Archivo para la Categoría » Virus Informatico «

El virus troyano con las mil caras

Muchos autores de virus han intentado sobrecargar de trabajo a las empresas de antivirus lanzando kits de creación de virus que permiten la fabricación de miles de variantes distintas de un virus particular. Si bien estos programas aumentaron el número de virus existentes, no representan ningún inconveniente para los antivirus, ya que los detectan como variantes de un mismo troyano. Esto se debe a que todos los virus creados con un kit en particular conservan…

El sistema operativo imposible de infectar

El corolario de la afirmación anterior es que tampoco es posible construir el sistema operativo inmune a los ataques de los virus. A principios de los años 90, IBM empezó una investigación orientada a construir un sistema operativo inmune que simulara el funcionamiento del sistema defensivo del cuerpo humano. El proyecto fue abandonado, y se llegó a la conclusión de que muchos factores favorecen la proliferación de los virus, independientemente del sistema operativo. Para entender el porqué de esta cuestión, consideremos lo siguiente: todas las PCs vendidas en los últimos dos o tres años son inmunes a los virus de boot, ya que contienen una opción para bootear desde el disco C en lugar desde el A.

Si las empresas productores vendieran las máquinas con esta opción habilitada, los virus de boot se extinguirían al poco tiempo. Sin embargo, todavía la opción por default es bootear primero del disquete. A pesar de que la opción es muy fácil de cambiar, muchos usuarios ni siquiera saben que existe. Otros lo saben pero no la utilizan porque todavía necesitan bootear de disquetes para ejecutar ciertos juegos.

El clásico virus indetectable

Cada virus nuevo es indetectable, por definición, por los escáners que dependen de una base de datos de secuencias de bytes. Esta luna de miel dura hasta que los investigadores reciben una muestra del virus y la agregan en un update del mismo. Si un virus se dispersa rápidamente, como el Melissa, será capaz de infectar un gran número de PCs antes de que los antivirus puedan detectarlos. Esto se aleja mucho del mito que afirma que existen virus imposibles de detectar. Ha sido matemáticamente probado que un virus indetectable es imposible de programar.

Virus que infectan documentos de texto

Un virus no puede forzar al procesador a tratar los datos como si fueran archivos ejecutables. El sistema operativo entiende que los archivos terminados en .COM y .EXE (junto con otros) son programas y que sus contenidos deben ser enviados al procesador y ejecutados. Si un virus está presente en dicho código, se activará. Por otra parte, los archivos con información deben ser cargados por una aplicación, y la forma en que estos datos son utilizados depende de dicha aplicación.

Las macros incrustadas en los documentos de Word pueden ser ejecutadas por el intérprete de macros de Word, pero el WordPad de Windows las ignorará, por poner un ejemplo. Como Windows utiliza el Bloc de Notas para abrir documentos de texto, es imposible que uno de esos archivos contenga un virus, ya que nunca se ejecutará. Esto también se aplica en todos los formatos de gráfico, video y sonido.

Mitos sobre los virus

Empecemos esta parte con una pregunta: cuál es la diferencia entre un virus verdadero y uno falso. La respuesta: un virus falso no se difunde tan rápido. Yendo más allá, un virus falso o hoax es mucho más fácil de crear y no se puede destruir. Los hoaxes o cadenas de e-mail se difunden debido a que la gente no entiende de virus lo suficiente como para saber si algo es o no imposible, así que por las dudas envían la advertencia que reciben en sus e-mails. Si llegamos hasta esta parte de la nota, ya tenemos una idea de cómo funcionan los virus, qué pueden hacer y qué no. Veamos cuáles son los mitos más comunes sobre los virus.

Detección de virus polimorficos

Son los más difíciles de detectar. Este tipo de virus es capaz de variar su rutina de desencriptación, reemplazando algunas instrucciones por otras equivalentes, pero que a ojos de los antivirus resultan distintas. Para combatir esto, los antivirus más modernos usan comodines con el fin de detectar las rutinas de desencriptación variables. Algunos virus son tan sofisticados que los antivirus deben abandonar la técnica de detectar la secuencia y emplean otros métodos más complejos.

Por suerte, los virus polimórficos representan menos del 1% de los virus conocidos y, de esta cantidad, sólo unos pocos se encuentras dispersos por ahí, pero su detección es uno de los desafíos más importantes que deben enfrentar los desarrolladores de antivirus hoy en día. Muy pocas empresas cuentan con la experiencia y los recursos para asegurar con tranquilidad que sus antivirus son capaces de detectar y eliminar estos escurridizos programas. Debido a los problemas asociados con el escaneo de archivos por secuencia de bytes, incluso los antivirus que detectan virus polimorficos tienen una tasa alta de falsas alarmas.

Los virus encriptados

Otro talón de Aquiles de los antivirus está relacionado (irónicamente) con su capacidad de detectar cadenas de bytes en los virus. Para evitar este tipo de detección, algunos autores de virus desarrollaron en sus creaciones la habilidad de encriptar el código del virus con una clave distinta cada vez que infecta un nuevo archivo. Por supuesto, si el virus usa siempre la misma clave para encriptarse, el antivirus sólo tiene que detectar una versión encriptada de la cadena de bytes. El problema surge cuando la clave cambia con cada infección.

Por ejemplo, la clave que utiliza el virus Cascade está basada en la longitud del archivo víctima, mientras que otros virus usan la fecha y hora como valores parala clave. Afortunadamente, incluso estos virus variables pueden ser detectados por los antivirus, ya que para poder ejecutarse necesitan de una rutina de encriptados que generalmente se encuentra al principio del código. Los antivirus utilizan esta rutina como secuencia de bytes para detectarlo.