Este tema servirá como resumen y recopilación de todo lo esencial que debemos saber sobre los virus así como algunas cosas extra que no están nunca de más.

1. ¿Qué es un virus?
2. Anatomía de un virus
3. Clasificación de los virus
4. Características de los virus
5. Propagación de los virus
6. Daños de los virus
7. Cosas habitualmente confundidas con virus
8. Conclusiones

__________________________________________________
Este artículo ha sido preparado por el equipo de redactores del foro, cualquier error, pregunta comentario, favor dirigirla a cualquier miembro del equipo.

¿Qué es un virus?

Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Es un programa parásito que ataca a los archivos o sectores de arranque y se replica a sí mismo para continuar su esparcimiento.

Algunos se limitan a replicarse, mientras que otros pueden producir serios daños que afectan a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo flotando en el sistema.

Tienen diferentes finalidades: Algunos sólo infectan, otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero todos tienen el mismo fin: propagarse.

Anatomía de un virus

Se pueden distinguir tres módulos principales en un virus informático. Módulo de reproducción, de ataque y de defensa.

• El módulo de reproducción se encarga de manejar las rutinas de "parasitamiento" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse.
• El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño del virus.
• El módulo de defensa tiene, la misión de proteger al virus, y como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la eliminación del virus y retardar, en todo lo posible, su detección.

Clasificación de los virus

Hay varias formas de clasificar o agrupar a los virus, una de ellas es según lo que infectan.

• Programa: Infectan archivos ejecutables tales como .com, .exe, .ovl, .drv, .sys, .bin
  
• Boot: Infectan los sectores de arranque del sistema, FAT y la Tabla de Partición.
  
• Múltiples: Infectan programas y sectores de arranque.
  
• Bios: Atacan al Bios para desde allí reescribir los discos duros.

Características de los virus

La enorme variedad de virus existente hace difícil enumerar todas sus características, sin embargo, mencionaremos algunas de las más comunes.

• Son generalmente pequeños de tamaño.
• Son capaces de reproducirse, siendo este su principal objetivo.
• Pueden esconderse en los "espacios vacíos" de los archivos que infectan.
• Pueden permanecer latentes un período indeterminado de tiempo hasta que algo detone su activación.
• Pueden mutar, dando paso a una variante de si mismo. Estos son virus de mayor tamaño y complejidad de programación.
• Pueden quedarse en memoria infectando todo lo que pase por ella o esperando una víctima determinada.
• Pueden camuflarse en el sistema, siendo esta su principal arma de defensa.

Formas de camuflaje

• Distracción: El virus re-orienta la lectura del disco para evitar ser detectado.
• Variación de tamaño: Los datos sobre el tamaño del archivo infectado son modificados en la FAT (File Allocation Table, Tabla de Ubicación de Archivos), para evitar que se descubran bytes extra que aporta el virus.
• Encriptamiento: El virus se encripta en símbolos sin sentido para no ser detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable.
• Polimorfismo: mutan cambiando segmentos del código para parecer distintos en cada nueva generación, lo que los hace muy difíciles de detectar y destruir.

Propagación de los virus

Los virus informáticos se difunden cuando las instrucciones (o código ejecutable) que hacen funcionar los programas pasan de una computadora a otra. Se transportan a través de programas tomados de BBS (Bulletin Board System) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga ejecutables o macros puede ser portador de un virus: Descargas de programas de lugares inseguros, correos electrónicos con archivos adjuntos, archivos de MS-Word, MS-Excel y MS-Power Point con macros.

Los archivos de datos, texto o HTML no contienen virus en estado activo, pero pueden ser dañados o afectados por virus.

Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan, lo cual indica que ya sea por acción del usuario o por acción del sistema, si un archivo infectado es ejecutado, y se reúnen las condiciones preprogramadas en su código de base, la infección tendrá lugar.

Por otro lado, un sistema inactivo, ya sea que esté o no conectado a una red, puede estar infectado, pero su estado será pasivo, ya que al no estarse ejecutando programas, los virus no pueden funcionar. Esto es especialmente importante de recordar cuando un sistema está en red, ya que puede contener una infección y no presentar síntomas, pero al interactuar con otros equipos de la red, puede detonarse el proceso infeccioso, ya sea en el equipo previamente infectado o en los otros, dependiendo del tipo de virus.

Los virus de sectores de arranque se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los discos de la PC. Pueden dañar el sector o sobrescribirlo, lamentablemente obligan al formateo del disco infectado.

En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Pueden solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca la computadora, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.

Daños de los virus

Definiremos daño como acción indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.

• Daños triviales:
  Sirva como ejemplo la forma de trabajo del virus FORM (el más común). En el día 18 de cada mes cualquier tecla que presionemos hace sonar un pitido (beep) en el altavoz interno de la computadora. Deshacerse del virus implica, generalmente, segundos o minutos.
  
• Daños menores:
  Un buen ejemplo de este tipo de daño es el Jerusalem. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos.
  
• Daños moderados:
  Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último respaldo. Esto quizás nos lleve una hora.
  
• Daños mayores:
  Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un respaldo volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER , que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: Eddie lives somewhere in time (Eddie vive en algún lugar del tiempo).
  
  Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último respaldo notaremos que también él contiene sectores con la frase, y también los respaldos anteriores a ese.
  
  Puede que lleguemos a encontrar un respaldo limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a esa copia de seguridad.
  
• Daños severos:
  Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ... ).
  
• Daños limitados:
  Algunos programas obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. Por ejemplo, crean un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y hará lo que quiera.

Cosas habitualmente confundidas con virus

Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.

Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus.

Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no:

• BUGS (Errores en programas):
  Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Todos los programas lo suficientemente complejos tienen bugs.
• Falsa alarma:
  Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una falsa alarma luego de correr nuestro programa antivirus.
  
  Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda:
  
  ¿Es sólo un archivo el que reporta la alarma? o quizás varios, pero copias del mismo.
  ¿Solamente un producto antivirus reporta la alarma? ¿Otros productos dicen que el sistema está limpio?
  
  Si al menos una de nuestras respuestas fue afirmativa, es muy posible que efectivamente se trate de una falsa alarma.
• Programas corruptos:
  A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.
• Spyware y demás malwares:
  Si bien hay similitudes entre un virus y un spyware, es preciso aclarar que no son lo mismo. Muchas veces la gente tiene problemas con su computadora y después de estar seguro que no son ni bugs, ni falsas alarmas, ni programas corruptos sacan la conclusión de que es un virus, y al darse cuenta que su antivirus no encuentra nada se sorprenden. Esta es la prueba mas clara de que no es lo mismo virus y spyware, esta es la razón por la que el antivirus no lo detecta.

Conclusiones

En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:

• No todo lo que afecte el normal funcionamiento de una computadora es un virus.
• Todo virus es un programa y, como tal, debe ser ejecutado para activarse.
• Es imprescindible contar con herramientas de detección y desinfección.
• Ningún sistema de seguridad es infalible, por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede producir daños graves e indiscriminados.

Estrategias de prevención y reparación:

• Un disco de sistema protegido contra escritura y libre de virus: Un disco que contenga el sistema operativo ejecutable (es decir, que la máquina pueda ser arrancada desde este disco), con protección contra escritura y que contenga, por lo menos, los siguientes comandos: format, fdisk, mem y chkdsk (o scandisk en versiones recientes del MS-DOS).
  
  
• Un programa antivirus actualizado: Se puede considerar actualizado a un antivirus que no tiene más de tres meses desde su fecha de creación, o de actualización del archivo de definiciones. Es recomendable tener por lo menos dos antivirus, siempre y cuando dejemos uno como residente y el otro lo tengamos desactivado y lo usemos solo para análisis manuales complementarios.
  Pueden elegir entre estos:
  De pago:
  • AVG antivirus Pro
  • F-Secure
  • Kaspersky Anti-Virus 6
  • McAfee Virusscan
  • Nod32
  • Norton Antivirus 2006
  • Panda Antivirus 2007
  • Per Antivirus
  • Trendmicro
  
  Gratuitos:
  • Antivir
  • Avast!
  • AVG free edition
  • BitDefender
  • Clamwin
  • Comodo Antivirus
  
  
  
• Una fuente de información sobre virus: Es decir, algún programa, libro o archivo de texto que contenga la descripción, síntomas y características de por lo menos los cien virus más comunes. Pueden consultar la pagina de
  • enciclopedia virus o la de
  • Virus scan, también esta de Bit Defender
  
  
• Un sistema de respaldo de áreas críticas: Algún programa que obtenga respaldo (backup) de los sectores de arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot Record) de los discos rígidos. Muchos programas antivirus incluyen funciones de este tipo.
  
  
• Lista de lugares donde acudir en caso de problemas: Una buena precaución es no esperar a necesitar ayuda para comenzar a buscar quién puede ofrecerla, sino ir elaborando una agenda de direcciones, teléfonos y direcciones electrónicas de las personas y lugares que puedan servirnos más adelante. Si se cuenta con un antivirus comercial o registrado, deberán tenerse siempre a mano los teléfonos de soporte técnico. Recomiendo el foro (forospyware)
  
  
• Un sistema de protección residente: Muchos antivirus incluyen programas residentes que previenen, en cierta medida, la intrusión de virus y programas desconocidos a la computadora.
  
  
• Hacer copias de seguridad periódicos: Se deben tener respaldados en disco los archivos de datos más importantes, además, se recomienda respaldar todos los archivos ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble, por si uno de los discos de respaldo se daña.
  
  
• Revisar todos los discos nuevos antes de utilizarlos: Cualquier disco que no haya sido previamente utilizado debe ser revisado, inclusive los programas originales y los que se distribuyen junto con revistas de computación.
  
  
• Revisar todos los discos que se hayan prestado: Cualquier disco que se haya prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan archivos de datos, deben ser revisados antes de usarse nuevamente.
  
  
• Revisar todos los programas que se obtengan desde la red: Una de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales es común la transferencia de archivos, pero no siempre se sabe desde dónde se está recibiendo información. Si descargan un programa de Internet, dudan de un archivo que este contenga y no están seguros de lo que les dice su antivirus (antispyware etc.) pueden subir el archivo a Virus total (El archivo debe ser menor a 2 Mega bytes, caso contrario, si es un programa grande es preferible hacer un escaner online con 2 o mas antivirus)
  
  
• Evitar descargar números de serie y cracks: Muchas veces queremos un juego, un antivirus, o un programa pero no tenemos dinero para comprarlo. Entonces, lo que hacemos, es buscar en la web números de serie o cracks para poder utilizar este programa sin pagar. Esto no es recomendable, principalmente porque no es legal y además, porque en muchos casos terminan llenando la computadora de virus y diversos malwares.
  
  
• Revisar periódicamente la computadora: Se puede considerar que una buena frecuencia de análisis es, por lo menos, mensual. También para mayor certeza pueden utilizar escaners online.
  
  
• Un firewall: Todos los sistemas poseen "puertas abiertas" por las que pueden entrar determinadas infecciones, o salir si ya estamos afectados e infectar a otras personas, por lo que hay que evitar eso