Virus Cos
Virus Cos
Virus Cos
3 Definicin de Virus Informtico Esta prctica de la asignatura Sistematizacion de Datos, es un resumen acerca de los aspectos ms importantes concernientes a un tema que est teniendo un gran auge e importancia en nuestros das, se trata del tema de los virus informticos. En un mundo que cada da se va computarizando ms y ms, es muy importante conocer ciertos datos acerca de este mal que nos est afectando fuertemente a todos (los virus). En esta prctica se recogen distintas informaciones que nos ayudan a conocer ms a fondo acerca de los virus. Entre estas informaciones se encuentra la definicin de virus informtico para as saber concretamente qu es en realidad un virus de computadora, el origen y evolucin de los virus, su clasificacin, las medidas que se deben tomar para poder prevenir los mismos, as como una informacin detallada acerca de cules han sido los virus que nos han atacado ms recientemente y cules son los daos que estos mismos provocan. Espero poder complacer y llenar las expectativas de este trabajo. Definicin de Virus Informtico Definiciones hay tantas como preguntas sin respuesta exacta. Veamos, pues, si cabe la posibilidad de concretar algunos requisitos que cumplen estos agentes vricos: * Son programas de computadora. * Su principal cualidad es la de poder autorreplicars e. * Intentan ocultar su presencia hasta el momento de la explosin. * Producen efectos dainos en el "husped". Si exceptuamos el primer punto, los restantes podran aplicarse tambin a los virus biolgicos. El parecido entre biologa y tecnologa puede llegar a ser en ocasiones ciertamente abrumador. Como el cuerpo humano, el computador puede ser atacado por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar daos irreparables en ciertas ocasiones. Los virus informticos son autnticas imitaciones de sus hermanos biolgicos. Un virus es un agente peligroso que hay que manejar con sumo cuidado. La "contencin" es la primera regla de oro. Desarrollemos un poco los puntos expuestos antes: Un virus informtico es un programa de computadora, tal y como podra ser un procesador de textos, una hoja de clculo o un juego. Obviamente ah termina todo su parecido con estos tpicos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus informtico ocupa una cantidad mnima de espacio en disco (el tamao es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de s mismo e infecta archivos, tablas de particin o sectores de arranque de los discos duros y disquetes para poder expandirse lo ms rpidamente posible. Como cualquier otro programa informtico, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo. Ya se ha dicho antes que los virus informticos guardan cierto parecido con los biolgicos y es que mientras 1
los segundos infectan clulas para poder replicarse los primeros usan archivos para la misma funcin. En ciertos aspectos es una especie de "burla tecnolgica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo ms desapercibido que puede, intenta evitar que el "husped" se d cuenta de su presencia... hasta que llega el momento de la "explosin". Es el momento culminante que marca el final de la infeccin y cuando llega suele venir acompaado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el dao se ha estado ejerciendo durante todo el proceso de infeccin, ya que el virus ha estado ocupando memoria en la computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado. Origen y Evolucin A continuacin se presenta una breve cronologa de lo que ha sido los orgenes y la evolucin de los virus incluyendo algunos de los virus que ms daos han causado en el transcurrir de la historia: 1949: Se da el primer indicio de definicin de virus. John Von Neumann (considerado el Julio Verne de la informtica), expone su "Teora y organizacin de un autmata complicado". Nadie poda sospechar de la repercusin de dicho artculo. 1959: En los laboratorios AT&T Bell, en New Jersey, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de ncleos de ferrita. Consista en una batalla entre los cdigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misin era la de acaparar la mxima memoria posible mediante la reproduccin de s mismo. Las rutinas del juego CoreWar, desarrolladas en assembler pnemnico son consideradas como los programas precursores de los virus contemporneos. 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER... ATRPAME SI PUEDES!". Ese mismo ao es creado su antdoto: el antivirus Reaper cuya misin era buscar y destruir al Creeper. 1974: El virus Rabbit haca una copia de s mismo y lo situaba dos veces en la cola de ejecucin del ASP de IBM lo que causaba un bloqueo del sistema. 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infeccin fue originada por Robert Tappan Morris, un joven estudiante de informtica de 23 aos aunque segn l fue un accidente. 1983: El juego Core Wars, con adeptos en el MIT, sali a la luz publica en un discurso de Ken Thompson. Dewdney explica los trminos de este juego. Ese mismo ao aparece el termino virus tal como lo entendemos hoy. El ingeniero elctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acu el trmino "virus" para describir un programa informtico que se reproduce a s mismo. 1985: Dewdney intenta enmendar su error publicando otro artculo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". 1987: *Se da el primer caso de contagio masivo de computadoras a travs del MacMag Virus tambin llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunin de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llev el disco a Chicago y contamin la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contamin el disco maestro que fue enviado a la empresa fabricante que comercializ su producto infectado por el virus. *Se descubre la primera versin del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusaln. El virus Jerusalem, segn se dice creado por la Organizacin de Liberacin Palestina, es detectado en la Universidad Hebrea de Jerusaln a comienzos de 1988. El virus estaba destinado a aparece el 13 de 2
Mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nacin. Una interesante faceta del terrorismo, que ahora se vuelca hacia la destruccin de los sistemas de cmputo, por medio de programas que destruyen a otros programas. *Adems, en 1987, los sistemas de Correo Electrnico de la IBM, fueron invadidos por un virus que enviaba mensajes navideos, y que se multiplicaba rpidamente. Ello ocasion que los discos duros se llenaran de archivos de origen viral, y el sistema se fue haciendo lento, hasta llegar a paralizarse por mas de tres das. 1988: *El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistn aparece en Estados Unidos. Aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruz Estados Unidos de un da para otro a travs de una red informtica. * El 2 de Noviembre del 88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Ms de 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigacin pblicos y privados se ven atacados. 1989: El virus Dark Avenger, el primer infector rpido, apareci en 1989 1990: Apareci el primer virus polimrfico. 1995: Se cre el primer virus de lenguaje de macros, WinWord Concept. Qu daos provocan los virus? Los virus jocosos y festivos han dejado de producirse hace algn tiempo y al parecer, con el recrudecimiento de la violencia y la crisis econmica mundial, la mayora de los virus contemporneos son dainos. Infectan archivos mayormente de extensin EXE o COM los cuales a su vez se convierten en portadores del cdigo viral. Los archivos de otras extensiones pueden ser infectados y afectados, pero no reproducen el virus, a excepcin de los Macro Virus que son archivos tipo documento y que fueron reportados por primera vez en Julio de 1995. Los otros objetivos comunes de los virus son las reas vitales del sistema, tales como: la memoria, el sector de arranque (boot sector), la Tabla de Particiones o el sector absoluto del disco llamado Master Boot Record (MBR). Dependiendo del tipo de virus, un software antivirus puede reparar y reconstruir los archivos y reas afectadas del sistema, sin embargo existen algunos programadores de virus que deciden que los archivos afectados sean mutilados de tal forma que ya no sea posible su reconstruccin. Por eso es recomendable guardar una imagen del sector de arranque, la Tabla de Particiones y el MBR en un diskette, en caso de emergencia. Clasificacin de los Virus Virus de Macros/Cdigo Fuente. Se adjuntan a los programas Fuente de los usuarios y, a las macros utilizadas por: Procesadores de Palabras (Word, Works, WordPerfect), Hojas de Clculo (Excel, Quattro, Lotus). Virus Mutantes. Son los que al infectar realizan modificaciones a su cdigo, para evitar ser detectados o eliminados (NATAS o SATN, Miguel Angel, por mencionar algunos). Gusanos. Son programas que se reproducen a s mismos y no requieren de un anfitrin, pues se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se posicionan en una determinada direccin, luego se copian en otro lugar y se borran del que ocupaban, y as sucesivamente. Esto hace que queden borrados los programas o la 3
informacin que encuentran a su paso por la memoria, lo que causa problemas de operacin o prdida de datos. Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como informacin perdida o "basura", sin ningn sentido. Pero al cabo de algn tiempo, y esperando la indicacin programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. Bombas de Tiempo. Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la "explosin". Llegado el momento, se activan cuando se ejecuta el programa que las contiene. Autorreplicables. Son los virus que realizan las funciones ms parecidas a los virus biolgicos, ya que se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su ltima ejecucin, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), evitando as ser detectado. Infectores del rea de carga inicial. Infectan los diskettes o el disco duro, alojndose inmediatamente en el rea de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo. Infectores del sistema. Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es as como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas (tambin llamadas: folders, subdirectorios, directorios). Infectores de programas ejecutables. Estos son los virus ms peligrosos, porque se diseminan fcilmente hacia cualquier programa (como hojas de clculo, juegos, procesadores de palabras). La infeccin se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectar todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopindose en ellos. Aunque la mayora de estos virus ejecutables "marca" con un byte especial los programas infectados para no volver a realizar el proceso en el mismo disco, algunos de ellos (como el de Jerusaln) se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento. Virus Bat: Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dainos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a s mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a cdigo mquina son <<comodines>> y no producen ningn efecto que altere el funcionamiento del virus. Virus del MIRC: Vienen a formar parte de la nueva generacin Internet y demuestra que la Red abre nuevas formas de infeccin. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini".
Cules son las normas preventivas contra los virus? Instalar en su equipo un buen software antivirus, con vacunas residentes en la memoria RAM y actualizarlo peridicamente en forma obligatoria. La mayora de usuarios adquiere un antivirus nicamente cuando han ingresado virus a sus equipos y una vez resuelto su problema no vuelven a adquirir otra nueva versin. Este descuido reviste suma gravedad por cuanto los autores de virus no descansan jams y crean virus todos los das del ao. Evitar o restringir el intercambio de diskettes de origen desconocido o si esto fuere necesario, someter esos diskettes a la revisin del antivirus instalado en el disco. Es muy importante que el antivirus elegido cuente adems con un buen soporte tcnico local. Restringir al mximo el uso de los equipos, por parte de personas ajenas a las actividades propias de una entidad o dependencia. Todos los clientes, con o sin disco duro, pero con disquetera, debern tener vacunas activadas en la memoria. En el primer caso stas deben estar instaladas en el directorio raz de la particin DOS del disco duro, y en el segundo caso en los diskettes de arranque. Si el terminal tiene un Boot ROM y adems una disquetera, despus de arrancar el sistema se deber ejecutar las vacunas desde un diskette, para que stas sean cargadas en la memoria ya que las partes y piezas de cada unidad son individuales y nicas. Los antivirus cargables como NLM (Network Loadable Modules) en un servidor no pueden controlar eficientemente a los virus de boot y de la tabla de particiones de sus clientes o estaciones de trabajo. Los clientes sin disquetera no pueden ser contagiados directamente pero s a travs de la red a causa de cualquier otro cliente infectado. Contar con una copia de respaldo del diskette de sistema "buteable" y libre de virus, que adems de los archivos ocultos, el COMMAND.COM y CONFIG.SYS incluya el SYS.COM para transferir el sistema en caso de borrarse o alterarse los archivos de sistema del disco. Es obligatorio que este disco de arranque tenga la misma versin del D.O.S usada en el disco duro, o un diskette de Inicio si se usa Windows 95 como sistema operativo. En el caso de redes se deber contar obligatoriamente con una copia de respaldo de los archivos que cargan la red. Guardar copias de respaldo de los programas y archivos principales. Los diskettes originales y las copias de respaldo debern tener cerrado el seguro de proteccin contra escritura. Los sistemas tapebackup han bajado de precio considerablemente y es muy conveniente contar con uno de ellos, para la prevencin de prdidas de informacin o simplemente como una cmoda opcin de almacenamiento. Los atributos de ReadOnly, Hidden o System, dados a los archivos ejecutables, no garantizan por ningn motivo el riesgo de infeccin as como tambin no es recomendable inmunizar archivos con antivirus forneos, pues en el caso de no detectar un virus nacional, por ejemplo, al inmunizarlo no solamente no se le habr eliminado sino que adems el virus quedar escondido debajo de las rutinas de inmunizacin y el riesgo de su propagacin ser latente. Los sistemas operativos Windows NT, OS/2, UNIX, etc. son vulnerables a los virus. El hecho de que no exista todava un buen nmero de especies virales para ellos, se debe a que la cantidad de equipos que usan estas plataformas es sumamente inferior al de la mayora de las PC's. Los autores de virus desean hacer daos masivos. En el caso de los archivos zipeados, que fueron bajados por Internet, estos debern ser revisados inmediatamente despus de haber sido desempaquetados y antes de ser ejecutados. Este mismo tratamiento se deber dar a los archivos anexados (atachados), enviados por correo electrnico. Si tiene instalado el Mirc, desactive la opcin auto get que recoge los ficheros DCC de forma automtica y cambie el subdirectorio por defecto para que sobreescriba el "script.ini" original. LTIMOS VIRUS VIRUS MYBABYPIC (02/03/2001) 5
VIRUS GNUTELLA MANDRAGORE (02/03/2001) VIRUS MELISSA.W (19/01/2001) VIRUS RAMEN (19/01/2001) VIRUS W32.NAVIDAD.B (11/01/2001) VIRUS KRIZ (22/12/2000) TROYANO SHOCKWAWE.A (CREATIVE) (04/12/2000) VIRUS BLEBLA (22/11/2000) VIRUS QAZ (02/11/2000) VIRUS CYBERNET (17/8/2000) VIRUS IRC/STAGES.WORM (19/6/2000) VIRUS SERBIAN BADMAN (9/6/2000) VIRUS VBS/TIMOFNICA (6/6/2000) VIRUS MELISSA.BG (29/5/2000) VIRUS VBS/NEWLOVE (19/5/2000) VIRUS FRIENDMESS (12/5/2000) VIRUS SOUHTPARK (12/5/2000) VIRUS MOTHER'S DAY: NUEVA VERSIN DE LOVELETTER (6/5/2000) GUSANO I LOVE YOU (4/5/2000) GUSANO FIRKIN (4/4/2000) GUSANOS IROK Y KAK (31/3/2000) GUSANO W32/PRETTY.WORM.UNP (24/2/2000) DENIAL OF SERVICE / VIRUS TRIN00(30/3/2000) VIRUS PLAGE 2000(18/1/2000) HAPPY 99 (8/2/1999) DOS NUEVOS VIRUS EN LA RED: "MYBABYPIC" Y "GNUTELLA MANDRAGORE" La amenaza de "LoveLetter" resurge de la mano de una nueva variante con el nombre "Myba" o "MyBabyPic", adaptado al lenguaje VisualBasic y "Mandragore" afecta a los usuarios de la red Gnutella, inaugurando las infecciones a travs de redes "peertopeer". Aunque ha sido calificado por los expertos de FSecure como de bajo riesgo, conviene estar alerta ante la posibilidad de que se difunda de forma rpida.. "Mybabypic" llega al equipo como un archivo adjunto a un email con el nombre: MYBABYPIC.EXE, que al ser ejecutado realiza el reenvo de s mismo a todas las direcciones de la agenda Outlook. El gusano contiene una importante carga peligrosa, ya que puede destruir datos; dependiendo del da en curso el virus pueden encender y apagar las teclas NumLock, CapLock y ScrollLock. El virus adems corrompe archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2, MP3, etc. El troyano "Gnutella Mandragore" afecta a los usuarios de la red de intercambio de archivos musicales Gnutella. Su peligro radica en que puede abrir redes "peertopeer" como una va de contagio y al igual que "Hybris" y "Happy99", vigila las direcciones de la agenda de correo electrnico y busca las conexiones de red del equipo. As, cuando el internauta se conecta a la red de Gnutella, el gusano busca los archivos solicitados y se pega a ellos. El gusano cambia de forma constantemente pero se le puede identificar por su tamao: 8.192 bytes. El potencial daino de ambos virus, aunque la calificacin es de bajo riesgo,es serio. VIRUS MELISSA.W Sobrecarga los servidores de email con un enorme trfico de documentos.
Es una nueva versin del virus Melissa.A, el ms ampliamente difundido a travs de la Red en la historia: Melissa.W. El archivo infectado est hecho en Microsoft Word 2001 y llega generalmente con el nombre Anniv.doc con formato Macintosh junto con cualquier archivo enviado al correo elctrnico. Ese archivo adjunto attachment puede abrirse tanto desde un PC como desde un equipo Macintosh que contenga la versin correspondiente de Microsoft Office; el problema estriba en que no existe un antivirus capaz de filtrar el archivo infectado en ambos entornos. La nueva versin de Melissa puede identificarse mediante el Asunto del archivo que lo contiene: "Important message from USERNAME" Melissa.W no disminuye la seguridad respecto a las macros de Word 2000. El gusano se reenva como un email adjunto a las 50 primeras direcciones de la libreta de direcciones de Microsoft Outlook. El attachment infectado puede contener igualmente informacin confidencial de los PCs infectados. Del mismo modo, modifica los parmetros de Word e infecta los documentos y las plantillas que de Word tenga guardadas el usuarios en su PC. Segn Mikko Hyppnen, Director de Investigacin AntiVirus de FSecure, "el peor efecto de este gusano es el mismo que el de la versin normal de Melissa: la sobrecarga de los servidores de email con un trfico de correo muy intenso y, a veces, enviar archivos confidenciales realizados en Word a una amplia audiencia en la Red". En realidad, para que el gusano se cuele en nuestro PC no es necesario que tengamos instalado el gestor de correo Microsoft Outlook; lo que s es cierto es que, si el gestor es ste, el gusano s se podr reenviar desde nuestro PC a otros equipos conectados a Internet. Melissa.W, que tambin ha sido detectado como Melissa.X, puede infectar a usuarios de Windows 95, 98, Me, NT y 2000, as como de Macintosh. VIRUS RAMEN Ramen es un nuevo gusano creado especialmente para infectar los servidores de Internet que estn basados en Red Hat 6.2 o 7.0 de Linux. Busca en Internet servidores basados en Red Hat para colarse en aquellos que contenidos "exploits"; as se hace con el acceso a sus servicios y recursos. Una vez ganado el acceso a los servidores, Ramen instala un "root kit", el que verdaderamente realiza los agujeros de seguridad, instalando un programa especial para reemplazar las funciones genricas del sistema. Adems, Ramen reemplaza la pgina principal de la web de los servidores con un archivo HTML, denominado ramen.tgz, con el siguiente texto: "RameN CrewHackers looooooooooooove noodles. This site powered by Top Ramen". Por ltimo, Ramen enva un mensaje a travs de correo electrnico a dos cuentas basadas en la web del servidor afectado, lo reinicia y comienza nuevamente el escaneo en Internet. Este nuevo gusano, detectado por FSecure (cuyos productos distribuye en exclusiva Economic Data en Espaa y Latinoamrica), fue descubierto a principios de la semana del 19 de enero. Lance Spitzner, coordinador del Proyecto Honeynet grupo de conocidos expertos en seguridad, asegura que Ramen "no es un gusano muy peligroso; es fcil de encontrar y no hace nada realmente destructivo". Spitzner dice que detectaron la presencia de este gusano al observar ciertas irregularidades en el incremento de escaneos de las vulnerabilidades RPC.statd y wuFTP que plagan las instalaciones por defecto de la mayora de los servidores Linux. 7
"Una vez que el escaneo comienza, Ramen consume una gran cantidad del ancho de banda" segn asegura el programador que ha atendido en primera instancia a Linux para solucionar el problema, Mihai Moldovanu; Moldovanu dice que el nuevo gusano "se est propagando muy rpidamente; es capaz de escanear cerca de 130.000 direcciones de Internet en menos de 15 minutos". VIRUS W32.NAVIDAD.B Es una mutacin del gusano Navidad W32.Navidad.B ha causado estragos entre los usuarios del correo electrnico. Se ha modificado el attachment "Navidad.exe" por "Emmanuel.exe". Al ejecutarse el attachment, aparece el mensaje "Error"; si el usuario oprime el "OK", el gusano se copia en el directorio C:\Windows\System con el nombre WINTASK.VXD y modifica el registro. Si se presiona el cono del virus que aparece en la barra de tareas de Windows, aparece el mensaje "NUNCA PRESIONAR ESTE BOTN". En los sistemas infectados no se pueden ejecutar los archivos con extensin ".exe". VIRUS KRIZ Los efectos del devastador programa son comparables a los de CIH y Melissa: puede llegar a destruir el PC. El virus Kriz amenaza la seguridad de nuestros PCs el da de Navidad (pasado 25 de diciembre) En concreto, este programa daino borra el disco duro del usuario y deja inoperativo el equipo; una vez dentro del sistema, Kriz infecta todos los programas cargados en el PC, as como el resto de mquinas conectadas si se trata de una red local. El da de Navidad, destruye la Bios del PC, el chip que le permite arrancar y que controla el resto del hardware. Los efectos devastadores de este virus son equiparables a los que causaron aos atrs los virus CIH Spacefiller y Melissa. Los expertos nos recuerdan tambin las prdidas que supuso la aparicin en escena del gusano ILOVEYOU, 75 billones de dlares, segn la compaa de seguros Lloyds. TROYANO SHOCKWAWE.A (CREATIVE) Se trata de un programa infeccioso con apariencia de animacin Flash que, bajo el nombre de TROJ_SHOCKWAVE.A, se replica a travs del correo electrnico sin daar, en esencia, el disco duro del PC infectado. El troyano se copia en la carpeta de inicio de Windows de forma que se ejecuta cada vez que se reinicializa el PC, a la par que todos los archivos con extensin .ZIP y .JPG se renombran y pasan al directorio raz (C:\). Shockwave.A, con un tamao de 36,864 bytes, se identifica fcilmente; en el "Asunto" del mensaje, el texto que se puede leer es "A great Scockwave flash movie" y su adjunto es el archivo ejecutable CREATIVE.EXE. Trend Micro ha puesto a disposicin de los internautas un antivirus de libre acceso en su pgina www.antivirus.com con el nombre 811 para eliminar este troyano. El autor de Scockwave.A, que tambin se conoce como W32/Proli@mm y TROJ_PROLIN, ha programado el troyano de forma que enva un nuevo mensaje en el que informa de que el "trabajo est completado", junto con el texto "Got yet another idiot". VIRUS BLEBLA
Gusano de origen polaco. Verona o Blebla como tambin se le denomina, es un simple mensaje de correo electrnico que adjunta dos ficheros HTML: MYJULIET.CHM y MYROMEO.EXE y que se extiende rpidamente a todas las direcciones de la agenda de correo. Se ejecuta en el mismo momento en que se abre el mensaje o incluso cuando se selecciona su vista preliminar. La deteccin del gusano en los equipos es muy sencilla: en la barra de tareas aparece el texto "Romeo&Juliet" y en el escritorio, una pequea ventana en la parte superior izquierda. VIRUS QAZ QAZ tiene una extensin aproximada de 120K. Escrito en MS Visual C++. Es un gusano con capacidades de Troyano "backdoor". Llega generalmente atachado a un email. El gusano busca el archivo NOTEPAD.EXE y la renombra a NOTE.COM y despus se nombra a si mismo con el nombre NOTEPAD.EXE. Si el usuario intenta utilizar el NOTEPAD, QAZ se ocupa de "lanzar" el archivo original (NOTE.COM) para evitar las sospechas del usuario. Adems el gusano modifica el registro de Windows e introduce en la seccin de autostart el siguiente comando: start IE="filename qazwsx.hsq", donde "filename" es usualmente NOTEPAD.EXE. El gusano permanece en la memoria del sistema y comienza a ejecutar 2 procesos: Infeccin. "Backdoor". La rutina de backdoor es sencilla y soporta bsicamente los comandos RUN, QUIT y UPLOAD, los cuales le permiten ayudar al "hacker" a instalar otros software o troyanos ms potentes. Adems, QAZ enva una notificacin al remitente original. Este mensaje contiene la direccin IP de la mquina infectada. VIRUS CYBERNET EL VIRUS 'CYBERNET' SE ACTIVAR HOY JUEVES 17 FSecure ofrece proteccin antivirus completa contra este peligroso cdigo. Considerado de alto riesgo por su capacidad para formatear toda la informacin del disco duro del sistema infectado. Se trasmite a travs del correo Outlook, envindose a las primeras 50 direcciones de la agenda. El virus modifica el archivo "autoexec.bat" de los sistemas infectados, para que la prxima vez que el usuario reinicie el equipo, aparezca en pantalla un mensaje haciendo alusin a la infeccin. Mientras el usuario lee este mensaje, el virus procede al formateo del disco duro, con la consiguiente prdida de datos. Por otra parte, 'Cybernet' modifica el archivo 'config.sys' para que el usuario no pueda usar al reiniciar el equipo la combinacin de teclas CTRL+C, F5 y F8. A continuacin, muestra en pantalla un cuadro de dilogo, que reiniciar Windows si el usuario pulsa "OK", formateando la informacin contenida en el PC.
VIRUS IRC/STAGES.WORM Utiliza un extrao formato de archivo y despliega un mensaje humorstico. Virus que se difunde va email, y que incluye atachado un archivo muy convincente, disfrazado bajo la apariencia de un inocente archivo de texto plano. El virus, denominado 'IRC/Stages.worm', no daa los archivos de los equipos, pero puede paralizar los servidores de correo electrnico de las empresas. En realidad, este virus es un gusano que utiliza un extrao formato de archivo denominado 'Windows Scrap File". La extensin de este tipo de archivo debera ser '.shs', pero no figura. Por ello, es fcil camuflarlo con la extensin '.txt', por lo cual simula un archivo de texto. Se piensa que su artfice es un conocido creador de virus argentino llamado 'Zulu'. El 'gusano' fue lanzado el 26 de mayo del 2000. 'Stages.worm' se difunde como Melissa, enviando copias de s mismo a emails incluidos en la lista de correo de Outlock del usuario infectado. Pero este virus slo enva un mximo de 100 copias cada vez. El formato en el que se presenta 'Stages.worm' suele ser el siguiente: Subject: Funny Body:> The male and femmale stages of life. Attachment: LIFE_STAGES.TXT.SHS No obstante, otros posibles 'subjects' pueden ser 'life_stages', 'jokes' u otro texto. El fichero atachado es de 39,936 bytes, y se trata de un archivo 'Shell Scrap Object' (uno de los archivos menos predecibles, ya que puede contener cualquier cosa, incluso una aplicacin 'troyana'). Tras la infeccin, el 'gusano' despliega el siguiente texto: Age. Seduction lines. 17 My parents are away for the weekend. 25 My girlfriend is away for the weekend. 35 My fiancee is away for the weekend. 48 My wife is away for the weekend. 66 My second wife is dead. Age. Favorite sport. 17 Sex. 25 Sex. 10
35 Sex. 48 Sex. 66 Napping. Age. Definition of a successful date. 17 Tongue. 25 Breakfast. 35 She didn't set back my therapy. 48 I didn't have to meet her kids. 66 got home alive. The female stages of life: Age. Favourite fantasy. 17 Tall, dark and hansome. 25 Tall, dark and hansome with money. 35 Tall, dark and hansome with money and a brain. 48 A man with hair. 66 A man. Age. Ideal date. 17 He offers to pay. 25 He pays, 35 He cooks breakfast next morning. 48 He cooks breakfast next morning for the kids. 66 He can chew his breakfast. VIRUS SERBIAN BADMAN Disfrazado aparentemente como un archivo de video, el nuevo troyano SERBIAN BADMAN da el control completo del PC infectado a los 'hackers', es decir, convierte cada Pc en un 'sistema zombie'. De esta forma, los intrusos pueden usar el equipo infectado como un gateway permanente, para acceder a los archivos personales o corporativos, o para lanzar ataques DoS a sitios web. En caso de ataque, los 'sistemas zombies' pueden mandar miles de respuestas repetidas que colapsaran las webs.
11
VIRUS VBS/TIMOFNICA VBS/Timofnica se difunde va email y activa los telfonos va GSM. Versin de cartas encadenadas. Este gusano es similar al ya famoso LoveLetter que apareci a primeros de mayo del 2000, pero a diferencia de ste, Timofnica se activa enviando un mensaje corto SMS a los ltimos telfonos GSM elegidos al azar. El gusano se difunde va email. Timofnica opera bajo el sistema operativo Windows y necesita Outlook para difundirse va email. Lo que hace que este gusano sea especial es que tambin enva mensajes a un gateway GSM de correo electrnico en Espaa. El resultado final, el virus debera enviar este mensaje SMS a miles de nmeros GSM al azar: informa que Telefnica te est engaando Se han recibido varios casos de infeccin. Adems, aparentemente el gateway SMS solo enviar los mensajes a telfonos GSM en castellano, limitando el peligro a los hispanohablantes. Cuando se abre el archivo TIMOFONICA.TXT.vbs, modifca el registro marcndolo para que no se ejecute ms de una vez. Tambin cambia los parmetros de Outlook 9.0 de modo que los emails enviados no se guarden en la bandeja de elementos enviados y as, el usuario no ser consciente de lo que ha hecho. Por otro lado, lanza "cmos.com" y modifica el registro para que se ejecute cuando se reinicie el sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Cmos CMOS.COM es un troyano. Al ejecutarse, primero borra la memoria CMOS y luego intenta leer MBRs de los primeros cuatro discos duros fsicos. En el caso de que lo consiga, el troyano borra el MBR del disco duro que pueda y tambin los registros de arranque de DOS de todas las particiones del disco. VIRUS MELISSA.BG Melissa.BG es un nuevo virus que se difunde por email adjuntndose al mensaje de correo. El email aparenta ser un curriculum y va dirigido a los directores comerciales y de marketing de las compaas. Si el receptor abre el documento con el curriculum, se activar un virus de macro que va incorporado envindose a todas las direcciones de la agenda de Microsoft Outlook. Depus de esto, el virus esperar a que el usuario cierre el documento. En ese momento, el virus intentar borrar el resto de documentos y los archivos de sistema de las unidades locales y de las unidades de red compartidas, haciendo que el equipo no se pueda volver a arrancar jams. VIRUS VBS/NEWLOVE Es una nueva versin del virus ILoveYou, igualmente peligroso Se llama VBS/NewLove.A se propaga a travs de correo electrnico va Outlook de Microsoft. El mensaje tiene la siguiente estructura: Desde: Nombre_del_usuario_infectado
12
Para: Nombre_aleatorio_de_la_agenda_de Outlook Asunto: FW (Nombre_de_archivo_aleatorio.ext) Archivo adjunto : (Nombre_de_archivo_aleatorio.ext) El archivo adjunto que lleva incorporado el email tiene un nombre elegido al azar al que aade la extensin ".vbs". Por ejemplo," "REPORT.DOC.vbs" o "Information on Jacks Birthday.txt.vbs". VBS/NewLove toma el nombre aleatoriamente de la carpeta de archivos abiertos recientemente. Si no hay archivos en ese directorio el gusano genera el nombre. Es decir, nunca coincide el asunto ni el nombre del archivo adjunto infectado que enva. La nica forma de advertir que se ha recibido este virus es que el nombre del asunto y del archivo adjunto son el mismo. El gusano se enva a s mismo a cada una de las direcciones de la agenda de OutLook del mismo modo que lo haca VBS/LoveLetter. VBS/NewLove. A se copia en el Sistema de Windows y en el directorio Windows con un nombre aleatorio y se aade al registro con una clave al azar: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ A continuacin, el gusano recorrer todas las unidades y todos los subdirectorios. Para cada archivo, el gusano crea otro nuevo utilizando el mismo nombre con la extensin adicional".vbs" y borra el archivo original. VIRUS FRIENDMESS Se trata de una nueva versin de este tipo de virus. El virus se copia a s mismo en el directorio del sistema Windows con el nombre "FRIEND_MESSAGE.TXT.vbs" y despus construye las siguientes cadenas en c:\autoexec.bat: "if exist C:\WINDOWS\SYSTEM\*.* del C:\WINDOWS\SYSTEM\*.* /Q /F" "if exist C:\WINDOWS\*.* del C:\WINDOWS\*.* /Q /F" "if exist C:\WINDOWS\TEMP\*.* del C:\WINDOWS\TEMP\*.* /Q /F" Ntese que c:\windows aqu es un simple ejemplo. El path se construye de forma dinmica. Adicionalmente, el virus muestra una caja de texto con el siguiente mensaje: "If you receive this message remember forever: A precious friend in all the world like only you! So think that!" No tiene la funcin para replicarse y el mensaje tiene la siguiente forma: Asunto: Friend message A real friend send thismessage to you Archivo adjunto: FRIEND_MESSAGE.TXT.vbs 13
VIRUS SOUTHPARK SouthPark es un virus que se difunde a travs de una cadena de emails. Se enva a s mismo a todas las direcciones de la agenda de Outlook de Microsoft. Puesto que no tiene un lmite en cuanto al nmero de direcciones a las que se enva, puede colapsar los servidores de correo electrnico en poco tiempo. MOTHER'S DAY: NUEVA VERSIN DEL MALIGNO VIRUS LOVELETTER Esta nueva variante enva emails que parecen ser una confirmacin de una orden de compra electrnica del Diamante Especial del Da de la Madre y el archivo que adjunta, mothersday.vbs tiene el aspecto de una factura. Cuando un usuario recibe este email, asume que es un error y abre el archivo infectando automticamente el PC. El sistema Windows no muestra por defecto las extensiones .vbs. Si el receptor tiene Microsoft Outlook, al abrir el archivo adjunto, automticamente enviar un mensaje a todas las direcciones incluidas en la agenda. El mensaje tiene este aspecto: De: Nombre_del_usuario_infectado Para: Nombre_aleatorio_de_la_agenda Asunto: Mother Day Order Confirmation We have proceeded to charge your credit card for the amount of $362.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! [email protected] Attachment: mothersday.vbs Como la agenda de Outlook suele tener grupos de direcciones dentro de la propia empresa, el resultado es que el primer infectado enva mensajes al resto de la empresa. Despus de esto, otros usuarios dentro de la empresa envan de nuevo el mensaje al resto de la empresa por lo que el servidor de correo electrnico se colapsar rpidamente. Adems, este nuevo virus borra todos los archivos INI y BAT tanto de las unidades locales como de los directorios. Esto provocar que los equipos no puedan ser arrancados de nuevo y originar daos muy graves en los archivos de red. FSecure AntiVirus detecta esta variante como VBS/LoveLetter.E. Las otras variantes del virus son: Variante A: Es el virus LoveLetter original. Variante B: El asunto del email est escrito en lituano. Variante C: El asunto del email es fwd: Joke y el mensaje adjunto es Very Funny.vbs. Variante D: Es prcticamente idntico a la variante A. GUSANO I LOVE YOU Este gusano se difunde va email como un archivo llamado LOVELETTERFORYOU.TXT.vbs.
14
Segn MIkko Hypponen, responsable de la investigacin antivirus en FSecure Corporation, este nuevo virus se difunde a una velocidad de vrtigo. LoveLetter se activa al ejecutar el archivo que viene atachado al email de referencia ILOVEYOU y sobreescribe los archivos de grficos y de msica en las unidades locales y de red. Todos los archivos con las extensiones JPG, JPEG, MP3 y MP2 son sobreescritos y, por lo tanto, es necesario recuperarlos de backups. Por defecto, las extensiones .VBS en los sistemas Windows no son visibles y los usuarios pueden abrir el archivo adjunto LOVE.LETTERFORYOU.TXT.vbs. por error pensando que es un inofensivo archivo .txt. Si el receptor abre el archivo, el virus utilizar Microsoft Outlook (si est instalado) para enviar un mensaje a todas las direcciones de la agenda, incluyendo aquellas de acceso global de la empresa, las cuales normalmente tienen cientos o miles de direcciones. El mensaje es como se muestra a continuacin: De: Nombredelusuario infectado Para: Nombre aleatorio de la agenda de Outlook Asunto:ILOVEYOU Kindly check the attached LOVELETTER coming from me. Archivo adjunto: LOVELETTERFORYOU.TXT.vbs Como las agendas contienen normalmente direcciones de grupos, el resultado de la activacin del virus dentro de una empresa es que el primer infectado enva el mensaje a todo el mundo dentro de la organizacin. Despus de esto, otros usuarios abrirn el mensaje y lo volvern a reenviar de nuevo a toda la gente de la empresa. El efecto inmediato es que el servidor de correo puede verse rpidamente colapsado. Adems de enviar un email a todas las direcciones, el virus sobreescribe los scripts locales y los archivos HTML con su propio cdigo. El virus es probablemente de procedencia filipina. Est escrito en lenguaje VBScript. Por defecto, los programas escritos en VBScript operan solo bajo Windows 98 y Windows 2000. No obstante, los usuarios con Windows 95 y NT tambin son vulnerables si tienen instalada la versin 5 de Microsoft Internet Explorer. GUSANO FIRKIN El gusano Firkin o Chode se difunde a travs de PC's conectados a Internet atacando la lnea de emergencia hotline 911, utilizada principalmente en Norteamrica e intentando colapsar los servicios que ofrecen (ataque DOS). Firkin est escrito totalmente en lenguaje DOS e infecta sistemas Windows con disco duro compartido a travs de Internet. Un gran nmero de usuarios comparten su disco duro y al conectarse a Internet, cualquiera puede acceder a ellos. El gusano Firkin utiliza esta vulnerabilidad para difundirse. Firkin busca equipos conectados a Internet con esta caracterstica. La bsqueda apunta a PC's que estn utilizando algunos de los ISP's (Internet Service Providers) ms importantes del mundo, incluso AT&T , America Online, MCI y Earthlink, para copiarse en el PC y ejecutarse en el siguiente arranque. En ese momento, el virus puede aadir una rutina que llama al nmero de emergencia 911 a travs de mdem 15
cada vez que el sistema infectado es arrancado. Esta rutina se copia aleatoriamente y no se encuentra en todos los PC's infectados. Al reiniciarse un sistema que la contenga, se realiza una llamada silenciosa al 911. Las consecuencias podran ser muy serias, posiblemente causando graves retrasos en la respuesta a llamadas reales de emergencia. Dependiendo de la variante de Firkin, podra tambin intentar borrar todos los archivos de diferentes directorios del PC y mostrar mensajes en pantalla. El borrado de archivos est programado para que ocurra el da 19 de cada mes. El cdigo del gusano contiene diferentes cadenas de texto, incluyendo: fOREsKIN sElf rEPIIcAToR vERSION 1.07c final CHAoS 2000 EMD LABS INC rAndOm dEvIStAtOr nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIIE pROgRAMmINg Los sistemas infectados se pueden reconocer fcilmente chequeando si la carpeta C:\Program Files contiene una nueva carpeta oculta llamada Chode, Foreskin o Dickhair. Para visualizar las carpetas ocultas con Windows Explorer solo hay que activar el parmetro Show all files de las opciones de Explorer. GUSANOS IROK Y KAK Gusanos de correo electrnico que se estn expandiendo rpidamente desde diversos lugares del mundo mediante Outlook de Microsoft: IROK Y KAK. Irok llega en un archivo atachado llamado IROK.EXE, mientras Kak llega como un correo electrnico normal, aparentemente sin ningn attachment. El gusano Irok se difunde como un programa de 10001 bytes de tamao llamado IROK.EXE. Funciona bajo Windows 95, 98, NT y Windows 2000 de Microsoft. Se replica va email con OutLook de Microsoft. No funciona con Outlook Express. Cuando se activa IROK.EXE, el gusano modifica el sistema de manera que al reinicializar el equipo, enva un mensaje de correo electrnico a 60 direcciones email robadas de OutLook, direcciones particulares o grupos de direcciones (tales como listas de mailings). El mensaje que el gusano emite es el siguiente: From: Nombre del usuario infectado To (direccin de email al azar del libro de direcciones) Subject: I thought you might like to see this Texto : I thought you might like to see this. I go it from paramount pictures website. It's a startrek screen saver. Attachment: IROK.EXE El virus incluso intenta localizar el cliente chat mirc y modificarlo para propagar el virus mas all de la va de 16
los canales chat, e infectar los ficheros COM y EXE localizados en el disco duro local. Finalmente, el virus mostrar un largo mensaje en la pantalla e intentar sobreescribir los ficheros del disco duro. El virus Kak se activa el primer da de cada mes si la mquina es reiniciada despus de las 5 p.m. Utiliza el conocido agujero en la seguridad OutLook Express para ejecutarse automticamente cuando se visualiza un email. El gusano Kak est escrito en lenguaje Java. Funciona bajo las versiones de Windows 95/98 en Ingles y Francs; no funciona bajo Windows NT o Windows 2000. Kak se replica va email slo si est instalado OutLook Express 5.0 no funciona con el OutLook normal de Microsoft. Una vez que el usuario recibe un mensaje infectado, y abre o visualiza el mensaje en la pantalla, el gusano modifica el sistema de tal forma que la prxima vez que se inicializa el equipo, la firma standar del email del usuario es reemplazada con un fichero infectado HTML del virus. Despus de esto, cada mensaje de correo elctronico enviado desde el Pc infectado contendr el virus, e infectar cada equipo receptor tan pronto como sea abierto en OutLook Expres. En ese momento el virus mostrar el mensaje: KagouAnitKro$oft say not today1 Y a continuacin cerrar la sesin Windows. El agujero de seguridad de Outlook Express explotado por el gusano puede ser cerrado utilizando Active Scripting en Outlook Express Preferences. Microsoft NASDAQ dispone de una actualizacin para solucionar este problema desde Agosto de 1999. GUSANO W32/PRETTY.WORM.UNP Nombre: W32/Pretty.worm.unp Tipo: Troyano Se trata de una edicin no empaquetada del virus "W32/Pretty.worm". Es un virus de Internet que se instala a s mismo en los sistemas Windows 9x/NT. Los usuarios se infectan al recibir un email infectado procedente de otro usuario a su vez infectado. Muestra un cono de un personaje de la serie animada "Southpark". Mtodo de infeccin Cuando se ejecuta este virus, se copia a s mismo en FILES32.VXD en WINDOWS\SYSTEM. A continuacin, modifica el valor del registro siguiente: KHEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open Cambia el valor "%1" %* por FILES32.VXD "%1" %*. De este modo, el archivo FILES32.VXD se ejecutar cada vez que se ejecute cualquier archivo .exe.
17
El virus tratar de enviarse a s mismo por correo electrnico cada 30 minutos a todas las direcciones de la agenda del programa de correo electrnico. Por otro lado, el virus tratar de entrar en un canal IRC especfico. Mientras est conectado, enviar informacin al servidor IRC y tratar de recuperar rdenes del canal IRC. Mientras, el autor de este virus conseguir conectarse como un troyano de acceso remoto para obtener informacin sobre el PC: nombre del ordenador, propietario registrado, compaa registrada, informacin del sistema, .... DENIAL OF SERVICE VIRUS TRIN00 Conocido como Virus Trin00, TFN, TFN2000, Stacheldraht, este programa no es un virus en realidad, sino una herramienta DOS. Las herramientas DOS permiten lanzar ataques a los sistemas para cortar los servicios ofrecidos por stos. En Internet, el problema se traduce en bloqueo de los principales servicios o en consumo total de recursos limitados de servidores web. El ataque puede consistir en: ocupar todo el ancho de banda de una web, agotar todas las conexiones a un servicio, bloquear un servicio usando algn fallo en la seguridad, bloquear un equipo ejecutando un servicio tambin con algn fallo en la seguridad,... Estos ataques utilizan las redes para boicotear recursos en varias ubicaciones. VIRUS PLAGE 2000 Alias: Plage 2000, P2000, IWorm.Plage. Worm.P2000 Tamao: 102400 Es un ejecutable PE con 102400 bytes de longitud. No est encriptado pero pueden aparecer versiones nuevas del virus encriptadas que hagan an ms difcil su deteccin. El virus tiene el cono de WinZip y se hace pasar por un archivo .ZIP autoextrable. Plage2000 llega como un archivo adjunto a un email y se instala a s mismo en el sistema como INETD.EXE en la carpeta de Windows. A continuacin, modifica WIN.INI y el registro para ejecutarse en todas las sesiones de Windows. Una vez que est activo en memoria, el virus se comunica con los navegadores compatibles con MAPI, busca mensajes que no han sido contestados y l mismo se encarga de responderlos. El mensaje respuesta del virus parece un mensaje de autorespuesta que mucha gente utiliza mientras que no pueden abrir sus buzones: P2000 Mail autoreply: I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion! >Get your FREE P2000 Mail now!< El cdigo del virus siempre va adjunto al mensaje. El nombre del archivo adjunto se selecciona aleatoriamente entre las siguientes variantes: pics.exe
18
PsPGame.exe tamagotxi.exe Card.EXE s3msong.exe fun.exe images.exe news_doc.exe searchURL.exe billgt.exe docs.exe joke.exe hamster.exe SETUP.EX Emidsong.exe humor.exe Cuando el receptor del mensaje hace click sobre el archivo adjunto, el virus tambin infecta su sistema. El virus primero muestra una ventana de dilogo como la de los archivos autoextrables WinZip. Si el usuario hace click en el botn Unzip o en Run WinZip, el virus muestra el siguiente mensaje y se instala: "ZIP damaged: file C:\3\WORM.EXE: Bad CRC number. Possible cause: file transfer error" Si el usuario hace click en el botn Close, el virus simplemente se instala pero no muestra ningn mensaje. Una vez que est activo, el virus estar chequeando la hora y el da. Los mircoles, justo despus de medianoche, muestra un dilogo con una imagen de Hitler con la frase "Follow your leader" y el texto: "Fight against the plage of inhumanity. This is Plage 2000 coded by Bumblebee/29a" No es un virus muy destructivo pero se puede extender muy rpidamente. HAPPY 99 El Primer gusano de EMail Alias: SKA Longitud: 10.000 bytes Origen: desconocido Es un gusano que utiliza el Correo Electrnico para reproducirse a travs de la red de Internet, en principio sin efectos destructivos. Los usuarios con acceso a Internet, reciben un Email con un fichero asociado. Este fichero es un ejecutable de tipo EXE Portable Ejecutable de 10.000 bytes de tamao llamado HAPPY99.EXE, que al ser ejecutado visualiza, en una ventana de Windows, una animacin de fuegos artificiales felicitando el nuevo ao 1999 como se puede ver en la figura. En ese mismo instante, generar en el directorio Windows\System dos ficheros, el SKA.EXE (de 10.000 bytes que es una copia del HAPPY.EXE), el 19
SKA.DLL (de 8.192 bytes) y modificar el WSOCK32.DLL haciendo una copia del original llamndola WSOCK32.SKA. Una vez ya instalado, al arrancar de nuevo Windows, se ejecutar dicha DLL modificando el registro de Windows de manera que en todos los Emails que se enven vaya asociado el fichero HAPPA99.EXE y asi se traslade a otros lugares. En el directorio Windows\System se crear el fichero LISTE.SKA el cual contiene la lista de todas las direcciones a las que se les ha enviado el gusano. Considero que la informacin contenida en esta prctica es de suma importancia y de gran utilidad, puesto que nuestro mundo cada da ms se est desarrollando tecnolgicamente y son muchsimos los hogares, empresas, compaas y bancos que diariamente hacen uso de un computador y que necesitan conocer acerca de los virus de computadoras para as saber cmo prevenirlos y cmo enfrentarlos en el caso de que infecten nuestro computador. No existen virus benficos. Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando un mensaje humorstico. En estos casos, el virus no es mas que una molestia. Pero en otros casos, un virus puede ser malicioso y causar dao real y tener efectos devastadores. Considero que la educacin de todos los usuarios de computadora y su activa participacin en el seguimiento de ciertas normas, es de vital importancia para as tratar de detener la propagacin de los virus. Existen ms de 1000 virus identificados, y cada da aparecen nuevos virus. Esta cifra debe abrirnos los ojos para as llegar a comprender la magnitud y complejidad de los problemas que se podremos tener en el futuro con los virus. Son muchos los "hackers", o apasionados de la computacin que sentados horas y horas frente a sus equipos, estn buscando la forma de producir el super virus, capaz de no ser detectado, reproducirse sin ser notado, y causar toda clase de dolores de cabeza a los usuarios de computadora. Afortunadamente cada vez ms se estn desarrollando mejores antivirus y esperamos que los virus informticos puedan ser detenidos por estos programas antivirus para que no se sigan propagando y no nos sigan causando tantos daos en nuestras computadoras y tantos dolores de cabeza. Enciclopedia Microsoft Encarta, 1999. A.Goretsky, "ViruScan Documentation Manual", MacAfee Associates, California, 1995. A.Goretsky, "VShield ver. 4.8B89 Manual", MacAfee Associates, California, 1992.S. White, D. Chess, C. Kuo, "Coping with Computer G. Ferreira, "Virus en las Computadoras", Macrobit Editores, Mxico, 1991. http://www.megazona.com/ZONAVirus/ http://www.geocities.com/Athens/Olympus/7428/virus1.html 1
20