Virus Informaticos

Virus encriptados: Mas que un tipo de virus, son una tecnica que usan diversos virus, los cuales se desifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera lo que intentan es evitar o dificultar ser detectado por los antivirus.

Virus polimorficos: La diferencia esencial con los virus encriptados reside en que estos se cifran/desifran de foma distinta en cada una de sus infecciones. Asi consigue impedir que los antivirus los localicen a traves de la busqueda de cadenas o firmas. Por esta caracteristica, este tipo de virus son los mas dificiles de dectetarse.

Gusanos (Worms): Pueden no ser considerados como virus, ya que era replicarse no necesitan infectar otros ficheros. Los gusanos realizan una serie de copias de si mismos (sin tener que infectar ningun otro fichero) a la maxima velocidad posible y enviandose a traves de la red. Debido a esa replicacion a alta velocidad puede llegar a saturar la red a traves de la que se propagan. Los canales mas tipicos de infeccion son el Chat, correo electronico, etc.

Troyanos o caballos de troya: Se puede llegar a pensar que los troyanos no son realmente virus, ya que no poseen su principal caracteristica, la autoreproduccion.  A pensar de esto, al igual que los gusanos, ambos son tratados como virus a la hora de ser detectados por los antivirus.

su nombre hace referencia a la historia griega, asi su objetivo consiste en introducirse en el sistema como un programa aparentemente inofensivo, siendo verdaderamente un programa que permite el control remoto de dicho sistema.

Al igual que los virus, pueden modificar, elimar, ciertos ficheros del sistema y a mayores pueden capturar datos confidenciales (contraseñas, numeros de tarjetas de credito,etc), y enviarlos a una direccion externa.

Virus falsos: Hoy en dia han surgido ciertos mensajes de correo electronico, o programas, que pueden ser confundidos con virus. El principal tipo son los hoaxes, emails engañosos que pretenden alarmar sobre supuestos virus. Tratan de engañar al usuario proponiendo una serie de acciones a realizar para elimiar dicho virus que en realidad no existe. Lo mas probable es que dichas acciones sean dañinas.

Bombas logicas: Tampoco se replican, por lo que no son considerados extrictamente virus. son segmentos de codigo,incrustrados dentro de otro progama. Su objetivo principal es destruir todos los datos del ordenador en cuanto se cumplan una serie de condiciones.

Bug-Ware: Quizas no deban ser considerados como virus, ya que en realidad son programas con errores en su codigo. Dichos errores pueden llegar a afectar o al software o al hardware haciendo pensar al usuario que se trata de un virus.

MIRC: Tampoco son considerados virus. El uso de estos virus esta restringido al uso del IRC, ya que consite en un script, denominado script.ini, programado de forma maliciosa, que se enviara a la maquina cliente por DCC. Si la victima acepta dicho envio se sustuira su script.ini por el malicioso, lo que provocara que el atacante tenga acceso a archivo de claves, etc.

Metodos de infeccion

A la hora de realizar la infeccion se puede utilizar diferentes tecnicas. Algunas podrian ser las siguientes:

1.) Añadidura o empalme: Consiste en agregar al final del archivo ejecutable el código del virus, para que así una vez se ejecute el archivo, el control pase primeramente al virus y tras ejecutar la acción que desee, volverá al programa haciendo que funcione de manera normal. El inconveniente de esta técnica es que el tamaño del archivo será mayor que el original haciendo que sea más fácil su detección.

2.) Inserción: No es una técnica muy usada por los programadores de virus ya que requiere técnicas de programación avanzadas. El motivo es que este método consiste en insertar el código del virus en zonas de código no usadas dentro del programa infectado. Así lo que se consigue es que el tamaño del archivo no varíe, pero el detectar las zonas de código en donde puede ser insertado el virus es complejo.

3.) Reorientacion: Es una variante del metodo de insercion. Consiste e intrudicir el codigo del virus en zonas del disco que esten marcadas como defectuosas o en archivos ocultos del sistema. Al ejecutarse introducen el codigo en los archivos, su tamaño puede ser mayor con lo que podria tener una mayor funcionalidad. Como inconveniente se encuentra su facil eliminacion ya que bastaria con eliminar archivos ocultos sospechosos o con sobrescribir las zonas del disco marcadas como defectuosas.

4.) Polimorfismo: Es el metodo mas avanzando de contagio. consiste en insertar el codigo del virus en un ejecutable al igual que el metodo de añadidura o empalme, pero para evitar que el tamaño del mismo aumente lo que realiza es una compactacion del propio codigo del virus y del archivo infectando, haciendo que entre ambos el tamaño del archivo no aumente. Una vez se ejecuta el archivo, el virus actua descompactando en memoria las partes del codigo que habia compactado anteriormente. Esta tecnica se podria mejorar usando metodos de encriptacion para disfrazar el codigo del virus.

5.) Sustitucion: Es el metodo mas primitivo. Consiste en sustituir el codigo del archivo infectado por el codigo del virus. Cuando se ejecuta, actua unicamente el codigo del virus, infectando o eliminando otros archivos y terminando la ejecucion del programa mostrando algun tipo de mensaje de error. La ventaja de esta tecnica es que cada vez que se ejecuta se realizan "copias" del virus en otros archivos.

6.) Tunneling: Tecnica compleja usada por programadores de virus y antivirus para evitar las rutinas al servicio de interrupcion y conseguir control directo sobre esta. El dominio de proteccion de los antivirus cuelga de todas las interrupciones usadas por los virus (INT 21, INT 13, a veces INT 25 y 26), de tal forma que cuando un virus pretende escribir/abrir un ejecutable el antivirus recibe una alerta donde comprobora si es o no virus y le permite o no su acceso. Si la llamada no tiene peligro el modulo del antivirus llamara a INT 21 original. De esta forma un virus con tunneling intentara obtener la direccion original de  la INT 21 que esta en algun lugar del modulo residente del antivirus. Si se consigue obtener esa direccion podra acceder directamente a INT 21 sin necesidad de pasar por el antivirus. De esta forma le "pasara por debajo", lo "tuneleara".