Un virus puede considerarse efectivo si, adem�s de extenderse lo m�s ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado varias t�cnicas de ocultamiento o sigilo. Para que estas t�cnicas sean efectivas, el virus debe estar residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La base principal del funcionamiento de los virus y de las t�cnicas de ocultamiento, adem�s de la condici�n de programas residentes, la intercepci�n de interrupciones. El DOS y los programas de aplicaci�n se comunican entre s� mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc. Y es aqu� donde el virus entra en acci�n, ya que puede sustituir alguna interrupci�n del DOS por una suya propia y as�, cuando un programa solicite un servicio de esa interrupci�n, recibir� el resultado que el virus determine.
Entre las t�cnicas m�s usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infecci�n del sistema. Los s�ntomas m�s claros del ataque de un virus los encontramos en el cambio de tama�o de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminuci�n de la memoria disponible.
Estos problemas son indicadores de la posible presencia de un virus, pero mediante la t�cnica stealth es muy f�cil (siempre que se encuentre residente el virus) devolver al sistema la informaci�n solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco de sistema totalmente limpio.
La autoencriptaci�n o self-encryption es una de las t�cnicas v�ricas m�s extendidas. En la actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su b�squeda. No obstante, todo virus encriptado posee una rutina de desencriptaci�n, rutina que es aprovechada por los antivirus para encontrar el origen de la infecci�n.
El mayor avance en t�cnicas de encriptaci�n viene dado por el polimorfismo. Gracias a �l un virus no s�lo es capaz de encriptarse sino que adem�s var�a la rutina empleada cada vez que infecta un fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta t�cnica el tradicional m�todo de b�squeda de cadenas caracter�sticas se muestra in�til.
Otra t�cnica b�sica de ocultamiento es la intercepci�n de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en el obtendr�amos el mensaje: "Error de protecci�n contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo que descubrir�amos el anormal funcionamiento de nuestro equipo. Por eso, al virus le basta con redireccionar la interrupci�n a una rutina propia que evita la salida de estos mensajes, consiguiendo as� pasar desapercibido. |
