23:17 01/06/2002 FAQ es.comp.virus 06 - 04 - 2001 ADVERTENCIA: Aunque todo lo expuesto en este texto se supone correcto, NO se garantiza en modo alguno su exactitud. Sólo representa los conocimientos y opiniones de los autores y colaboradores, no teniendo ninguno de ellos ninguna responsabilidad por la veracidad o no de esta información. 1 - ¿De qué va este grupo de news? 2 - Cosas a tener en cuenta antes de escribir. 3 - Definiciones 3.1 - Virus. 3.2 - Virus de macro. 3.3 - Troyano. 3.4 - Gusano. 3.5 - Malware. 3.6 - Virus "Engaño" o HOAX. 3.7 - Antivirus. 3.8 - Comprobador de Integridad. 3.9 - Bomba ANSI. 3.10 - ¿Qué es un vector?. (DROPPER). 4 - Preguntas básicas. 4.1 - ¿De donde salen los virus, quién los hace? 4.2 - ¿Pero, y entonces como es que hay mutaciones? 4.3 - ¿Porqué hacen los virus? 4.4 - ¿Como se hacen los virus? 4.5 - ¿Qué puede hacer un virus? 4.6 - ¿Qué tipos de ficheros pueden contener un virus? 4.7 - ¿Hay grupos dedicados a programar virus? 4.8 - ¿Donde consigo códigos fuente de virus con comentarios? 4.9 - ¿Donde consigo esas revistas electrónicas? 4.10 - ¿Cómo ejecuto virus en mi ordenador sin peligro? 4.11 - ¿Qué es una BIOS flash? 4.12 - ¿Se puede meter un virus en una BIOS flash de la placa base? 4.13 - ¿Se puede meter un virus en una BIOS flash de un disco duro, VGA u otro dispositivo? 4.14 - ¿Es ilegal programar virus? 4.15 - ¿Es ilegal distribuir públicamente virus en código fuente? 4.16 - ¿Es ilegal distribuir públicamente virus en código ejecutable? 4.17 - ¿Tengo un virus en la BIOS? 4.18 - ¿Qué pasa cuando un fichero está corrupto? 4.19 - ¿Qué AV funciona con w2000? 4.20 - ¿Qué es ese fichero que la gente me envía en el IRC llamado LIFE_STAGES? 4.21 - ¿Qué AV funciona en Linux? 4.22 - Si los virus de Windows no funcionan en Linux, y los que se fabrican para Linux, no se extienden, ¿para qué sirven las versiones para Linux de los antivirus? 4.23 - ¿Como puedo chequear si mi antivirus funciona? 5 - Clasificación y tipos de virus. 5.1 ¿Cuales son los principales tipos de virus de PC? 5.2 Virus que infectan rápido/lento. (FAST/SLOW) 5.3 Virus que infectan esporádicamente. (SPARSE) 5.4 Virus furtivo ó STEALTH. 5.5 Virus polimórfico. 5.6 Virus cifrado. (ENCRYPTED) 5.7 Virus acompañante. (COMPANION) 5.8 Virus blindado. (ARMORED) 5.9 Virus de hueco. (CAVITY) 5.10 Virus (TUNNELLING) 6 - Técnicas preventivas. 6.1 - Como no infectarse con virus. 6.2 - Como minimizar el impacto de un Virus. 6.3 - Creo que mi ordenador tiene un virus y no he hecho nada de lo anterior. ¿Qué hago?. 6.4 - Es que mi ordenador ya no arranca. ¿Qué hago?. 6.5 - Restaurar Windows Me/XP 7 - Medidas de seguridad en una empresa para que un virus no se extienda por la red corporativa. 8 - Como eliminar un virus. 9 - Como detectar virus no reconocidos por un antivirus. ó ¿Qué alternativas hay a usar un antivirus? 10 - Lista de antivirus y sus URLs. 11 - Lista de páginas más conocidas sobre información de virus, antivirus y grupos de coders. 12 - ¿Puede un virus infectar a Linux?. 13 - ¿Puede un virus infectar a un teléfono movil?. 14 - ¿Puede un virus infectar nuestro ordenador desde una página web? 15 - ¿Existen troyanos o gusanos con extensión GIF, JPEG, MP3 o TXT? 16 - Procedimiento para aislar un virus desconocido. 17 - Recuperación de placas bases con BIOS borradas por el CIH. 18 - Solucción a las infecciones más frecuentes. 18.1 - Happy 99 18.2 - Pretty Park 18.3 - Life Stages 18.4 - ILOVEYOU 18.5 - Enanito (W32/Hybris) 19 - Alguien envía virus a mi cuenta de correo. 20 - Nomenclatura de los nombres de virus. 21 - Preguntas avanzadas. 21.1 - ¿Donde consigo información sobre la organización de los datos en el disco duro?. 21.2 - ¿Donde consigo información sobre las interrupciones de x86/MS-DOS?. 21.3 - ¿Donde consigo información sobre los algoritmos de programación de las flash BIOS y sus características?. 21.4 - ¿Ya sé ensamblador. Hay algún curso de programación de virus?. 22 - Bibliografia vírica 23 - ¿Donde encontrar este FAQ? 24 - Creditos. ------------------ Respuestas --------------------------- 1 - ¿De que va este grupo de news? Este es el foro de noticias es.comp.virus, y trata acerca de todo lo que tenga que ver con virus informáticos, y para pedir ayuda con infecciones de virus. 2.- Cosas a tener en cuenta antes de escribir. Si deseas vender un botijo con pedigrí, vete al grupo de anuncios, si deseas hablar sobre motos, vete al grupo de motos, si deseas contratar a alguien, vete al grupo de anuncios de trabajo, y sobre todo, lo más importante, no deseamos hacernos ricos recibiendo correo o pinchando banners. Cualquier mensaje que no esté relacionado con los virus es "OffTopic", o sea, fuera de contexto y se debe evitar. En todo caso, si se trata de algún mensaje de interes general, se puede incluir en la cabecera de mensaje la palabra "[OFFTOPIC]". Este es un foro de sólo texto, lo que quiere decir que los ficheros adjuntos, (de ahora en adelante llamados binarios), no se deben enviar aqui, y de hecho, muchos servidores de news los borran, por lo que no todo el mundo podrá verlos, si tiene un fichero interesante que enviar, debe hacerlo al foro "es.binarios.misc" que está creado específicamente para estos usos, y enviar a este foro un mensaje diciendo como localizar el fichero binario. Se debe evitar tambien enviar los mensajes en formato HTML, muchos servidores de news filtran o no permiten el envio de mensajes en formato HTML, por lo que no todo el mundo podrá leer un mensaje que se ha enviado en este formato. Por otro lado, muchos lectores de news avisan al usuario que el envio de mensajes en HTML está muy mal visto. Son dos los motivos, por un lado muchos lectores de news no permiten la visualización de HTML, y por otro lado, es un riesgo de seguridad, pues como supongo que no todos teneis instalados todos los parches de Microsoft, alguien podría intentar borraros el disco duro. 3 - Definiciones 3.1 - Virus Un virus es un programa informático que se añade a otros programas, (infección), de tal forma que cuando se ejecuta un programa infectado, también se ejecuta el virus, por lo que este pasa a infectar otros programas. Un virus puede llegar al ordenador o bien mediante internet, (ficheros adjuntos en un mensaje de correo, FTP download, WWW, DCC en el IRC, etc) o bién mediante métodos más tradiccionales, (disquettes, CD-ROM, etc). Los virus disponen de una rutina, llamada "PayLoad" mediante la cual, gastarán una "broma" al usuario con el ordenador infectado, como un mensaje gracioso en pantalla, o bién mediante alguna acción destructiva, como borrar el disco duro o borrar la BIOS del ordenador. 3.2 - Virus de macro Estos son virus que en lugar de estar escritos mediante un lenguaje compilado, (ASM, C, Pascal, etc), están desarrollados usando un lenguaje de macros de alguna aplicación, (interpretado), y en lugar de infectar ficheros ejecutables, infectan ficheros usados por la aplicación que los usa. 3.3 - Troyano Es un programa que crea una puerta de acceso en el sistema en el que se está ejecutando, de tal forma que proporciona a otras personas acceso físico al ordenador que está infectado con un troyano. Normalmente los troyanos se suelen pegar a otros programas, (como si fueran virus), mediante una utilidad existente para tal fin, por lo que cualquier fichero ejecutable que se envíe por correo electrónico o por DCC puede contener un troyano. A menudo he encontrado también la siguiente definición de troyano, "Cualquier programa que no hace lo que se supone que debe hacer, por ejemplo un videojuego, que mientras estas jugando con el, borra el disco duro" 3.4 - Gusano Es un programa que se extiende automáticamente por la red de máquina a máquina, aprovechando algún tipo de vulnerabilidad que lo permita, un ejemplo de gusano podría ser un programa en perl que escanease por la red en busca de servidores FTP con alguna vulnerabilidad que comprometiese la seguridad del sistema, cuando encuentra alguno, lanza un xploit, y una vez conseguido acceso se copia a la máquina remota, se ejecuta y vuelve a repetir el proceso. Otro tipo de gusano podría ser el ILOVEYOU, si este se pudiera reenviar sin necesidad de que el usuario pinchase en el. 3.5 - Malware o MCM (Mensaje de Correo Maligno) En este grupo incluyo a los programas tipo "ILOVEYOU", "Life Stages", "timofónica " y similares. A menudo a este tipo de programas se les suele denominar virus, (no estoy de acuerdo), otras veces se les denomina troyanos, (tampoco estoy de acuerdo) y otras veces gusanos de internet, (sigo sin estar de acuerdo). 3.6 - Virus "Engaño" o HOAX Aunque hay miles de que virus descubiertos cada año, hay algunos que solamente existen en la imaginación del público y la prensa. Esta serie de virus NO EXISTEN, a pesar de el rumor de su creación y distribución, por ello se debe ignorar cualquier mensaje con respecto a estos supuestos "virus" y no pasar ningún mensaje sobre ellos. Pasar mensajes sobre estos "virus-engaño" solamente sirve para fomentar su propagación. Estos virus de "pega" pueden estar traducidos en cualquier idioma. Sirva como ejemplo el siguiente HOAX Virus Name : Teletubbies Aliases :Yellow Teletubby Infection Length :Hoax Area de Infeccion :Hoax Likelihood :Hoax Region Reported :Worldwide Web Characteristics :Hoax Target Platform :Hoax Target Date :Hoax Description : El siguiente mensaje ha sido enviado por e-mail. Es un HOAX por lo que este virus NO EXISTE El HOAX enviaba este mensaje de advertencia "Le envío este correo para informarle de que si ha recibido un fichero llamado teletubbies, (the yellow telettubies) de cualquiera de sus amigos. Borrelo inmediatamente después de leer esto así como el fichero que contienen el virus, el cual se activara el 26 de Noviembre y borrara todos los datos del hardware de su PC. ......(sigue comentando la jugada) PD: Si usted ha remitido este fichero a alguno de sus amigos, por favor comuniqueselo" 3.7 - Antivirus Un antivirus es un programa que se encarga de proteger el ordenador de los virus conocidos registrados en su base de datos, que periódicamente hay que actualizar. Los antivirus son escaners, es decir que buscan en determinados ficheros intentando encontrar trozos de código pertenecientes a alguno de las decenas de miles de virus conocidos, ó que típicamente es raro que use un programa generado por los compiladores usuales. Los antivirus detectan los virus que conocen antes de que se ejecuten, pero no pueden detectar genéricamente virus desconocidos, y han de actualizarse periódicamente. 3.8 - Comprobador de Integridad Funcionan de forma diferente a los antivirus. Estos sólo comprueban que el fichero ejecutable no ha sido modificado al intentar ejecutarse este, con lo que si ha sido contaminado/modificado de cualquier forma por un virus desconocido es detectado de inmediato. Para poderse ejecutar, al fichero tienen que darle previamente autorización. 3.9 Bomba ANSI. Una bomba ANSI es una secuencia de caracteres normalmente incluida en un fichero de texto que reprograma varias funciones del teclado de ordenadores con controladores ANSI (pantalla y teclado). Habría sido posible incluir en estas FAQ una cadena de caracteres para reprogramar tu tecla INTRO para enviar el comando "FORMAT C:" con un retorno de carro al final. Sin embargo, tal posibilidad no tiene porqué significar una gran amenaza ya que es raro que los programas modernos necesiten que el ordenador que los ejecuta tenga una consola ANSI. Así pues, pocos PC u otras máquinas debería cargar controladores ANSI. Además poca gente usa programas que simplemente escriben al terminal con lo que una bomba ANSI en un correo electrónico ó foro es improbable que reprograme tu teclado. Más aún, aunque FORMAT C: puede ser catastrófico bajo ciertas versiones de DOS, no tendrá ningún efecto nocivo en los Macintosh, y probablemente tendrá efectos inesperados ó ningun efecto en otros sistemas. Si te preocupa la posibilidad de tener algun problema debido a una bomba ANSI y tienes que cargar los controladores ANSI (algunos programas de comunicaciones todavía los necesitan), busca alguno de los controladores ANSI hechos por terceros que abundan en BBSs y FTPs. La mayoría de esos funcionan mejor que el ANSI.SYS de DOS y, o no soportan la redefinición del mapa del teclado, o te dejan deshabilitarla. 3.10 ¿Qué es un vector?. (DROPPER) Un vector es un programa que ha sido diseñado o modificado para instalar un virus en el sistema objetivo. El código del virus es contenido normalmente en el vector de tal forma que no pueda ser detectado por antivirus que normalmente detectan este virus (osea, que el vector no está infectado con el virus, sólo lo transporta). Aunque es bastante raro descubrirlos, se han localizado algunos. Un vector es en realidad un Caballo de Troya, cuya carga es instalar el virus. Un vector que instala el virus sólo en memoria sin instalar nada en disco se denomina INYECTOR. 4 - Preguntas básicas. 4.1 - ¿De donde salen los virus, quién los hace? Los virus informáticos tienen que ser programados por alguien. No surgen de la nada, y no tienen mucho que ver con los virus biológicos excepto algunas de las características de estos, entre ellas el nombre y la capacidad de infectar a su huesped. Algunos programadores de virus hacen que su creación simule los efectos de un virus biológico, pero ahí acaba la similitud. 4.2 - ¿Pero, y entonces como es que hay mutaciones? Porque alguien los modifica para evitar ser detectados, alterar la fecha en la que se activa o cambiar los efectos que produce. A diferencia de los virus biológicos que pueden mutar expontáneamente, los virus informáticos necesitan la acción del programador para mutar. 4.3 - ¿Porqué hacen los virus? Por distintas razones, entre ellas: reto personal, aprender más sobre el sistema, exponer las vulnerabilidades del sistema, prestigio personal, afan de notoriedad y algunas veces, las menos, venganza. Más raros son los motivos económicos e incluso militares. 4.4 - ¿Como se hacen los virus? Los virus generalmente están programados en ensamblador para una arquitectura y sistema operativos específicos. Para hacer uno no hace falta más que un ensamblador y conocimientos que puedes adquirir con un curso de ensamblador y documentación sobre el sistema. Pero sobre todo hay que conocer bien el sistema para el que están programados. 4.5 - ¿Qué puede hacer un virus? Un virus es un programa, y un programa puede hacer lo que el sistema operativo le permita hacer, ya sea porque esté autorizado a hacerlo, ó porque hay un fallo de seguridad que el programa explota. En general puede desde no hacer nada más que replicarse, a borrar información vital del sistema como el disco duro o la BIOS ó robar información personal y claves. Puede hacer cualquier cosa que un programa con sus privilegios pueda hacer en el ordenador que lo ejecuta. 4.6 - ¿Qué tipos de ficheros pueden contener un virus? Cualquiera que contenga código ejecutable, bien directamente por el microprocesador (p.e. en windows COM, EXE, OVL, DRV) o por un emulador (como aplicaciones DOC, RTF, CHM, HLP). 4.7 - ¿Hay grupos dedicados a programar virus? Sí. Hay unos cuantos, y publican revistas electrónicas como 29A, 40HEX ó VLAD entre otras muchas. 4.8 - ¿Donde consigo códigos fuente de virus con comentarios? Un sitio es ftp://ftp.coderz.net 4.9 - ¿Donde consigo esas revistas electrónicas? http://www.bilbaoweb.com/hackuma/, ftp://ftp.coderz.net, http://www.29A.org NOTA: (ejecutar ficheros procedentes de sitios con interés en virus es un riesgo potencial). 4.10 - ¿Cómo ejecuto virus en mi ordenador sin peligro? Analizando meticulosamente el funcionamiento del virus antes de ejecutarlo, de forma que conozcas exactamente lo que hace.Lo mejor es usar otro ordenador al que puedas reinstalar todo en caso de problemas, y si tiene una BIOS flash que esté en modo de sólo lectura, o que tengas medios para restaurarla. 4.11 - ¿Qué es una BIOS flash? Es una memoria regrabable, análoga al disco duro donde se encuentra el programa que empieza a ejecutar el ordenador nada más encenderlo, y que sirve para configurar el sistema y cargar el sistema operativo. 4.12 - ¿Se puede meter un virus en una BIOS flash de la placa base? Si. Un ejemplo es el BIOS Meningitis de Qark/VLAD. 4.13 - ¿Se puede meter un virus en una BIOS flash de un disco duro, VGA u otro dispositivo? Por el momento no se conoce ninguno, pero al ser un método muy específico no es probable que se propagarse mucho. 4.14 - ¿Es ilegal programar virus? No. 4.15 - ¿Es ilegal distribuir públicamente virus en código fuente? No. 4.16 - ¿Es ilegal distribuir públicamente virus en código ejecutable? Si. Si se hace con el proposito de propagar el virus, hacer que algún sistema se infecte inadvertidamente o perjudicar a alguien. 4.17 - ¿Tengo un virus en la BIOS? Lo más probable es que no. Si al intentar instalar (reinstalar) Windows te aparece un aviso en pantalla como este ó similar: !!! WARNING !!! Disk Boot sector is to be modified Type "Y" to accept, any key to abort. No quiere decir que tengas un virus en la BIOS. Lo que significa es que el programa de instalación del sistema operativo está intentando guardar las rutinas de inicio del sistema en el sector de arranque del disco duro, que normalmente es lo que tú quieres hacer al instalar Windows. Pulsa Y para que continúe la instalación, o mejor antes de instalar Windows desactiva la opción de "Virus Warning" en la configuración y actívala de nuevo al terminar. Si este aviso aparece en cualquier otra circunstancia, es posible que algún programa intente escribir en el sector de arranque del disco duro, (como hace fdisk si tú se lo dices), que puede ser algún virus. (El aviso es generado por la int13h que está en la BIOS. Como linux reemplaza completamente la int13h tras el arranque, nunca presentará este aviso. Ni falta que le hace). 4.18 - ¿Qué pasa cuando un fichero está corrupto? Los ficheros corruptos, son debidos a errores en datos guardados en el disco duro, hace varios años, y con los discos duros de tecnología MFM, se debía a sectores defectuosos, y venían así de fábrica. Actualmente con los modernos discos duros IDE o SCSI, es casi imposible que esto pueda llegar a suceder, cuando un sector empieza a funcionar mal, la controladora IDE automáticamente envía la información a pistas de reserva, de todas formas si le han vendido un ordenador con componentes de clase B, (de baja calidad), si es posible que pueda llegar a suceder. Otra causa es por haber apagado incorrectamente el ordenador, sin haber salido del sistema operativo, muerte prematura de un proceso, o mal funcionamiento del sistema operativo. Si le ocurre muy a menudo, es aconsejable que utilice la herramienta de chequeo de existencia de errores en el disco duro, y posteriormente use un desfragmentador. 4.19 - ¿Qué AV funciona con w2000? Prácticamente casi todos los fabricantes de Antivirus de marcas de cierto renombre disponen de una versión que funciona en Windows 2000. Ejemplos de antivirus para Windows 2000 son AVP, sophos, F-Secure 5.0, Norton antivirus 2001, PC Cilin, ... 4.20 - ¿Qué es ese fichero que la gente me envía en el IRC llamado LIFE_STAGES? LIFE_STAGES es un virus escrito en VBS que se envía automáticamente por el IRC, actualmente los operadores del IRC Hispano envían mensajes de advertencia acerca de este virus. 4.21 - ¿Qué AV funciona en Linux? En Linux también hay algunos antivirus. AVP, F-Secure, Sophos, e incluso existen proyectos open source de antivirus para Linux como http://www.openantivirus.org Más info en: http://www.vlug.org/linux/ links/Misc_-_Software_Apps-Projects/AntiVirus/index.html Y un FAQ de antivirus para Linux: http://members.aol.com/rlink/security/av-linux_e.txt 4.22 - Si los virus de Windows no funcionan en Linux, y los que se fabrican para Linux, no se extienden, ¿para qué sirven las versiones para Linux de los antivirus? Linux, en muchas ocasiones se usa como servidor de ficheros, de tal forma que alberga programas *.exe, *.zip, *.doc a los que se accede gracias al popular programa SAMBA, que permite que Linux funcione como un servidor NT. Estos ficheros pueden contener virus, y hoy dia es recomendable que los servidores de ficheros dispongan de un buen antivirus, para que un virus no se extienda en la red local. Otras veces, aunque se disponga de un antivirus para Windows, puede darse el caso, aunque raro, que un virus pueda inutilizar un antivirus de alguna marca conocida. En caso de paranoia, si se dispone de una partición Linux, puede chequearse la partición Windows desde Linux. Por otro lado, tenga en cuenta, que aunque es imposible que un programa de Windows pueda afectar Linux, (ni siquiera usando WINE). Un virus para DOS si puede hacer de las suyas si se ejecuta un programa de DOS usando el emulador DOSEMU. 4.23 - ¿Como puedo chequear si mi antivirus funciona? Si no encuentra a nadie que le pueda dejar un disquette uno o más virus. Existe una cadena de texto estandar, llamado test EICAR, que es detectado por todos los antivirus. Esa cadena de texto puede encontrarla en http://www.eicar.org/, copiela a un fichero de texto, y salve ese fichero con extensión *.exe o *.com 5 - Clasificación y tipos de virus. 5.1 ¿Cuales son los principales tipos de virus de PC? Generalmente hay dos clases principales de virus. Los que INFECTAN FICHEROS, y los que INFECTAN SYSTEM or BOOT-RECORD. - Los que INFECTAN FICHEROS se contagian a programas nomales. Usualmente infectan cualquier COM y/o EXE, aunque algunos pueden infectar cualquier programa que se ejecute o interprete, como fichero SYS, OVL, OBJ, PRG, MNU y BAT. Hay al menos un virus para PC que infecta ficheros fuente insertando código en ficheros en lenguaje C, que reproduce la función del virus en cualquier ejecutable generado a partir de los ficheros fuente infectados. (¿cual?). Los que infectan ficheros pueden ser de ACCIÓN DIRECTA ó RESIDENTES. Un virus de acción directa selecciona uno o más programas a infectar cada vez que el programa infectado se ejecuta. (Como el virus Vienna). También se denominan NO RESIDENTES. La mayoría de los virus son residentes. Un virus residente se instala en memoria (RAM) la primera vez que un programa infectado se ejecuta, y a partir de ahí infecta a otros programas cuando son ejecutados (como el caso del virus Jerusalem) o cuando se dan otras condiciones. - Los que infectan las rutinas de ARRANQUE se contagian en determinadas zonas del sistema encargadas del proceso de inicialización. En los PC hay virus de arranque ordinarios, que infectan sólo el sector de arranque de DOS, y los que infectan el MBR (Master Boot Record) de los discos duros y disquetes. Todos los virus de arranque son residentes. Además, hay unos pocos virus que pueden infectar tanto a ficheros como rutinas de arranque, (como el virus Tequila), y que se suelen denominar "MULTI-PARTITE" ó también FICHERO y ARRANQUE. Aparte de la clasificación anterior, muchos expertos en virus distinguen alguna o ambas de las distintas clases de virus: Virus de CLUSTER ó del SISTEMA DE FICHEROS, (como el Dir-II) son aquellos que mofifican la tabla de las entradas de los directorios de forma que el virus es cargado y ejecutado antes que el programa original, que no es físicamente alterado, sino sólo su información del directorio. Algunos consideran estos como una tercera categoría de virus, mientras que otros piensan que son una subcategoría de los que infectan ficheros. Virus del NÚCLEO ó KERNEL, que aprovechan particularidades de los programas que forman el sistema operativo (como 3APA3A que es un virus del núcleo de DOS y de "fichero y arranque"). Un virus que infecta ficheros y puede infectar programas del núcleo NO es un virus del núcleo. Este término se reserva para describir virus que usan alguna particularidad de los ficheros del núcleo. (como su ubicación física en disco o la forma de carga o llamada). 5.2 Virus que infectan rápido/lento. (FAST/SLOW) Un virus que infecta ficheros (como el Jerusalem) se copia a memoria cuando un programa infectado por él es ejecutado, y a partir de ahí infecta otros programas cuando son ejecutados. Un virus que infecta rápidamente es el que, cuando está activo en memoria, infecta no sólo los programas que se ejecutan, sino incluso los que simplemente son abiertos. El resultado es que si tal virus está en memoria, ejecutando un buscavirus ó comprobador de integridad puede llevar a infectar todos (o al menos muchos) programas. (como los virus Dark Avenger y Frodo). Un virus que infecta lentamente es el que sólo infecta programas cuando son modificados ó creados. El propósito es engañar a quienes usan comprobadores de integridad, haciéndoles creer que las modificaciones son debidas exclusivamente a razones legítimas. (como el virus Darth). 5.3 Virus que infectan esporádicamente. (SPARSE) Un virus que infectan esporádicamente es el que no infecta siempre, sino sólo de vez en cuando (como una de cada diez veces que se ejecuta un programa), o sólo ficheros que tienen un tamaño dentro de unos márgenes determinados, etc. No infectando a menudo, estos virus intentan minimizar la probabilidad de ser descubiertos. 5.4 Virus furtivo ó STEALTH. Un virus furtivo es el que, mientras está activo, oculta las modificaciones que ha hecho a ficheros o zonas de arranque. Esto normalmente se hace supervisando las llamadas a las funciones del sistema que se usan para leer ficheros ó sectores del medio de almacenamiento y manipulando los resultados. Esto significa que los programas que intentan leer fichero o sectores contaminados sólo ven los datos originales en lugar de los infectados reales. Así pues, las modificaciones hechas por el virus pueden pasar inadvertidas para los programas antivirus. No obstante, para hacer esto el virus debe estar residente en memoria cuando el programa antivirus se ejecuta, y esto si puede ser detectado. Ejemplo: El primer virus de DOS, Brain, que infecta el sector de arranque, supervisa las entradas/salidas del disco y redirecciona cualquier intento de leer un sector infectado por él, al área del disco donde el sector original está almacenado. El siguiente virus en usar esta técnica fué uno que infecta ficheros, el Number of the Beast and Frodo (alias 4096, 4K). Contramedidas: Se necesita un sistema "limpio" de forma que el virus no esté presente para distorsionar los resultados de las comprobaciones del estado del sistema. Así pues, el sistema debería se inicializado a partir de un disquete de arranque de confianza antes de hacer cualquier comprobación antivirus; esta es "La Regla de Oro del Negocio". 5.5 Virus polimórfico. Un virus polimórfico es el que produce copias distintas pero operacionales de sí mismo. Esta estrategia ha sido usada con la esperanza de que los buscavirus no sean capaces de detectar todas las variaciones del virus. Una técnica de hacer virus polimórficos es seleccionar entre distintos métodos de cifrado con distintas rutinas de descifrado. Sólo una de esas rutinas estará en claro en cualquier forma del virus. (como el virus Whale). Un buscavirus basado en cadenas, necesitará una cadena por cada métodos de descifrado para identificar eficazmente un virus de este tipo. Los virus polimórficos más elaborados (como el V2P6) varían las secuencias de intrucciones en sus variaciones intercalando en las rutinas de descifrado instrucciones sin ningún efecto neto (como NOP, o instrucciones que operen sobre registros que no se estan usando). También intercambiando el orden de instrucciones independientes, ó incluso usando secuencias de instrucciones distintas que tengan el mismo resultado (como Resta A de A, y Carga 0 en A). Para identificar efectivamente todas las variantes de este tipo de virus, el buscavirus tiene que disponer de unas rutinas especificamente construidas tras un análisis detallado del virus. Uno de las formas más elaboradas de polimorfismo usada hasta ahora es el "Mutation Engine" (MtE) que viene en forma de código objecto. Con el "Mutation Engine" cualquier virus puede hacerse polimórfico añadiendo ciertas llamadas en su código fuente y enlazandolo con los módulos generadores de números aleatorios de "mutation-engine". La llegada de los virus polimórficos conlleva una tarea cada vez más complicada y cara para la búsqueda de virus. Añadiendo más y más cadenas a los buscavirus simplemente no funcionará adecuadamente con estos virus. 5.6 Virus cifrado. (ENCRYPTED) Un virus cifrado es aquel que usa métodos criptográficos en un intento de esquivar los buscavirus basados en cadenas de búsqueda es el autocifrado con una clave variable. Estos virus (como el Cascade) no se denominan polimórficos, ya que su código descifrado es invariable. Así pues, la rutina de descifrado se puede usar como una cadena de búsqueda para los buscavirus más simples, a no ser que otro virus use identica rutina de descifrado y se desee una identificación exacta. 5.7 Virus acompañante. (COMPANION) Un virus acompañante es el que en lugar de modificar el fichero anfitrión, crea un nuevo programa que (inadvertidamente para el usuario) se ejecuta en lugar del original. Al terminar, el nuevo programa ejecuta el original para que todo parezca normal. En DOS aprovechan la particularidad de que los .COM tienen prioridad para ejecutarse antes que los .EXE del mismo nombre. Los comprobadores de integridad que sólo buscan modificaciones en ficheros existente no pueden detectar este tipo de virus. 5.8 Virus blindado. (ARMORED) Un virus blindado es el que usa técnicas especiales para hacer más difícil el desensamblado, seguimiento y comprensión de su código. (como el virus Whale). 5.9 Virus de hueco. (CAVITY) Un virus de hueco es el que sobreescribe una parte del fichero anfitrión que está llena por una constante (generalmente null), sin incrementar la longitud del fichero pero preservando su funcionalidad. (como el virus Lehigh). 5.10 Virus (TUNNELLING) (que alguien me lo traduzca razonablemente) Un virus "TUNNELLING" es el que busca los controladores originales de las interrupciones de DOS y BIOS y los llama directamente, saltándose cualquier programa de supervisión activo que pueda estar cargado y haya interceptado los respectivos vectores de interrupción en un intento de detectar actividad viral. Algunos antivirus tambien usan técnicas de "TUNNELLING" intentando sortear cualquier virus no detectado ó desconocido que pueda estar activo cuando se ejecutan. 6 - Técnicas preventivas. 6.1 - Como no infectarse con virus. Existen unas normas mínimas que se deben tomar para no ser infectado por virus informáticos. - Instalación de un antivirus en el sistema que funcione de modo residente. - Chequear antes todos los programas que llegen. - Tener siempre actualizado el antivirus a la última versión del fichero. - No ejecutar o instalar programas de dudosa procedencia. Cuando se trate de programas descargados de Internet, mejor bajarse el software del site principal donde está albergado en lugar de la página personal de "fulanito" o "menganito". - No configurar Windows para ocultar las extensiones de ficheros, eso suele dar a equívocos con los ficheros procedentes del correo electrónico. - Suele suceder en ocasiones que algún software comercial, como un videojuego, o enciclopedia, o un CD de revista pueda contener Virus, e incluso que esté dentro de un fichero comprimido con un formato propietario no estandar, por lo que no es detectado por los antivirus más comunes. Puede ser interesante escanear despues, eso evitará sorpresas. - Configurar el antivirus que tengamos instalado para detectar heurística de macros, aunque sea a nivel medio. - Configurar el antivirus para detección en ficheros comprimidos. 6.2 - Como minimizar el impacto de un Virus. En primer lugar es conveniente tener siempre uno o varios disquetes de arranque, protegidos contra escritura, y con utilidades y herramientas contra cualquier desastre que pueda suceder, uno de esos disquetes de arranque debe contener un buen antivirus de líneas de comandos. Otro de los disquetes utilidades básicas del sistema operativo, como el FDISK.EXE, FORMAT.EXE, SYS.EXE, soporte de teclado castellano, (keyb.exe), un editor de texto que ocupe menos espacio que el EDIT.EXE del DOS, etc. Aparte de eso, puede ser util usar herramientas adiccionales como las Utilidades Norton, una de las herramientas como el Editor de Disco es bastante util si conoce la estructura de una partición del tipo FAT(16 o 32) y su partición es de ese formato. Otra de las utilidades que tiene, permite guardar en un disquete el contenido de la CMOS y de la tabla de partición, lo que permite restaurarla en caso de perdida a partir de la copia de backup. Por otro lado, cuando haga backups es importante sobre todo los datos, como los escritos que haya realizado, los ficheros GIF, JPG, HTML que haya creado. Los mensajes de correo electrónico así como las URL que estén en la sección de favoritos de su navegador, etc. Algunos fabricantes/Ensambladores de ordenadores, en lugar de entregar disquetes o CD-ROM para los drivers, lo entrega en el propio disco duro grabados, junto con algún software adiccional, una pérdida de datos del disco duro le dejaría sin drivers. Es conveniente que desde ahora los guarde en disquetes, o en una unidad ZIP, o en un CD grabado, pero tenga en cuenta, que si pierde el disco duro, para acceder a su unidad de CD o ZIP, necesitará tener disponibles los drivers de ese CD o ZIP. Si su BIOS se puede actualizar por software, intente comprobar si es posible ponerla como sólo lectura de tal forma que no sea posible actualizarla por software. Eso evitará sorpresas desagradables. Guardar, siempre que sea posible, una copia de todas las flash BIOS del ordenador, placa base, tarjeta gráfica, CDRW, modem,... Así en caso de problemas será posible restaurarla. También es bueno el apuntar en un papel la cadena de identificación de la flash BIOS, en caso de que perdamos nuestra copia, para poder buscar una igual ó compatible. 6.3 - Creo que mi ordenador tiene un virus y no he hecho nada de lo anterior. ¿Qué hago?. Existen dos casos: A - El Virus no ha ejecutado su PayLoad, (rutina destructiva), Haz un backup de todo lo que puedas, datos y configuraciones más que programas. Mira el punto 8. B - El virus ha comenzado a hacer de las suyas. A - Si tienes cosas importantes en el disco duro, rezar para que no pase nada. B - Que no cunda el pánico. C - Desconectar de internet. D - Cerrar todas las aplicaciones. E - Guardar en disquete/servidor de red/zip* la información importante. F - Cerrar la sesión de red y todas recursos compartidos, si procede. G - Usando otra máquina, crear un disco de arranque con antivirus. H - Ir a punto 8 6.4 - Es que mi ordenador ya no arranca. ¿Qué hago?. (A completar: Win95/Win95a con HD>504MB LBA+MSDOS. Me sale /S/S/S/S...). Vé a confesarte, porque estás en pecado mortal. }:-) Puede ser debido a un virus, a una incorrecta configuración de la BIOS, problema del sistema operativo, a un fallo del hardware... Si no aparece la identificación de la tarjeta gráfica en pantalla y es debido a un virus, es posible que haya destruido la información de la flash BIOS de la placa base, como hace el virus CIH. Ahora sería útil la copia seguridad de la flash BIOS para intentar restaurarla. Si salen los mensajes de la identificación de la tarjeta gráfica y la placa base, y luego un aviso que dice algo similar a: "Hard disk(s) Diagnosis fail", "Primary master hard disk fail", "Primary slave hard disk fail", "Secondary master hard disk fail" ó "Secondary slave hard disk fail", lo más probable es que se trate de un fallo de hardware. Si salen los mensajes de la identificación de la tarjeta gráfica y la placa base, y luego un aviso que dice algo similar a: "DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER", es que el disco duro no tiene una partición marcada como 'de arranque', (o no tiene una tabla de particiones válida, ó ¡tienes un disquete puesto!). Esto sí puede ser debido a un virus ó a un fallo de algún programa. En este caso, si no tienes guardada en lugar seguro una copia de la tabla de particiones, la cosa se complica y vas a necesitar recrearla a mano, ó usar la de otro disco duro del mismo modelo y con las mismas particiones para intentar salvar la información que tiene el disco duro. Aquí es útil el diskedit para DOS de Norton. Busca alguien que haya sido suficientemente precavido como para seguir las recomendaciones de los puntos anteriores y pídele que te haga una copia de sus discos de arranque y antivirus. Si no pasa nada de esto, sino que aparece un error de que Windows no puede seguir cargando por no se sabe qué, tranquilo. Vuelve a arrancar y pulsa F8 para acceder al menú de arranque de windows. Elije el arranque a prueba de fallos por si funciona, aunque no lo creo. Si sigue sin cargar, vuelve a hacer lo mismo y elije ahora el arranque en modo MSDOS y reinstala windows encima del que ya tienes. Se conservarán las configuraciones y los programas como estaban antes. 6.5 - Restaurar Windows Me/XP En windows Me/XP, tenemos una utilidad automática, para hacer copias de restauración y así podemos en caso de que el sistema nos vaya mal , volver este a un punto anterior, deshaciendo los cambios que hemos hecho, esta utilidad se llama "Restaurar Sistema", y nos efectúa de vez en cuando una copia de seguridad, que igual que nos guarda registros, programas, configuraciones, etc, también nos guarda algún virus que tuviéramos cuando se hizo dicha copia de restauración. Si queremos eliminar este virus, windows no nos deja acceder a la carpeta _Restore por tenerla protegida, por lo que debemos proceder de la siguiente forma: En windows Milenium -Nos vamos a Mi PC -Pinchamos con el botón derecho del ratón y seleccionamos "Propiedades". -Nos vamos a la solapa "Rendimiento","Configuración Avanzada". -Seleccionamos el botón "Sistema de Archivos". -De ahi a "Solución de problemas". -ACTIVAMOS la casilla "Deshabilitar Restaurar Sistema". -Pinchamos en "Aplicar". -DESABILITAMOS la casilla de nuevo. -Pinchamos en "Aplicar". -Aceptamos. Reiniciamos el equipo cuando nos lo pida, Entonces nos purga el al- macén de datos, nos borra también el virus, se habilita de nuevo la utilidad restaurar sistema y nos supervisa el sistema de nuevo. En windows XP. Para DESACTIVAR "Restaurar sistema": -Vamos a "Inicio" -En "Mi PC", pinchamos con el botón derecho del mouse y elegimos "Propiedades". -Pinchamos en "Restaurar sistema" -MARCAMOS la casilla "Desactivar restaurar Sistema" (en todas las unidades). -Aceptamos. -Seleccionamos SI cuando nos pregunte por desactivar restaurar sis- tema. Para ACTIVAR "Restaurar sistema". -Los mismos pasos que antes, pero esta vez DESMARCAMOS la casilla... -"Desactivar Restaurar Sistema". 7 - Medidas de seguridad en una empresa para que un virus no se extienda por la red corporativa. Unas medidas mínimas de seguridad en las empresas minimizaría el impacto de un Virus Informático y dificultarían su propagación. A - Utilice siempre un servidor de ficheros, (NT, Windows 2000, Linux + Samba, Nobell, etc). B - Todas las máquinas deben conectarse a un dominio de ese servidor, con autentificación basado en Login/Password. C - Todos los trabajos que se efectuen en los puestos clientes, documentos, programas, hojas de cálculo, etc, se deben guardar en el servidor. D - Se deben de hacer copias de seguridad de esos datos. Conviene que el servidor disponga de un sistema de backup como cintas mini DAQ. E - El servidor debe disponer de un potente antivirus de red, que analice todos los documentos que se escriben en el. F - Si dispone de servidor de correo electrónico en su empresa, instale un antivirus que funcione para el modelo de servidor de correo electrónico que está usando. G - Si le es posible, sustituya el sistema operativo de sus máquinas de Windows 9X a Windows NT o superior, y que los usuarios entren con una cuenta que no tenga privilegios de administrador sobre su propia máquina. H - Volviendo al servidor, no todos los usuarios deberían poder acceder a todos los ficheros, establezca un sistema de permisos, por ejemplo, que un usuario no pueda borrar o alterar un documento creado por otro usuario. I - El servidor debería tener exportado a la red las instalaciones de los programas más frecuentes, (como WinZip, Acrobat Reader, el antivirus utilizado, los drivers de los dispositivos que usan los ordenadores de su empresa, etc). Esta unidad exportada, naturalmente debe de estar como sólo léctura, todo el mundo puede leer de ella, pero no escribir, y debe de estar prohibida la instalación de software desde otra fuente. J - Si en su empresa no se usa para nada Windows Shell Script, desactivelo. K - Desactive de los navegadores de la empresa, Java, VBS y la tecnología Active X. L - Desactive desde la BIOS las disqueteras y ponga un password a la BIOS. Asumo que la inmensa mayoría de los ordenadores de su empresa no tienen lector de CD. M - Si dispone de servidores o máquinas que desempeñan alguna función especial, no común, prepare un plan de contingencia, un "¿qué hacer si ...?". N - Y por último, si utiliza alguna de las versiones de Office, siempre que sea posible, desactive la capacidad de procesar macros, enviar un fichero de word con un virus de macro a un cliente queda muy mal aunque no haga daños. En cualquier caso, puede poner como sólo lectura la plantilla normal.dot Ñ - Si en su empresa se trabaja con disquetes, configure la BIOS de los ordenadores para que arranquen primero desde C: en lugar que hacerlo desde A:, eso evitará la infección por virus de boot. De paso habilite la detección de escrituras en la tabla de partición. O - Si conecta su empresa a Internet, un buen proxi-firewall bien configurado, evitará que alguien desde fuera pueda establecer contacto con un troyano. 8 - Como eliminar un virus. Prepare en una máquina de la que se tenga la completa seguridad de que no está infectada, un disquete de arranque y copie en ese disquette la versión de líneas de comandos de un buen antivirus. Sería incluso aconsejable tener ese disquette de arranque preparado de antemano. Ese disquette debe estar protegido como sólo lectura, de tal forma que no pueda ser infectado. Se arranca el ordenador infectado con el disco de arranque y se ejecuta el antivirus para chequear toda la unidad C: y todas las demás unidades fijas que existan. El motivo de hacerlo así, es debido a que si un virus está en la memoria del ordenador, puede engañar a los antivirus o incluso corromperlos. Tenga a mano al menos un par de discos de arranque, y algún backup de la tabla de partición, y de ficheros sensibles como el registro. 9 - Como detectar virus no reconocidos por un antivirus. ó ¿Qué alternativas hay a usar un antivirus? Existen varias técnicas que permiten que un antivirus puedan detectar virus recientes que no son conocidos. - Algoritmos heurísticos. Analizan mediante técnicas de IA los ficheros ejecutables, buscando código que sea funcionalmente similar a código conocido. ó que típicamente es raro que use un programa generado por los compiladores usuales. - Sumas de control de los ficheros, (checksum) consiste en hacer unas sumas de los octetos, (bytes) contenidos en los ficheros ejecutables, (EXE, DLL, etc) usando varios algoritmos diferentes, como el MD5, de tal forma que es imposible modificar de alguna forma un fichero sin que la suma de control sea alterada. Algunos antivirus pueden crear un fichero con sumas de control de tal forma que en siguientes escaneos vuelven a calcular la suma de control con el que está almacenado en la base de datos. Este sistema puede dar falsas alarmas con las actualizaciones de software. - Detección de accesos de escritura en ficheros EXE, DLL, etc. No conozco ningún antivirus que haga eso, también puede dar falsas alarmas en las actualizaciones de software. Cuando estaba más en vigor el DOS existían antivirus residentes que detectaban los intentos de acceso a ciertas interrupciones, como el acceso al disco duro mediante las rutinas de la BIOS, aunque en muchas ocasiones daban falsas alarmas y había que distinguir si el software que se estaba ejecutando hacía un acceso legítimo o era un virus, y no siempre estaba tan claro. - Una opción son los comprobadores de integridad, aunque comercialmente no han tenido éxito por la mayor facilidad de uso de los escaners. Actualmente no son demasiado prácticos de cara la gran público, pero se perfilan como la alternativa del futuro. Un artículo en inglés sobre comprobadores de integridad: "Why You Should Stop Using Scanners" de Nick FitzGerald. http://www.virusbtn.com/vb2000/Programme/papers/fitz.rtf 10 - Lista de antivirus y sus URLs. http://antivirus.cai.com http://www.datafellows.com http://www.avp-es.com http://www.symantec.com http://www.av.ibm.com http://www.edata.es http://www.pandasoftware.com http://www.megazona.com/ZONAVirus/Download/ Mata-Virus/antigen_102.htm Elimina algunos troyanos. En las siguientes URLs es posible encontrar antivirus en línea, que escanean un ordenador conectado a Internet mediante la descarga de un applet o un active X firmados. http://housecall.antivirus.com http://www.pandasoftware.es http://www.avx.com/scan 11 - Lista de páginas más conocidas sobre información de virus, antivirus y grupos de coders. Normalmente, las páginas web de los fabricantes de Antivirus suelen disponer de un listado de virus en su propia web, aparte de estos listados existen los siguientes: http://www.viruslist.com -- Virus por fechas. http://www.edata.es -- Virus por fechas http://members.es.tripod.de/virusattack http://www.hispasec.com -- Comparativas de antivirus. 12 - ¿Puede un virus infectar a Linux?. Los virus que habitualmente se escriben para Windows NO, no pueden infectar a Linux. Aunque se pueden escribir y de hecho se han hecho virus para Linux. El primer virus que se desarrolló para este sistema operativo fué el staog en 1995. Este virus sólo funciona en las versiones del kernel 1.2.13. Infecta archivos ELF y utiliza 3 exploits diferentes para conseguir acceso como root. Este virus no consiguió extenderse debido a que los usuarios de Linux no tienen la costumbre de intercambiarse entre ellos software comercial compilado. Normalmente se descargan el software en código fuente y lo compilan ellos mismos. Por otro lado, y debido a que los fallos de seguridad se resuelven muy rápidamente en Linux, el ciclo de vida de los virus es muy corto. En 1996 apareció el Bliss, pero este virus tampoco se extendió. Algunos grupos de creadores de Virus han estado investigando la forma de desarrollar virus en Linux, y se ha desarrollado algo de código vírico que nunca se ha extendido, simplemente permanece en algunas páginas underground a modo de curiosidad. El ejemplo más famoso es el fichero "module.c" que explica la forma de infectar el kernel de Linux mediante un módulo cargable. Recientemente, con la aparición de ILOVEYOU, alguien, desarrolló un guion shell que se supone es equivalente al ILOVEYOU pero para Unix/Linux, aunque hay que decir que el usuario tiene que infectarse intencionadamente. Pues los clientes de correo de Unix/Linux no tienen la facilidad de pinchar ficheros adjuntos para ejecutarlos. Probablemente el número de víctimas del UNIX/Loveletter.A (que así lo llamaron) sea igual a 0. Es previsible que en un futuro cercano, con la llegada de Linux a las masas, aparezcan si no virus, al menos, gusanos de Internet pensados para esta plataforma. De momento, en Linux no existen este tipo de amenazas. Añadido el 06-04-2001: Tal y como explicaba en un parrafo anterior, han surgido algunos gusanos para Linux: El primero de ellos fué el Ramen Worm, (incorrectamente llamado Virus por algunos medios de información). Este gusano usa vulnerabilidades del wu-ftpd y del servicio RPC de las versiones Red Hat 6.2 y 7.0 de Linux. Otro gusano de Internet, usa una vulnerabilidad de BIND, el servidor de DNS de Linux. Y por último, esto no es un gusano si no un Virus, ha aparecido el Winux, este en realidad es un virus para Windows, y usa windows para propagarse, pero en caso de encontrar una partición Linux, accede a ella e infecta archivos ELF, de momento parece que el número total de usuarios infectados es 1. 13 - ¿Puede un virus infectar a un teléfono movil?. No, de momento no. Aunque los teléfonos móviles tienen una CPU dentro de ellos, no ejecutan de ninguna forma código que pueda llegar del exterior. Sólo ejecutan su propio código. Quizás en un futuro y en la medida que los móviles se parezcan más a los ordenadores personales e incorporen un mini disco duro y lenguajes de script, conexión a Internet, etc. 14 - ¿Puede un virus infectar nuestro ordenador desde una página web? Existen y han existido vulnerabilidades asociadas a fallos de los navegadores, en algunos casos buffer overflows, en otro mediante controles Active X incorrectamente marcados como seguros para script o incluso buffer overflows en los Active X. Tambien se han dado casos de fallos en el propio Java, en sus primeras versiones algunos Applets malignos podían romper la seguridad de la caja de arena y acceder al sistema de ficheros local. Incluso ha existido un fallo de seguridad que para que funcionase requería tener instalados al mismo tiempo el Internet Explorer y el navegador NetScape. Todo este tipo de fallos suelen corregirse enseguida, por lo que conviene tener siempre disponibles las últimas versiones del navegador que estemos usando o al menos todos los parches instalados. Todos estos fallos de seguridad normalmente son extensibles a los clientes de correo electrónico y de news que soportan HTML. Un ejemplo de virus de HTML es el HTML.Prepend/Internal, este virus hacía uso de un buffer overflow en el navegador y buscaba en el disco duro ficheros HTML para infectarlos. Otro virus de HTML es el HTML.Enel.3787, y otro el HTML.Worm v0.2/internal Conclusión, si pueden existir virus en páginas web, eso sí, esos virus mencionados están basados en Visual Basic Script. 15 - ¿Existes troyanos o gusanos con extensión GIF, JPEG, MP3 o TXT? No existen troyanos con extensión GIF o JPG, lo que existen son troyanos del tipo TROYANO.GIF.EXE o TROYANO.JPG.EXE Eso es, un programa ejecutable, la mayoría de la gente tiene configurado el Windows para no ver las extensiones de los ficheros, (a mi me parece un error por parte de Microsoft), lo que quiere decir que cuando te llege un mensaje en lugar de ver TROYANO.GIF.EXE, verás TROYANO.GIF, y la extensión, EXE la oculta. Aparte de eso, el icono del programa, es el mismo que el que usa Windows para representar los ficheros GIF. De esta forma el usuario suele pensar que tiene un fichero GIF, y como los GIF son inofensivos, por que no pueden tener código ejecutable, lo pincha, y ejecuta el programa. Por otra parte, está siendo cada vez más frecuente que los "buffer overflows", (desbordamiento de buffer), se busquen en aplicaciones que manejan algún tipo de fichero muy complejo, por ejemplo, actualmente existe una vulnerabilidad en el lector de ficheros PDF, de tal forma que un fichero PDF manipulado de cierta forma, podría provocar la ejecución de código arbitrario en la máquina local. Podría ser posible en un futuro ver esa técnica aplcada a ficheros GIF o JPG. 16 - Procedimiento para aislar un virus desconocido. Normalmente las casas antivirus tienen sus métodos estandard para aislar virus informáticos, el método más rápido podría ser enviando un fichero infectado a una casa de antivirus, pero si aún así desea aislar un virus por su cuenta: Paso 1 - Asegurese que realmente está infectado. a - Si piensa que un programa se comporta de forma anómala por culpa de un virus, ¿conoce bien lo que se supone que el programa debe de hacer?. b - ¿Es posible obtener ese mismo programa con la misma versión y compilación de una fuente fiable para compararlos? c - Pruebe a usar la última versión disponible del antivirus que use, e incluso pruebe con otro antivirus. Puede ocurrir que el ejecutable esté comprimido con alguna utilidad nueva que el antivirus no reconozca, tengalo en cuenta. d - Utilice otro ordenador, y pruebe si los sintomas son los mismos. Esto es importante. Paso 2 - Recopilando el material. a - Busque un ordenador, que no sea de producción, en el que pueda permitirse el lujo perder los datos. b - Si ese ordenador tiene una BIOS flash, pongala en modo de sólo lectura si le es posible, o al menos busquese medios para restaurarla. c - Relea los puntos 6 y 8 de este FAQ d - Configure el ordenador de pruebas, con la misma configuración que el ordenador sospechoso de estar infectado, (en la medida en que sea posible). e - Necesitará tener disponible una copia del sistema operativo para reinstalar si fuera necesario, en un formato de sólo lectura, (cd-rom o disquettes). f - Procurese en un CD-ROM, todas las herramientas que vaya a necesitar, (desensambladores, depuradores, monitores de disco, de procesos, del registro... etc.) (WDasm, IDA, SoftIce, Filemon, Regmon...) g - Copia el MBR y la tabla de particiones del disco duro. Paso 3 - Atrapando al Virus. a - Antes de ejecutar el supuesto fichero contaminado, échale un vistazo con el desensamblador, ó al menos empieza a ejecutarlo con el depurador poco a poco en busca de "cosas" sospechosas. b - Ten preparado algo para darle de comer al virus. Normalmente cuando se despiertan tras llevar algún tiempo dormidos tienen hambre. Unas cuantas latas de distintos tipos puede ser suficiente, desde las más simples hasta las más elaboradas, para que haya más posibilidades de que le guste alguna y caiga en la trampa. c - Si se mete en la lata, ya lo has pillado. Sino, revisa los monitores, y MBR, ó intenta darle algo más jugoso y natural. d - Comprueba todos los ficheros contra la copia en cdrom, tras reiniciar con un sistema límpio. f - Pasa el antivirus actualizado por si las moscas. Algunas de las latas más simples, y que probablemente ya no funcionen con los virus modernos: -int 21h función 4Ch. Sólo 4 bytes. LATA1.COM ó .EXE: B4 4C CD 21 -En c, compilado para MSDOS y para Windows. LATA2*.C: void main(void){} ó int main(void){exit(0)} 17 - Recuperación de placas bases con BIOS borradas por el CIH. Método número uno. (Autor desconocido, pendiente de buscar mensaje o URL Web) Alguien publicó hace tiempo, no recuerdo si en este foro o en otro, un truco para restaurar una BIOS en el supuesto que el ordenador no sea ni capaz de arrancar. No conservo ese mensaje ni lo he encontrado, lo expongo de memoria. Tengo que advertir, que esta operación es de alto riesgo y sólo debe ser llevada a cabo como último recurso. Antes de nada es necesario recordar que hay que desenchufar el ordenador completamente de la red eléctrica, y asegurarse de descargarse de la electricidad estática, tocando el chasis con la mano. Hace falta una BIOS de un ordenador similar, tened cuidado al extraer la BIOS del ordenador que funciona de no doblar ninguna patilla. Procurar no tocar las conexiones con la mano, pues ese componente es sensible a las descargas electroestáticas y se puede dañar. Es necesario recordad, apuntandolo en un papel si es necesario, la orientación del chip. Los chips tienen una muesca o un circulo en uno de los lados que indica cual es la patilla número 1. Una vez con el chip, se coloca justo encima del chip borrado, de la placa base que no funciona, asegurandose de que las patillas hagan contacto con la patilla equivalente una a una, y en el sentido correcto. Hacer una última inspección visual para asegurarse de que no hay cortocircuitos, arrancar el ordenador. Arrancar el ordenador con un disco de arranque, libre de virus, y con el fichero *.rom y la utilidad de actualizar BIOS Una vez el ordenador arrancado, OJO, aquí hay mucho peligro de cargarse la placa madre o el chip que funciona correctamente, retirar la BIOS que está encima de la que está mal, se debe hacer de tal forma que la conexión se interrumpa por igual en todas las patillas, sin hacer ninguna inclinación al extraerla. Si todo ha salido bien, ejecutamos el software para actualizar la BIOS, y rearrancamos nuevamente con un disco de arranque libre de virus, reinstalando el sistema operativo si fuere necesario. Método número 2: Buscar un establecimiento de informática donde puedan vender BIOS o reprogramarlas, en estos momentos no conozco ningún establecimiento donde reprogramen BIOS. 18 - Solucción a las infecciones más frecuentes. 18.1 - Happy 99 Entras en el registro (regedit) y abres la carpeta HKEY_CLASSES_ROOT, subcarpeta EXEFILE, subcarpeta SHELL, subcarpeta OPEN, subcarpeta COMMAND. Una vez que has abierto esta ultima subcarpeta te aparecerá en el panel derecho el archivo PREDETERMINADO que tiene varias entradas, una de ellas contendrá la cadena FILES32.vxd"%1%" Tienes que eliminar de dicha cadena todo el texto a excepción de "%1%" Una vez hecho, sales del registro y reinicias el PC. Buscas y eliminas el fichero \windows\system\files32.vxd, vacias la papelera de reciclaje y vuelves a reiniciar. Ya ta ADVERTENCIA IMPORTANTISIMA. No elimines el fichero files32.vxd ANTES de modificar el registro tal como te he indicado. Si lo haces, o le dices al Mcafee que lo elimine, cuando reinicies el PC no funcionará ningún ejecutable bajo windows. Si has hecho esto, la única solución es arrancar en MSDOS, crearte un fichero con el edit con extensión reg y que contenga la entrada del registro modificada y luego ejecutarlo. El contenido del fichero sería algo así como: REGEDIT4 [HKEY_CLASSES_ROOT\exefile\shell\open\command]@="\"%1\"%*" 18.2 - Pretty Park 18.3 - Life Stages 18.4 - ILOVEYOU 18.5 - Enanito (W32/hibrys) Existen instrucciones en la página web http://www.pandasoftware.es/ Existe también un fichero llamado elihybry.exe (18,4 KB). que lo elimina. 19 - Alguien envía virus a mi cuenta de correo. En el caso de que alguien reciba virus en su cuenta de correo de una persona en particular, caben dos posibilidades. La primera de ellas es que esté infectada con algún MCM del tipo ILoveyou o un Happy99 y no lo sepa, por lo que es conveniente avisar para que limpie su sistema. En algunos casos, por ejemplo si se trata del Hybris, (enanito porno), la dirección del remitente llega falseada, por lo que no se puede saber quien está infectado para avisarle. La segunda de ellas, sobre todo cuando se trata de virus que no tienen capacidad de propagarse automáticamente, es que lo está haciendo intencionadamente, en tal caso se envía un email a la GC explicando el problema con una copia del mensaje entero con cabecera incluida. 20 - Nomenclatura de los nombres de virus. Virus de Macro El primer caracter indica la aplicación, el número que sigue la versión de la aplicación, y acaban con el caracter "M". Una excepción a la regla es cuando se trata de algún producto Office 95, en el que se omite la versión. Primer caracter: "A" - Microsoft Access. "O" - Microsoft Office. "V" - Vissio 2000 "X" - Microsoft Excel. Ejemplos: A97M - Virus de macro que funciona en Access 97. AM - Virus de macro que funciona en Access 95 XM - Infecta documentos de Excel 95. V4M - Infecta la versión 4 de Visio. En el caso de Microsoft Excel, también es posible contagiarse con las fórmulas, en este caso en lugar de usar la letra "M" al final se usa la letra "F" de fórmula. Ejemplo: X97F - infectan los ficheros de fórmulas de Excel 97 A parte de lo anterior tenemos los virus escritos en VBS o JS VBS: Virus de Visual Basic Script, como el ILOVEYOU o el Timofónica. JS: Virus de JavaScript. UNIX: Funcionan en Unix/Linux, están hechos usando lenguaje de shell. Worm: Son los gusanos de Internet. Para los virus tradicionales escritos en ensamblador o algún lenguaje compilable, se usa una combinación de 3 caracteres que indican en qué plataforma funcionan. W2K: Funciona en Windows 2000. W32: Funciona en plataformas Windows de 32 bits. (Windows 95, 98, ME, NT, 2000). W95, Win95: Funciona en windows 95 y 98. WNT: Funciona en Windows 32. Despues de los tres primeros caracteres, la barra "/" y un nombre, algunas veces suele ser alguna cadena de texto que se puede encontrar dentro del virus, otras veces el nombre lo ha puesto el propio programador del virus, en algunas ocasiones incluso se usa un número que indica el tamaño en octetos que ocupa el virus. VBS/Loveletter W32/Petador En algunas ocasiones, un virus puede ser una mutación o variante de otro, por lo que se indica con una letra adiccional separado del nombre con un punto: VBS/Loveletter.A VBS/Loveletter.B W32/Petador.A W32/Petador.B Los virus más antiguos, de la época del DOS, no usan la nomenclatura de los tres primeros caracteres: Flip Barrotes 4096 21 - Preguntas avanzadas. 21.1 - ¿Donde consigo información sobre la organización de los datos en el disco duro?. En http://www.users.intercom.com/~ranish/part/ tienes información y fuentes sobre el "Ranish Partition Manager" de Mikhail Ranish, así como ilustrativos diagramas de distintas configuraciones. 21.2 - ¿Donde consigo información sobre las interrupciones de x86/MS-DOS?. La lista de interrupciones de Ralf Brown es muy completa. http://www.cs.cmu.edu/~ralf/files.html 21.3 - ¿Donde consigo información sobre los algoritmos de programación de las flash BIOS y sus características?. No todas las flash BIOS se programan igual. Debes mirar la referencia del chip que tienes y buscar en la web del fabricante, donde generalmente tienen disponible toda la información necesaria para programarlos. No obstante para programarla en la propia placa base, en función el juego de chips (chipset) que tengas, la forma de acceder a la flash para usar estos algoritmos será distinta. (Los links que siguen vienen de un mensaje de es.comp.hackers, no lo he visto con mucho detalle). Puedes encontrar algo de información sobre flash BIOS de placas base y programación en: http://www.ping.be/bios/ http://www.kaotica.com/epa/ mira las FAQs de allí. Y Documentos muy técnicos sobre la flash BIOS de discos duros en las especificaciones ATA/ATAPI-6 en http://www.t13.org 21.4 - ¿Ya sé ensamblador Hay algún curso de programación de virus?. Si sabes ensamblador, puedes ver los códigos fuente comentados de los virus más antíguos, que son más simples. Ten cuidadín de todos modos, que no por ello son menos peligrosos, y si te muerden luego llorarás. No obstante merece la pena su estudio porque te enseñarán muchas cosas sobre tu ordenador y la mejor forma de actuar en caso de infección. Hay algunos en: http://moon.inf.uji.es/~fiordo/infovir/virus.htm http://www.fortunecity.com/skyscraper/ethernet/94/ 22 - Bibliografia vírica Fuente: http://www.logoplex.com/resources/ameagle/infowar.html .- The Giant Black Book of Computer Viruses (Edicion del 98) Introducción a las técnicas de virus informaticos. Explica 37 virus y 4 antivirus. Enseña técnicas de replica, overwriting y companion. Explica de forma somera, técnicas de infección para devices de W98, 95 y Unix. .- Computer Viruses, Artificial Life and Evolution Analiza la similitud entre la evolución de la vida y la de los virus informaticos. .- (CD-ROM) Outlaws of the Wild West Computer Virus Coleccion de virus para todas las plataformas (MAC, Amiga, Unix...), y mas cosas. .- The Virus Creation Labs. Analiza algunos virus (Michelangelo, Dark Avenger).Escrito por un operador de una BBS de intercambio de virus. .- The Little Black Book of Computer Viruses Detalla cuatro virus, un infector com, un infector exe, y dos infectores de boot sector (uno de estos últimos es el Stealth boot). Se puede bajar gratis de: http://www.logoplex.com/resources/ameagle/lbbcv.pdf Otras fuentes: .- Virus en Internet. Autor Mikel Urizarbarrena, presidente de Panda Software. La obra expone además la clasificación completa de los principales virus conocidos y la explicación de cada tipo y muchas mas cosas. Ademas tiene anecdotas divertidas. Prologo del libro: http://www.iec.csic.es/~gonzalo/publis/papers/prologo.html 23 - ¿Donde encontrar este FAQ? http://www1.las.es/~macasado/Virus/FAQ/FAQ.htm http://www.airtel.net/personal/lokutus/infovir/faq-es-comp-virus.txt 24 - Creditos. Bicho Guoper Lokutus RockShapa (MAC) Ugtro