Clasificación de los virus

La clasificación correcta de los virus siempre resulta variada según a quien se le

pregunte. Podemos agruparlos por la entidad que parasitan (sectores de arranque o
archivos ejecutables), por su grado de dispersión a nivel mundial, por su
comportamiento, por su agresividad, por sus técnicas de ataque o por cómo se
oculta, etc. Nuestra clasificación muestra cómo actúa cada uno de los diferentes
tipos según su comportamiento. En algunos casos un virus puede incluirse en más
de un tipo (un multipartito resulta ser sigiloso).
Caballos de Troya
Los caballos de Troya no llegan a ser realmente virus porque no tienen la capacidad
de auto reproducirse. Se esconden dentro del código de archivos ejecutables y no
ejecutables pasando inadvertidos por los controles de muchos antivirus. Posee
subrutinas que permitirán que se ejecute en el momento oportuno. Existen
diferentes caballos de Troya que se centrarán en distintos puntos de ataque. Su
objetivo será el de robar las contraseñas que el usuario tenga en sus archivos o las
contraseñas para el acceso a redes, incluyendo a Internet. Después de que el virus
obtenga la contraseña que deseaba, la enviará por correo electrónico a la dirección
que tenga registrada como la de la persona que lo envió a realizar esa tarea. Hoy en
día se usan estos métodos para el robo de contraseñas para el acceso a Internet de
usuarios hogareños. Un caballo de Troya que infecta la red de una empresa
representa un gran riesgo para la seguridad, ya que está facilitando enormemente
el acceso de los intrusos. Muchos caballos de Troya utilizados para espionaje
industrial están programados para autodestruirse una vez que cumplan el objetivo
para el que fueron programados, destruyendo toda la evidencia.
Camaleones
Son una variedad de similar a los Caballos de Troya, pero actúan como otros
programas comerciales, en los que el usuario confía, mientras que en realidad
están haciendo algún tipo de daño. Cuando están correctamente programados, los
camaleones pueden realizar todas las funciones de los programas legítimos a los
que sustituyen (actúan como programas de demostración de productos, los cuales
son simulaciones de programas reales). Un software camaleón podría, por ejemplo,
emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas
las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios)
va almacenando en algún archivo los diferentes logins y passwords para que
posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del
virus camaleón.
Virus polimorfos o mutantes
Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que
no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas
cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse.
Una vez desencriptado el virus intentará alojarse en algún archivo de la
computadora.
En este punto tenemos un virus que presenta otra forma distinta a la primera, su
modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero
para que el virus presente su característica de cambio de formas debe poseer
algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o
no, cualquier antivirus podría reconocer ese patrón.
Para eso incluye un generador de códigos al que se conoce como engine o motor de
mutación. Este engine utiliza un generador numérico aleatorio que, combinado con
un algoritmo matemático, modifica la firma del virus. Gracias a este engine de
mutación el virus podrá crear una rutina de desencripción que será diferente cada
vez que se ejecute.
Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas
veces para virus polimorfos particulares existen programas que se dedican
especialmente a localizarlos y eliminarlos. Algunos softwares que se pueden baja
gratuitamente de Internet se dedican solamente a erradicar los últimos virus que
han aparecido y que también son los más peligrosos. No los fabrican empresas
comerciales sino grupos de hackers que quieren protegerse de otros grupos
opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces
una forma de demostrar quien es superior o quien domina mejor las técnicas de
programación.
Las últimas versiones de los programas antivirus ya cuentan con detectores de este
tipo de virus.
Virus sigiloso o stealth
El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará
permanecer oculto tapando todas las modificaciones que haga y observando cómo
el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo
algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se
encuentra la zona que infectada.
Es difícil que un antivirus se de cuenta de estas modificaciones por lo que será
imperativo que el virus se encuentre ejecutándose en memoria en el momento justo
en que el antivirus corre. Los antivirus de hoy en día cuentan con la técnica de
verificación de integridad para detectar los cambios realizados en las entidades ejecutables.
El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector
de arranque de los disquetes e intercepta cualquier operación de entrada / salida
que se intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra
zona del disquete donde había copiado previamente el verdadero sector de booteo.
Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un
virus se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está
es una clara señal de que un virus lo infectó. La técnica stealth de ocultamiento de
tamaño captura las interrupciones del sistema operativo que solicitan ver los
atributos del archivo y, el virus le devuelve la información que poseía el archivo
antes de ser infectado y no las reales. Algo similar pasa con la técnica stealth de
lectura. Cuando el SO solicita leer una posición del archivo, el virus devuelve los
valores que debería tener ahí y no los que tiene actualmente.
Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus
estándar los detectan y eliminan.
Virus lentos
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos
que el usuario hace ejecutar por el SO, simplemente siguen la corriente y
aprovechan cada una de las cosas que se ejecutan.
Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un
disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho
sector. De los archivos que pretende infectar realiza una copia que infecta, dejando
al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad
encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada
atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría
inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son
programas residentes en memoria que vigilan constantemente la creación de
cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro
método es el que se conoce como Decoy launching. Se crean varios archivos .EXE y
.COM cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han
modificado sin su conocimiento.
Retro-virus o Virus antivirus
Un retro-virus intenta como método de defensa atacar directamente al programa
antivirus incluido en la computadora.
Para los programadores de virus esta no es una información difícil de obtener ya
que pueden conseguir cualquier copia de antivirus que hay en el mercado. Con un
poco de tiempo pueden descubrir cuáles son los puntos débiles del programa y
buscar una buena forma de aprovecharse de ello.
Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan,
imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo
mismo con el registro del comprobador de integridad.
Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse
o inician una rutina destructiva antes de que el antivirus logre encontrarlos.
Algunos incluso modifican el entorno de tal manera que termina por afectar el
funcionamiento del antivirus.
Virus multipartitos
Los virus multipartitos atacan a los sectores de arranque y a los ficheros
ejecutables. Su nombre está dado porque infectan las computadoras de varias
formas. No se limitan a infectar un tipo de archivo ni una zona de la unidad de
disco rígido. Cuando se ejecuta una aplicación infectada con uno de estos virus,
éste infecta el sector de arranque. La próxima vez que arranque la computadora, el
virus atacará a cualquier programa que se ejecute.
 Virus voraces
Estos virus alteran el contenido de los archivos de forma indiscriminada.
Generalmente uno de estos virus sustituirá el programa ejecutable por su propio
código. Son muy peligrosos porque se dedican a destruir completamente los datos
que puedan encontrar.
Bombas de tiempo
Son virus convencionales y pueden tener una o más de las características de los
demás tipos de virus pero la diferencia está dada por el trigger de su módulo de
ataque que se disparará en una fecha determinada. No siempre pretenden crear un
daño específico. Por lo general muestran mensajes en la pantalla en alguna fecha
que representa un evento importante para el programador. El virus Michel Angelo
sí causa un daño grande eliminando toda la información de la tabla de particiones
el día 6 de marzo.
Conejo
Cuando los ordenadores de tipo medio estaban extendidos especialmente en
ambientes universitarios, funcionaban como multiusuario, múltiples
usuarios se conectaban simultáneamente a ellos mediante terminales con un
nivel de prioridad. El ordenador ejecutaba los programas de cada usuario
dependiendo de su prioridad y tiempo de espera. Si se estaba ejecutando un
programa y llegaba otro de prioridad superior, atendía al recién llegado y al
acabar continuaba con lo que hacía con anterioridad. Como por regla
general, los estudiantes tenían prioridad mínima, a alguno de ellos se le
ocurrió la idea de crear este virus. El programa se colocaba en la cola de
espera y cuando llegaba su turno se ejecutaba haciendo una copia de sí
mismo, agregándola también en la cola de espera. Los procesos a ser
ejecutados iban multiplicándose hasta consumir toda la memoria de la
computadora central interrumpiendo todos los procesamientos.
Macro-virus
Los macro-virus representan una de las amenazas más importantes para una red.
Actualmente son los virus que más se están extendiendo a través de Internet.
Representan una amenaza tanto para las redes informáticas como para los
ordenadores independientes. Su máximo peligro está en que son completamente
independientes del sistema operativo o de la plataforma. Es más, ni siquiera son
programas ejecutables.
Los macro-virus son pequeños programas escritos en el lenguaje propio (conocido
como lenguaje script o macro-lenguaje) propio de un programa. Así nos podemos
encontrar con macro-virus para editores de texto, hojas de cálculo y utilidades
especializadas en la manipulación de imágenes.
En Octubre de 1996 había menos de 100 tipos de macro-virus. En Mayo de 1997 el
número había aumentado a 700.
Sus autores los escriben para que se extiendan dentro de los documentos que crea
el programa infectado. De esta forma se pueden propagar a otros ordenadores
siempre que los usuarios intercambien documentos. Este tipo de virus alteran de
tal forma la información de los documentos infectados que su recuperación resulta
imposible. Tan solo se ejecutan en aquellas plataformas que tengan la aplicación
para la que fueron creados y que comprenda el lenguaje con el que fueron
programados. Este método hace que este tipo de virus no dependa de ningún
sistema operativo.
El lenguaje de programación interno de ciertas aplicaciones se ha convertido en
una poderosa herramienta de trabajo. Pueden borrar archivos, modificar sus
nombres y (como no) modificar el contenido de los ficheros ya existentes. Los
macro-virus escritos en dichos lenguajes pueden efectuar las mismas acciones.
Al día de hoy, la mayoría de virus conocidos se han escrito en WordBasic de
Microsoft, o incluso en la última versión de Visual Basic para Aplicaciones (VBA),
también de Microsoft. WordBasic es el lenguaje de programación interno de Word
para Windows (utilizado a partir de la versión 6.0) y Word 6.0 para Macintosh.
Como VBA se ejecuta cada vez que un usuario utiliza cualquier programa de
Microsoft Office, los macro-virus escritos en dicho lenguaje de programación
representan un riesgo muy serio. En otras palabras, un macro-virus escrito en VBA
puede infectar un documento de Excel, de Access o de PowerPoint. Como estas
aplicaciones adquieren más y más importancia cada día, la presencia de los macro-
virus parece que está asegurada.