¿Qué es un virus? ¿Pueden entrar por el ratón? ¿Qué efectos tienen

Anuncio
Virus info / Sobre los virus / Claves
¿Qué es un virus? ¿Pueden entrar por el ratón? ¿Qué efectos tienen? Información básica para
comprender a los virus.
¿Qué es un virus informático? Los virus son programas con unas características muy peculiares.
Virus, gusanos y troyanos. Los parientes más cercanos de los virus.
Hoaxes y jokes. Virus falsos y bromas pesadas que pueden confundir al usuario.
¿Qué elementos infectan? Los virus pueden introducirse en muchas partes, pero aún no infectan los
monitores.
Medios de entrada más habituales. ¿Pueden entrar por el ratón? Descubra cómo llegan los virus.
¿Dónde se esconden? Los virus emplean numerosos medios para intentar pasar desapercibidos.
Efectos y síntomas de infección. Cómo detectar a simple vista la presencia de virus.
© Panda Software
Imprimir Pagina / Cerrar Pagina
Virus info / Sobre los virus / Claves /¿Qué es un virus?
Los virus son programas con unas características muy peculiares.
Los virus son programas que se introducen en los ordenadores de formas muy diversas: a través del correo
electrónico, Internet, disquetes, etc. Tienen dos características diferenciales:
Se reproducen infectando otros ficheros o programas.
Al ejecutarse, realizan acciones molestas y/o dañinas para el usuario.
El término virus informático se debe a su enorme parecido con los virus biológicos.
Del mismo modo que los virus biológicos se introducen en el cuerpo humano e infectan una célula, que a su vez
infectará nuevas células al inyectar su contenido en ellas, los virus informáticos se introducen en los ordenadores e
infectan ficheros insertando en ellos su "código". Cuando el programa infectado se ejecuta, el código entra en
funcionamiento y el virus sigue extendiéndose.
Además, ambos tipos de virus presentan síntomas que avisan de su presencia y, mientras que los virus biológicos
son micro-organismos, los virus informáticos son micro-programas.
Si desea ampliar esta información, consulte el apartado Sobre los virus / Datos técnicos / Tipos de virus.
© Panda Software
Imprimir Pagina / Cerrar Pagina
Virus info / Sobre los virus / Datos técnicos / Tipos de virus
Los virus informáticos se pueden clasificar siguiendo criterios muy diversos.
Residentes
De acción directa
De sobreescritura
De boot
De macro
De enlace o directorio
Encriptados
Polimórficos
Multipartites
De fichero
De compañía
De FAT
Gusanos
Troyanos
Bombas lógicas
Virus falsos
Los virus se pueden clasificar en función de múltiples características y criterios: según su origen, las técnicas que
utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los daños que causan, el
sistema operativo o la plataforma tecnológica que atacan, etc.
Todas estas clasificaciones tienen muchos puntos en común, por lo que un mismo virus puede pertenecer a varias
categorías al mismo tiempo.
Por otro lado, continuamente surgen nuevos virus que por su reciente aparición o por sus peculiares características
no pueden ser incluidos inicialmente en ninguna categoría, aunque esto no es lo habitual.
Simplificando, estos son los tipos virus más significativos:
Virus residentes
La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o
residente . De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema
operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados,
copiados, etc.
Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas previamente por su creador (por ejemplo,
una fecha y hora determinada). Mientras tanto, permanecen ocultos en una zona de la memoria principal, ocupando
un espacio de la misma, hasta que son detectados y eliminados.
Algunos ejemplos de este tipo de virus son: AntiCMOS, AntiEXE, Barrotes, Viernes 13, Babylonia, Chernobyl
(CIH).
Virus de acción directa
Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es
reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se
activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.
Además, también realizan sus acciones en los directorios especificados dentro de la línea PATH (camino o ruta de
directorios), dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra en el directorio raíz del disco
duro).
Los virus de acción directa presentan la ventaja de que los ficheros afectados por ellos pueden ser desinfectados y
restaurados completamente.
Virus de sobreescritura
Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando
infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
También se diferencian porque los ficheros infectados no aumentan de tamaño, a no ser que el virus ocupe más
espacio que el propio fichero (esto se debe a que se colocan encima del fichero infectado, en vez de ocultarse
dentro del mismo).
La única forma de limpiar un fichero infectado por un virus de sobreescritura es borrarlo, perdiéndose su contenido.
Virus de boot o de arranque
Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco (tanto un
disquete como un disco duro respectivamente). En ella se guarda la información esencial sobre las características
del disco y se encuentra un programa que permite arrancar el ordenador.
Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el
sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un disquete infectado, el virus
de boot infectará a su vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste último con un
disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los disquetes contra escritura y
no arrancar nunca el ordenador con un disquete desconocido en la disquetera.
Algunos ejemplos de este tipo de virus son: Anti-Telefónica, CMOS.Erase, Cruel, Diablo, Empire, Form,
Michelangelo, Parity Boot, Tequila.
Virus de macro
El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que
contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de Excel (ficheros con
extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con
extensión PPS), ficheros de Corel Draw, etc.
Las macros son micro-programas asociados a un fichero, que sirven para automatizar complejos conjuntos de
operaciones. Al ser programas, las macros pueden ser infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán de forma automática,
produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus
y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección.
Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de
PowerPoint, multiprograma o de archivos RTF. Sin embargo, no todos los programas o herramientas con macros
pueden ser afectadas por estos virus.
Estos son algunos ejemplos: Bablas, Class, Lewinsky, Melissa, Marker, Elecciones2000 (virus de macro de
Word); Barisada, Laroux, Manalo, Oblivion, Sugar, Totaler (virus de macro de Excel); Cybernet, HalfCross,
Shiver, Tristate , Y2K (virus de macro multiprograma o Multi Macro Partite).
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que
el sistema operativo conoce para poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De
este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo
que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba
originalmente el programa, colocándose en su lugar.
Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.
Virus encriptados
Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a
otras clasificaciones.
Estos virus se cifran o encriptan a sí mismos para no ser detectados por los programas antivirus. Para
realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.
Virus polimórficos
Son virus que en cada infección que realizan se cifran o encriptan de una forma distinta (utilizando
diferentes algoritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a
través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
Algunos ejemplos de este tipo de virus son: Cocaine , Kriz, Marburg, Neuroquila, Satan Bug, Tuareg.
Virus multipartites
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para
ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos
de sus acciones.
Virus de Fichero
Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa
infectado, el virus se activa, produciendo diferentes efectos.
La mayoría de los virus existentes son de este tipo.
Virus de fichero
Virus de fichero.
Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa
infectado, el virus se activa, produciendo diferentes efectos.
La mayoría de los virus existentes son de este tipo.
Virus de compañía
Son virus de fichero que al mismo tiempo pueden ser residentes o de acción directa. Su nombre deriva de que
"acompañan" a otros ficheros existentes en el sistema antes de su llegada, sin modificarlos como hacen
los virus de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compañía pueden esperar ocultos en la memoria hasta que se lleve a
cabo la ejecución de algún programa, o actuar directamente haciendo copias de sí mismos.
Virus de FAT
La Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para enlazar la información contenida
en éste. Se trata de un elemento fundamental en el sistema.
Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas
partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador. Los
daños causados a la FAT se traducirán en pérdidas de la información contenida en ficheros individuales y en
directorios completos.
Gusanos (Worms)
De un modo estricto, los gusanos no se consideran virus porque no necesitan infectar otros ficheros para
reproducirse. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus.
Básicamente, los gusanos se limitan a realizar copias de sí mismos a la máxima velocidad posible, sin
tocar ni dañar ningún otro fichero. Sin embargo, se reproducen a tal velocidad que pueden colapsar por saturación
las redes en las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a través del correo electr ónico, las redes
informáticas y los canales de Chat (tipo IRC o ICQ) de Internet. También pueden propagrase dentro de la memoria
del ordenador.
Troyanos o caballos de Troya
Técnicamente, los troyanos tampoco se consideran virus, ya que no se reproducen infectando otros ficheros.
Tampoco se propagan haciendo copias de sí mismo como hacen los gusanos. A efectos prácticos, son tratados como
virus y son detectados y eliminados por los antivirus.
El objetivo básico de estos virus es la introducción e instalación de otros programas en el ordenador, para
permitir su control remoto desde otros equipos.
Su nombre deriva del parecido en su forma de actuar con los astutos troyanos de la mitología: llegan al ordenador
como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un
segundo programa, el troyano.
Los efectos de los troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar
ficheros o destruir la información del disco duro. Pero además pueden capturar y reenviar datos
confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso
controle nuestro ordenador de forma remota.
Bombas lógicas
Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni siquiera son programas independientes,
sino un segmento camuflado dentro de otro programa.
Tienen por objetivo destruir los datos de un ordenador o causar otros daños de consideración en él cuando
se cumplen ciertas condiciones. Mientras este hecho no ocurre, nadie se percata de la presencia de la bomba lógica.
Su acción puede llegar a ser tremendamente destructiva.
Virus falsos
Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o programas que en ciertos casos son
confundidos con virus, pero que no son virus en ningún sentido.
El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son virus, sino mensajes de
correo electr ónico engañosos, que se difunden masivamente por Internet sembrando la alarma sobre
supuestas infecciones víricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo una
serie de acciones a realizar para librarse de la supuesta infección.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es
borrarlo sin prestarle la más mínima atención y no reenviarlo a otras personas.
Virus info / Sobre los virus / Claves / Virus, gusanos y troyanos
Los parientes más cercanos de los virus.
Gusanos
Troyanos
Además de los virus, existen otros dos enemigos de gran parecido: los gusanos y los troyanos. Aunque a
efectos prácticos se suelen considerar también como virus, tienen alguna diferencia con ellos.
Gusanos
Los gusanos son programas muy similares a los virus, ya que también se autoreplican y tienen efectos dañinos para
los ordenadores, pero se diferencian en que no necesitan infectar otros ficheros para reproducirse.
Básicamente, los gusanos se limitan a realizar copias de sí mismos, sin tocar ni dañar ningún otro fichero,
pero se reproducen a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran.
Principalmente se extienden a través del correo electr ónico, como los conocidos I Love You, Navidad, Pretty
Park, Happy99, ExploreZip.
Troyanos
Un troyano o caballo de Troya es un programa que se diferencian de los virus en que no se reproduce
infectando otros ficheros. Tampoco se propaga haciendo copias de sí mismo como hacen los gusanos.
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología: llegan al ordenador
como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un
segundo programa, el troyano.
Los efectos de los troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar
ficheros o destruir la información del disco duro. Pero además pueden capturar y reenviar datos confidenciales a
una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro
ordenador de forma remota.
Algunos ejemplos de troyanos son Backdoor, Donald Dick, Crack2000, Extacis, KillCMOS y Netbus.
Si desea ampliar esta información, consulte el apartado Sobre los virus / Datos técnicos / Tipos de virus.
Virus info / Sobre los virus / Claves / Hoaxes y Jokes
Virus falsos y bromas pesadas que pueden confundir al usuario.
Hoaxes
Jokes
Existen ciertos tipos de mensajes o de software que a veces son confundidos con virus, pero que no lo son en
ningún sentido. Es muy importante conocer las diferencias para no sufrir las consecuencias negativas de una
confusión.
Hoaxes
L o s h o a x e s no son virus, sino mensajes de correo electr ónico engañosos, que se difunden
masivamente por Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los
usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo
una serie de acciones a realizar para librarse de la supuesta infección.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es borrarlo
sin prestarle la más mínima atención y no reenviarlo a otras personas.
Mensaje de presentación del hoax
SULFNBK.EXE.
Jokes
Un joke tampoco es un virus, sino un programa inofensivo que simula las acciones de un virus
informático en nuestro ordenador. Su objetivo no es atacar, sino gastar una broma a los usuarios, haciéndoles
creer que están infectados por un virus y que se están poniendo de manifiesto sus efectos. Aunque su actividad
llega a ser molesta, no producen realmente efectos dañinos.
Virus info / Sobre los virus / Claves / ¿Qué elementos infectan?
Los virus pueden introducirse en muchas partes, pero aún no infectan los monitores.
El objetivo de los virus suelen ser los programas que se pueden ejecutar (ficheros con extensión EXE o COM ).
Sin embargo, y cada vez más, también pueden infectar otros tipos de ficheros, como páginas Web (HTML),
documentos de Word (DOC), hojas de cálculo (XLS), etc.
La infección de un fichero puede provocar la modificación en su comportamiento y funcionamiento o incluso su
eliminación. Esto se traduce en consecuencias que, en mayor o menor medida, afectan al sistema informático.
Por otro lado, los ficheros se alojan o almacenan en unidades de disco (disco duro, CD-ROM, DVD, disquete, etc)
que también pueden verse afectadas por la infección.
Para ampliar esta información, consulte el apartado Sobre los virus / Datos técnicos / Técnicas de
propagación y camuflaje.
© Panda Software
Imprimir Pagina / Cerrar Pagina
Virus info / Sobre los virus / Datos técnicos / Técnicas de propagación
Los virus informáticos emplean una gran diversidad de técnicas de ataque.
Técnicas de propagación
Técnicas de camuflaje
Vulnerabilidades
Nuevas técnicas
Para entrar en los ordenadores y permanecer ocultos dentro de ellos, los virus emplean una gran variedad de
técnicas, que evolucionan velozmente, a la par de los cambios generales en el sector de la informática y de la
aparición en el mercado de nuevas aplicaciones.
Técnicas de propagación
Estas son algunas de las técnicas más empleadas por los virus para extenderse:
- Inclusión de código HTML en la Autofirma de los mensajes de correo.
- Instalación y activación del virus al visualizar el mensaje a través de la Vista previa.
- Inclusión de código que provoca, al abrir un mensaje infectado, la ejecución automática del fichero incluido
dentro del mismo.
- Aprovechamiento de fallos o vulnerabilidades del navegador Internet Explorer y de los programas de correo
electrónico Outlook y Outlook Express.
- Aprovechamiento de fallos o vulnerabilidades de los servidores Web, como Internet Information Server,
Index Server, Indexing Service, etc.
- Uso de unidades de disco y directorios compartidos de red, para disponer de información, utilidades o servicios
comunes a los usuarios.
- Uso de sistemas de redes y nodos especiales para el intercambio y la descarga de ficheros, como la red
Gnutella.
Además, existen lo que se podrían definir como estrategias generales de actuación de los virus cuando llegan a un
ordenador. Por ejemplo, procuran inspirar confianza a los usuarios y conseguir que "bajen la guardia", o se
presentan de forma atractiva (simulando ser imágenes, música, documentos de interés, información sobre temas de
interés, etc.).
En cuanto al futuro inmediato de las técnicas de propagación, se adivinan nuevas vías, como el uso de los teléfonos
móviles (ya existe algún virus que, aunque no se extiende a través de ellos, consigue enviar mensajes de texto a
móviles GSM), o los sistemas de televisión y servicios de conexión por cable, sostenidos en plataformas
informáticas.
Por otra parte, actualmente existen varios tipos de ficheros que no pueden ser infectados por los virus. Sin
embargo, es muy probable que estos formatos de ficheros que hoy parecen seguros, en un futuro próximo no lo
sean (del mismo modo que hace un tiempo era imposible infectarse por ejemplo sólo al navegar por páginas Web y
ahora si lo es).
Técnicas de camuflaje
Los virus intentan ocultarse de los antivirus y demás sistemas de protección utilizando una combinación de
complejas técnicas.
S t e a l t h . Los virus que utilizan esta técnica intentan pasar desapercibidos ocultando los síntomas que
normalmente delatan su presencia.
- Por ejemplo, cuando un fichero es infectado, generalmente aumenta de tamaño. Para que esto no se aprecie, el
virus sólo incluye su código de infección en las secciones libres (sin contenido) del fichero. De este modo, aunque
aumente el tamaño del fichero, el virus hará creer al sistema que éste no ha variado.
- Cuando un fichero es infectado, se produce una modificación, cuya fecha y hora queda registrada, variando las
características del fichero. El virus evita esto manteniendo la fecha y hora que estuvieran establecidas antes de la
infección.
- Para no levantar sospechas, los virus ocultan algunos de los ficheros que infectan, cambiando sus atributos y
poniéndolos como oculto.
Sobrepasamiento. Se basa en un complejo sistema mediante el cual, el microprocesador del ordenador debe
trabajar en el modo paso a paso y con interrupciones. De esta forma, el virus es capaz de interceptar cada una
de las peticiones realizadas por el sistema operativo. Así dificulta que el antivirus detecte esta situación.
Armouring. Con ella, los virus protegen el código maligno del programa, de tal forma que no pueda ser abierto
ni leído por los antivirus. Los antivirus hacen frente a esta situación con sus modernas técnicas heurísticas.
Autocifrado. Los antivirus buscan determinados grupos de instrucciones o cadenas de caracteres, que son las
que les permiten identificar a los virus. Para defenderse, éstos codifican su código maligno de forma que no sea
fácilmente perceptible. En contrapartida, los modernos antivirus son capaces de encontrar las claves de cifrado
mediante el uso de algoritmos.
Polimorfismo. Los virus que utilizan esta técnica se cifran a sí mismos de forma diferente en cada una de las
infecciones que realizan, con claves, operaciones y algoritmos diferentes. El resultado de esto serán nuevos virus
en cada nueva infección, con características distintas entre sí. Esto dificulta enormemente la detección por parte de
los programas antivirus.
Sin embargo, los virus no pueden auto-cifrarse completamente, ya que necesitan contar con partes no cifradas para
e j e c u t a r s e . E s a q u í donde actúan los antivirus, localizando el algoritmo que permite al virus realizar
automáticamente estas operaciones.
Vulnerabilidades
Las vulnerabilidades son fallos o huecos de seguridad detectados en los programas o aplicaciones de software
existentes.
Los virus utilizan cada vez con mayor frecuencia estos fallos en sus ataques, sobre todo los de las aplicaciones más
extendidas, para así provocar el mayor número posible de infecciones. Estas son algunas de las más recientes:
Vulnerabilidades que afectan a Internet Explorer.
- Cross-site scripting. Afecta a Internet Explorer (versiones 5.01, 5.5 y 6.0), siendo aprovechada para ejecutar
código maligno en un ordenador a través de una página Web en Internet, o a través de un mensaje de correo
electrónico en formato HTML.
Información adicional: boletín de seguridad de Microsoft MS02-023.
Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q321323 y en la página de
Windows Update.
- XMLHTTP Control Can Allow Access to Local Files. Esta vulnerabilidad permite enviar o recibir datos XML
mediante el protocolo HTTP. El problema corresponde al modo como el control XMLHTTP aplica la configuración
de Internet Explorer. El resultado es que se puede obtener información del sistema afectado.
Información adicional: boletín de seguridad de Microsoft MS02-008.
Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q317244.
- Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files. Esta vulnerabilidad permite que un
atacante acceda a las macros existentes en otros dominios, mediante páginas Web o mensajes de correo
electrónico en formato HTML. Esto se debe a que Internet Explorer no valida correctamente la relación el dominio
cuando utiliza código escrito en el lenguaje de programación Visual Basic Script, lo que hace posible que el
atacante obtenga datos confidenciales, recogidos desde páginas HTML.
Información adicional: boletín de seguridad de Microsoft MS02-009.
Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q318089.
- Malformed Dotless IP Address Can Cause Web Page to be Handled in Intranet Zone. Permite que se puedan abrir
páginas Web en Internet con un bajo nivel de seguridad y también permite que el atacante redireccione al
ordenador atacado a una determinada página Web. En tercer lugar, esta vulnerabilidad permite que se puedan
ejecutar sesiones remotas de Telnet a través de Internet Explorer.
Información adicional y solución: boletín de seguridad de Microsoft MS01-051.
- Incorrect MIME Header Can Cause IE to Execute E-mail. Esta vulnerabilidad impide que Internet Explorer
interprete correctamente el código HTML.
Información adicional y solución: boletín de seguridad de Microsoft MS01-020.
Vulnerabilidades que afectan a Outlook.
- Outlook View Control Exposes Unsafe Functionality . Afecta a Outlook (versiones 98, 2000 y 2002) y consiste en
un control ActiveX que permite la consulta de las carpetas de correo desde una página Web.
Información adicional y solución: boletín de seguridad de Microsoft MS02-038.
- Unchecked buffer in vCard Handler. Afecta a Outlook Express y el problema surge en la manipulación de vCards.
Aprovechando dicha vulnerabilidad, un atacante puede causar que el programa cliente de correo falle cuando se
abre un vCard, o que se ejecute código maligno en el equipo que lo abre.
Información adicional y solución: boletín de seguridad de Microsoft MS02-012.
- Malformed E-mail Header. Permite la ejecución de código malicioso de forma remota, con sólo abrir un
determinado mensaje que el atacante habrá creado expresamente para explotar dicha vulnerabilidad.
Información adicional y solución: boletines de seguridad de Microsoft MS00-043, MS00-045 y MS00-046.
- Actualización contra virus para Outlook (versiones 2000 y 98). No se trata de una vulnerabilidad, sino de una
serie de actualizaciones preparadas por Microsoft para limitar la apertura de los ficheros ejecutables.
- Seguridad en Outlook con ficheros adjuntos no ejecutables. Esta vulnerabilidad consiste en la ejecución
automática del fichero incluido dentro un mensaje, cuando éste último es abierto.
Información adicional y solución: boletines de seguridad de Microsoft MS99-048.
Vulnerabilidades que afectan a Windows XP/2000 Pro/NT/Me/98/95.
- Authentication Flaw Could Allow Unauthorized Users To Authenticate To SMTP Service en Windows 2000 y
Exchange 5.5. Exclusiva de sistemas Windows 2000 Pro. Esta vulnerabilidad afecta al servidor de correo SMTP,
permitiendo el envío de mensajes de correo sin autorización.
Información adicional y solución: boletines de seguridad de Microsoft MS02-011.
- Windows 2000 Security Rollup Package 1 (SRP1). Exclusiva de sistemas Windows 2000 Pro. Parche de una serie
de mejoras incluidas desde la edición del Service Pack 2 de Windows 2000 Pro.
- ActiveX Parameter Validation. Exclusiva de sistemas Windows 2000 Pro. Esta vulnerabilidad facilita la ejecución
de código vírico o maligno desde una página Web o desde un mensaje de correo electr ónico a través de un
componente ActiveX.
Información adicional y solución: boletines de seguridad de Microsoft MS00-085.
- Microsoft VM ActiveX Component. Aplicable a sistemas Windows 2000 Pro/NT/Me/98/95. Esta vulnerabilidad
afecta a la Máquina Virtual Java, permitiendo realizar cualquier acción desde otro ordenador conectado al
ordenador afectado.
Información adicional y solución: boletines de seguridad de Microsoft MS00-075.
- Varios nombres reservados para de Rutas y Dispositivos DOS. Aplicable a sistemas Windows 98/95. Esta
vulnerabilidad provoca el bloqueo del ordenador afectado. Dicho bloqueo se puede forzar desde una página Web,
desde un fichero ejecutable, etc.
Información adicional y solución: boletines de seguridad de Microsoft MS00-017.
- Fichero de Autorun. Aplicable a sistemas Windows 98/95. Esta vulnerabilidad permite la creación de un fichero
AUTORUN.INF en el directorio raíz de cualquier unidad de disco. A su vez, esto posibilita la ejecución de ficheros
con virus, que infectarán la unidad y producirán nuevas infecciones cuando se acceda a ella.
Información adicional y solución: para solucionar este problema, se debe sustituir el valor 0 por 1 en la clave
A u t o r u n , existente dentro de la siguiente entrada del Registro de Windows :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom.
- Programa CMD.EXE - Desbordamiento de buffer. Aplicable a sistemas Windows 2000 Pro/NT 4.0. Esta
vulnerabilidad permite a un usuario consumir parte o toda la memoria del equipo afectado.
Información adicional y solución: boletines de seguridad de Microsoft MS00-0.
Virus y vulnerabilidades.
Una de las vulnerabilidades más utilizadas por los virus se ha centrado en Internet Explorer (versiones 5.01 y 5.5).
En concreto, los virus aprovechan un problema del navegador de Microsoft para ejecutarse, de forma automática,
mediante la visualización de los mensajes a través de la Vista previa.
También se han descubierto otras vulnerabilidades en los servidores de Internet IIS y Apache. En este último, los
virus aprovechan el fallo para ejecutar código maligno.
De cara al futuro, es de esperar la aparición de virus capces de difundirse a partir de la vulnerabilidad detectada en
el reproductor Winamp, que posibilita que un fichero de sonido con extensión MP3 ejecute código vírico.
Nuevas técnicas
Los virus evolucionan constantemente hacia nuevos formatos y técnicas que multiplican el riesgo de infección para
los usuarios. Estos son los virus que han destacado recientemente por marcar un hito tecnológico:
- SWF/LMF-926, primer virus en infectar ficheros con extensión SWF (Shockwave Flash).
- Donut, pionero en estar diseñado para infectar ficheros de la plataforma .NET de Microsoft.
- Dadinu, primer gusano de correo electr ónico en afectar a los ficheros con extensión CLP.
- Kazoa, diseñado para propagarse utilizando la popular aplicación para intercambio de ficheros KaZaa.
Estos son otros ejemplos que destacan por el ingenio de sus creadores:
- F r e e d e s k t o p , q u e t i e n e l a a p a r i e n c i a d e u n a d i r e c c i ón Web, oculto en un fichero de nombre
www.freedesktopthemes.com. Mediante este disfraz intenta hacer creer al usuario que, si pincha en el citado
fichero, conseguirá fondos para el Escritorio de Windows. Sin embargo, al hacerlo, Freedesktop se envía a todos
los contactos que encuentra en la Libreta de direcciones.
- WorldCup (Chick.F) utiliza como señuelo el Mundial de Fútbol de Corea y Japón 2002, haciéndose pasar por un
fichero con los resultados del mismo.
- Gibe se envía en un mensaje de correo como si se tratara de una actualización proporcionada por Microsoft para
resolver varias vulnerabilidades.
- Petlil.A se envía en un mensaje de correo electr ónico cuyo texto atrae la atención del receptor utilizando como
reclamo una fotografía de carácter erótico.
- Kazoa emplea como reclamo los nombres de conocidos juegos de ordenador, películas o ficheros de música.
Virus info / Sobre los virus / Claves / Medios de entrada
¿Pueden entrar por el ratón? Descubra cómo llegan los virus.
Internet
Redes de ordenadores
Discos extraíbles
Los virus entran en los ordenadores a través de los distintos medios utilizados para intercambiar información.
Básicamente, estos medios se dividen en tres grupos: Internet, redes de ordenadores y unidades de disco
extraíbles.
Internet
Internet se ha convertido en el mayor medio de transferencia de información entre ordenadores, y en
consecuencia, hoy es la mayor y más rápida vía de propagación de virus.
Sin embargo, Internet posibilita numerosas formas de intercambiar información, y cada una de ellas tiene unas
características y un potencial de riesgo distinto.
Básicamente, hay que distinguir entre correo electr ónico, navegación por páginas Web, transferencia de ficheros
por FTP, descarga de programas y comunicaciones a través de chat y grupos de noticias.
Redes de ordenadores
Las redes de ordenadores consisten en un conjunto de ordenadores conectados físicamente entre sí (a través de
cable, módem, routers, etc.), para poder compartir información (programas, Intranet, etc.) y recursos entre ellos
(acceso a impresoras, escáner, etc), sin necesidad de recurrir a las unidades de disco extraíbles.
Esto es positivo y facilita el trabajo, pero también facilita la transmisión de virus: la probabilidad de infección en
una red es mayor que si el ordenador no está conectado en red.
Si uno de los ordenadores de una red contiene información con virus, cuando los demás accedan a ella serán
infectados a su vez, cayendo todos en cadena y paralizando la actividad de la toda red.
Discos extraíbles
Los discos extraíbles son unidades físicas y externas a nuestro ordenador, que se utilizan para guardar e
intercambiar información, como los disquetes, CD-ROMs, DVDs, discos duros extraíbles, etc.
Si uno de los programas, ficheros, mensajes de correo, etc. guardados en una unidad de disco está infectado, al
introducirla en otro ordenador podría infectarlo también.
Tradicionalmente, esta era la mayor fuente de infecciones. Hoy en día, los discos han retrocedido en importancia
frente a la expansión de Internet, pero todavía continúan representando un riesgo considerable.
Si desea ampliar esta información, consulte el apartado Sobre los virus / Datos técnicos / Vías de
entrada.
Virus info / Sobre los virus / Datos t écnicos / Vías de entrada y salida
Los virus informáticos utilizan todos los medios de intercambio de información para entrar y salir de
los ordenadores.
Internet
Redes de ordenadores
Unidades de disco
Es muy importante conocer perfectamente todas las vías de entrada y salida de los virus: así se evitarán tanto las
infecciones propias como su propagación a terceros.
Internet
La Red se ha convertido en el mayor medio de transferencia de información entre ordenadores, y en consecuencia,
hoy es la mayor vía de entrada de virus. Sin embargo, Internet posibilita numerosas formas de intercambiar
información, y cada una de ellas tiene unas características y un potencial de riesgo distinto.
Mensajes de correo electr ónico. La vía de entrada preferida actualmente por los virus, especialmente en las
empresas, donde es el origen de más del 80% de las infecciones. Su gran peligrosidad deriva de sus características
propias:
Extrema capacidad de replicación y propagación. Un correo infectado puede extenderse en cuestión de minutos
a miles de ordenadores de todo el mundo.
Elevada capacidad de conexión entre ordenadores, ya que es posible enviar y recibir mensajes entre
prácticamente cualquier tipo de ordenador o plataforma.
Gran sofisticación técnica de muchos nuevos virus: se reenvían por sí solos a todas los contactos que el
usuario infectado tenga en su Libreta de direcciones, producen infecciones con la simple lectura o apertura
del mensaje, se aprovechan de posibles vulnerabilidades o agujeros de seguridad de los diversos
programas de correo, etc.
Todo lo anterior implica la necesidad de proteger perfectamente tanto los puertos de entrada y salida de la red,
como los protocolos a través de los cuales se reciben (POP3) y se envían (SMTP) los mensajes de correo.
Navegación por páginas Web. Algunas de las tecnologías incluidas en estas páginas (Applets Java y
controles ActiveX) son programas que pueden estar infectados por virus y contagiar a los internautas.
Además, los virus más recientes aprovechan posibles fallos de seguridad en los servidores que alojan las páginas
Web. Otros virus redirigen a los usuarios a página Web ya infectadas.
Transferencia de ficheros (FTP). FTP significa Protocolo de Transferencia de Ficheros, un sistema que sirve
para colocar documentos en otros ordenadores que estén en cualquier parte del mundo (upload) o para descargar
ficheros de dichos ordenadores (download). Al descargar un fichero, éste se copia directamente en nuestro
ordenador, con el consiguiente contagio en caso de contener virus.
Grupos de noticias (News). Los grupos de noticias (NNTP - newsgroups) y los sistemas de conversación en
línea (chat de IRC, ICQ, etc.) representan otra fuente de riesgo. En estos grupos se funciona de forma similar a
como se hace con los tablones de anuncios: cada usuario va dejando sus mensajes para que los demás los lean, y
estos mensajes pueden estar infectados.
Redes de ordenadores
Sobre todo en el ámbito empresarial, hay una clara tendencia hacia la conectividad entre los ordenadores, lo que ha
multiplicado el número de vías de entrada disponibles para los virus.
Discos compartidos. Un ordenador puede contar con uno o varios discos duros a los que otros usuarios tienen
acceso desde cualquier punto de la red. Este disco podría estar infectado y provocar la infección de otros
ordenadores cuando éstos lo utilicen. Igualmente sucede a la inversa: si un ordenador contaminado utiliza un disco
compartido, podría infectarlo y la infección se extenderá a los restantes equipos de la red.
Estaciones. Los usuarios conectados a una red informática realizan miles de transacciones de información
diarias, tanto internas (con otros equipos de la red) como externas (conexión a otras redes de área local o extensa
y conexión a Internet). Por lo tanto, cualquier fichero infectado con virus puede entrar y salir de la red a través de
las estaciones, si no están convenientemente protegidas.
Servidores. Estos equipos son los que permiten el funcionamiento de la red, las conexiones entre las
estaciones, la disposición de ficheros, la gestión del correo electr ónico, las comunicaciones con el exterior, etc. Para
conseguirlo, utilizan determinadas aplicaciones que pueden tener vulnerabilidades, aprovechadas por los virus.
Si los servidores se infectan, pueden contagiar a todos los equipos de la red de forma muy rápida. A su vez, estos
equipos pueden ser infectados desde una estación o desde otro servidor.
Servidores proxy y firewalls. Son los puntos por los cuales entra y sale toda la información de la red,
conformando el perímetro de la red corporativa. A través de ellos pueden llegar o enviarse ficheros infectados que
producirían el contagio tanto en los ordenadores de la red, como en los equipos de otra red externa a la que se
conecte cualquiera de ellos.
Virus que se extienden específicamente en redes informáticas. Últimamente, es habitual que aparezcan
virus especialmente diseñados para extenderse a través de redes informáticas, produciendo infecciones en todos
los puntos posibles de las mismas.
Aunque todos ellos tienen objetivos similares, utilizan diversos métodos: unos se aprovechan de ciertas
vulnerabilidades en los programas instalados, otros atacan determinados tipos de servidores de ficheros o de
correo y otros se cuelan por los servidores proxy y los firewall de la red.
Por último, en la protección antivirus de las redes es vital tener en cuenta una cosa: tan importante es proteger los
puntos de entrada como los puntos de salida. No hay que olvidar que el mayor peligro de un virus reside en su
capacidad de propagación. Por tanto, si alguno entra en la red, la primera medida a tomar es evitar que salga de
ella.
En esta misma Web, los administradores de red podrán encontrar unos consejos específicos de protección. No
obstante, también es necesario que todos los usuarios de la red sigan unos consejos básicos.
Unidades de disco
Las unidades de disco son medios de almacenamiento en los que se guardan programas, ficheros, páginas Web
(ficheros con extensión HTML , ASP, etc), mensajes de correo con ficheros adjuntos, ficheros comprimidos,
ficheros descargados desde Internet, etc.
DVD y CD-ROM. Su gran capacidad y versatilidad, así como la difusión de hardware y software asequible y
específico para su uso, han desplazado a otros tipos de discos en beneficio del CD-ROM y del DVD. Su gran
expansión convierte a estos discos en los de mayor amenaza potencial.
Unidades de disco duro extraíbles. Los ordenadores cuentan con uno o varios discos duros instalados en el
interior de su carcasa. Sin embargo, para trasladar todo su contenido a otros sistemas informáticos, existen
unidades de disco duro extraíbles que pueden ser utilizadas físicamente en varios sistemas informáticos. Si la
información contenida en estas unidades está infectada, contaminará a nuevos ordenadores.
Discos compartidos en red. Son unidades de disco que se encuentran físicamente en un ordenador concreto,
pero cuyo contenido es accesible para el resto de equipos conectados en su misma red. Evidentemente, si el disco
compartido está contaminado, extenderá la infección al resto de ordenadores.
Unidades Zip y Jazz. Se trata de unidades de disco extraíbles de gran capacidad de almacenamiento de
información. También pueden ser un punto de infección si no están convenientemente protegidas.
Disquetes. Hace años, eran el medio más utilizado por los virus para su propagación. Actualmente su utilización
es mucho más reducida, ya que han dejado paso a otras unidades de disco. No obstante, siguen representando un
riesgo de infección para quienes siguen utilizándolos. Los disquetes son los únicos que pueden afectar los dañinos
virus de boot, que infectan su sector de arranque .
Virus info / Sobre los virus / Claves / ¿Dónde se esconden?
Los virus emplean numerosos medios para intentar pasar desapercibidos.
Los escondites más utilizados por los virus son los siguientes:
- Las páginas Web están escritas en un determinado lenguaje y pueden contener elementos (Applets Java y
controles ActiveX) que permiten a los virus esconderse en ellos. Al visitar la página, se produce la infección.
- Los mensajes de correo electr ónico son los escondites preferidos de los virus, pues se trata del medio de
propagación más rápido. Estos mensajes pueden contener ficheros infectados o incluso producir la infección con
su simple lectura y apertura.
- La memoria principal del ordenador (memoria RAM). Los virus se colocan y quedan residentes en ella,
esperando a que ocurra algo que les permite entrar en acción.
- El sector de arranque es un área especial de un disco, que almacena información sobre sus características y
su contenido. Los virus, concretamente los de boot, se alojan en ella para infectar el ordenador.
- Los ficheros con macros son un escondite interesante para los virus. Las macros son pequeños programas
que ayudan a realizar ciertas tareas y están incorporados dentro de documentos Word (ficheros con extensión
DOC), hojas de cálculo Excel (extensión XLS) o presentaciones PowerPoint (extensión PPT o PPS). Al ser
programas, las macros pueden ser infectadas por los virus.
Para ampliar esta información, consulte el apartado Sobre los virus / Datos técnicos / Técnicas de
propagación y camuflaje.
© Panda Software
Imprimir Pagina / Cerrar Pagina
Virus info / Sobre los virus / Datos técnicos / Técnicas de propagación
Los virus informáticos emplean una gran diversidad de técnicas de ataque.
Técnicas de propagación
Técnicas de camuflaje
Vulnerabilidades
Nuevas técnicas
Para entrar en los ordenadores y permanecer ocultos dentro de ellos, los virus emplean una gran variedad de
técnicas, que evolucionan velozmente, a la par de los cambios generales en el sector de la informática y de la
aparición en el mercado de nuevas aplicaciones.
Técnicas de propagación
Estas son algunas de las técnicas más empleadas por los virus para extenderse:
- Inclusión de código HTML en la Autofirma de los mensajes de correo.
- Instalación y activación del virus al visualizar el mensaje a través de la Vista previa.
- Inclusión de código que provoca, al abrir un mensaje infectado, la ejecución automática del fichero incluido
dentro del mismo.
- Aprovechamiento de fallos o vulnerabilidades del navegador Internet Explorer y de los programas de correo
electrónico Outlook y Outlook Express.
- Aprovechamiento de fallos o vulnerabilidades de los servidores Web, como Internet Information Server,
Index Server, Indexing Service, etc.
- Uso de unidades de disco y directorios compartidos de red, para disponer de información, utilidades o servicios
comunes a los usuarios.
- Uso de sistemas de redes y nodos especiales para el intercambio y la descarga de ficheros, como la red
Gnutella.
Además, existen lo que se podrían definir como estrategias generales de actuación de los virus cuando llegan a un
ordenador. Por ejemplo, procuran inspirar confianza a los usuarios y conseguir que "bajen la guardia", o se
presentan de forma atractiva (simulando ser imágenes, música, documentos de interés, información sobre temas de
interés, etc.).
En cuanto al futuro inmediato de las técnicas de propagación, se adivinan nuevas vías, como el uso de los teléfonos
móviles (ya existe algún virus que, aunque no se extiende a través de ellos, consigue enviar mensajes de texto a
móviles GSM), o los sistemas de televisión y servicios de conexión por cable, sostenidos en plataformas
informáticas.
Por otra parte, actualmente existen varios tipos de ficheros que no pueden ser infectados por los virus. Sin
embargo, es muy probable que estos formatos de ficheros que hoy parecen seguros, en un futuro próximo no lo
sean (del mismo modo que hace un tiempo era imposible infectarse por ejemplo sólo al navegar por páginas Web y
ahora si lo es).
Técnicas de camuflaje
Los virus intentan ocultarse de los antivirus y demás sistemas de protección utilizando una combinación de
complejas técnicas.
S t e a l t h . Los virus que utilizan esta técnica intentan pasar desapercibidos ocultando los síntomas que
normalmente delatan su presencia.
- Por ejemplo, cuando un fichero es infectado, generalmente aumenta de tamaño. Para que esto no se aprecie, el
virus sólo incluye su código de infección en las secciones libres (sin contenido) del fichero. De este modo, aunque
aumente el tamaño del fichero, el virus hará creer al sistema que éste no ha variado.
- Cuando un fichero es infectado, se produce una modificación, cuya fecha y hora queda registrada, variando las
características del fichero. El virus evita esto manteniendo la fecha y hora que estuvieran establecidas antes de la
infección.
- Para no levantar sospechas, los virus ocultan algunos de los ficheros que infectan, cambiando sus atributos y
poniéndolos como oculto.
Sobrepasamiento. Se basa en un complejo sistema mediante el cual, el microprocesador del ordenador debe
trabajar en el modo paso a paso y con interrupciones. De esta forma, el virus es capaz de interceptar cada una
de las peticiones realizadas por el sistema operativo. Así dificulta que el antivirus detecte esta situación.
Armouring. Con ella, los virus protegen el código maligno del programa, de tal forma que no pueda ser abierto
ni leído por los antivirus. Los antivirus hacen frente a esta situación con sus modernas técnicas heurísticas.
Autocifrado. Los antivirus buscan determinados grupos de instrucciones o cadenas de caracteres, que son las
que les permiten identificar a los virus. Para defenderse, éstos codifican su código maligno de forma que no sea
fácilmente perceptible. En contrapartida, los modernos antivirus son capaces de encontrar las claves de cifrado
mediante el uso de algoritmos.
Polimorfismo. Los virus que utilizan esta técnica se cifran a sí mismos de forma diferente en cada una de las
infecciones que realizan, con claves, operaciones y algoritmos diferentes. El resultado de esto serán nuevos virus
en cada nueva infección, con características distintas entre sí. Esto dificulta enormemente la detección por parte de
los programas antivirus.
Sin embargo, los virus no pueden auto-cifrarse completamente, ya que necesitan contar con partes no cifradas para
e j e c u t a r s e . E s a q u í donde actúan los antivirus, localizando el algoritmo que permite al virus realizar
automáticamente estas operaciones.
Vulnerabilidades
Las vulnerabilidades son fallos o huecos de seguridad detectados en los programas o aplicaciones de software
existentes.
Los virus utilizan cada vez con mayor frecuencia estos fallos en sus ataques, sobre todo los de las aplicaciones más
extendidas, para así provocar el mayor número posible de infecciones. Estas son algunas de las más recientes:
Vulnerabilidades que afectan a Internet Explorer.
- Cross-site scripting. Afecta a Internet Explorer (versiones 5.01, 5.5 y 6.0), siendo aprovechada para ejecutar
código maligno en un ordenador a través de una página Web en Internet, o a través de un mensaje de correo
electrónico en formato HTML.
Información adicional: boletín de seguridad de Microsoft MS02-023.
Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q321323 y en la página de
Windows Update.
- XMLHTTP Control Can Allow Access to Local Files. Esta vulnerabilidad permite enviar o recibir datos XML
mediante el protocolo HTTP. El problema corresponde al modo como el control XMLHTTP aplica la configuración
de Internet Explorer. El resultado es que se puede obtener información del sistema afectado.
Información adicional: boletín de seguridad de Microsoft MS02-008.
Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q317244.
- Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files. Esta vulnerabilidad permite que un
atacante acceda a las macros existentes en otros dominios, mediante páginas Web o mensajes de correo
electrónico en formato HTML. Esto se debe a que Internet Explorer no valida correctamente la relación el dominio
cuando utiliza código escrito en el lenguaje de programación Visual Basic Script, lo que hace posible que el
atacante obtenga datos confidenciales, recogidos desde páginas HTML.
Información adicional: boletín de seguridad de Microsoft MS02-009.
Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q318089.
- Malformed Dotless IP Address Can Cause Web Page to be Handled in Intranet Zone. Permite que se puedan abrir
páginas Web en Internet con un bajo nivel de seguridad y también permite que el atacante redireccione al
ordenador atacado a una determinada página Web. En tercer lugar, esta vulnerabilidad permite que se puedan
ejecutar sesiones remotas de Telnet a través de Internet Explorer.
Información adicional y solución: boletín de seguridad de Microsoft MS01-051.
- Incorrect MIME Header Can Cause IE to Execute E-mail. Esta vulnerabilidad impide que Internet Explorer
interprete correctamente el código HTML.
Información adicional y solución: boletín de seguridad de Microsoft MS01-020.
Vulnerabilidades que afectan a Outlook.
- Outlook View Control Exposes Unsafe Functionality . Afecta a Outlook (versiones 98, 2000 y 2002) y consiste en
un control ActiveX que permite la consulta de las carpetas de correo desde una página Web.
Información adicional y solución: boletín de seguridad de Microsoft MS02-038.
- Unchecked buffer in vCard Handler. Afecta a Outlook Express y el problema surge en la manipulación de vCards.
Aprovechando dicha vulnerabilidad, un atacante puede causar que el programa cliente de correo falle cuando se
abre un vCard, o que se ejecute código maligno en el equipo que lo abre.
Información adicional y solución: boletín de seguridad de Microsoft MS02-012.
- Malformed E-mail Header. Permite la ejecución de código malicioso de forma remota, con sólo abrir un
determinado mensaje que el atacante habrá creado expresamente para explotar dicha vulnerabilidad.
Información adicional y solución: boletines de seguridad de Microsoft MS00-043, MS00-045 y MS00-046.
- Actualización contra virus para Outlook (versiones 2000 y 98). No se trata de una vulnerabilidad, sino de una
serie de actualizaciones preparadas por Microsoft para limitar la apertura de los ficheros ejecutables.
- Seguridad en Outlook con ficheros adjuntos no ejecutables. Esta vulnerabilidad consiste en la ejecución
automática del fichero incluido dentro un mensaje, cuando éste último es abierto.
Información adicional y solución: boletines de seguridad de Microsoft MS99-048.
Vulnerabilidades que afectan a Windows XP/2000 Pro/NT/Me/98/95.
- Authentication Flaw Could Allow Unauthorized Users To Authenticate To SMTP Service en Windows 2000 y
Exchange 5.5. Exclusiva de sistemas Windows 2000 Pro. Esta vulnerabilidad afecta al servidor de correo SMTP,
permitiendo el envío de mensajes de correo sin autorización.
Información adicional y solución: boletines de seguridad de Microsoft MS02-011.
- Windows 2000 Security Rollup Package 1 (SRP1). Exclusiva de sistemas Windows 2000 Pro. Parche de una serie
de mejoras incluidas desde la edición del Service Pack 2 de Windows 2000 Pro.
- ActiveX Parameter Validation. Exclusiva de sistemas Windows 2000 Pro. Esta vulnerabilidad facilita la ejecución
de código vírico o maligno desde una página Web o desde un mensaje de correo electr ónico a través de un
componente ActiveX.
Información adicional y solución: boletines de seguridad de Microsoft MS00-085.
- Microsoft VM ActiveX Component. Aplicable a sistemas Windows 2000 Pro/NT/Me/98/95. Esta vulnerabilidad
afecta a la Máquina Virtual Java, permitiendo realizar cualquier acción desde otro ordenador conectado al
ordenador afectado.
Información adicional y solución: boletines de seguridad de Microsoft MS00-075.
- Varios nombres reservados para de Rutas y Dispositivos DOS. Aplicable a sistemas Windows 98/95. Esta
vulnerabilidad provoca el bloqueo del ordenador afectado. Dicho bloqueo se puede forzar desde una página Web,
desde un fichero ejecutable, etc.
Información adicional y solución: boletines de seguridad de Microsoft MS00-017.
- Fichero de Autorun. Aplicable a sistemas Windows 98/95. Esta vulnerabilidad permite la creación de un fichero
AUTORUN.INF en el directorio raíz de cualquier unidad de disco. A su vez, esto posibilita la ejecución de ficheros
con virus, que infectarán la unidad y producirán nuevas infecciones cuando se acceda a ella.
Información adicional y solución: para solucionar este problema, se debe sustituir el valor 0 por 1 en la clave
A u t o r u n , existente dentro de la siguiente entrada del Registro de Windows :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom.
- Programa CMD.EXE - Desbordamiento de buffer. Aplicable a sistemas Windows 2000 Pro/NT 4.0. Esta
vulnerabilidad permite a un usuario consumir parte o toda la memoria del equipo afectado.
Información adicional y solución: boletines de seguridad de Microsoft MS00-0.
Virus y vulnerabilidades.
Una de las vulnerabilidades más utilizadas por los virus se ha centrado en Internet Explorer (versiones 5.01 y 5.5).
En concreto, los virus aprovechan un problema del navegador de Microsoft para ejecutarse, de forma automática,
mediante la visualización de los mensajes a través de la Vista previa.
También se han descubierto otras vulnerabilidades en los servidores de Internet IIS y Apache. En este último, los
virus aprovechan el fallo para ejecutar código maligno.
De cara al futuro, es de esperar la aparición de virus capces de difundirse a partir de la vulnerabilidad detectada en
el reproductor Winamp, que posibilita que un fichero de sonido con extensión MP3 ejecute código vírico.
Nuevas técnicas
Los virus evolucionan constantemente hacia nuevos formatos y técnicas que multiplican el riesgo de infección para
los usuarios. Estos son los virus que han destacado recientemente por marcar un hito tecnológico:
- SWF/LMF-926, primer virus en infectar ficheros con extensión SWF (Shockwave Flash).
- Donut, pionero en estar diseñado para infectar ficheros de la plataforma .NET de Microsoft.
- Dadinu, primer gusano de correo electr ónico en afectar a los ficheros con extensión CLP.
- Kazoa, diseñado para propagarse utilizando la popular aplicación para intercambio de ficheros KaZaa.
Estos son otros ejemplos que destacan por el ingenio de sus creadores:
- F r e e d e s k t o p , q u e t i e n e l a a p a r i e n c i a d e u n a d i r e c c i ón Web, oculto en un fichero de nombre
www.freedesktopthemes.com. Mediante este disfraz intenta hacer creer al usuario que, si pincha en el citado
fichero, conseguirá fondos para el Escritorio de Windows. Sin embargo, al hacerlo, Freedesktop se envía a todos
los contactos que encuentra en la Libreta de direcciones.
- WorldCup (Chick.F) utiliza como señuelo el Mundial de Fútbol de Corea y Japón 2002, haciéndose pasar por un
fichero con los resultados del mismo.
- Gibe se envía en un mensaje de correo como si se tratara de una actualización proporcionada por Microsoft para
resolver varias vulnerabilidades.
- Petlil.A se envía en un mensaje de correo electr ónico cuyo texto atrae la atención del receptor utilizando como
reclamo una fotografía de carácter erótico.
- Kazoa emplea como reclamo los nombres de conocidos juegos de ordenador, películas o ficheros de música.
Virus info / Sobre los virus / Claves / Efectos y síntomas
Cómo detectar a simple vista la presencia de virus.
Es difícil adivinar a simple vista si un ordenador está infectado por virus. La certeza sólo se consigue usando un
buen antivirus actualizado.
Sin embargo, hay ciertos síntomas que delatan la posible presencia de virus en el ordenador (aunque
también pueden deberse a otros problemas ajenos a los virus):
La lentitud no habitual con la que repentinamente funciona un ordenador, sin ninguna causa aparente,
puede deberse a varios motivos: muchos programas trabajando al mismo tiempo o problemas de red, pero
también a una infección vírica.
Una de las razones de la imposibilidad de abrir ciertos ficheros o de trabajar con determinados
programas es que un virus los haya eliminado, o que haya suprimido los ficheros que éste necesita para
funcionar.
La desaparición de ficheros y carpetas es uno de los efectos más comunes de los virus.
En ocasiones, puede ser imposible acceder al contenido de ciertos ficheros. Los virus también suelen
modificar ficheros, dejándolos inservibles. Al abrirlos, se mostrará un aviso de error.
La aparición en pantalla de avisos o mensajes de texto inesperados puede ser un síntoma claro de
infección por virus. Generalmente, estos avisos contienen textos que no son habituales (de carácter absurdo,
jocoso, hiriente, agresivo, etc.).
La disminución repentina del espacio en disco o de la capacidad de la memoria es también un síntoma
de infección por virus, que puede llegar a ocupar todo el espacio libre. En tal caso se muestran avisos
indicando que no hay más espacio.
Algunos virus impiden trabajar correctamente con los discos, haciendo muy difícil guardar un fichero o
utilizar el disco con normalidad.
La alteración inesperada en las propiedades de un fichero es también un síntoma de infección.
Algunos virus modifican los ficheros que infectan, aumentando su tamaño, alterando su fecha de creación y
modificación o sus atributos, etc.
Si el sistema operativo muestra mensajes de error, puede ser debido a un error real o a la presencia
de virus. Si estos mensajes aparecen al realizar operaciones sencillas en condiciones normales, hay que
sospechar.
Si aparece un fichero duplicado, y uno de ellos tiene extensión EXE, y otro el mismo nombre, pero
extensión COM, es muy probable que el segundo de ellos esté infectado.
En caso de producirse un cambio inesperado del nombre de un fichero, es también un síntoma de
infección.
Los problemas al arrancar el ordenador pueden deberse a varios motivos, pero la infección por parte de
un virus de boot es uno de los más frecuentes.
El ordenador se bloquea (se queda colgado) en momentos de carga excesiva, pero también puede
bloquearse por la acción de un virus. Esto es especialmente claro cuando se están realizando operaciones
sencillas que no suponen demasiado trabajo para el ordenador.
El ordenador se apaga repentinamente sin motivo aparente y vuelve a arrancar. Algunos virus
necesitan que esto suceda para activarse y asegurar su funcionamiento, por lo que provocan este tipo de
situaciones.
Si un programa se cierra repentinamente mientras estamos trabajando con él, tendremos motivos para
sospechar de una infección.
Otros efectos extraños, claros síntomas de la infección por troyanos, son que la bandeja del CD-ROM se
abre y se cierra automáticamente , el teclado y el ratón no funcionan correctamente o lo hacen al azar,
desaparecen ventanas y aparecen otras nuevas, etc.
Si desea ampliar esta información, consulte el apartado Sobre los virus / Datos técnicos / Técnicas de
propagación y camuflaje.
© Panda Software
Imprimir Pagina / Cerrar Pagina
A
GLOSARIO
Acceso de escritura / Permiso de escritura: Operación o derecho asociado a un usuario o a un programa, para
escribir en un disco, o cualquier otro dispositivo de almacenamiento informático.
Acción directa : Es una categoría o tipo de virus específico.
ActiveX: Es una tecnología utilizada, entre otras cosas, para dotar a las páginas Web de mayores funcionalidades, como
animaciones, vídeo, navegación tridimensional, etc. Los controles ActiveX son pequeños programas que se incluyen dentro de
estas páginas. Lamentablemente, por ser programas, pueden ser el objetivo de algún virus.
Actualizar / Actualización: Los antivirus evolucionan continuamente hacia versiones más potentes y adaptadas a las
nuevas tecnologías empleadas por los virus. Para no quedar obsoletos, detectan todos los nuevos virus que surgen a diario.
Para ello, cuentan con el denominado Archivo de Identificadores de Virus. Este fichero incluye todas las características que
identifican a cada uno de los virus, haciendo posible detectarlos y actuar en consecuencia. La incorporación de la última versión
de dicho fichero y de otros al antivirus, es lo que se conoce como actualización.
Administrador: Es la persona o programa encargado de gestionar, realizar el control, conceder permisos, etc. de todo un
sistema informático o red de ordenadores.
ADSL (Asymmetric Digital Subscriber Line): Se trata de un tipo de conexión a Internet y de una clase de módem que
se caracterizan por su elevada velocidad.
Algoritmo: La definición formal de algoritmo es: "conjunto ordenado de operaciones que permite hallar la solución de un
problema".
Alias: Cada virus tiene asignado un determinado nombre y sin embargo, muchas veces es más fácil reconocerlo por
alguna de sus características más destacadas. En estos casos, el virus cuenta además con un segundo nombre (a modo de
nombre de pila) que hace referencia a dicha característica. Dicho nombre es lo que se conoce como alias de un virus. P.e.: el
virus CIH se conoce con alias Chernobyl
Análisis heurístico: Consiste en el método, estrategia o té cnica empleada para hacer más fácil la resolución de
problemas. Aplicado al mundo informático, se entiende como una técnica utilizada para detectar virus que en ese momento
son desconocidos.
ANSI (American National Standards Institute): Es un estándar definido y establecido en materia de informática.
Anti-Debug / Antidebugger: Se trata del conjunto de técnicas que los virus emplean para evitar ser investigados.
Antivirus / Programas antivirus: Son todos aquellos programas que permiten analizar la memoria, las unidades de
disco y otros elementos de un ordenador, en busca de virus.
API (Application Programming Interface): Es una propiedad mediante la cual los programas pueden solicitar
peticiones para ser atendidos o utilizar un servicio del sistema operativo y de otros programas.
Applets Java / Java Applets: Son pequeños programas, que se pueden incluir en algunas páginas Web, con la finalidad
de aportar más y mejores funcionalidades a dichas páginas.
Archivo de Identificadores de Virus: Es el fichero que permite a los antivirus detectar a los virus. También es
conocido con el nombre de Fichero de Firmas.
Armouring: Es una técnica que utilizan los virus para esconderse e impedir ser detectados por los antivirus.
ASCII: Es un código (American Standard Code for Information Interchange) estándar definido y establecido para
representar los caracteres (letras, números, signos de puntuación, caracteres especiales, etc.) de forma numérica.
ASP (Active Server Page): Es un tipo de páginas Web que permiten ser personalizadas a medida de las características y
necesidades del usuario visitante. Además, también hace referencia a Application Service Provider. Es decir, proveedor de
servicios de aplicaciones.
Atributos: Son determinadas características que se asocian y determinan el tipo de fichero y directorio.
Autoencriptación: Operación mediante la cual un virus codifica -cifra- parte de su contenido, o éste en su totalidad. Esto,
en el caso de los virus, dificulta el estudio de su contenido.
Autofirma: Se trata de un texto o contenido que se introduce automáticamente cuando se crea un nuevo mensaje de
correo electr ónico.
B
Backdoor / Puerta trasera: Se trata de un punto (de hardware o de software) que permite acceder al control total o
parcial de un ordenador.
Bandeja de entrada: Es una carpeta existente en los programas de correo electr ónico, que contiene todos los mensajes
que se han recibido.
Barra de estado: Sección inferior que aparece en las ventanas de algunos programas de Windows, con información
sobre el estado del programa o de los ficheros con los que se trabaja.
Barra de tareas de Windows : Barra que aparece en la sección inferior de la pantalla cuando se trabaja en Windows. Esta
barra contiene, entre otras cosas, el botón Inicio de Windows, el reloj del sistema, iconos que representan cada uno de los
programas residentes en la memoria en ese momento y botones de acceso rápido que permiten la ejecución inmediata de
ciertos programas.
Barra de título: Es un área que aparece en la sección superior de las ventanas de Windows. En ella, se muestra
generalmente el nombre del programa al que corresponde la ventana y el título del fichero con el que se está trabajando.
Base de datos: Es un conjunto de ficheros que contienen datos y los programas que gestionan la estructura y la forma en
la que éstos se almacenan, así cómo la forma en la que deben relacionarse entre sí. Algunos ejemplos de sistemas de bases
de datos, son: Access, Oracle, SQL, Parados, dBase, etc.
BBS (Bulleting Board System): Es un sistema o servicio -utilizado en Internet-, que permite a los usuarios -mediante una
suscripción previa- leer y responder a los mensajes que otros usuarios han escrito (en un foro de debate o grupo de
noticias, por ejemplo).
BIOS (Basic Input / Output System): Conjunto de programas que permite arrancar el ordenador (parte del sistema de
arranque).
Bit (Binary digit): Es la unidad más pequeña de la información digital con la que trabajan los ordenadores (sistemas
informáticos).
Bomba lógica: Es un programa, en principio de apariencia normal e inofensiva, que puede actuar provocando acciones
dañinas, al igual que cualquier otro virus.
Boot / Master Boot Record (MBR) : También conocido como Sector de Arranque, es el área o la sección de un disco
donde se almacena información sobre sus características y la capacidad del disco para arrancar el ordenador.
Bucle: Se trata del conjunto de comandos u órdenes que un programa realiza de forma, en un número concreto y
reiterado de ocasiones.
Buffer: Es una memoria intermedia utilizada para guardar temporalmente la información que se transfiere entre diferentes
dispositivos informáticos (o entre los componentes de un mismo sistema informático).
Bug: Este término se emplea para indicar un fallo o error en un programa informático. Cuando uno de ellos tiene errores,
se dice que tiene bugs.
Bus: Canal de comunicación entre los diferentes componentes de un ordenador (señales de datos, de direcciones de
control , etc).
Byte: Es una unidad que mide la cantidad de información, tamaño y capacidad de almacenamiento. Un Byte, equivale a
8 Bits.
C
Cabecera (de un fichero): Es la parte de un fichero, donde se guarda información sobre éste y su ubicación.
Caché: Es una pequeña sección correspondiente a la memoria de un ordenador.
Cadena / Cadena de caracteres: Es una consecución de caracteres de texto, dígitos numéricos, signos de puntuación,
caracteres especiales o espacios en blanco consecutivos.
Categoría / Tipo: No todos los virus son iguales. Éstos pueden ser agrupados por características concretas que
conforman un tipo concreto de virus.
Cavity : Técnica utilizada por algunos virus y gusanos para dificultar su localización. Aplicando dicha técnica consiguen no
variar el tamaño de cada uno de los ficheros infectados o afectados (utilizan solamente las cavidades del fichero afectado).
Chat / Chat IRC / Chat ICQ: Son las conversaciones escritas en Internet, en tiempo real.
Cifrado / Autocrifrado: Es una técnica utilizada por algunos virus que se codifican a sí mismos (o parte de ellos), para
tratar de evitar a los antivirus.
Cilindro: Sección de un disco que se puede leer por completo en una sola operación.
Clave del Registro de Windows : Son secciones del Registro de Windows , en las cuales se almacenan determinados
valores correspondientes a la configuración del ordenador.
Cliente : Sistema informático (ordenador) que solicita ciertos servicios y recursos de otro ordenador (denominado
servidor), al que está conectado en red.
Cluster: Son varios sectores consecutivos de un disco.
CMOS (Computer Metal Oxide Semiconductor): Es una sección de la memoria de un ordenador en la que se guarda la
información y los programas que permiten arrancar el ordenador (BIOS).
Código: Contenido de los ficheros de un virus -código del virus, escrito en un determinado lenguaje de programación-.
También hace referencia a los sistemas de representación de información.
En sentido estricto, puede definirse como conjunto de normas sistemáticas que regulan unitariamente una materia determinada
determinada, o combinación de signos que tiene un determinado valor dentro de un sistema establecido.
C o m p a ñ í a / Virus de compañía / Spawning: Se trata de un tipo de virus que no se incluye dentro de
otros programas, sino que se asocia a ellos.
Comprimido / Comprimir / Compresión / Descomprimir: La compresión de ficheros es una operación por la que uno
o un grupo de ellos, se incluye dentro de otro fichero que los contiene a todos, ocupando menos espacio.
Condición de activación (Trigger): Son las condiciones bajo las cuales un virus se activa o comienza a realizar sus
acciones en el ordenador infectado.
Contraseña: Es una cadena de caracteres con la que se restringe o permite el acceso, de ciertos usuarios, a un
determinado lugar o fichero. El ejemplo más habitual es la contraseña de una tarjeta de crédito.
Cookie: Es un fichero de texto que, en ocasiones, se envía a un usuario cuando éste visita una página Web. Su objetivo es
registrar la visita del usuario y guardar cierta información al respecto.
Cracker: Es una persona interesada en saltarse la seguridad de un sistema informático.
CRC (número o código CRC): Es un código numérico asociado de forma única a cada uno de los ficheros. Es como el
número de pasaporte de dicho fichero.
D
Debug / Debugger / Desensamblaje: Herramienta informática con la que se puede leer el código fuente en el que están
escritos los programas.
Derechos de administrador: Conjunto de acciones u operaciones, que sólo uno o varios usuarios concretos pueden
realizar dentro de una red de ordenadores.
Descarga / Download: Es la
lugares FTP dispuestos para este fin).
a c c i ón por la cual se obtienen ficheros de Internet (de páginas Web o de
Desinfección: Es la acción que realizan los antivirus cuando detectan a un virus y lo eliminan.
Dialer: Es un programa que suele ser utilizado para redirigir, de forma maliciosa, las conexiones mientras se navega por
Internet. Su objetivo es colgar la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a
Internet, mediante el marcado de un determinado número de teléfono) y establecer otra, marcando un número de teléfono del
tipo 906, o similares. Esto supondrá un notable aumento del importe en la factura telefónica.
Directorio / Carpeta : Divisiones, secciones (no físicas) mediante las cuales se estructura y organiza la información
contenida en un disco. Los términos carpeta y directorio hacen referencia al mismo concepto. Pueden contener ficheros y otros
directorios (sub-directorios o sub-carpetas).
Directorio raíz: Es la carpeta o directorio principal (más importante) de un disco.
Disco de emergencia / Disco de rescate : Disquete que permite analizar el ordenador sin utilizar el antivirus que se
encuentra instalado en él, sino con lo que se conoce como el antivirus en línea de comandos.
Disco de inicio, de sistema, o de arranque : Disco (disquete, CD-ROM o disco duro) con el que es posible arrancar el
ordenador.
DNS (Sistema de Nombres de Dominio): Sistema que facilita la comunicación entre ordenadores conectados a una red
(o a Internet), su localización, etc, asignando nombres (cadenas de texto más comprensibles) a las direcciones IP de cada uno
de ellos.
Los servidores DNS, son aquellos ordenadores en los que se relacionan, administran y gestionan todos esos nombres (de
dominio) y se relacionan con sus correspondientes direcciones IP.
DoS / Denegación de servicios: Es un ataque, causado en ocasiones por los virus, que evita al usuario la utilización de
ciertos servicios (del sistema operativo, de servidores Web, etc).
Driver / Controlador: Es un programa, conocido como controlador, que permite la gestión de los dispositivos conectados
al ordenador (generalmente, periféricos como impresoras, unidades de CD-ROM, etc).
Dropper: Es un fichero ejecutable que contiene varios tipos de virus en su interior.
E
EICAR: European Institute of Computer Anti-Virus Research . Se trata de una institución informática que ha creado un
método para evaluar la fiabilidad y el comportamiento de los antivirus: el test EICAR.
Elementos eliminados: Es una carpeta existente en los programas de correo electr ónico, que contiene todos los
mensajes que se han borrado o eliminado (los que no se han borrado definitivamente). En el caso de borrar el mensaje de
un virus, es conveniente acceder a esta carpeta y eliminarlo también en ella.
Elementos enviados: Es una carpeta existente en los programas de correo electr ónico, que contiene todos los mensajes
que se han enviado a otros destinatarios.
Empaquetar: Operación por la cual un grupo de ficheros (o uno sólo) se incluyen dentro de otro fichero, ocupando así
menos espacio. El empaquetado es similar a la compresión de ficheros, pero es más común llamarlo así en sistemas
Uníx/Lunix.
La diferencia entre empaquetado y compresión es la herramienta con que se realiza la operación. Por ejemplo, la herramienta
tar se utiliza para empaquetar, mientras que la herramienta zip o gzip -WinZip- se utiliza para comprimir.
En circulación: Se dice que un virus está en circulación, cuando se están realizando detecciones de él, en cualquier parte
del mundo, durante un período de tiempo.
Escritorio de Windows : Es el área principal de Windows, que aparece al arrancar el ordenador. Desde ella se accede a
todas las herramientas, utilidades y programas instalados en el ordenador, mediante iconos de acceso directo, opciones de
menú existentes en el botón Inicio de Windows, la Barra de tareas de Windows , etc.
Estación / Puesto / Workstation: Es uno de los ordenadores conectados a una red local que utiliza los servicios y los
recursos existentes en dicha red. Por lo general, no presta servicios al resto de ordenadores de la red como lo hacen
los servidores.
Excepciones: Se trata de una técnica utilizada por los antivirus para la detección de virus.
Exploit: Es una técnica o un programa que aprovecha un fallo o hueco de seguridad -una vunerabilidad- existente en un
determinado protocolo de comunicaciones, sistema operativo, o herramienta informática.
Explorador de Windows : Programa o aplicación disponible en Windows que permite gestionar los ficheros disponibles
en el ordenador. Es de gran utilidad para visualizar estructuras de directorios de forma organizada.
E x t e n s i ó n : Los ficheros se representan asignándoles un nombre y una extensión, separados entre sí por un
punto: NOMBRE.EXTENSIÓN. El fichero puede tener cualquier nombre NOMBRE, pero la EXTENSIÓN (si existe) tendrá como
máximo 3 caracteres. Dicha extensión es la que indica el formato o tipo de fichero (texto, documento de Word, imagen, sonido,
base de datos, programa, etc).
F
Familia / Grupo: Existen virus con nombres muy parecidos y características similares, incluso idénticas. Estos grupos de
virus, que tienen hermanos, conforman lo que se denomina una familia de virus. Cada uno de ellos, en lugar de denominarse
hermanos, se denominan variantes de la familia o del virus original (el que apareció primero, el padre).
FAT (File Allocation Table): Es una sección de un disco en la que se define la estructura y las secciones del citado disco.
Además en ella se guardan las direcciones para acceder a los ficheros que el disco contiene.
Fecha de aparición: Es la fecha en la que se tuvo la primera noticia de la existencia de un virus concreto.
Fichero / Archivo / Documento: Es la información que se encuentra en un soporte de almacenamiento informático:
textos, documentos, imágenes, bases de datos, ficheros de sonido, hojas de cálculo, etc. Se identifica por un nombre, un punto
y una extensión (indica de qué tipo es el fichero).
Ficheros de proceso por lotes (Batch): Son ficheros que tienen extensión BAT y que permiten automatizar
operaciones.
Ficheros SCR: Este tipo de ficheros tienen extensión SCR y pueden ser salvapantallas de Windows o ficheros cuyo
contenido es lenguaje Script.
Firewall / Cortafuegos: Su traducción literal es muro de fuego, también conocido a nivel técnico como cortafuegos. Es
una barrera o protección que permite a un sistema salvaguardar la información al acceder a otras redes, como por ejemplo
Internet.
FireWire: Es un tipo de canal de comunicaciones externo caracterizado por su elevada velocidad de transferencia,
empleado para conectar ordenadores y periféricos a otro ordenador.
Firma / Identificador: Se trata del número de pasaporte de un virus. Es decir, una cadena de caracteres (números,
letras, etc.) que representa de forma inequívoca a un virus.
Formateo / Formatear: Dar formato a una unidad de disco, eliminando todo su contenido.
Freeware: Es todo aquel software, legalmente distribuido, de forma gratuita.
FTP (File Transfer Protocol): Es un mecanismo que permite la transferencia de ficheros a través de una conexión
TCP/IP.
G
Gateway: Es un ordenador que permite las comunicaciones entre distintos tipos de plataformas, redes, ordenadores o
programas. Para lograrlo traduce los distintos protocolos de comunicaciones que éstos utilizan. Es lo que se conoce como
pasarela o puerta de acceso.
GDI (Graphics Device Interface): Es el sistema (Interfaz de Dispositivos para Gráficos,) que permite al sistema
operativo Windows mostrar presentaciones en pantalla y en las impresoras.
Groupware: Es el sistema que permite a los usuarios de una red local (LAN) la utilización de todos los recursos de ésta
como, programas compartidos, accesos a Internet, intranet y a otras áreas, correo electr ónico, firewalls, proxys, etc.
Grupo de noticias: Es uno de los servicios de Internet, mediante el cual varias personas se conectan para discutir e
intercambiar información sobre temas concretos de interés común.
Gusano (Worm): Es un programa similar a un virus que, a diferencia de éste, solamente realiza copias de sí mismo, o
de partes de él.
H
Hacker: Persona que accede a un ordenador de forma no autorizada e ilegal.
Hardware: Término que hace referencia a cada uno de los elementos físicos de un sistema informático (pantalla, teclado,
ratón, memoria, discos duros, microprocesador, etc).
Hoax: No es un virus, sino falsos mensajes de alarma (bromas o engaños) sobre virus que no existen.
Host: Este término se refiere a un ordenador que actúa como fuente de información.
HTTP (HyperText Transfer Protocol): Es un sistema de comunicación que permite la visualización de páginas Web,
desde un navegador.
I
IFS (Instalable File System): Sistema que se encarga de gestionar las transferencias de información de entrada y de
salida, correspondientes a un grupo de dispositivos informáticos (de la red o de otras redes) y ficheros.
IIS (Internet Information Server): Es un servidor de Microsoft (Internet Information Server), destinado a la
publicación, mantenimiento y gestión de páginas y portales Web.
IMAP (Internet Message Access Protocol): Es un sistema de comunicación que permite el acceso a los mensajes de
correo electr ónico.
In The Wild: Se trata de una lista oficial en la que se enumeran mensualmente los virus que más incidencias han
ocasionado (los más extendidos).
Indice de peligrosidad: Es un valor calculado que permite medir lo peligroso que puede llegar a ser un virus.
Infección: Es la acción que realizan los virus, consistente en introducirse en el ordenador o en áreas concretas de éste y
en determinados ficheros.
Interfaz / Interface: Es el sistema que permite a los usuarios dialogar (comunicarse e interactuar) con el ordenador y
el software que éste tiene instalado. A su vez, este software (programas) se comunica mediante un sistema de interfaz con
el hardware del ordenador.
Interrupción: Es una señal mediante la cual se consigue hacer una pausa momentánea en las labores que lleva a cabo el
cerebro del ordenador (el microprocesador).
IP (Internet Protocol) / TCP-IP: La IP es la dirección o código que identifica exclusivamente a cada uno de los
ordenadores existentes. El protocolo TCP/IP es el sistema utilizado para la interconexión de dichos ordenadores, sin provocar
conflictos de direcciones. Se utiliza en Internet.
IRC (Chat IRC): Son conversaciones escritas a través de Internet (en las que además pueden transferirse ficheros),
conocidas vulgarmente como chat.
ISP (Internet Service Provider): Es un proveedor de acceso a Internet que además ofrece una serie de servicios
relacionados con Internet (Proveedor de Servicios Internet).
J
Java: Es un lenguaje de programación que permite generar programas independientes de la plataforma, es decir,
que pueden ejecutarse en cualquier sistema operativo o hardware (lenguaje multiplataforma).
JavaScript: Es un lenguaje de programación que aporta características dinámicas (datos variables en función del
tiempo y el modo de acceso, interactividad con el usuario, personalización, etc.) a las páginas Web, escritas en lenguaje HTML.
Joke: No es un virus, sino bromas de mal gusto que tienen por objeto hacer pensar a los usuarios que han sido afectados
por un virus.
K
Kernel: Es el núcleo, la parte más importante o el centro del sistema operativo.
L
LAN (Local Area Network): Es una red de área local, o grupo de ordenadores conectados entre sí dentro de una zona
pequeña geográfica (generalmente en una misma ciudad, población, o edificio).
Lenguaje de programación: Conjunto de instrucciones, órdenes, comandos y reglas que permite la creación de
programas.
Los ordenadores entienden señales eléctricas (valores 0 ó 1). Los lenguajes permiten al programador indicar lo que debe hacer
un programa, sin tener que escribir largas cadenas de ceros y unos, sino palabras (instrucciones) más comprensibles por las
personas.
Librería de enlace dinámico (DLL): Es un tipo especial de fichero, con extensión DLL.
Libreta de direcciones: Fichero con extensión WAB, donde se almacenan datos de contacto de otros usuarios, como la
dirección de correo electr ónico (entre otros).
Lista de tareas: Es la relación -el listado- de todos los programas y procesos que se encuentran activos (en
funcionamiento), en un determinado momento (generalmente en el sistema operativo Windows).
M
Macro: Una macro es una secuencia de instrucciones u operaciones que definimos para que un programa (por ejemplo,
Word, Excel, PowerPoint, o Access) las realice de forma automática y secuencial. Por ser programas, pueden verse afectadas
por los virus. Los virus que utilizan las macros para realizar infecciones, se denominan virus de macro.
Malware: Es un término general utilizado para referirse a programas que contienen código malicioso (MALicious
softWARE), ya sean virus, troyanos o gusanos.
Mapeo / Mapear / Mapeada: Es la acción por la cual se asigna una letra a una unidad de disco, que se encuentra
compartida en una red de ordenadores, como si de un disco más del ordenador se tratase.
MAPI: Messaging Application Program Interface. Es un sistema empleado para que los programas puedan enviar y recibir
correo electr ónico mediante un sistema de mensajería concreto.
Máscara (de red o de dirección): Es un número -de 32 bits- que identifica la dirección IP de una red concreta. Esto
permite que el protocolo de comunicaciones conocido como TCP/IP, pueda saber si una dirección IP asociada a un ordenador,
pertenece a una red u a otra.
Método de infección: Es una de las características más importantes de un virus. Se trata de cada una de las operaciones
que el virus realiza para llevar a cabo su infección en el ordenador afectado.
Método de propagación: Es una de las características más importantes de un virus. Se trata de cada una de las
operaciones que el virus realiza para transmitirse a otros ordenadores.
Microprocesador / Procesador: Es el corazón electrónico e integrado de un ordenador o sistema informático,
popularmente conocido como Pentium (I, II, III, IV,...), 486, 386, etc.
Se trata del chip (pastilla o circuito integrado -C I- de silicio, con elementos electr ónicos microscópicos -transistores,
resistencias etc.-) que gobierna todas y cada una de las operaciones que se realizan en el sistema.
MIME (Multipurpose Internet Mail Extensions): Extensiones Multipropósito del Correo Internet. Es el conjunto de
especificaciones que permite intercambiar texto y ficheros con juegos de caracteres diferentes (entre ordenadores con idiomas
diferentes, por ejemplo).
Módem: Es un elemento físico (un periférico), también conocido como MOdulador DEMmodulador, que se utiliza para
convertir las señales eléctricas (analógicas y digitales). Su objetivo es facilitar la comunicación entre ordenadores y otros tipos
de equipos. Su utilidad más habitual, en la actualidad, es conectar los ordenadores a Internet.
Módulo: En términos informáticos, consiste en el conjunto o agrupación de macros existentes dentro de un documento de
Word, o una hoja de cálculo de Excel, etc.
MS-DOS (Disk Operating System): Es un sistema operativo, anterior a Windows, en el que se trabaja escribiendo
órdenes para todas las operaciones que se desean realizar.
Multipartite : Es una propiedad que caracteriza a determinados virus avanzados. Éstos realizan infecciones utilizando
combinaciones de técnicas de infección que otros tipos de virus emplean en exclusiva.
M u t e x : A l g u n o s v i r u s utilizan un mutex (Mutual Exclusion Object) para controlar el acceso a recursos (por
ejemplo, programas u otros virus) y evitar que más de un proceso acceda simultáneamente al mismo recurso. De esta
forma, se dificulta la detección por parte de los antivirus. Los virus que utilizan mutex pueden incluir otros virus en su interior,
del mismo modo que lo hacen otros tipos de virus como, por ejemplo, los polimórficos.
N
Navegador: Un navegador Web o navegador de Internet es el programa que permite visualizar los contenidos de las
páginas Web en Internet. También se conoce con el nombre de browser. Algunos ejemplos de navegadores Web o browsers
son: Internet Explorer, Netscape Navigator, Opera, etc.
Nivel de daños / Da ño potencial / Perjuicio: Se trata de un valor que indica el grado de efectos que el virus puede
producir en un ordenador afectado. Este dato se emplea para el cálculo del Índice de peligrosidad.
Nivel de propagación / Nivel de distribución: Se trata de un valor que indica cómo de rápido se puede extender o se
ha extendido el virus por todo el mundo. Este dato se emplea para el cálculo del Índice de peligrosidad.
Nombre común: Es el nombre por el que se conoce vulgarmente a un virus.
Nombre técnico: Es el nombre real de un virus, utilizado, además, para indicar su tipo o clase.
Nuke (ataque): C aída o pérdida de la conexión de red, provocada de forma intencionada por alguna persona. El
ordenador sobre el que se realiza un nuke, además puede quedar bloqueado.
Nuker: Persona o programa que realiza una operación de nuke, provocando el bloqueo de un ordenador o impidiendo
que éste pueda acceder a la red donde está conectado.
O
Objeto OLE (Object Linking and Embedding): Es un estándar que permite la incrustación y vinculación de objetos
(imágenes, clips de vídeo, sonido MIDI, animaciones, etc) dentro de ficheros (documentos, bases de datos, hojas de cálculo,
etc). También hace posible la inclusión de controles ActiveX y la comunicación entre ellos.
Ocultamiento / Ocultación / Stealth: Es una técnica utilizada por algunos virus para intentar pasar desapercibidos ante
los ojos del usuario afectado y de algunos antivirus (de forma temporal).
P
País de origen: Indica el país o zona geográfica en la que apareció o se tuvo constancia de la existencia de un virus, por
primera vez.
Papelera de reciclaje: Es una sección o carpeta del disco duro en la que se guardan los ficheros que se han borrado
(siempre que no se hayan eliminado definitivamente).
Parámetro: Es un dato variable que indica a un programa informático cómo debe comportarse en cada situación.
Parche de seguridad: Conjunto de ficheros adicionales al software original de una herramienta o programa informático,
que sirven para solucionar sus posibles carencias, vulnerabilidades, o defectos de funcionamiento.
Partición: Es una de las áreas en las que se puede dividir el disco duro de un ordenador, para que el sistema
operativo pueda reconocerla como si de otro disco duro se tratase. Cada partición de un disco duro, puede contener un
sistema operativo diferente.
Payload: Son los efectos producidos por un virus.
PDA (Personal Digital Assistant): Es un ordenador portátil de tamaño muy reducido (de bolsillo), que tiene su
propio sistema operativo, lleva programas instalados y permite intercambiar información con ordenadores convencional,
Internet, etc. Algunos de los más conocidos son Palm, PocketPC, etc.
PE (Portable ejecutable): El término PE (Portable ejecutable) hace referencia al formato de ciertos programas.
Pista: Es una sección circular existente en cualquier tipo de disco de almacenamiento informático.
Plantilla / Plantilla global: Se trata de un fichero que determina las características iniciales que debe tener un
documento, antes de comenzar a trabajar con él.
Plataforma: Hace referencia a un sistema operativo, que funciona en equipos informáticos concretos y bajo unas
determinadas condiciones (tipos de programas instalados, etc.).
Polimórfico / Polimorfismo: Es la técnica que utilizan algunos virus para cifrar (codificar) su firma de forma diferente
en cada ocasión y además las instrucciones para realizar dicho cifrado.
POP (Post Office Protocol): Se trata de un protocolo para recibir y obtener los mensajes de correo electr ónico.
Programa: Son elementos que permiten realizar operaciones concretas de forma automática (generalmente ficheros
con extensión EXE o COM).
Protección contra escritura: Es una técnica mediante la cual se permite la lectura del contenido de un disco u otros
dispositivos de almacenamiento, pero se impide la escritura de contenido en él (por ejemplo, guardar ficheros).
Protección permanente : Se trata de un análisis continuo que algunos antivirus realizan sobre todos los ficheros que
intervienen en cualquier tipo de operación (realizada por el usuario o por el propio sistema operativo). También es conocido
como centinela o residente.
Protocolo: Es el sistema, reglas y conjunto de normas que establece, gobierna y permite la comunicación entre dispositivos
informáticos (la transferencia de datos).
Proxy: Un servidor proxy actúa como un intermediario entre una red interna (por ejemplo, una intranet) y una conexión
externa a Internet. De esta forma, se puede compartir una conexión para recibir ficheros desde servidores Web.
Puerto de comunicaciones / Puerto: Punto de acceso a un ordenador o medio a través del cual tienen lugar las
transferencias de información (entradas / salidas), del ordenador con el exterior y viceversa (vía TCP/IP).
R
RAM (Random Access Memory): Es la memoria principal del ordenador, donde se colocan todos los ficheros cuando se
utilizan y todos los programas cuando se ejecutan.
RDSI (Red Digital de Servicios Integrados): Éste es uno de los tipos de conexiones de red, utilizados para la
transmisión digital de cualquier tipo de información (datos, voz, imágenes, etc.).
Red: Grupo de ordenadores o dispositivos informáticos conectados entre sí a través de cable, línea telefónica, ondas
electromagnéticas (microondas, satélite, etc), con la finalidad de comunicarse y compartir recursos entre ellos. Internet es una
inmensa red a la cual están conectadas otras sub-redes y a la cual también se conectan millones de ordenadores.
Redireccionar: Acceder a una determinada dirección mediante otra.
Referencia / Salto / Link / Hiperenlace: Estos cuatro términos hacen referencia al mismo concepto. Se trata de
elementos o secciones dentro de una página Web (texto, imágenes botones, etc.), que permiten el acceso a otra página o área
dentro de la misma página, cuando se pincha sobre ellos.
Registro de Windows (Registry): Es un fichero que almacena todos los valores de configuración e instalación de
los programas que se encuentran instalados y de la propia definición del sistema operativo Windows.
Reinicio: Acción por la cual el ordenador se apaga momentáneamente y se vuelve a encender de inmediato.
Renombrar: Acción por la cual se da un nuevo nombre a un fichero, directorio u otro elemento del sistema informático.
Réplica: Entre otras acepciones, se trata de la acción por la cual los virus se propagan o hacen copias de sí mismos, con el
único objetivo de realizar posteriores infecciones.
Residente / Virus residente : Se denomina fichero o programa residente a todo aquel fichero que se coloca en la
memoria del ordenador, de forma permanente, controlando las operaciones realizadas en el sistema.
Ring: Es el sistema de estados correspondiente a los niveles de privilegio sobre las operaciones que se pueden realizar en
el microprocesador, su protección y funcionamiento. Existen varios niveles: Ring0 (administrador), Ring1 y Ring2
(administrador con menos privilegios), Ring3 (usuario).
ROM (Read Only Memory): Es un tipo de memoria en la que no se puede escribir de forma normal, pero que mantiene su
contenido de forma permanente (éste no se borra si desaparece la alimentación eléctrica).
Rutina: Secuencia invariable de instrucciones, que forma parte de un programa y se puede utilizar repetidamente.
S
Salvapantallas / Protector de pantalla: Es un programa que muestra animaciones en la pantalla del ordenador. Su
objetivo es que la imagen de la pantalla no quede fija -por ejemplo, cuando el ordenador lleva un rato sin utilizarse-, para
evitar que ésta se queme. Actualmente son utilizados por más por razones estéticas o incluso de seguridad.
Script / Virus de Script: El término script hace referencia a todos aquellos ficheros o secciones de código escritas en
algún lenguaje de programación, como Visual Basic Script (VBScript), JavaScript, etc.
Sector: Es una sección de un disco de almacenamiento informático.
Servicio: Es el conjunto de prestaciones que un ordenador o sistema informático facilita a otros sistemas informáticos, o a
otros ordenadores que están conectados a él.
Servidor: Sistema informático (ordenador) que presta ciertos servicios y recursos (de comunicación, aplicaciones,
ficheros, etc.) a otros ordenadores (denominados clientes), los cuales están conectados en red a él.
Shareware: Son versiones de evaluación de un producto software que se adquieren, durante un tiempo, para probar el
producto antes de su compra definitiva. Una versión shareware suele ser más económica que el software comercial.
Síntomas de infección: Son cada una de las acciones o efectos que un virus puede realizar cuando ha producido su
infección y además las condiciones de activación (si éste cuenta con ellas).
Sistema operativo (S.O.): Es el conjunto de programas y ficheros que permiten la utilización del ordenador.
SMTP (Simple Mail Transfer Protocol): Es el protocolo que se utiliza en Internet para el envío (exclusivamente) de
correo electr ónico.
Sobrepasamiento / Tunneling: Es una técnica que utilizan algunos virus para impedir la protección antivirus.
Sobrescritura: Es la acción por la cual un determinado programa o un virus escribe encima del contenido de un fichero,
haciendo que se pierda su contenido original y que éste ya no se pueda recuperar.
Software: Son los ficheros, programas, aplicaciones y sistemas operativos que nos permiten trabajar con el ordenador
o sistema informático. Se trata de los elementos que hacen funcionar al hardware.
Spam: Es el envío masivo de mensajes de correo electr ónico y la consiguiente recepción masiva de éstos.
SQL (Structured Query Language): Lenguaje de Consulta Estructurado. Es un lenguaje de programación estándar,
destinado a la gestión, administración y comunicación de bases de datos, muy utilizado en la Web (por ejemplo, Microsoft SQL
Server, MySQL, etc).
T
Tabla de particiones: Área de un disco que contiene información correspondiente a cada una de las secciones o áreas particiones- en las que está dividido éste.
Troyano / Caballo de Troya: En sentido estricto, un troyano no es un virus, aunque se considere como tal. Realmente
se trata de programas que llegan al ordenador (por cualquier medio), se introducen en él, se instalan y realizan determinadas
acciones para tomar el control del sistema afectado. La historia mitológica El Caballo de Troya ha inspirado su nombre.
TSR (Terminate and Stay Resident): Característica que permite a determinados programas permanecer en memoria,
después de haberse ejecutado.
U
UPX: Es una herramienta de compresión de ficheros (Ultimate Packer for eXecutables) que además permite ejecutar los
programas que están comprimidos con dicha utilidad, sin necesidad de descomprimirlos.
URL (Uniform Resource Locator): Dirección a través de la cual se accede a las páginas Web en Internet (o a otros
ordenadores).
V
Vacunación: Es una técnica antivirus que permite almacenar información sobre los ficheros, con el fin de detectar
posibles infecciones de éstos, posteriormente.
Variante : Una variante es una versión modificada de un virus original, que puede infectar de forma similar o distinta y
realizar las mismas acciones u otras.
Vector de interrupciones: Es una técnica o utilizada para que un ordenador gestione correctamente las interrupciones
que se solicitan al microprocesador. Así se facilita al microprocesador la dirección de memoria a la que debe acceder para
dar servicio a la dicha interrupción.
Virus: Los virus son programas que se pueden introducir en los ordenadores y sistemas informáticos de formas muy
diversas, produciendo efectos molestos, nocivos e incluso destructivos e irreparables.
Virus de boot: Es un virus que afecta al sector de arranque de los discos de almacenamiento.
Virus de macro: Es un virus que afecta a las macros contenidas en documentos de Word, hojas de cálculo de Excel,
presentaciones de PowerPoint, etc.
Vista Previa: Es una característica por la cual los programas de correo electr ónico permiten visualizar el contenido de los
mensajes, sin necesidad de abrirlos.
Volumen: Es una partición de un disco duro, o una referencia a un disco duro completo. Este término se emplea mucho en
las redes de ordenadores donde existen unidades de disco compartidas.
V u l n e r a b i l i d a d e s : Fallos o huecos de seguridad detectados en algún programa o sistema informático, que
los virus utilizan para propagarse e infectar.
W
WAN (Wide Area Network): Es una red de área extensa, o grupo de ordenadores encuentran conectados entre sí, pero
distantes geográficamente. La conexión se realiza mediante línea telefónica, radioenlaces, o vía satélite).
WINS (Windows Internet Name Service): Es el servicio que gestiona los nombres asociados a los ordenadores de una
red y, por lo tanto, el acceso y la posibilidad de trabajar con cada uno de ellos. Un ordenador contiene la base de datos con las
direcciones en formato IP (por ejemplo, 125.15.0.32) y los nombres comunes asignados a cada ordenador de la red (por
ejemplo, SERVIDOR1).
WSH (Windows Scripting Host): Es el sistema que permite el funcionamiento de ficheros de proceso por lotes y el
acceso a funciones de Windows, mediante lenguajes de programación como Visual Basic Script y Java Script (lenguajes de
script).
X
XOR (OR-Exclusive): Operación que muchos virus utilizan para cifrar su contenido.
Z
Zip: Es un formato correspondiente a los ficheros comprimidos con la herramienta WinZip.
Zoo (virus de zoo): Son aquellos virus que no están extendidos y que solamente se pueden encontrar en determinados
lugares, como laboratorios, donde son analizados para conocer mejor sus características y las técnicas que emplean.
Descargar