ACERCA DE LOS VIRUS ------------------- Para comenzar este capítulo se han incluido las siguientes definiciones, para no limitarse a tratar de encasillar en una sola definición las diferentes acciones que pueden realizar los virus. Un virus es un programa que es capaz de autoreproducirse, sin consentimiento del usuario, al iniciar el virus el proceso para copiarse, este proceso va a ser intencional; Es decir no va a ser un acto casual. Un virus es un programa que permanece oculto reproduciéndose hasta que se activa y comienza la etapa de ocasionar daños en la computadora. Un virus es el programa que se reproduzca o no, tiene como objetivo principal dañar a los datos que se encuentran en la computadora, lo cuál puede ser alternándolos o borrándolos. Es todo aquel programa que modifica maliciosamente a otro colocando una copia de sí mismo dentro del programa huésped. Un virus lo podemos definir, como un pequeño programa cuyo objetivo es perjudicar el funcionamiento de una computadora, por medio de las instrucciones con que fue programado. Estas son solo algunas de las muchas definiciones que se suelen asignar a los virus. Es importante señalar que las definiciones sobre virus pueden variar dependiendo del criterio de los expertos. Así en algunos casos varios expertos no consideran como virus a los caballos de troya, las bombas lógicas y a una gran gama de programa considerados como malware. Por otro lado, podemos enunciar otras fuentes de desarrollo de los virus como son las redes, el freeware y shareware, las BBS, y la aparición de programas sencillos de creación de virus. PROPIEDADES DE LOS VIRUS Además de la característica principal de estos programas, que es su facultad de duplicación, existen otras muchos características de los virus, como son los siguientes: I.Modifican el código ejecutable: Aquí aparece el adjetivo "contagio". Para que un virus contagie a otros programas ejecutables, debe ser capaz de alterar la organización del código del programa que va a infectar. II.Permanecen en la memoria de la computadora: Cuando un usuario, inocentemente, ejecuta en su computadora un programa con virus, este pasa a acomodarse en la memoria RAM. Esto lo hace para adueñarse de la computadora, y por así decirlo, tomar el mando. III.Se ejecutan involuntariamente: Un virus sin ejecutar es imposible que dañe nuestra computadora. En ese momento esta en reposo, en modo de espera, necesitando de alguien que por equivocación ejecute el programa "portador". IV.Funcionan igual que cualquier programa: Un virus, al ser un programa de computadora, se comporta como tal, a lo cual hay que dar gracias. Dicho programa necesita de alguien que lo ponga en funcionamiento, si no, es software inútil. V.Es nocivo para la computadora: Pero esto depende del virus con el que tratemos. Podemos encontrarnos programas que destruyen parcial o totalmente la información, o bien programas que tan solo concluyen en un mensaje continuo en pantalla, aunque al final muy molesto. VI.Se ocultan al usuario: Claramente, el programador del virus desea que el usuario no lo advierta durante el máximo tiempo posible, hasta que aparezca la señal de alarma en nuestra computadora. Conforme pasa el tiempo, los virus van desarrollando más y mejores técnicas de ocultamiento, pero también se van desarrollando los programas antivirus y de localización. Breve Historia del desarrollo de los virus Como primer antecedente al desarrollo de los virus en el año de 1949 John Von Newman escribe un artículo titulado "Theory and Organization of Complicated Automata". En este artículo habla de un programa capaz de reproducirse por sí mismo. Este bien puede ser el primer antecedente histórico de los virus. Sin embargo es a partir de finales de los años 50, en los laboratorios Bell, tres informáticos llamados H. Douglas Mcllroy, Victor Vysottky y Robert Moris inventan un juego llamado "CORE WARS", el cuál consiste en borrar programas para una computadora ficticia simulada. El objetivo es que los programas sobrevivan usando técnicas de ataque, ocultamiento y reproducción semejantes a los virus informáticos. John Shoch y John Hupp, investigadores del PARC (Palo Alto Research Center) de Xerox aseguran que ya en 1970 habían elaborado programas con ciertas técnicas virales de reproducción. Es también en 1970, en los inicios de Internet, en la red ARPANET, la red militar y universitaria, el investigador soltó un programa llamado "Creeper" el cuál se "arrastraba" por toda la red desplegando un mensaje. Entonces otro programador escribió un programa llamado "Reeper" el que tenia como objetivo reproducirse en la red para eliminar al "Creeper". Los primeros virus surgieron en el uso de redes; Pero es en el momento de que surgen las PC que es cuando se desata el boom de los virus. En 1981 apareció el programa "Elk Cloner" diseñado para las computadoras Apple II, el cuál al ejecutarse se duplicaba escribiendo en la pantalla un pequeño verso. En 1983 el "primer virus", o al menos el primero en recibir esa denominación, fue ideado en el mes de noviembre por Fred Cohen en un seminario sobre seguridad en computadoras, ahí fue donde realizó un experimento en una minicomputadora VAX 11/750, en el que un programa pudiera modificar a otros programas para incluir una copia (posiblemente evolucionada) de sí mismo. En enero de 1986 aparece el virus "Brain", que tiene su origen en Paquistán, este virus es considerado el primer virus para PC's con sistema operativo MS-DOS. En diciembre de 1986, durante una conferencia del Chaos Computer Club, Ralf Burger distribuye su programa VIRDEM, que era una demostración de la idea de un programa que se copiaba a sí mismo agregándose en los programas tipo .COM El 11 de diciembre de 1987 aparece el virus "Christmas Exec Mail Worm", que fue creado por un estudiante de Alemania Occidental y tenia como propósito servir de tarjeta navideña electrónica, pero el mensaje se reprodujo exponencialmente en una red de miles de mainframes IBM saturándolos y dejando inoperativa la red durante varias hoHay que mencionar que la mayoría de los ataques de virus en esa época surgen debido a que todavía los expertos juzgaban como un mito la existencia de los virus (incluyendo entre esos expertos a Peter Norton y John McAffe). El 2 de marzo de 1988 Aldus Corporation descubre que al menos 5000 copias de su programa Freehand para Macintosh fueron infectadas por un virus, registrándose así el primer caso de software comercial infectado por virus. En el mes de marzo de 1988 aparece él celebre virus "Ping-Pong". Aunque de vida breve debido a que solo funcionaba en computadoras 8088 y 8086. También en 1988 surgen dos de los virus más peligrosos de ese tiempo: el virus "Jerusalem" que se activa en el 40 aniversario de la fundación de Israel y el virus "Stoned". El 2 de noviembre se registra el ataque más grande causado por un "gusano", Robert T. Morris Jr. hijo de un experto en seguridad Unix , aprovecha los agujeros de seguridad para afectar a 6000 computadoras VAX y Sun de universidades, centros militares y corporaciones, utilizando un programa llamado "Internet Worm", el cuál saturó a las computadoras reproduciéndose masivamente. En 1989 aparece el virus "Dark Avenger", originario de Bulgaria. También en ese año se distribuye un caballo de Troya a través de 10000 copias incluidas en un paquete de información sobre el SIDA. El 6 de marzo de 1992 el virus "Michelangelo" ataca por primera vez, aunque hay que mencionar que también recibió bastante publicidad a través de los medios de comunicación. En 1994 surge el virus "Natas", del que se piensa es originario de México, debido a la gran cantidad de casos que se presentaron. Para finalizar a finales de 1995 surgen los primeros macrovirus que se caracterizan por infectar documentos de Word, sin importar si es en plataforma PC o Macintosh. Mitos más comunes sobre virus A continuación se explican algunos de los muchos mitos que existen sobre los virus, y que a fuerza de rumores y malas interpretaciones, la mayoría de las personas acaban aceptándolos: Mito: ¡Los hackers escriben la mayoría de los virus! Hechos : En efecto los hackers han creado y liberado virus, así como también ciertas revistas de computación. De acuerdo con boletines y publicaciones militares el Departamento de Defensa de los Estados Unidos crea virus para utilizarlos como armas. Hay que recordar que los caballos de troya se utilizaron mucho antes que surgieran los actuales virus. No se debe temer a los hackers sólo porque algunos de ellos tienen la capacidad de crear y liberar virus. Se debe temer a la gente que aprovechando su conocimiento lo utiliza para dañar a los demás (léase cracker y demás fauna nociva). Se debe tener cuidado con la manipulación de los medios masivos de comunicación, que la mayoría de las veces hablan sin conocimiento profundo del tema (Esta manipulación es la que ha deformado el término Hacker). Mito "¡Los virus se pueden ocultarse dentro de un archivo de datos o en el correo electrónico o incluso dentro del texto de una página web! Hechos : Hay que ser realistas, actualmente es difícil definir que es exactamente un archivo de datos, por ejemplo dentro de esa categoría estarían los archivos *.EXE, los archivos *.BAT que en el caso de las PC son solamente archivos de texto, pero que el sistema operativo DOS los trata de igual que a un programa. Un documento de Word sólo va a contener datos que el usuario estuvo capturando con el mismo programa; Pero una plantilla de Word puede ser peligrosa, debido a que puede ocultar macros auto ejecutables sumamente peligrosas. Desde luego que un mensaje de correo electrónico puede ser peligroso porque puede contener al usar la opción de attachment un archivo de Word o de Excel que puede venir infectado con virus de macros y dañen seriamente a la computadora. En cuanto a que la computadora se infecte con el sólo hecho de accesar a una página Web en Internet, es más que imposible. La página Web no va a tener ningún tipo de virus, pero algo muy diferente son los archivos a los que se puede tener acceso mediante la misma página, los cuáles si se utilizan sin ningún tipo de precaución pueden traer consecuencias trágicas a la computadora. Lo anterior suele suceder debido a que usuarios llegan a sitios en Internetque están diseñados para "asustar" al usuario que navegue en ese momento y vea el documento amenazándolo que al momento en que lo esta leyendo su máquina va a comenzar a infectarse. Afortunadamente este tipo de sitios son muy raros, pero para el usuario que llega a estos lugares sin ningún conocimiento, resulta en un verdadero ataque de pánico, debido a que realmente se lo creen. Otro causante de esta falsa creencia, son los mensajes falsos advirtiéndonos sobre un nuevo tipo de virus y que por lo general dan la apariencia de ser mensajes confiables. Para prevenir todos los contratiempos anteriores, el mejor remedio es estar bien informado, lo cuál se consigue contactado al proveedor de Internet que nos atiende, al administrador de redes de la institución a la que pertenezca o incluso hasta en Internet, que a pesar de todo cuenta con sitios con información muy seria y actualizada constantemente. Mito ¡Algunos virus pueden ocultarse de todos los programas antivirus, haciéndose verdaderamente indetectables! Es irónico, pero las compañías de programas antivirus han contribuido a alimentar este mito, debido varias de las veces a publicidad que dan a sus productos, anunciando que su producto es el único capaz de detectar y remover al virus X. Hechos: Muchos de los virus utilizan una "firma", es decir, una serie de instrucciones que lo identifican y le marcan los pasos a seguir para que pueda realizar la infección, sin embargo, también le sirven al programa antivirus para identificarlo y eliminarlo. A pesar de que existen varias técnicas muy complejas de ocultamiento que utilizan los virus, solo es cuestión de tiempo para que los programadores de las compañías antivirus puedan realizan los cálculos para lograr el algoritmo adecuado que les lleve de nuevo a ubicar la "firma" del virus. En el caso de los virus de macros, en algunas ocasiones tienen la capacidad de ocultarse del usuario que intente localizarlos desde la barra de Herramientas en el submenú de macros. Pero a pesar de esto con la vacuna adecuada, de muy poco sirve este tipo de ocultamiento. Mito: ¡Las propias compañías antivirus escriben y/o distribuyen los virus! Hechos : A pesar de que es un rumor que circula desde hace mucho tiempo en Internet y pudiera sonar bastante lógico, En la realidad esto no ocurre, debido a que el principal argumento para esto es el siguiente: Las compañías antivirus no necesitan escribir o distribuir virus para incrementar sus ventas. Y no lo necesitan debido a la gran cantidad de gente alrededor del mundo que se encarga de diseminar los virus (junto con los que se dedican a crearlos). Las compañías antivirus lo único que hacen es sólo invertir en investigación, desarrollo y publicidad de sus productos (sin mencionar el negocio de las actualizaciones). Hackers, Crackers, etc ... Al abordar el tema de virus, es necesario mencionar a sus creadores, en este caso a los programadores de este tipo de programas se les va a conocer con los siguientes nombres: Hacker.- Son personas expertas en el manejo de la computadora, en el uso del sistema UNIX, y en uno o varios lenguajes de programación, especialmente en lenguaje ensamblador. El concepto con el que un hacker se define, es el de una persona que busca a toda costa el conocimiento, valiéndose para este propósito de la computadora. Sus actividades principales son las de introducirse y burlar la seguridad en alguna red de computadoras, dedicándose a " echar una ojeada" en la información que encuentre en el lugar. Por lo general al accesar a una red, el hacker va a tratar de que su presencia pase inadvertida, debido a que, si se le detecta perdería el acceso a la red.Cracker.- Es el caso opuesto al hacker, debido a que va a tener como propósito principal el ocasionar la mayor cantidad de daños en la red a la que logre accesar. Se dedica a la creación de programas que le van a ayudar a su actividad (programas para romper contraseñas, bombas lógicas, caballos de troya y desde luego virus). Sin embargo hay que señalar que en la práctica es muy difícil establecer el limite entre hacker y cracker, lo cuál se debe a que ambos tienen la capacidad para crear el caos o canalizar su conocimiento para el bien común. Phreacker.- Aunque esta persona en vez de utilizar una computadora, utiliza la línea telefónica para realizar llamadas sin que tenga que pagar nada (sin embargo los daños que pueda llegar a causar dependen de cuanta habilidad tenga). A pesar de que a primera vista pudiéramos juzgar a este tipo de programadores como los únicos responsables. En la realidad, suelen ser más peligrosos la gran mayoría de usuarios, quienes no por maldad, sino por falta de información y conocimientos suelen causar más daños en los equipos. Desarrollo del fenómeno virus En los últimos años, el área informática ha experimentado un vertiginoso crecimiento, y con esto, los programas que las compañías distribuyen, que cada vez alcanzan antes el periodo de madurez. Hace algunos años, los usuarios comenzaron a grabar los programas, debido al alto precio de los mismos, lo que llevo a los programadores de virus a encontrar el principal modo de distribución. "Virus" de Red Los siguientes programas no son exactamente virus, pero son los más comunes de encontrar al entrar a una red, son originarios en su mayoría del sistema UNIX. El UNIX es un sistema operativo de red. Esto significa que existe la posibilidad de ser atacado por algún tipo de "conejo" y/o "gusano", donde se encuentran los siguientes riesgos. Conejo : Este programa tiene como objetivo principal el reproducirse en una red. En una red las distintas órdenes como son: el uso de correo, compilación de programas, mandar a imprimir documentos, etc., son actividades de lo más normal que se van ejecutando conforme a un orden determinado, a esto se le conoce como "cola". El peligro surge cuando de esa cola alguien puso un programa conejo, que en cuanto le toque su turno de ejecutarse es cuando va a comenzar a multiplicarse. Una vez realizada su acción la mayoría de las veces se destruyen a sí mismo. Gusano: Podemos definir de esta manera a aquellos programas que se desplazan por la memoria de una manera independiente, es decir, sin tener que acogerse a otros programas como el virus. Cuando dicho gusano encuentra zonas de memoria desocupadas, las ocupa con el fin de poder realizar copias sucesivas de sí mismo. Solo se va a reproducir si es necesario para el trabajo que fueron diseñados. Van viajar a través de una red para conseguir información (claves, documentos, direcciones, etc.); también suelen dejar mensajes de tipo burlón. Una vez realizada su acción la mayoría de las veces se destruyen a sí mismo. Leapfrog : Es un programa parecido al gusano que a partir de una serie de datos conocidos, como por ejemplo la clave de acceso a una cuenta y el nombre de un usuario, se va a dedicar a reunir información reservada. Máscara : Este programa asume la identidad de un usuario autorizado y realiza las mismas operaciones que el Leapfrog. Mockinbird : El programa va a esperar en un sistema de forma latente interceptando las comunicaciones el proceso de logon o entrada. En ese momento entra a la cuenta y comienza a actuar sin interrumpir las operaciones lícitas que el usuario realice en la cuenta. Tipos de virus (según infección) Aunque existen muchas formas de clasificar los virus (edad, procedencia, peligro, etc.), nosotros los vamos a clasificar según el modo de ataque, es decir, según la forma en que nos infectan. El principal medio difusor de virus es sin duda alguna el disquete, aunque también destacan otras formas de contagio como via módem, redes o ROMs contaminadas : INFECCION POR EJECUCION DE PROGRAMA El primer virus que se recuerda que infectó el ejecutar un programa fue el virus "Viernes 13". Tras ejecutar un archivo infectado con este virus, pasaba a quedarse residente en memoria, infectando posteriormente a todos los archivos *.COM o *.EXE que se ejecutaban. Finalmente, en los días viernes y trece, borraba todos los archivos ejecutados. Son capaces de modificar los archivos con diversas extensiones (exe,bat,etc.). El contagio de un virus de este tipo hace "engordar", por así decirlo, el programa infectado, pues el virus pasa a formar parte de él. Cuando se ejecuta un programa contaminado, el virus toma el control y se instala, como siempre hemos visto que suele hacer, en la memoria RAM de la computadora. A partir de este momento, el virus esta completamente preparado para hacer de residente en un programa, e ir expandiéndose poco a poco a los demás programas de la computadora. INFECCION POR VIRUS BOOT Y MASTER BOOT RECORD El primer virus conocido de estas características fue el de la "pelotita", también conocido como "Ping-Pong", que se encontraba en el BOOT de los disquetes infectados. Al arrancar la computadora desde un diskette infectado, tuviera o no sistema operativo, el virus infectaba mediante rutinas BIOS el BOOT del disco duro, de forma que no tenía necesidad de cargar el DOS. De esta forma, cuando se realizasen futuros arranques desde el disco duro de la computadora, el virus pasaría a quedarse residente en memoria para infectar todo disquete (desprotegido contra escritura) que se leyera de la unidad de diskette. Además, en el monitor aparecía una molesta pelotita que comenzaba a moverse por toda la pantalla. Tipos de virus (según mecanismo) Otra clasificación posible de los virus es según su mecánica o propiedades. Así, nos encontramos con cinco posibles tipos de virus: VIRUS QUE INFECTAN EL SECTOR BOOT Aquí nos encontramos con aquellos virus que infectan el sector boot del diskette. Estos virus, en la mayoría de los casos, también infectan la tabla de partición o el sector boot del disco duro Se clasifican dentro de este apartado, aquellos virus que son capaces de variar o reemplazar el sector de arranque de un disco duro, como objetivo final del contagio. Dicho programa desplaza la versión original del sector de arranque, llevando a la imposibilidad de sobreescritura en dicho sector alterado. Tales sectores se le aparecerán al usuario como en mal estado o inútiles. Los virus de este tipo, se almacenan en la memoria RAM de la computadora, y se ejecutan cada vez que el usuario encienda la computadora. Virus que infectan el sector boot AirCop, Alameda, Anti-Tel, AntiCMOS, AntiEXE, Aragon, Ashar, Azusa, Bloody!, Boot Killer Brain, Cannabis, Cansu, Catman, Changu, Mangu, Chaos, Curse Boot, Den Zuk,Disk Killer, EDV Evil, Empire, Exebug, Filler, Fish Boot, FORM-Virus, Guillon, HiDos, Horse, Boot, Inky, Joshi Keydrop, Korea, Loa, Duong, LZRQ, Mardi Bros, Max, Michelangelo, Microbes, Monkey Mugshot, MusicBug, NoInt, NYB, Ohio, Parity Boot, Pentagon, Ping Pong, Print, Screen, Queens, Quick, Ripper, Stealth, Boot.C, Stoned, Swap, Swedish, Disaster, Tony, Boot, Windmill World, Peace, WXYC. Virus de tabla de partición Este tipo de virus, altera la oportunidad que el sistema operativo DOS da a cada usuario, de dividir el disco duro en partes, llamadas particiones. Resulta muy poco común encontrar un virus de este tipo totalmente, pues para ello el mecanismo de infección de este se realizaría de tabla de partición de un disco duro, a tabla de partición de otro disco duro. Podría darse, en sistemas de redes locales, es decir, en sistemas de computadoras ampliamente intercomunicadas. VIRUS MULTIPARTES Aquí se engloban aquellos virus que infectan dos o más tipos de componentes del sistema. Usualmente estos virus infectan tanto archivo *.COM y/o *.EXE como sectores boot y/o la tabla de partición del disco duro. VIRUS POLIMORFICOS Los virus polimórficos son aquellos que emplean un complejo sistema de encriptación para dificultar su detección con productos antivirus. Para ello hacen uso de tecnología de escaneo usado por los antivirus. Así, a partir de un virus "padre" pueden crearse multitud de virus "hijos" todos ellos diferentes entre sí, ya que cada uno de ellos se reencripta a partir del virus anterior. VIRUS STEALTH Los virus stealth y substealth son aquellos que emplean mecanismos de ocultamiento y engaño para dificultar su detección y eliminación. Estos mecanismos pueden ser dir-stealth (ocultamiento del archivo), mem-stealth (ocultamiento del virus en memoria), long-stealth (ocultamiento del incremento de longitud del archivo infectado), etc. Virus imposibles de limpiar Los siguientes virus han sido catalogados como 'imposibles de limpiar', ya que sobreescriben los archivos que infectan. La única forma de eliminación posible es mediante el borrado del archivo infectado: AB Abraxas.1170 Abraxas.1171 Abraxas.1200 Abraxas.1214 Abraxas.1304 Abraxas.1508 Abraxas.1518 Arjworm Assassin.952 Assassin.959 Atomic.371 Atomic.480 Belorussia BloodLust Budo.1000 Budo.890 Burger.1310 Burger.382.A Burger.382.B Burger.382.C Burger.398 Burger.405.A Burger.405.B Burger.405.C Burger.405.D Burger.405.E Burger.405.F Burger.441.A Burger.441.B Burger.441.C Burger.498 Burger.505.A Burger.505.B Burger.505.C Burger.505.D Burger.505.E Burger.505.F Burger.505.G Burger.505.H Burger.505.I Burger.505.J Burger.505.K Burger.505.L Burger.505.M Burger.505.N Burger.509 Burger.512.A Burger.512.B Burger.536 Burger.542 Burger.560.A Burger.560.AA Burger.560.AB Burger.560.AC Burger.560.AD Burger.560.AE Burger.560.AF Burger.560.AG Burger.560.AH Burger.560.AI Burger.560.AJ Burger.560.AK Burger.560.AL Burger.560.AM Burger.560.AN Burger.560.AO Burger.560.AP Burger.560.AQ Burger.560.AR Burger.560.AS Burger.560.AT Burger.560.AU Burger.560.AV Burger.560.AW Burger.560.AX Burger.560.AY Burger.560.AZ Burger.560.B Burger.560.BA Burger.560.C Burger.560.D Burger.560.E Burger.560.F Burger.560.G Burger.560.H Burger.560.I Burger.560.J Burger.560.K Burger.560.L Burger.560.Liquid Burger.560.M Burger.560.P Burger.560.Q Burger.560.R Burger.560.S Burger.560.V Burger.560.W Burger.560.X Burger.560.Y Burger.Pirate Burma.442.A Burma.442.B Burma.442.C Burma.442.D Burma.563 Burma.756 Consumed Cop-com.286 Cop-com.287 Copyprot Crazy_Lord Darth_Vader.253 Deicide.665 Deicide.666.A Deicide.666.B Deicide.666.C Demand.666.A Demand.666.B Demand.789.A Demand.789.B Dev_X DS EICAR-test EVC ExeError Fasolo.149 Fasolo.176 FCB Fkiller Fone Genvir.1376 Genvir.Wednesday Grob Grog.1207 Grog.456 Grog.557 Grog.Aver_Torto Grog.Bruchetto Grog.Delirious Grog.Enmity_1_0 Grog.Enmity_2_0 Grog.Enmity_2_1 Grog.Hop Grog.Il_Mostro Grog.Sempre Grog.Trumpery Gyro HLLO.17690 HLLO.3008 HLLO.3521 HLLO.3800 HLLO.3816 HLLO.3853 HLLO.4032.A HLLO.4032.B HLLO.4096 HLLO.41714 HLLO.4240 HLLO.4340 HLLO.4372 HLLO.4505.A HLLO.4505.B HLLO.4742 HLLO.4778 HLLO.4870.A HLLO.4870.B HLLO.4870.C HLLO.5760 HLLO.7227 HLLO.7392 HLLO.8000 HLLO.8608 HLLO.Black_Crypt HLLO.Cvirus_1.9 HLLO.Cvirus_2.0 HLLO.DisDev HLLO.Dozen HLLO.Gov HLLO.Harakiri.A HLLO.Harakiri.B HLLO.Hepatitu HLLO.Honi HLLO.Joker.B HLLO.Mission HLLO.Novademo.A HLLO.Novademo.B HLLO.Ondra HLLO.Orion HLLO.RUW HLLO.Shadowgard HLLO.Tyst HLLO.Virms HLLO.Warm HLLO.Wonder Hot IVP.200 IVP.365 IVP.374 IVP.478 IVP.Faulkner Itti.161 Itti.162 Itti.99.A Itti.99.B Itti.Malmsey Itti.Toxic Jasmine Jedina KI Knight Kode_4_Over.129 Kode_4_Over.131 Kuz Leprosy.1306 Leprosy.321 Leprosy.350 Leprosy.370 Leprosy.47857.A Leprosy.47857.B Leprosy.5120 Leprosy.5370.A Leprosy.5370.B Leprosy.551 Leprosy.5600 Leprosy.573 Leprosy.579 Leprosy.591 Leprosy.664.A Leprosy.664.B Leprosy.666.B Leprosy.666.F Leprosy.666.H Leprosy.666.I Leprosy.666.I Leprosy.666.J Leprosy.666.K Leprosy.666.L Leprosy.666.M Leprosy.666.N Leprosy.666.N Leprosy.666.O Leprosy.666.P Leprosy.666.Q Leprosy.999 Leprosy.A Leprosy.Anarchy.469 Leprosy.AoD Leprosy.BadCommand Leprosy.Bad_Brains.554.A Leprosy.Bad_Brains.554.B Leprosy.Bad_Brains.570 Leprosy.Busted.570 Leprosy.Busted.571 Leprosy.Busted.572 Leprosy.Clinton Leprosy.Crawler Leprosy.Fratricide Leprosy.FVHS Leprosy.G Leprosy.Loard Leprosy.Lubec Leprosy.Merci Leprosy.Sandra Leprosy.Scribble Leprosy.Seneca.381 Leprosy.Seneca.392 Leprosy.Seneca.483 Leprosy.Seneca.493 Leprosy.Silver_Dollar Leprosy.Silver_Dollar.1547 Leprosy.Silver_Dollar.1644 Leprosy.Silver_Dollar.1874 Leprosy.Silver_Dollar.736 Leprosy.Silver_Dollar.8101 Leprosy.Skism.1818 Leprosy.Skism.1992.A Leprosy.Skism.1992.B Leprosy.Skism.808.A Leprosy.Skism.808.B Leprosy.Skism.808.C Leprosy.Skism.808.D Leprosy.Skism.808.E Leprosy.Skism.814 Leprosy.Skism.827 Leprosy.Skism.907 Leprosy.Surfer Leprosy.Tazmanian.1973 Leprosy.Tazmanian.2197 Leprosy.Tazmanian.2209 Leprosy.Tazmanian.2276 Leprosy.Viper Leprosy.Wake Leprosy.Xabaras Leprosy.YH.880 Lockjaw.Flagyll.316 Lockjaw.Flagyll.318 Lockjaw.Flagyll.369 Lockjaw.Flagyll.371 Marked-X.354 Marked-X.355 Material Milan.AntiNazi Milan.BadGuy Milan.BillMe Milan.Demon.270 Milan.Demon.272 Milan.Exterminator.429 Milan.Exterminator.451 Milan.Naziskin.270 Milan.Naziskin.335 Milan.Naziskin.903 Milan.New_BadGuy Milan.Sabrina Milan.Verbatim Milan.Vivisex Milan.WWT.125.A Milan.WWT.125.B Milan.WWT.125.C Milan.WWT.125.D Milan.WWT.67.A Milan.WWT.67.B Milan.WWT.67.C Minimax Morrison MSK.272 MSK.284 Nanite Naught.712 Naught.865 Necro.A Necro.B Necropolis.D Nice_Boy.A Nice_Boy.B No_Party Number_1.A Number_1.AIDS.A Number_1.AIDS.B Number_1.C Number_1.D Number_1.E Number_1.fiis Number_1.Plutonium Number_1.Sman Ooops Orchid.120 Over1644 Peace PHB.4315 Quasar.523 Radish.8444 Radish.8466 Rauser.164.B Raving Rigor.373 Rigor.425 Rush_Hour.A Rush_Hour.B Rush_Hour.C Rush_Hour.D Rush_Hour.E Sandra.1356 Sandra.1809 SHHS.585 SHHS.591 SHHS.600 SillyOR.101 SillyOR.102 SillyOR.107 SillyOR.109 SillyOR.112 SillyOR.131 SillyOR.60 SillyOR.66 SillyOR.68 SillyOR.69 SillyOR.74 SillyOR.76 SillyOR.77 SillyOR.88 SillyOR.94 SillyOR.97 SillyOR.98 SillyOR.99 Simple_Minded.123 Simple_Minded.128 Simple_Minded.207 Slugger Stranger Su Sum Suriv_1.Lunch Syrian.241 Syrian.412 Terminator.918 TheDraw Trivial.100 Trivial.102 Trivial.127 Trivial.146 Trivial.157 Trivial.177 Trivial.178 Trivial.22 Trivial.23 Trivial.24 Trivial.25.A Trivial.25.B Trivial.25.C Trivial.26.A Trivial.26.B Trivial.26.C Trivial.27.A Trivial.27.B Trivial.27.C Trivial.27.D Trivial.27.E Trivial.28.A Trivial.28.B Trivial.28.C Trivial.29.A Trivial.29.B Trivial.29.C Trivial.29.D Trivial.29.E Trivial.30.A Trivial.30.B Trivial.30.C Trivial.30.D Trivial.30.E Trivial.30.F Trivial.30.G Trivial.30.H Trivial.30.I Trivial.31.A Trivial.31.B Trivial.31.C Trivial.32.A Trivial.32.B Trivial.32.C Trivial.33.A Trivial.33.B Trivial.34 Trivial.342 Trivial.346 Trivial.35 Trivial.36.A Trivial.36.B Trivial.36.C Trivial.36.D Trivial.37.A Trivial.37.B Trivial.38.A Trivial.38.B Trivial.39.A Trivial.39.B Trivial.39.C Trivial.40.A Trivial.40.B Trivial.40.C Trivial.40.D Trivial.40.E Trivial.40.F Trivial.40.G Trivial.42 Trivial.42.B Trivial.42.D Trivial.42.E Trivial.42.F Trivial.42.G Trivial.42.H Trivial.42.H Trivial.43.A Trivial.43.B Trivial.43.C Trivial.43.D Trivial.44.A Trivial.44.B Trivial.44.C Trivial.44.D Trivial.44.E Trivial.45.A Trivial.45.B Trivial.45.C Trivial.45.D Trivial.45.E Trivial.45.F Trivial.46.A Trivial.46.B Trivial.50.A Trivial.50.B Trivial.54 Trivial.64 Trivial.66 Trivial.68 Trivial.75 Trivial.81 Trivial.81 Trivial.82 Trivial.84 Trivial.85 Trivial.89 Trivial.90 Trivial.92 Trivial.97.A Trivial.97.B Trivial.Ansibomb Trivial.B&B Trivial.Banana.A Trivial.Banana.B Trivial.Banana.C Trivial.Banana.D Trivial.Banana.E Trivial.Banana.F Trivial.Banana.G Trivial.Banana.H Trivial.Banana.I Trivial.Banana.J Trivial.Banana.K Trivial.Banana.L Trivial.Civil_War Trivial.Diddler Trivial.Explode Trivial.FTW.101 Trivial.FTW.192 Trivial.Hanger Trivial.Hastings Trivial.Infernal Trivial.Lame.173 Trivial.Lame.98 Trivial.LSD Trivial.NKOTB Trivial.Tom Trivial.Vootie.A Trivial.Vootie.B Trivial.Vsafe Trivial.Wolverine Twisted VCL.1297 VCL.288 VCL.302 VCL.347 VCL.356 VCL.386 VCL.394 VCL.409 VCL.418 VCL.457 VCL.457 VCL.481 VCL.509 VCL.526 VCL.527 VCL.541 VCL.663 VCL.Butthole VCL.Cockroach VCL.Divide.546 VCL.Divide.554 VCL.Fire VCL.Jam VCL.Lock_Up VCL.Mindless.423.A VCL.Mindless.423.B VCL.Mindless.423.C VCL.Mindless.423.D VCL.Mindless.423.E VCL.Mindless.423.F VCL.Mindless.423.G VCL.Mindless.423.H VCL.Mindless.429 VCL.Monet.267 VCL.Monet.466 VCL.Muu VCL.Necro.EXE.A VCL.Necro.EXE.B VCL.PopooLar VCL.Richard's_Trojan VCL.Viral_Messiah.702 VCL.Viral_Messiah.703 VCL.Viral_Messiah.705 VCL.VoCo Vengence.A Vengence.B Vengence.C Vengence.D Vengence.E.610 Vengence.E.639 Vengence.F Viruz Wonder Yukon Zero-to-O.A Zero-to-O.B Zero-to-O.C ZigZag.127 ZigZag.232 _127 _1792 OTROS TIPOS DE VIRUS Caballo de Troya: La característica esencial de estos programas es la carencia del factor de autoréplica, ejecutando su código maligno solo cuando se ejecuta el programa que lo porta(caballo de troya). De esta manera, es un programa creado para ofrecer al usuario una apariencia inofensiva, pero escondiendo un módulo capaz de destruir información Bomba Lógica: Dichos programas se caracterizan por estar ocultos al usuario, en modo de espera, hasta que llega un plazo determinado, que es cuando se ejecutan. Hasta entonces, el usuario no notaba absolutamente nada extraño en la computadora. Un ejemplo típico de estos programas es el "Viernes 13", que se ejecuta tal fecha, hasta lo cual, lo único que hace es ocupar una pequeña porción de memoria. Virus de Windows 95: Con la aparición de Windows 95 surgió el virus BOZA que es el primer virus diseñado específicamente a Windows 95. Sin embargo su diseminación ha sido muy lenta y ha sido rebasado por la mayoría de los virus normales como, por ejemplo el virus BYWAY en cuanto a expandirse. Virus de macros (macrovirus): Estos, a diferencia del "BOZA", son una nueva generación que ha incursionado con bastante éxito, afectando principalmente a los usuario de WORD y EXCEL. En el capítulo 5 se detalla a fondo como funcionan. TECNICAS DE OCULTAMIENTO La condición de permanecer oculto al usuario, durante un cierto periodo de tiempo, mientras se realiza el mayor numero posible de copias, la llevan a cabo los virus mediante una serie de técnicas de ocultamiento, que denominamos como técnicas stealth. Cuanto más precisas y avanzadas sean las técnicas que utilice cada virus, más tiempo permanecerá escondido a los ojos del usuario. Normalmente, dichas técnicas son programadas mediante dos procesos diferentes: Intercepción de interrupciones: Todas las aplicaciones que se ejecutan bajo DOS, utilizan una serie de interrupciones para comunicarse con el sistema operativo, y solicitar ciertas acciones necesarias del mismo. Si por cualquier causa un virus sustituye cualquier interrupción, cualquier solicitud que cualquier programa haga de la misma, puede ser redireccionada por este, y así llevar a cabo su función. Encriptación del código del virus: Dicha técnica persigue que el virus aparezca diferente en cada una de las infecciones que lleve a cabo. De esta manera, dos infecciones de un virus que utiliza la encriptación del código, solo serán iguales si utiliza la misma clave de encriptación. La única forma de detección común es identificar el algoritmo de mutación que ha realizado el virus. Las técnicas más interesantes de ocultamiento de los virus, son las técnicas avanzadas, y por ello van a ser las tratadas a continuación. Cabe destacar que los virus también pueden no tener técnicas, o tenerlas básicas o medias. Principalmente, las técnicas avanzadas constan de cuatro posibles acciones, que son las siguientes: A.Localización de un antivirus: Existen virus residentes en memoria que analizan los diferentes programas, buscando programas antivirus. Si localizan alguno de ellos, el virus automáticamente desinfecta los archivos infectados, y aparentemente sale de la memoria. De esta manera, el programa pernicioso enseña al usuario los archivos tal y como estarían normalmente, sin su presencia. B.Intercepción de arranques en caliente: Las técnicas avanzadas de un virus pueden incluso simular un arranque en caliente (llamamos así al típico ctrl-alt-supr), sin abandonar la memoria RAM. C.Utilización de algoritmos de encriptación: Esta técnica de los virus persigue evitar la localización de asignaturas que realizan los programas de detección de virus, cuando son ejecutados. Grabación aleatoria de rutinas no significativas: Los programadores expertos, usan dicha técnica con las rutinas no significativas de los virus en su proceso de infección. Reglas de oro en la lucha antivirus A continuación se detallan una serie de reglas en la lucha antivirus: 1.Proteger siempre que sea posible los disquetes contra escritura. 2.Utilizar frecuentemente programas residentes antivirus, tanto vacunas (programas que detectan virus) como protectores BIOS (programas que detectan acciones de los virus, como por ejemplo formateos, intentos de quedarse residentes,...) 3.Una vez detectado un virus, proceder lo más rápidamente posible a su eliminación, sin perder para ello la calma. 4.Verificar la 'limpieza' de todo software nuevo. 5.Actualizar los detectores antivirus periódicamente, a ser posible una vez cada mes, ya que continuamente aparecen virus nuevos. 6.Utilizar opciones de búsqueda de virus tales que busquen tanto en RAM como en todo los archivos, ya que hay virus que infectan archivos no ejecutable (o al menos no aparentemente). 7.Realizar periódicamente escaneos al disco duro. 8.Realizar periódicamente copias de seguridad de la información vital de nuestro disco duro y de la información más importante. 9.Proceder en caso de detección de virus en un disco duro a un examen de disquetes, ya que probablemente más de uno haya sido infectado desde la infección del disco duro hasta su detección. 10.No arrancar nunca una computadora con un disquete en la disquetera, ya que el BOOT de los disquetes es uno de los principales medios de transporte de los virus. 11.No confiarse JAMAS. Una "vacuna" es un programa que se utiliza para eliminar o tratar de evitar los virus. A pesar del nombre de "vacuna", hay que tener muy en cuenta que no hay vacuna 100% segura (y que desde luego no funcionan igual que las vacunas biológicas, como la de la polio, etc.). Las vacunas a pesar de lo que aseguran la gran mayoría de fabricantes, no son perfectas, esto se debe a que no detectan todos los virus. Es cierto que se anuncian con la capacidad de detectar virus nuevos, pero, solo va a proteger contra ciertos tipos de nuevos virus que utilizan un método genérico de infección, ya conocido. O detectan operaciones inusuales o cosas extrañas como cambios a programas. Hay que tomar en cuentan que también surgen nuevos métodos de infección Tipos de vacunas Escaneo de Firmas La gran mayoría de los programas antivirus funcionan detectando "firmas". Revisan los programas para localizar una secuencia de instrucciones que son únicas para ese virus. Es decir que lo identifican. Chequeo de Integridad Otro método es el de detección de cambios a programas por medio de algún como el CRC (Cyclic Redundancy Check) Chequeo de Redundancia Cíclica. En donde se toman las instrucciones de un programa como si fuesen datos y se hace un cálculo, se graban los resultados y posteriormente se revisa si el programa fue alterado (posiblemente por algún virus) recalculando y comparando contra el CRC. Monitoreo Otro método es interceptar y bloquear instrucciones sospechosas o riesgosas, tales como cuando un programa pide cargarse en memoria y permanecer residente, grabar en disco directamente (sin intermedio del sistema operativo), alterar áreas del sector de arranque o modificar un archivo de programa. Análisis Heurístico Este método analiza cada programa sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar el código de máquina para deducir que haría el programa si se ejecutara. Y avisara si el programa analizado tiene instrucciones para hacer algo raro, pero que pueden ser muy comunes en un virus. SINTOMAS DE CONTAGIO Quizá las personas que hasta aquí han leído pensarán, ¿Cómo localizar un virus en mi computadora si las técnicas de ocultamiento son tan avanzadas?. A continuación se exponen los síntomas más característicos de la infección de un virus: Cambios en las características de los archivos ejecutables: Casi todos los virus de archivo, aumentan el tamaño de un archivo ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del archivo a la fecha de infección. Aparición de anomalías en el teclado: Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en la computadora. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programo el virus. Aparición de anomalías en el video: Muchos de los virus eligen el sistema de video para notificar al usuario su presencia en el computadora. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus. Se modifican el AUTOEXEC.BAT y el CONFIG.SYS: En ciertas ocasiones, los virus modifican dichos archivos para adaptarlos a su presencia, al igual que las aplicaciones de software. Reducción del tamaño de la memoria RAM: Un virus, cuando entra en una computadora, debe situarse obligatoriamente en la memoria RAM, y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo dela memoria se reduce en la misma cuantía que tiene el código del virus. Desaparición de datos: Esto es consecuencia de la acción destructiva para la que son creados casi todos los virus. Depende de la maldad del virus si se borran con la orden DEL, o mediante el uso de caracteres basura, lo que hace imposible su recuperación. El disco duro aparece con sectores en mal estado: Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos. Aparición de mensajes de error inesperados: Lo más normal, es que en ciertos virus, el sistema operativo produzca errores inusuales, cosa que debe alertar al usuario. Reducción del espacio disponible del disco: Ya que los virus se van duplicando de manera continua, es normal pensar que esta acción se lleve a cabo sobre archivos del disco, lo que lleva a una disminución del espacio disponible por el usuario. Hay que tener en cuenta que muchos de los síntomas, pueden ser causados por defectos de hardware, y no por un contagio de virus. Procedimientos al momento de presentarse la infección Herramientas para realizar la desinfección La siguiente es una lista de las cosas que el usuario de tener a la mano y que conforman el botiquin básico de primeros auxilios. Disco de sistema protegido contra escritura y libre de virus : Un disco que contenga sistema operativo ejecutable (es decir, que la máquina se pueda arrancar desde ese disco, que debe de ser el mismo sistema operativo que contenga la computadora) con protección de escritura y que contenga por lo menos los siguientes comandos : FORMAT FDISK MEM SCANDISK. Un programa antivirus actualizado : Un programa antivirus que se puede considerar actualizado es aquél que no tiene más de 3 meses desde su fecha de creación (o última fecha de actualización del archivo de asignaturas). Es muy recomendable tener por los menos 2 programas antivirus a la mano. Fuentes de información sobre virus : Algún programa, libro, archivo de texto, sitio en Internet que contenga la descripción, síntomas y características principales de por lo menos los 100 virus más comunes. Un programa de respaldo de áreas críticas : Algún programa que obtenga respaldo de los sectores de arranque de los discos y sectores de arranque maestro de los discos duros, muchos programas antivirus incluyen alguna utilería de este tipo. Lista de lugares en donde se puede pedir ayuda : Anotar en una agenda teléfonos, direcciones en Internet, direcciones de personas y lugares que conozcamos en donde podamos pedir ayudaen caso de alguna infección o sospecha de virus. Un sistema de protección residente en memoria : Muchos de los programas antivirus incluyen programas residentes que previenen (en la mayoría de los casos), la intrusión de virus y programas desconocidos en la computadora. Mantenimiento Sacar respaldos Se deben tener respaldos en diskette de los archivos de datos más importantes, además, se recomienda respaldar todos los archivos ejecutables (*.COM. *.EXE, *.OV ?, *.DLL, *.SYS, *.BIN), para archivos muy importantes se recomienda tener un doble respaldo en caso de que alguno de los disquetes de respaldo se dañen. Revisar todos los disquetes con programas antes de insertarlos a la computadora Cualquier clase de disco (esto incluye a los CD's con software) que no se haya usado antes, se hayan prestado o inclusive si son discos de instalación nuevos deben de ser revisados, para hacer esto se debe de activar al programa antivirus para que se limite a escanear (sin las opciones de desinfección en el caso de disquetes o CD's que contengan programas para instalar) o bien activar el programa antivirus con las opciones para desinfectar o eliminar al momento de que aparezca un virus (se recomienda hacer esto en el caso de disquetes que provengan de revistas de computación, amigos o que se hayan prestado). Revisar todos los programas que se obtengan por redes (como Internet) o vía módem : Se sugiere en este caso contar con un programa antivirus que soporte el escanear archivos compactados, en algunos casos existen programas como Winzip que permiten utilizar un antivirus (siempre y cuando trabaje en Windows) para escanear los archivos. Al momento de activar al programa antivirus se le deben dar los parámetros para que revise todos los archivos de cualquier extensión. A pesar de que pudiera tardarse es la mejor formar de evitarse sorpresas desagradable. Revisar periódicamente la computadora : La revisión del equipo puede hacerse de forma diaria (en caso de equipo que tenga un uso intensivo), semanal, o mensual (estas dos ultimas formas se aplican por lo general a equipo que tiene un uso "normal" y queda bajo el criterio personal). Insertar en esta zona las medidas a tomar al momento de la infección Virus de WINDOWS 95 Con el nacimiento de WINDOWS 95, surge también una nueva clase de virus dedicados a infectar los archivos del nuevo sistema operativo. Todo parecía indicar que una nueva epidemia iba a comenzar a infectar a las computadoras que tuvieran instalado WINDOWS 95. Con el paso del tiempo, se pudo observar mejor que a pesar de los casos de infección presentados, lo que prometía ser una nueva epidemia se fue deteniendo debido a que varios de los virus de WINDOWS 95 tenian bugs, es decir, aparecian errores al momento en que debian iniciar el proceso de auto copiarse. Además de que debian competir con los virus tradicionales que a pesar de WINDOWS 95, siguen estando activos (NATAS, IPN,y BYWAY principalmente en México). Si bien los virus de WINDOWS 95 no llegaron a convertirse en la epidemia esperada, quienes se encargarían de llevar a cabo esto serían lo virus de macro. A pesar de todo, la siguiente es una lista de los virus activos de este tipo que pueden localizarse actualmente : a.Boza b.Win95.Companion c.Win95.Harry d.Win95.Jacky e.Win95.Mad.2736 f.Win95.MrKlunky g.Win95.Murkry h.Puma.1024 i.Win95.Punch.9262 j.Win95.Spawn.4096 k.Win95.Xine2.7363 Virus de macro (Macrovirus) El termino macro proviene de macroinstruccion, que significa una instrucción que esta formada de muchas otras instrucciones. El concepto de macroinstrucción surge de la necesidad de simplicar tareas repetitivas, como pueden ser al aplicar en una hoja de cálculo una serie de operaciones que bien pueden ser desde definir el color de la celda hasta insertar algún formato fecha en especial, esta tarea se vuelve tediosa cuando se tiene que repetir la misma serie de pasos en uno o varios conjuntos de celdas más; es por eso que el usuario puede grabar en una sola instrucción (macro), toda una serie de operaciones y utilizarla instruccion en el momento que el la necesite. Esta idea se extendio a distintas aplicaciones como LOTUS 123 llegando hasta WORDPERFECT, que soportaba un lenguaje de macros expresivo y complejo que permitia manipular un texto de forma que otros procesadores de texto no podían realizar en aquel tiempo (Por ejemplo el dar presentación a un reporte, a partir de la información obtenida desde una base de datos). Al lanzar Microsoft el paquete Office 4.2 incluyó la nueva versión de su procesador de texto WORD. Word versión 6.0 superaba en varios aspectos a todos los demás procesadores de texto y al paso del tiempo se fue imponiendo y convirtiendose en una de las aplicaciones más utilizadas en Windows. Sin embargo el gran problema fue que WORD también incluia un avanzado lenguaje de macros (Word Basic) que junto con el lenguaje Visual Basic para Aplicaciones (VBA) diseñado por Microsoft el cuál permaneció compatible con las siguientes versiones de WORD (95 y 97). Este lenguaje es tan completo que puede tomar control parcial del sistema y hacer con él lo que se desee. La clave de todo el problema se debe a cierto tipo de macros autoejecutables, las cuáles están diseñadas para realizar una serie de operaciones de forma autómatica al abrir un documento. A diferencia de un virus normal que en este caso estaría infectado todos los archivos *.EXE al ejecutarlo los virus de macros no se pueden ejecutar hasta que el documento que los contiene sea abierto en WORD. Las operaciones que realizan los virus de macros al ejecutarse son : copiarse a la plantilla maestra (el archivo NORMAL:DOT) y una vez que la han infectado, comienzan a copiarse en todo documento que a partir de ese momento se habrá en WORD. Hay que mencionar que en los documentos pueden existir también los caballos de troya, es decir que a pesar de que no van a copiarse a la plantilla maestra, pueden ocasionar daños bastante serios a la computadora. El ejemplo más notable es el macro FORMATC, que lo que hace es formatear el disco C: al abrir el documento que lo contiene). A continuación se presenta un ejemplo de lo que ocasiona el virus WAZZU.D : Pantalla 1.- En este caso esta es la vista de la ventana del editor de macros que utiliza WORD, a pesar de que es la versión para Windows 3.xx, la infección va a ocurrir de la misma forma en equipos que tengan Windows 95. Aquí se puede apreciar que la plantilla NORMAL.DOT, no se contiene ningun otro tipo de macro adicional, es decir, no esta infectada. Pantalla 2:- Esta pantalla corresponde al momento en que la plantilla NORMAL.DOT ya esta infectada, en este caso la infección es causada por el WAZZU.D que es uno de los virus de macros más sencillo de eliminar (si se detecta y elimina a tiempo). Pueden existir otros tipo de macros que pueden ser generadas por el mismo usuario, pero es fácil identificar a las macros que causan la infección (generalmente son de tipo automático, como por ejemplo la macro AutoOpen). Pantalla 3.- Para accedder al código de la macro AutoOpen que forma parte del virus de macro WAZZU.D, se necesita ir al menú de Herramientas, seleccionar la opción de Macro y en ventana de macro escoger la opción de Modificar. Al momento en que abramos a la macro AutoOpen, se va a desplegar el siguiente código. Sin embargo a pesar de que la plantilla NORMAL.DOT esta infectada, podemos eliminar desde la ventana de Macros al virus de macro, simplemente seleccionando la opción de Eliminar que esta en la ventana de Macros, para hacer esto no es necesario que abramos la macro AutoOpen. Una vez eliminado, debemos proceder a salir de Word y borrar el archivo NORMAL.DOT, no va a haber ningún problema ya que este archivo lo genera Word cada vez que se ejecuta. Se debe tener en cuenta que este procedimiento para eliminar virus de macro no siempre va a funcionar, debido a que existe el factor de que tan complejo pueda ser el virus de macro. En algunos caso existen virus que pueden deshabilitar el menú de Herramientas. Pantalla 4.- Esta imagén corresponde al mismo código que forma a la macro WAZZU.D, no siempre se va a poder acceder al código, debido a que virus de macro más avanzados incluyen opciones para deshabilitar al menú de Herramientas. Pantalla 5.- Aquí se pueden observar los daños que ocasiona el virus de macro WAZZU.D se manifiestan al momento que intentemos salvar el documento, ya que no se va a poder guardar de forma normal por que el documento se va a tratar de salvar como plantilla. En este caso en la ventana de Guardar será sustituida con la ventana de Guardar como e intentara guardar el documento en el subdirectorio de modelos que se encuentra dentro de winword. No van a funcionar los intentos para cambiarnos de subdirectorio o cambiar el tipo de archivo. Factores que favorecen la propagación de los virus de macros La gran popularidad de WORD y EXCEL. La facilidad que ofrece el intercambiar información utilizando documentos de WORD u hojas electrónicas de EXCEL (ya sea a través de disquetes o incluso utilizando correo electrónico). En el caso de WORD, los virus de macros pueden funcionar en distintas plataformas (ya sea en WORD para WINDOWS o en WORD para MAC) e incluso el daño puede variar dependiendo de la plataforma en que se trabaje. Son virus fáciles de hacer. En comparación con los virus tradicionales (como el BYWAY por ejemplo) se necesita tener concimientos de lenguaje ENSAMBLADOR, lo cuál es algo complejo. En cambio ya sea utilizando WORD BASIC o Visual Basic para Aplicaciones, lo único que se necesita es un ejemplo que copiar. Ya que ambos lenguajes son faciles de aprender. Virus de macro de EXCEL A pesar de que también existen los virus de macro en EXCEL, y que el más representativos de estos es el LAROUX, este tipo de virus aparentemente han tenido una difusión más lenta que los de WORD. De cualquier forma se recomienda que al utilizar un programa antivirus se active con las opciones de que revise y/o limpie todos los archivos de cualquier extensión.