Noticias de Ciencia y Tecnología de aunmas
Noticia Número 3
Aunmas_ciencia_003
08 Mar 2002
Juan Chamero, Editor Jefe de aunmas.com
Scientific American


¿Cómo trabaja un virus de computadora?

El software maligno viene en varios sabores, diferenciándose fundamentalmente por el método con que se propaga el mal. Las dos formas más invasivas son los virus y los gusanos. Un Profesor de ciencias explica cómo operan virus y gusanos.

El software maligno viene en varios sabores, diferenciándose fundamentalmente por el método con que se propaga el mal. Las dos formas más invasivas son los virus y los gusanos. El virus ataca a un programa de tal forma que cuando ese programa se ejecuta, suceden cosas "no programadas". Como los virus biológicos, no pueden vivir sin estar hospedados, en contraste con los gusanos, que son programas independientes que se reproducen sin necesidad de hospedarse en un programa existente. Dependiendo de la forma, un gusano puede propagarse sin accionar sobre las partes de las víctimas. La mayor parte de las formas malignas consisten de gusanos.

Virus: Tanto gusanos como virus requieren diferentes mecanismos de protección para poder propagarse. Un buscador de virus opera buscando las "firmas" de virus previamente clasificados. Una firma es una estructura característica de bits que aparece siempre en cada replica del virus. Puede consistir de una cadena de caracteres, tales como los mensajes que algunos virus despliegan sobre las pantallas de los monitores cuando son activados, o un código binario de computadora o incluso un BIT particular embebido en el virus. Estas firmas son identificadas por los técnicos de organizaciones especializadas en seguridad y luego puesto en la Web a disposición de la seguridad. Los buscadores de virus pueden entonces bajar las firmas para actualizar sus directorios internos de firmas de virus.

Aparecen tres complicaciones con éste esquema. La primera es que las firmas, si son mal seleccionadas, pueden llegar a aparecer en archivos no infectados. Por ejemplo, una firma que contenga la palabra "hola" no sería de utilidad. Gran parte del trabajo de los técnicos es encontrar firmas que solo correspondan a virus.

La Segunda complicación es que los creadores de virus no desean que sus virus sean detectados y por lo tanto se esmeran en una guerra de ocultamiento. Por ejemplo, muchos virus se almacenan a sí mismos en forma encriptada, variando la clave de encriptado a medida que viajan de forma tal que las firmas pueden ser distintas para cada máquina víctima. Los buscadores de virus pueden vencer a ésta técnica tratando de localizar la parte del virus que decodifica al virus (éste código debe ser necesariamente no encriptado) o duplicando la operación de desencriptado antes de realizar la búsqueda.

La tercera complicación tiene que ver con el rendimiento. Teóricamente, un virus puede atacar por sí mismo a cualquier programa ejecutable. En las computadoras actuales pueden haber de cientos a miles de tales programas potenciales huésped. Por ejemplo, los discos removibles y los disquetes son vectores comunes de virus, y por lo tanto deben ser revisados antes de ser insertados. En Windows, los programas en la carpeta Windows/system son vectores populares de virus y por lo tanto un programa de control de virus debe controlas siempre estos archivos. Además de la lista de firmas el "scanner" debe revisar también aquellos archivos que son susceptibles de ser infectados por virus.

Gusanos: A causa de que los gusanos son programas independientes, son en cierto modo más fáciles de detectar que los virus. Al ser independientes, deben residir en un archivo propio, en alguna parte del disco y deben ser construidos de forma tal que el computador los ejecute. Estas características, limitan los lugares donde pueden ubicarse y sus nombres. El scanner simplemente está habilitado para controlar los lugares conocidos y allí aplicar técnicas similares a la búsqueda de virus.

Los scanner actuales buscan también a los vectores de gusanos. Los gusanos se propagan fundamentalmente por e-mail y por lo tanto los scanner están preparados para controlar el e-mail entrante antes de ser entregado a los usuarios así como los mensajes salientes para asegurar que salgan libres de infección. Si se detecta un gusano, debe ser sacado del mensaje. Si el gusano está en un e-mail saliente, debe ser sacado del computador infectado.

Limpiar gusanos y virus es un proceso relativamente directo. Si un proveedor de software entrega un archivo infectado, debe reemplazarlo por una copia sana. Los archivos privados, usualmente no pueden ser reemplazados pero es posible borrar solo la parte infectada o sobrescribirla con material sano. Las listas de firmas del scanner deben ser capaces de indicar qué tipo de archivos son normalmente infectados por una pieza particular de software maligno y cómo proceder a limpiarlos. Los técnicos en seguridad son los que crean éstos procedimientos, normalmente al mismo tiempo que las firmas.


    NCyT  volver al índice
  Envía tu contribución Recomienda ésta página a un amigo