Es un pequeño programa escrito intencionalmente para instalarse en el computador de un usuario sin el conocimiento o el permiso de este y con el propósito de causar daño. Decimos que es un programa parásito porque el programa ataca a los archivos o sector es de "booteo" y se replica a sí mismo para continuar su esparcimiento. Fue a finales de los años 60 cuando los trabajadores de los laboratorios Bell de AT&T Douglas McLlory, Victor Vysottsky y Robert Morris idearon un pequeño juego al que llamaron, haciendo referencia a la memoria del ordenador, Core War. Este pequeño pasatiempo, que más adelante se consideraría la primera referencia al virus informático, consistía en que sus dos jugadores debían escribir cada uno un programa, llamado organismo, cuyo hábitat fuera la memoria del ordenador. Tras una señal, cada programa debía intentar forzar al de su contrincante y efectuar una instrucción inválida, ganando el primero que lo consiguiera. El creador del primer software malintencionado tenía sólo 15 años, en 1982, cuando decidió autocopiar los disquetes de sus amigos en su ordenador Apple II sin la autorización de éstos. El joven, que ya era conocido por alterar el funcionamiento de diversos programas insertando pequeños poemas en ellos, consiguió hacerlo, esta vez, sin tocar directamente el ordenador de sus víctimas. El resultado de este primer programa dañino fue, pues, la visualización de este pequeño poema cada 50 veces que se encendía el PC: Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it's Cloner! Es dañino. Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que vaya a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador, disminución de la performance. Es auto reproductor. A nuestro parecer la característica más importante de este tipo de programas es la de crear copias de sí mismo, cosa que ningún otro programa convencional hace. Imagínense que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más. Consideramos ésta como una característica propia de virus porque los programas convencionales pueden causar daño, aunque sea accidental, sobrescribiendo algunas librerías y pueden estar ocultos a la vista del usuario, por ejemplo: un programita que se encargue de legitimar las copias de software que se instalan. Es subrepticio. Esto significa que utilizará varias técnicas para evitar que el usuario se dé cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos. Polimorfos Del sector de Arranque (Boot) Virus de Archivo: Acción Directa Sobreescritura Compañía Virus de Macros Virus .BAT Virus MIRC VIRUS POLIMORFOS O MUTANTES: Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora. En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus presente su característica de cambio de formas debe poseer algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría reconocer ese patrón. VIRUS DE SECTOR DE ARRANQUE (BOOT). Utilizan el sector de arranque, el cual contiene la informacion sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. Atodo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar tambien la tabla de particiones como ubicacion. Suelen quedar residentes en memoria al hacer cualquier operacion en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain. VIRUS DE ARCHIVOS. Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que estan en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el codigo del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continue de modo normal. El Viernes 13 es un ejemplar representativo de este grupo. Dentro de la categoria de virus de archivos podemos encontrar mas subdivisiones, como los siguientes: Virus de accion directa. Son auellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado. Virus de sobreescritura. Corrompen el achivo donde se ubican al sobreescribirlo. Virus de compañia. Aprovechan una caracteristica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extension el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extension COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicacion original. VIRUS DE MACRO. Es una familia de virus de reciente aparicion y gran expansion. Estos estan programas usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a traves de archivos MS-Word (DOC). En la actualidad esta tecnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen unicamente de la aplicacion. Hoy en dia son el tipo de virus que estan teniendo un mayor auge debido a que son facilies de programar y de distibuir a traves de Internet. Aun no existe una concienciacion del peligro que puede representar un simple documento de texto. Porcion de codigo de un tipico virus Macro: Sub MAIN DIM dlg As FileSaveAs GetCurValues dlg ToolsOptionsSave.GlobalDotPrompt=0 Ifcheckit(0)=0 Then MacroCopy FileName$() + ":autoopen", "global;autoopen" End If VIRUS BAT. Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a codigo maquina son <<comodines>> y no producen ningun efecto que altere el funcionamiento del virus. VIRUS DEL MIRC. Vienen a formar parte de la nueva generacion Internet y demuestra que la Red abre nuevas forma de infeccion. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini". Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el programa malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar una pista del problema y permitir la recuperación del mismo. Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes: 1. Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto). 2. Ingeniería social, mensajes como ejecute este programa y gane un premio, o, más comúnmente: Haz 2 clics y gana 2 tonos para móvil gratis.. 3. Entrada de información en discos de otros usuarios infectados. 4. Instalación de software modificado o de dudosa procedencia. En el sistema Windows puede darse el caso de que la computadora pueda infectarse sin ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003) por virus como Blaster, Sasser y sus variantes por el simple hecho de estar la máquina conectada a una red o a Internet. Fase 1. Infección: Virus pasa a la memoria Fase 2. Latencia: Virus se replica Fase 3. Activación: Ejecuta su poder destructivo Reducción del espacio libre en la memoria o disco duro. Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el código del virus. o Aparición de mensajes de error no comunes. o Fallos en la ejecución de programas. o Frecuentes caídas del sistema o Tiempos de carga mayores. o Las operaciones rutinarias se realizan con mas lentitud. o Aparición de programas residentes en memoria desconocidos. Actividad y comportamientos inusuales de la pantalla. Muchos de los virus eligen el sistema de vídeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus. El disco duro aparece con sectores en mal estado Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos. Cambios en las características de los ficheros ejecutables Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infección. Aparición de anomalías en el teclado Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programó el virus. Software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar un computadora o Sistema de información sin el consentimiento de su propietario. No obstante no se consideran virus pues no cumplen las dos condiciones fundamentales de éstos: 1. Debe ser capaz de ejecutarse a sí mismo. A menudo coloca su propio código en la ruta de ejecución de otro programa. 2. Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado. Los virus pueden infectar tanto equipos de escritorio como servidores de red. Entre el Malware considera erróneamente como virus informático tenemos: Gusanos: Los gusanos son programas que se replican a sí mismos de sistema a sistema sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga. Normalmente el gusano generará un documento que ya contendrá la macro del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el documento completo debe considerarse como gusano. PrettyPark.Worm es un buen ejemplo de gusano. Bombas Lógicas Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (trigger) que se dispare al cambiar la condición de trabajador activo del programador). Ejemplos de acciones ejecutadas por una bomba lógica: Borrar información del disco duro Mostrar un mensaje Reproducir una canción Enviar un correo electrónico Apagar el monitor Caballos de Troya: Un troyano no es de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus, consiste en su finalidad. Para que un programa sea un "troyano" sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo. Spyware: El spyware o programa espía es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono. Adware Un programa de clase adware es cualquier programa que automáticamente muestra publicidad web al usuario durante su instalación o durante su uso para generar lucro a sus autores. 'Ad' en la palabra 'adware' se refiere a 'advertisement' (anuncios) en idioma inglés. Dialers Se trata de un programa que marca un número de teléfono de tarificación especial usando el módem, estos NTA son números cuyo coste es superior al de una llamada nacional.capibara Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando pop-ups poco claros) como automáticamente. Los celulares, al igual que las computadoras y muchos otros aparatos electrónicos, utilizan un sistema operativo para interactuar con el usuario. Con la mejora de los teléfonos móviles, como la implantación de tecnología Bluetooth, cámaras, reproductores de audio, Internet, etc. se vio la necesidad de mejorar estos sistemas con el fin de explotar las posibilidades del mismo al máximo y simplificar su modo de uso. Como todos los tipos de sistemas operativos, además de realizar lo mencionado anteriormente lamentablemente también tienen ciertas vulnerabilidades que permiten su infección. En el año 2004 cuando aparecen códigos maliciosos, como el troyano Skulls el cual reduce la funcionalidad del aparato, haciendo posible usarlo únicamente para hacer llamadas telefónicas, y el gusano Cabir, el cual infecta a los teléfonos que operan bajo el sistema Symbian creado por un grupo de hackers de República Checa y Eslovaquia, se marca el nacimiento de los virus de celulares. Lamentablemente los programadores usan sus habilidades con malas intenciones otra vez… Los programadores han comenzado a escribir virus que afectan a los celulares con el sistema operativo Symbian Series 60, que está en muchos celulares modernos (Nokia, Samsung y Siemens). Debido a que la mayoría de estos códigos maliciosos utilizan una tecnología conocida como Bluetooth para viajar, la cual geográficamente está limitada a un radio de 30 metros a la redonda, su propagación todavía es muy limitada. Tal como hoy ocurre con las computadoras, el correo electrónico es una gran fuente de propagación de archivos maliciosos, que ya está disponible en el mundo de la telefonía móvil por lo que no es raro que en poco tiempo la cantidad de virus que afecten a los celulares sea mayor. Algunos de estos virus son:. El troyano Skulls: el cual reduce la funcionalidad del aparato haciendo posible usarlo únicamente para hacer llamadas telefónicas, este se ejecutan bajo el sistema operativo Symbian OS Series 60. El gusano Cabir: el cual infecta a los teléfonos que operan bajo el sistema Symbian, virus que afectan a los celulares con el sistema operativo, que está en muchos celulares modernos (Nokia, Samsung y Siemens). El Commwarrior: pueden propagarse vía el sistema de comunicaciones radiales de corta distancia Bluetooth que se encuentra en muchos de los teléfonos modernos también puede propagarse por medio de los sistemas de mensajería multimedia. Juego peligroso: Metalgear constituye otra de las variables identificadas. Este virus se presenta como el juego que le da nombre. Aunque su alcance es limitado, tiene aptitudes para desactivar la protección antivirus y colar en los terminales un segundo troyano denominado Sexxxy que se contagia a través de la tecnología bluetooth . Para la propagación, la distancia entre los celulares debe ser inferior a los diez metros. El virus derrochón: Su nombre es Mosqit y fue detectado en agosto del año 2004. Su llegada puede repercutir en el bolsillo ya que, al entrar en el sistema, se dedica a enviar mensajes cortos a números de alto coste, de manera totalmente descontrolada Infografía: http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico http://html.rincondelvago.com/virus-informaticos.html http://www.monografias.com/trabajos5/virusinf/virusinf.shtml http://www.tiposde.org/informatica/626-tipos-de-antivirus-de-computadora http://www.forospyware.com/t68351.html http://tecnologia.uncomo.com/articulo/como-nacieron-los-virus-informaticos-3558.html