Hasta aquí perfecto, pero silenciosamente, en la oscuridad tenebrosa de vuestro disco duro se encuentra "algo" que proviene del lado oscuro de lo más perverso de la mente humana, es decir, una "sorpresa" . Pasan los años de duro trabajo, grabando documentos importantes en el disco duro, copiando juegos "regalados" por las multinacionales de los videojuegos, copiando por medio de la red importantes documentos de la N.A.S.A o de la C.I.A... Pero un fatídico día cuando se conecta el ordenador a la corriente eléctrica "algo" despierta y ansioso de BITS se queda en la memoria esperando a que se ejecute algún archivo .COM o .EXE para hacer lo que había estado esperando durante años: enseñarte un gracioso mensajito y destruir tu disco duro en menos que canta un gallo.

Moraleja 1: Nunca te fíes ni de tu mejor amigo.

Moraleja 2: Las imprudencias se pagan, pero que muy caras.

Origen de los virus:

En 1949 quien fuera denominado por muchos como el padre de la informática, John Von Newmann, tuvo la idea de una porción de código informático capaz de reproducirse a sí mismo. Pero fue en 1984 cuando el Doctor Alfred Cohen, en la conferencia IFIC/SEC, definió públicamente el término de virus informático: software maligno capaz de autoreproducirse.

Mecánica de los virus:

Vamos a ver la mecánica que siguen los virus normalmente: infección, actuación y reproducción.

1. Infección: Existen diversas formas de infección, bien sea mediante disquete que, como ya hemos dicho, son su principal medio de transporte, mediante redes o módems, o mediante ficheros empaquetados (tanto en disquetes como en redes o modems). Este último caso ha sido incluido ya que en los ficheros empaquetados (como ZIP, ARJ, LZH, RAR, etc.) el virus permanece 'oculto' hasta que es desempaquetado.

1.1. Infección por disquete: Como ya hemos dicho en repetidas ocasiones, los disquetes son el medio de transporte por excelencia de los virus. Estos pueden encontrarse en el BOOT del disquete, en los programas o en ambos sitios.

1.1.1. BOOT del disquete:

El BOOT de un disquete en el primer sector del mismo. En este sector se almacena la información sobre los programas que se van a cargar (en el caso de un disquete con arranque podrían ser el IO.SYS y el MSDOS.SYS) o un mensaje indicando que el disquete no contiene arranque (por ejemplo 'No es disco sistema.').

Los virus modifican este primer sector y se copian a sí mismo en éste, de forma que cuando se arranque de un disquete con BOOT infectado (o simplemente se intente, para el caso de disquetes sin arranque) se ejecute el virus y pueda actuar. Normalmente, esta actuación consistirá en la infección del MBR (Master BOOT Record ) del disco duro, para que la próxima vez que se arranque desde éste el virus pase a la RAM y pueda actuar como le plazca (infectando, borrando, formateando, molestando, etc.).

1.1.2. Programas infectados:

Cuando se ejecuta un programa infectado desde disquete (COM o EXE), el virus actuará normalmente como si lo hiciera desde disco duro.

Cuando se copia un programa infectado desde disquete a disco duro (o a otro disquete), el virus será también copiado, pero no entrará en acción hasta que el programa infectado sea ejecutado en el disco duro. Así, podría darse el caso de copiarse un programa infectado en el disco duro y no ejecutarse durante unos meses. En este caso, el virus no entraría en acción durante esos meses, por lo que no habría infección.

1.1.3. Programas empaquetados:

Cuando se copia un programa empaquetado desde un disquete, por ejemplo un archivo ZIP, si algún miembro del paquete estuviera infectado no entraría en acción hasta que fuera desempaquetado. Además, excepto unos pocos antivirus modernos, los virus empaquetados no podrían ser detectados con un antivirus, por encontrarse 'ocultos' para este (bien sea por estar comprimidos, encriptados, ...). Por ello, se recomienda cada vez que se desempaquete un archivo pasarle un antivirus (si antes no se había hecho).

1.2. Infección por módem o red:

Al contrario de lo que muchos piensan, los programas que se encuentran mediante redes (FTP, HTTP, ...) o modems (BBS) son especialmente sensible a estar infectados, ya que suponen un medio de transporte intercontinental ideal para los creadores de virus o caballos de Troya. Es por ello por lo que hay que tener especial cuidado con los programas obtenidos de esta forma.

1.2.1. Ficheros empaquetados:

Además, se da el caso que la mayoría de los ficheros encontrados en estos sitios se encuentran comprimidos (empaquetados) por economía de espacio, por lo que podrían no ser detectados en una primera instancia los virus que contuvieran. Por tanto, es especialmente recomendable desempaquetar los programas empaquetados y pasarles un antivirus antes de ejecutarlos.

2. Actuación:

Una vez que un disco duro ha sido infectado, el virus dispone de diversas formas de actuación.

2.1. Quedarse residente:

La mayoría de los virus disponen de la capacidad de permanecer residentes en la RAM, para así poder controlar todas las opeaciones que se realicen desde el ordenador.

Para eliminar un virus de la RAM, habrá que interrumpir la alimentación del ordenador, por ejemplo pulsando el botón de RESET (en muchos virus no basta con pulsar CTRL-ALT-SUPR simultáneamente).

Además, muchos antivirus no son efectivos si el virus se encuentra residente, por lo que habrá que arrancar desde un disquete limpio (es decir, no infectado) y luego cargar el antivirus.

2.2. Alteración de interrupciones:

Los vectores de interrupciones sirven para controlar las funciones básicas internas de los PC y compatibles, y son comunes a todos para lograr un máximo de homogeneidad entre los denominados 'compatibles' y los PC (originales de la empresa I.B.M.).

Si un virus controla las interrupciones de un ordenador, tendrá un total gobierno sobre el mismo. Las primeras 66 de estas interrupciones son las utilizadas por las rutinas BIOS y DOS, por lo que son estas las que los virus tienden a modificar y controlar. De estas 66 interrupciones (42H en hexadecimal), las más importantes (en hexadecimal) son las siguientes:

Rutinas DOS

Rutinas BIOS

2.3. Alteración del MBR:

El MBR (Master BOOT Record), también conocido como zona de partición del disco duro, es en donde se encuentra la información de la tabla de partición, unidades lógicas por cada unidad física, inicios y fines de cada unidad lógica, partición de arranque, sectores reservados, ... Es decir, la información vital para el correcto funcionamiento del disco duro.

Esta zona está protegida, no siendo accesible mediante funciones DOS. Para leer o escribir en esta zona, se requiere la utilización de funciones BIOS.

Es por ello por lo que esta zona es especialmente importante para los virus. En general, lo que los virus suelen hacer es copiarse a sí mismos en esta zona, y desplazar la zona de partición a otro lugar del disco duro. Así, cuando se arranca desde el disco duro, el virus se carga en RAM y luego se desplaza hasta la zona del disco duro donde se encuentra el verdadero MBR para cargarlo como si nada hubiera pasado.

Además, mucho virus (como por ejemplo el FLIP), hacen todo esto en sectores no-logicos (aunque sí físicos), por lo que no pueden ser eliminados con un formateo normal del DOS. Para ser eliminados (aparte de con un antivirus o programa similar), deberá hacerse un formateo a bajo nivel (el cuál accede directamente a los sectores físicos del disco duro).

2.4. Alteración del BOOT:

En el BOOT del disco duro se alamcena información de arranque (al igual que en los disquetes).

Como esta zona siempre se lee al arrancar un disco, muchos virus se copian en esta zona, como por ejemplo el clásico PING-PONG, para quedarse residentes en RAM.

A pesar de la efectividad del método, estos virus (aparte de con un antivirus o programa similar) pueden ser eliminados fácilmente con un simple SYS del DOS.

2.5. Alteración de programas:

Una vez que un virus se encuentra residente en la RAM, comienzan a propagarse. Para ello, pueden infectar disquetes desprotegidos que sean introducidos en la disquetera para algún proceso de lectura o escritura, programas que sean ejecutados desde el disco duro (siendo esto lo normal en una gran cantidad de virus), o bien determinados programas según el virus en cuestión (aunque no sean ejecutados), para asegurar así la propagación. Un ejemplo de este último es el virus TAIWAN.

2.6. Efectos:

Algunos virus pueden ser detectados mediante los efectos que producen en el ordenador:

2.6.1. Efectos inmediatos:

De entre los efectos inmediatos de los virus, podemos destacar los efectos visuales (como el PING-PONG, en el que una molesta pelotita rebota por toda la pantalla), los efectos acústicos (como el YANKEE DOODLE, que emite notas musicales al entrar en el ordenador), el crecimiento de los ficheros (como el Viernes 13, que reinfecta los ficheros EXE cada vez que son ejecutados llegando a alcanzar notables tamaños), la reducción de la RAM (como el HOLOCAUSTO o ANTITEL, que reduce la cantidad de RAM en un Kbyte), la reducción de la velocidad (como el Viernes 13, que a la media hora de estar residente reduce la velocidad del ordenador dejándola en un 10% del total) y la alteración de ficheros (como el BOOTEXE, que sobreescribe el comienzo del fichero infectado, de manera que no cambia el tamaño del fichero).

2.6.2. Efectos a largo plazo:

Los efectos a largo plazo son sin duda los más desastrosos. Aquí es donde entran en juego las bombas lógicas o caballos de Troya. De estos efectos, podemos destacar la activación en fechas determinadas (como el Viernes 13, que en estas fechas borra todos los programas ejecutados), la activación por contador de arranques (como el ANTITEL, que tras 333 arranques del ordenador sobreescribe físicamente todos los sectores del disco duro), activación por entrada de palabras clave (como el ZARAGOZA, que cuando se escribe el nombre de algun antivirus cambia de sector la partición del disco duro, dejándolo por tanto inaccesible), activación por parámetros de BIOS (como es el caso de los últimos virus aparecidos hasta el momento, los cuales se activan cuando el bite menos significativo del contador interno del BIOS es cero, lo cual ocurre aproximadamente cada hora, tras lo que cualquier intento de grabación a disquete o disco duro producirá la sobreescritura de la información en éste contenida).

3. Reproducción:

Los virus disponen de diversos métodos de reproducción, y todo fichero o disco infectado se convierte a su vez en un nuevo foco de infección.

3.1. Por disquete o disco duro:

Conviene aclarar que un disquete sólo es infectable si se encuentra desprotegido contra escritura, es decir, un disquete protegido contra escritura (con la ventanita abierta), no podrá ser infectado por muy sofisticado que sea el virus, ya que se lo impiden características hardware (es decir, la forma en que están construidas las disqueteras para PC y compatibles). Puede que en el futuro se fabriquen disqueteras sin esta propiedad (esperemos que no), pero por el momento (al contrario que en los Mac), los disquetes para PC y compatible pueden ser protegidos contra cualquier virus.

Cuando un virus se encuentra residente en RAM, puede infectar a cualquier disquete (desprotegido) que se introduzca en la unidad para un proceso de lectura o escritura (bien sea al BOOT del disquete o a los ficheros ejecutables del mismo). Así, un disquete podrá ser infectado con un simple DIR al mismo, por la copia de un fichero ejecutable infectado, o por la copia de un fichero empaquetado que contenga un fichero infectado en su interior). Otro tanto ocurre para los discos duros, los cuales pueden ser infectados exactamente de la misma forma. Sin embargo, algunos virus al infectar a un disco duro lo hacen tan sólo al MBR o al BOOT, y será en el siguiente arranque desde el disco duro cuando la plaga se extienda por todas partes.

3.2. Por redes o modems:

Como ya hemos comentado, los virus se pueden propagar también por redes o modems, aunque aquí sólo lo hacen de dos formas: bien por copia de programas directament infectados o bien por copia de programas empaquetados que contengan programas infectados en su interior.

3.3. Por programas empaquetados:

A pesar de que ya lo hemos mencionado, lo repetimos para recalcar la peligrosidad del hecho. Los virus pueden propagarse de forma 'oculta' mediante ficheros empaquetados, ya que la mayoría de los antivirus no escanean en el interior de los ficheros empaquetados.

Por tanto, bien sea por redes, modems, disquetes o disco duro, hay que tener especial cuidado con los ficheros empaquetados que se copian.

4. Otros medios:

A lo largo de este texto nos hemos referido únicamente a discos duros y disquetes, aunque en la actualidad existen otros soportes físicos de almacenamiento de información. Para todos los demás soportes o medios de almacenamiento, bien sean cintas de backups, CD-ROM, unidades magneto-ópticas, ... etc., se cumplen también las mismas especificaciones, por lo que habrá que tener el mismo cuidado que en las aquí especificadas.

Anécdotas en los virus:

De vez en cuando, y sobre todo en los primeros virus, los creadores de virus insertaban ciertos mensajes anecdóticos en estos, unas veces encriptados y otras visibles, y generalmente en inglés. Existen muchos mensajes curiosos, entre los cuales se encuentran los siguientes:

100 years virus: muestra el mensaje 'FRODO LIVES' cada vez que se hace un reset (reinicialización). El efecto maligno se manifiesta a partir del 22 de septiembre, fecha del cumpleaños de Frodo, personaje del libro 'El señor de los anillos'.

1381 Virus: mensaje 'Error interno O2CH. Por favor, contacte con su distribuidor inmediatamente. No se olvide de llevar el código de error'. Este error, por supuesto, no existe.

2080 Virus: aparece un mensaje durante el arranque en caliente (Control-Alt-Suprimir): 'íEl mundo me oirá de nuevo!' Añade comentarios e insultos cuando se escriben nombres de políticos conocidos: Reagan, Tatcher, etc.

941 Virus: aparece '¿Has bailado alguna vez con el diablo bajo la débil luz de la luna? Reza por tus discos'.

AIDS II Virus: muestra el mensaje 'tu ordenador esta infectado con el virus SIDA II. La próxima vez usa un condón.'

Dark Avenger: contiene mensajes como 'Eddie vive... en alguna parte del tiempo', 'Cópiame, quiero viajar', 'Sólo los buenos mueren jóvenes'. (Eddie es la mascota del grupo Iron Maiden).

Holland girl: muestra un mensaje indicando que se envíe una postal a una chica de Holanda. Tal chica existe, pero no sabe nada del tema.

Joker: muestra mensajes chistosos, como 'Agua en el coprocesador' o 'Estoy hambriento. Inserte una hamburguesa en la unidad A:'.

Marijuana: cuando se arranca el ordenador aparece el mensaje 'Tu ordenador está flipado'. Asímismo se puede identificar la cadena 'Legalizar la Marihuana'.

Holocausto: Su mensaje completo es 'Anti-virus - C.T.N.E V2.10/A (c) 1990. Grupo HoloKausto. Kampanya Anti-Telefónica. Menos tarifas y más servicio. Programmed in Barcelona (Spain). 23-08-90. 666'.

Hay que señalar también que circulan entre los usuarios una gran cantidad de programas con mensajes bromistas de este tipo. Estos programas se conocen como 'virus para novatos' , que en realidad no contienen ningún virus ni bomba lógica (su única misión es la de asustar de forma inofensiva).

Documentos extraídos de la página Web de Oscar López