Antes de nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita un programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un programa portador necesita modificar la estructura de este, para que durante su ejecuci�n pueda realizar una llamada al c�digo del virus.
Las partes del sistema m�s susceptibles de ser infectadas son el sector de arranque de los disquetes, la tabla de partici�n y el sector de arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus, aunque muchos son capaces de infectar por s� solos estos tres componentes del sistema.
En los disquetes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo y un peque�o programa, que se ejecuta cada vez que arrancamos desde disquete.
En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM, y a partir de ah�, infectara el sector de arranque de todos los disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de c�mo est� programado el virus.
El proceso de infecci�n consiste en sustituir el c�digo de arranque original del disco por una versi�n propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegi�ndolos as� de posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria, efect�an una llamada al c�digo de arranque original, para iniciar el sistema y as� aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este procedimiento puede ser usado como t�cnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en �ste suele copiar una peque�a parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los �ltimos, marc�ndolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y as� dejar de funcionar el virus.
La tabla de partici�n esta situada en el primer sector del disco duro, y contiene una serie de bytes de informaci�n de c�mo se divide el disco y un peque�o programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partici�n suplanta el c�digo de arranque original por el suyo propio; as�, al arrancar desde disco duro, el virus se instala en memoria para efectuar sus acciones. Tambi�n en este caso el virus guarda la tabla de partici�n original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partici�n y a ellos mismos en los �ltimos sectores de disco, y para proteger esta zona, modifican el contenido de la tabla para reducir el tama�o l�gico del disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la partici�n tambi�n son capaces de hacerlo en el boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro tendr�a un campo de trabajo limitado, por lo que suelen combinar sus habilidades.
Con todo, el tipo de virus que m�s abunda es el de fichero; en este caso usan como veh�culo de expansi�n los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque tambi�n a veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ah� permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es as�, se adhiere al archivo ejecutable, a�adiendo su c�digo al principio y al final de �ste, y modificando su estructura de forma que al ejecutarse dicho programa primero llame al c�digo del virus devolviendo despu�s el control al programa portador y permitiendo su ejecuci�n normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que �ste aumenta de tama�o al tener que albergar en su interior al virus, siendo esta circunstancia muy �til para su detecci�n. De ah� que la inmensa mayor�a de los virus sean programados en lenguaje ensamblador, por ser el que genera el c�digo m�s compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si fuera f�cilmente detectable por su excesiva ocupaci�n en memoria, su lentitud de trabajo o por un aumento exagerado en el tama�o de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador, �stos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros. |
