una vez instalados en memoria controlan y
monitorean el sistema para impedir que el código de un virus se cargue en
RAM. Sin embargo, estos programas ocupan un espacio de memoria y pueden
bajar la performance del sistema.
Hay tres tipos de programas anti-virus residentes:
1.- El primer tipo puede impedir que se ejecute en memoria un programa

ejecutable infectado con un virus conocido. Esto lo logra realizando un scaneo
(por string) previo a su carga en memoria.
2.- El segundo tipo es un Bloqueador Heurístico de comportamiento, que

señala y evita la ejecución de cualquier actividad sospechosa (comportamiento
tipo virus) para la integridad de los datos del sistema.
3.- El tercero realiza un Chequeo de Integridad del archivo ejecutable al

cargarse en la memoria, realizando un checksum (suma de control) previo a su
carga.
Chequeo de Integridad: La técnica de "Chequeo de Integridad", es utilizada

para detectar cambios en la longitud de los archivos. Su principal ventaja es
que detectan no solo virus conocidos, sino también virus desconocidos. Para
ello genera un archivo de "checksum" (suma de control) o fingerprint (huella
dactilar) por cada archivo en el directorio que lo contiene. En un análisis
posterior se compara cada archivo con su archivo de checksum previamente
calculado, detectando de este modo cualquier diferencia.
Un virus se copia siempre dentro de un archivo ejecutable para asegurarse el

transporte a memoria y así poder copiarse a sí mismo. De esa manera no
16

puede evitar modificar el archivo original generando un cambio "detectable". La

ventaja que otorga el método de chequeo de integridad es la de no tener
necesidad de actualizar constantemente el antivirus para detectar la presencia
de nuevos virus.
SELECCION DE FUNCIONES DE PROGRAMAS ANTIVIRUS
En cualquier programa antivirus debemos seleccionar, en general, las

siguientes funciones:
* Método:
Scaneo por Sting: ... Para encontrar virus conocidos
Scaneo Heurístico:... Para encontrar virus desconocidos.
* Acción a tomar ante un archivo infectado:

Solamente Reportar: Se utiliza en ocasiones especiales.
Desinfectar: ............. No es recomendable, salvo en casos extremos.
Borrar: .................... No es recomendable, al menos hasta que el archivo
original sea reinstalado.
Renombrar: ..............Altamente recomendado. Esto permitirá fácilmente saber
qué archivos se deben reinstalar.
* Tipo de Archivos Objeto de búsqueda:

Ejecutables Estándar (*.COM *.EXE *.OVL *.SYS): Son los objetivos
primarios de todos los tipos de virus. Siempre deben incluirse.
Todos los Archivos (*.*): Si bien no es necesario, da un gran nivel de

seguridad.
Archivos .??? (Definidos por el usuario): Se define cuando se desea hacer
una búsqueda rápida.
* Áreas de Búsqueda:
MBR: ............................... Es recomendable incluirlo siempre.
DBR: ............................... Es recomendable incluirlo siempre.
Archivos ejecutables: Se los debe incluir siempre, ya que son los vehículos
de los virus.
Documentos: Desde la aparición reciente de virus que infectan archivos .DOC,

se los debe incluir siempre (si se es usuario de WORD).
Archivos Comprimidos: Es recomendable incluirlos siempre.

17

TECNICAS DE ELIMINACIÓN
Por lo que hemos visto un virus puede infectar las siguientes áreas:
* Memoria.
* MBR.
* DBR y Archivos de Sistema.
* Archivos ejecutables.
Veremos entonces las acciones a tomar para desinfectar cada una de estas
áreas.
Eliminación de un virus en Memoria: Una vez que por algún medio,

generalmente un aviso de alarma de un antivirus, nos enteramos de que un
virus reside en la memoria, debemos....
Apagar la máquina! ! ! ! ! ! ....ya que de ésta manera todo el contenido de la

memoria se pierde (por ser volátil), incluido el virus.
El paso siguiente es bootear con un disket o CD de sistema (booteable),

teniendo cuidado de ¡¡No acceder a la unidad C:!! (Pensemos que su DBR
podría estar infectado). Una vez hecho esto, y siempre desde la disquetera o
unidad de CD, debemos correr un programa antivirus. Éste chequeará las
diversas áreas, arriba descriptas, en búsqueda de virus.¡¡No se debe utilizar
el antivirus copiado en el Disco Duro!! (Ya que también podría estar
infectado). Una vez enterados de cuales son las áreas infectadas debemos
proceder a su desinfección.
Desinfección de un MBR: Si un antivirus nos informa de la presencia de virus

en el MBR (donde reside la tabla de partición), debemos proceder de la
siguiente manera:
1.- Bootear desde un disket o CD de sistema, que además contenga el archivo

FDISK.EXE.
2.- Una vez en el prompt A:\> (y sin acceder a la unidad C:), debemos ejecutar
el comando:
FDISK / MBR. Esto escribirá un nuevo MBR, sin pérdida de Datos en el disco
duro.
18

Desinfección de un DBR y Archivos de Sistema: Si un antivirus nos informa

de la presencia de virus en el DBR (donde reside la tabla de partición),
debemos proceder de la siguiente manera:
1.- Bootear desde un disket o CD de sistema, que además contenga el archivo

SYS.COM.
2.- Una vez en el prompt A:\> (y sin acceder a la unidad C:), debemos ejecutar
el comando:
SYS C: Esto escribirá un nuevo DBR, y además sobrescribirá los Archivos de
Sistema, sin pérdida de Datos en el disco duro.
NOTA: Es recomendable, también, copiar (sobrescribir) el archivo

command.com que reside en el directorio C:\DOS.
Desinfección de un Archivo: Un archivo ejecutable infectado por un virus solo

puede ser "desinfectado" por un programa antivirus. Cabe aclarar que esto es
imposible cuando se trata de un virus que sobrescribe el archivo. Generalmente
un archivo infectado debe ser considerado como inservible, ya que se
encuentra modificado en su estructura y funcionamiento, en mayor o menor
grado.
Aclarado esto, debe deducirse que no conviene Desinfectar un ejecutable,

sino Renombrarlo (tarea que realizará el antivirus cambiando su la primer letra
de su extensión por una V), para luego Reemplazarlo por una copia original
del mismo.
NOTA: Después de eliminar el/los virus de la máquina se debería chequear

aquellas unidades (disket, memoria usb)que podríamos haber infectado
durante la estadía del virus en la memoria!!!!.
TECNICAS DE PREVENCIÓN
Para evitar un contagio se deben tomar las siguientes precauciones:
* Tener un antivirus residente en memoria

* Escanear todo disket y memorias USB de origen desconocido ANTES de
usarlo.
* Contar con versiones de Programas Antivirus recientes con sus respectivas
actualizaciones y definiciones.
19

* Escanear todo archivo proveniente de una transferencia vía Modem o Linkeo

ANTES de ejecutarlo.
COMO DETECTAR UN VIRUS
Los virus se reproducen al infectar "aplicaciones huésped". Esto significa que

copian una parte del código ejecutable en un programa existente. Los virus se
programan de manera de no infectar el mismo archivo muchas veces y
asegurarse de que funcionen como se espera. Para hacerlo, incluyen una serie
de bytes en la aplicación infectada, los cuales verifican si ya ha se ha producido
la infección. Esto se denomina firma de virus.
Para poder detectarlos, los programas antivirus dependen de esta firma, la cual
es única en cada virus. Este método se denomina análisis de firma y es el
método más antiguo del software antivirus.
Este método sólo es fiable si la base de datos del virus del programa antivirus
está actualizada e incluye las firmas de todos los virus conocidos. Sin embargo,
este método no puede detectar virus que no fueron archivados por los editores
del software antivirus. Es más, los programadores de virus crean
características de camuflaje para lograr que sea difícil detectar sus firmas, las
cuales a veces no se detectan. Esos son "virus polimorfos".
Algunos programas antivirus usan un verificador de identidad para controlar

si se cambiaron las carpetas. El verificador de integridad crea una base de
datos que contiene información de los archivos ejecutables en el sistema (datos
modificados, tamaño del archivo y posiblemente una suma de comprobación).
De esa forma, cuando las características de un archivo ejecutable cambian, el
programa antivirus envía una advertencia al usuario de la máquina.
El método heurístico implica el análisis del comportamiento de las aplicaciones

para detectar una actividad similar a la de un virus conocido. Por lo tanto, este
tipo de programas antivirus puede detectar virus incluso cuando la base de
datos del antivirus no ha sido actualizada. Además, tienden a activar alarmas
falsas.
20

FRAUDE INFORMATICO
Un fraude es un correo electrónico que disemina información falsa e induce al

destinatario a enviar este informe falso a sus amigos, familiares o colegas. Por
este motivo, más y más personas se reenvían información que recibieron por
correo electrónico sin antes verificar si ésta es correcta o no. El propósito de un
fraude es simple:
• Otorgarle a su creador la satisfacción de haber engañado a muchas

personas.
• Estos fraudes tienen diversas consecuencias:
• La obstrucción de las redes al enviar una gran cantidad de datos
inútiles a través de la infraestructura de red;
• Dar información falsa, es decir, hacer que muchas personas crean
conceptos falsos o dispersar rumores falsos (también denominados
leyendas urbanas);
• Llenar buzones de correo electrónico, que ya están sobrecargados;
• Provocar una pérdida de tiempo, tanto para aquellos que leen los
correos electrónicos como para quienes los reenvían;
• Empañar la imagen de una persona o una compañía;
• Provocar desconfianza: Si reciben diversas falsas alarmas, los
usuarios de red podrían no creer las verdaderas.
• Por consiguiente, es fundamental seguir ciertos principios antes de
enviar un mensaje por Internet.
Como Luchar Contra La Información Falsa
Para luchar de manera efectiva contra la diseminación de información falsa por

correo electrónico, simplemente se debe tener en mente un punto importante:
¡Cualquier información recibida por correo electrónico que no incluya un

hipervínculo a un sitio Web que avale su exactitud debería considerarse no
válida!. Por lo tanto, cualquier mensaje que contenga hechos supuestos pero
no un vínculo a un sitio de referencia no debería reenviarse a otros.
21

Cuando envía información, investigue si existe un sitio Web que respalde su

afirmación.
¿Cómo darse cuenta si se trata de un fraude?

Cuando se recibe un correo electrónico que insiste en que la información debe
reenviarse (sin brindar un vínculo para comprobar su exactitud), se puede
verificar el sitio Web hoaxbuster (en francés) para saber si en verdad es un
hoax (un fraude).
Si la información recibida no se encuentra ahí, se la debe buscar en sitios de

noticias conocidos mediante un motor de búsqueda.
Cuidado con el SCAM
El scam se presenta en forma de correos electrónicos, que le ofrecen al usuario

enormes ganancias a cambio de una “mínima inversión”. Al respecto, se
reciben mensajes como: “Se encontraron enormes minas de oro en Nigeria,
para cuya explotación se requiere de socios capitalistas”; o avisos de algún
pariente lejano – muy lejano – que acaba de fallecer, y que por suerte – mucha
suerte – le a dejado a usted una cuantiosa herencia; pero para recibirla
obviamente tiene que pagar unos cuantos miles de dólares por concepto de
tramites burocráticos.
En un 99.9% de los casos, esta noticias son falsas, el propósito de su emisor,

es deslumbrar al usuario, hacerle invertir un buen capital inicial y luego
simplemente desaparecer son el dinero.
Contra este tipo de acciones no hay ningún tipo de programa que nos proteja,
solo la cautela y el buen juicio; siempre hay que desconfiar de los que ofrecen
mucho dinero por una pequeña inversión.
22

PHISHING
En este caso, el usuario recibe de repente un correo, donde se le avisa, por

ejemplo que: “Con motivo de su XX aniversario el banco YYY, donde usted
tiene su cuenta, necesita hacer una comprobación periódica de sus datos. Por
favor vaya a este enlace y diligencie el formulario anexo”. O puede llegarle una
“factura” acompañada de un mensaje en el que se dice que: “acaba de comprar
un auto en nuestro sitio WEB, por medio de su tarjeta de crédito. Si tiene
alguna duda o desea cancelar la operación vaya al enlace XXX”.
Cuando el usuario hace clic en el enlace especificado, se abre una pagina que
tiene el mismo aspecto WEB del sitio original del banco, así que no da
sospecha de nada, se llena el formulario y se envía; pero lo que no se sabe es
que se trata de una pagina WEB falsa, creada por un defraudador, y una vez
que este “personaje”·obtiene los datos que deseaba (claves de entrada,
números de cuenta, etc.) hace cuentas a nombre del titular entre otras muchas
cosas.
Por tal motivo, vea con desconfianza este tipo de correos. Y si tiene dudas
sobre la autenticidad del mensaje, del remitente, etc., ignore todo lo que dice;
mejor vaya al sitio oficial, y verifique si esta información recibida verídica.
Registradores de pulsaciones de teclas
Un registrador de pulsaciones de teclas es un software que graba las

pulsaciones de las teclas desconocidas por el usuario. Es una especie de
spyware.
Algunos registradores de pulsaciones de teclas pueden grabar las direcciones

URL de sitios Web visitados, correos electrónicos que se leyeron o enviaron,
los archivos que se abrieron e incluso pueden crear un video que reproduzca
toda la actividad en el equipo.
Ya que los registradores de pulsaciones de teclas graban todas las

pulsaciones, éstas se pueden utilizar para robar las contraseñas de los
usuarios de la estación de trabajo. Esto significa que se debe estar muy atento
cuando se utiliza un equipo de acceso público (como una terminal de acceso
libre en un lugar de negocios, una escuela o un lugar público como un
cibercafé).
23

Registradores de pulsaciones de teclas: Software o Hardware
Los registradores de pulsaciones de teclas pueden ser parte del software o del
hardware. En el caso del software, puede tratarse de un proceso oculto (o uno
con un nombre que se parezca demasiado al nombre de un proceso del
sistema real), que escribe la información recolectada en un archivo oculto. Los
registradores de pulsaciones de teclas también pueden ser parte del hardware,
en cuyo caso es un dispositivo (cable o llave) ubicado entre el conector del
teclado del equipo y el teclado.
Cómo protegerse de los registradores de pulsaciones de teclas
La mejor forma de protegerse de estos registradores es mantenerse atento:
• No instalar software si no se está seguro de dónde éste proviene.
Ser precavido al registrarse en un equipo ajeno. Si está utilizando un equipo

público, tómese un momento para examinar su configuración antes de entrar a
sitios Web que le pidan una contraseña, para saber si a ese equipo lo han
utilizado otros usuarios antes y si es posible que los usuarios menos
informados puedan instalar software. Si tiene alguna duda, no se registre en
sitios seguros que puedan causar problemas (por ejemplo los servicios
bancarios en línea). De ser posible, se debe inspeccionar el equipo con un
programa antispyware.
ADWARE
Se denomina ADWARE a unos pequeños programas que se introducen en la

computadora cuando se encuentra conectada a al red. Una vez activados
comienza a desplegar, de forma continua o aleatoria, información comercial de
diversos sitios de internet. Probablemente esto haga que se cambie la página
de inicio predeterminada de nuestro navegador o que se desplieguen ventanas
emergentes (“POPUPS”) con publicidad de sitios desconocidos.
24

SPYWARE
Spyware se refiere a los programas que recolectan información acerca del

usuario del equipo en el que están instalados, para enviarlos al editor del
software a fin de obtener un perfil de los usuarios de Internet.
Los datos recolectados de esta manera pueden ser:
• las direcciones URL de sitios Web visitados,

• términos de búsqueda introducidos en motores de búsqueda,
• un análisis de compras en línea,
• incluso información de pagos (tarjetas de crédito/débito),
• información personal.
Por lo general, los programas spyware se instalan junto con otro software
(generalmente programas gratuitos o compartidos). Esto les permite a sus
creadores hacer que sus programas resulten rentables al vender los datos
estadísticos, permitiéndoles así distribuir sus programas en forma gratuita. Es
un modelo de negocios en el que el producto se entrega sin cargo a cambio de
datos de carácter personal.
El spyware no es ilegal, ya que el contrato de licencia del usuario final del

software que lo acompaña deja en claro que este programa se instalará en su
ordenador. Sin embargo, debido a que los usuarios rara vez leen el extenso
EULA por completo, pocos saben que el software está creando un perfil de
ellos.
Asimismo, además del daño causado por la divulgación de información

personal, el spyware también puede causar muchos otros inconvenientes:
• consumir RAM,
• utilizar espacio en disco,
• consumir ciclos del procesador,
• estropear otras aplicaciones,
• dañar la utilización (por ejemplo, mostrar anuncios emergentes
personalizados basados en los datos recolectados).
25

TIPOS de SPYWARE
El spyware se divide, generalmente, en dos categorías:
• Spyware interno, que incluye líneas de código para recolectar datos.

• Spyware externo, programas independientes de recolección de datos.
A continuación encontrará una breve lista de spyware externos:

Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink,
Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa
Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar,
ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter,
Web3000 y WebHancer
Como Protegerse Del Spyware
El principal inconveniente con los spyware es detectarlos. La mejor manera de

proteger su sistema es no instalar ningún software del que no esté 100%
seguro con respecto a su origen y fiabilidad (en particular aquellos que son
gratuitos, compartidos y más específicamente el software de intercambio de
archivos punto a punto). A continuación encontrará algunos ejemplos de
software que se sabe vienen acompañados de uno o más programas spyware.
(Ésta es una breve lista):
Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP,

PKZip, KaZaA e iMesh.
Además, desinstalar este tipo de software sólo en algunas ocasiones elimina el

spyware que se instaló con él. Lo que es peor, su desinstalación puede
provocar que otras aplicaciones no funcionen bien.
En la práctica, es casi imposible no instalar el software. Por esta razón, la
presencia de procesos de fondo sospechosos, archivos extraños o entradas
preocupantes en el registro a veces puede indicar la existencia de spyware en
su equipo.
Si no verifica la base del registro minuciosamente todos los días, no se
preocupe. Existen programas antispyware para detectar y eliminar archivos,
procesos y entradas de registro creadas por el spyware.
Asimismo, la instalación de un firewall personal puede detectar spyware y
prevenir que éstos accedan a Internet (y, por lo tanto, evitar que envíen los
datos recopilados).
26

Algunos programas antispyware
Entre las herramientas más conocidas y eficaces figuran:
• Ad-Aware de Lavasoft.de
• Spybot Search&Destroy
Consultado en: http://es.kioskea.net
http://cybercursos.net

Virus Inf..

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Virus Inf..

Diunggah oleh

Hak Cipta:

Format Tersedia

1

SERVICIO NACIONAL DE APRENDIZAJE

¿QUÉ ES UN VIRUS INFORMÁTICO?

Un virus es un pequeño PROGRAMA (generalmente de menos de 1Kb), que se

La definición de un virus podría ser la siguiente: "Cualquier programa de

Todo virus tiene las siguientes características:

* Tiene capacidad de AUTO-REPRODUCCIÓN: Posee la habilidad de realizar

* Es OCULTO y trabaja en forma OCULTA: El virus se instala dentro de un

* Un Módulo de Reproducción: Es la parte del código del virus encargada de

SERVICIO NACIONAL DE APRENDIZAJE

* Un Módulo de Defensa: Es la parte del virus encargada de ocultar, por

* Un Módulo de Ataque: Es la parte del virus encargada de ejecutar la acción

FASES EN LA VIDA DE UN VIRUS

Las fases de actuación de un virus son las siguientes:

a) Infección: El virus llega al ordenador dentro de un programa existente en un

b) Reproducción: Una vez infectado el S.O comienza esta etapa, en la cual el

c) Detonación: Una vez que se da una determinada circunstancia, como por

SERVICIO NACIONAL DE APRENDIZAJE

Según el lugar donde se alojan (ZONA DE ATAQUE) se pueden clasificar en:

1.- El MBR (Master Boot Record): El mismo es el primer sector físico de un

2.- El DBR ( DOS Boot Record ): Es el primer sector físico de la cara 1 de un

3.- Los Archivos de Sistema: Los archivos de sistema conforman el SHELL o

* Contaminadores de Archivos Ejecutables: Este tipo de virus atacan a los

SERVICIO NACIONAL DE APRENDIZAJE

ejecutable de manera que al cargar el programa en la memoria, también se

Según la forma de actuar en la memoria RAM, se pueden clasificar en:

* Residentes o TSR: Se instalan residentes en la memoria RAM principal

* De ataque único: También se instalan en memoria al ser ejecutado el

Según su Peligrosidad se pueden clasificar en:

* Virus de Primera generación: Responden a las tres fases de vida, antes

* Virus de Segunda Generación: La aparición de programas Anti-Virus hace

- Superponen la fase de reproducción y ataque.

- Utilizan mecanismos de engaño para no ser detectados por los programas de

Virus Stealth (Cautelosos): Si un virus Stealth está en memoria, cualquiera

SERVICIO NACIONAL DE APRENDIZAJE

* Virus Polimórficos: Polimorfo (proviene del griego y significa "que puede

* Virus de efecto Tunneling: Son capaces de eludir la protección ofrecida por

* Virus Mutados: En realidad, la mayoría de los virus son clones, o más

Al existir versiones múltiples del mismo virus (denominadas variantes) se

* Cazadores De Recompensas: Un "cazador de recompensas" es un virus

* Macro Virus: Debido a la gran cantidad de programas que usan macros,

SERVICIO NACIONAL DE APRENDIZAJE

VIRUS Vs BOMBAS LÓGICAS, GUSANOS Y TROYANOS (o Programas de

Estas características nos permiten diferenciarlos de otros programas similares,

Bombas Lógicas: Es un programa que, bajo la forma de un archivo

Las "bombas lógicas" son piezas de código de programa que se activan en un

Por lo tanto, este tipo de virus se puede activar en un momento específico en

SERVICIO NACIONAL DE APRENDIZAJE

importante: como la bomba lógica de Chernobyl, que se activó el 26 de abril de

Normalmente, las bombas lógicas se utilizan para lanzar ataques de

Gusanos: Es un programa visible que cada vez que se ejecuta, genera

El “gusano” es capaz de reproducirse por sí mismo, puede viajar a través de

Funcionamiento de un gusano en la década de 1980

SERVICIO NACIONAL DE APRENDIZAJE

Además, todos estos gusanos saturaron el ancho de banda, lo cual obligó a la

• El gusano obtuvo acceso a un equipo UNIX

Los gusanos actuales se diseminan principalmente con usuarios de correo

Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos

¿Cómo se dispersan los gusanos?

Es sencillo protegerse de la infección de un gusano. El mejor método es no

El SO no interpreta los archivos con las siguientes extensiones. Por lo tanto, el

SERVICIO NACIONAL DE APRENDIZAJE

Es común escuchar que los archivos GIF o JPG contienen virus.

Todos los Archivos (.): Si bien no es necesario, da un gran nivel de