Un virus informático [1] es un tipo de malware que, cuando se ejecuta, se replica modificando otros programas informáticos e insertando su propio código en esos programas. [2] [3] Si esta replicación tiene éxito, se dice que las áreas afectadas están "infectadas" con un virus informático, una metáfora derivada de los virus biológicos . [4]
Los virus informáticos generalmente requieren un programa anfitrión . [5] El virus escribe su propio código en el programa anfitrión. Cuando se ejecuta el programa, el programa de virus escrito se ejecuta primero, lo que provoca infección y daños. Por el contrario, un gusano informático no necesita un programa anfitrión, ya que es un programa o fragmento de código independiente. Por lo tanto, no está restringido por el programa anfitrión , sino que puede ejecutarse de forma independiente y realizar ataques de forma activa. [6] [7]
Los creadores de virus utilizan engaños de ingeniería social y explotan conocimientos detallados de las vulnerabilidades de seguridad para infectar inicialmente los sistemas y propagar el virus. Los virus utilizan estrategias complejas de antidetección y sigilo para evadir el software antivirus . [8] Los motivos para crear virus pueden incluir la búsqueda de ganancias (por ejemplo, con ransomware ), el deseo de enviar un mensaje político, diversión personal, demostrar que existe una vulnerabilidad en el software, sabotaje y denegación de servicio , o simplemente porque desean explorar cuestiones de ciberseguridad , vida artificial y algoritmos evolutivos . [9]
A partir de 2013, los virus informáticos causaron daños económicos por valor de miles de millones de dólares cada año. [10] En respuesta, ha surgido una industria de software antivirus que vende o distribuye gratuitamente protección antivirus a usuarios de diversos sistemas operativos . [11]
El primer trabajo académico sobre la teoría de los programas informáticos autorreplicantes fue realizado en 1949 por John von Neumann, quien dio conferencias en la Universidad de Illinois sobre la "Teoría y organización de autómatas complicados ". El trabajo de von Neumann se publicó más tarde como "Teoría de los autómatas autorreproductores". En su ensayo, von Neumann describió cómo se podría diseñar un programa de computadora para reproducirse a sí mismo. [12] El diseño de Von Neumann para un programa informático que se reproduce a sí mismo se considera el primer virus informático del mundo, y se le considera el "padre" teórico de la virología informática. [13] En 1972, Veith Risak basándose directamente en el trabajo de von Neumann sobre la autorreplicación , publicó su artículo "Selbstreproduzierende Automaten mit minimaler Informationsübertragung" (Autómatas autorreproducibles con mínimo intercambio de información). [14] El artículo describe un virus completamente funcional escrito en lenguaje de programación ensamblador para un sistema informático SIEMENS 4004/35. En 1980, Jürgen Kraus escribió su tesis de diploma "Selbstreproduktion bei Programmen" (Autorreproducción de programas) en la Universidad de Dortmund . [15] En su trabajo, Kraus postuló que los programas informáticos pueden comportarse de forma similar a los virus biológicos.
El virus Creeper se detectó por primera vez en ARPANET , el precursor de Internet , a principios de los años 1970. [16] Creeper era un programa experimental autorreplicante escrito por Bob Thomas en BBN Technologies en 1971. [17] Creeper usó ARPANET para infectar computadoras DEC PDP-10 que ejecutaban el sistema operativo TENEX . [18] Creeper obtuvo acceso a través de ARPANET y se copió en el sistema remoto donde apareció el mensaje: "SOY EL CREEPER. ¡ATRAPAME SI PUEDES!" fue mostrado. [19] El programa Reaper fue creado para eliminar Creeper. [20]
En 1982, un programa llamado " Elk Cloner " fue el primer virus informático personal que apareció "en estado salvaje", es decir, fuera de la única computadora o laboratorio de computación donde fue creado. [21] Escrito en 1981 por Richard Skrenta , un estudiante de noveno grado en la escuela secundaria Mount Lebanon cerca de Pittsburgh , se adjuntó al sistema operativo Apple DOS 3.3 y se difundió mediante un disquete . [21] En su uso número 50, el virus Elk Cloner se activaría, infectando la computadora personal y mostrando un breve poema que comienza con "Elk Cloner: El programa con personalidad".
En 1984, Fred Cohen de la Universidad del Sur de California escribió su artículo "Virus informáticos: teoría y experimentos". [22] Fue el primer artículo en llamar explícitamente "virus" a un programa de autorreproducción, un término introducido por el mentor de Cohen, Leonard Adleman . En 1987, Fred Cohen publicó una demostración de que no existe ningún algoritmo que pueda detectar perfectamente todos los virus posibles. [23] El virus de compresión teórico de Fred Cohen [24] fue un ejemplo de un virus que no era software malicioso ( malware ), pero era supuestamente benévolo (bien intencionado). Sin embargo, los profesionales antivirus no aceptan el concepto de "virus benévolos", ya que cualquier función deseada se puede implementar sin la intervención de un virus (por ejemplo, la compresión automática está disponible en Windows a elección del usuario). Por definición, cualquier virus realizará cambios no autorizados en una computadora, lo cual es indeseable incluso si no se produce ni se pretende causar daño. La primera página de la Enciclopedia de Virus del Dr. Solomon explica lo indeseables que son los virus, incluso aquellos que no hacen más que reproducirse. [25] [26]
JB Gunn publicó un artículo que describe "funcionalidades útiles de virus" en 1984 con el título "Uso de funciones de virus para proporcionar un intérprete APL virtual bajo el control del usuario" . [27] El primer virus compatible con IBM PC en estado salvaje fue un virus del sector de arranque denominado (c)Brain , [28] creado en 1986 y lanzado en 1987 por Amjad Farooq Alvi y Basit Farooq Alvi en Lahore, Pakistán , supuestamente para impedir la copia no autorizada del software que habían escrito. [29] WinVir , el primer virus dirigido específicamente a Microsoft Windows , fue descubierto en abril de 1992, dos años después del lanzamiento de Windows 3.0 . [30] El virus no contenía ninguna llamada a la API de Windows , sino que dependía de interrupciones de DOS . Unos años más tarde, en febrero de 1996, los piratas informáticos australianos del equipo de creación de virus VLAD crearon el virus Bizatch (también conocido como virus "Boza"), que fue el primer virus conocido dirigido a Windows 95 . A finales de 1997 se lanzó el virus oculto cifrado residente en la memoria Win32.Cabanas, el primer virus conocido dirigido a Windows NT (también pudo infectar hosts Windows 3.0 y Windows 9x). [31]
Incluso los ordenadores domésticos se vieron afectados por los virus. El primero en aparecer en Amiga fue un virus del sector de arranque llamado virus SCA , que fue detectado en noviembre de 1987. [32]
Un virus informático generalmente contiene tres partes: el mecanismo de infección, que encuentra e infecta nuevos archivos, la carga útil, que es el código malicioso a ejecutar, y el desencadenante, que determina cuándo activar la carga útil. [33]
Las fases del virus son el ciclo de vida del virus informático, descrito mediante una analogía con la biología . Este ciclo de vida se puede dividir en cuatro fases:
Los virus informáticos infectan una variedad de subsistemas diferentes en sus computadoras y software host. [41] Una forma de clasificar los virus es analizar si residen en ejecutables binarios (como archivos .EXE o .COM ), archivos de datos (como documentos de Microsoft Word o archivos PDF ) o en el sector de arranque del disco duro del host. conducir (o alguna combinación de todos estos). [42] [43]
Un virus residente en la memoria (o simplemente "virus residente") se instala como parte del sistema operativo cuando se ejecuta, después de lo cual permanece en la RAM desde el momento en que se inicia la computadora hasta que se apaga. Los virus residentes sobrescriben el código de manejo de interrupciones u otras funciones , y cuando el sistema operativo intenta acceder al archivo o sector del disco de destino, el código del virus intercepta la solicitud y redirige el flujo de control al módulo de replicación, infectando el objetivo. Por el contrario, un virus no residente en la memoria (o "virus no residente"), cuando se ejecuta, escanea el disco en busca de objetivos, los infecta y luego sale (es decir, no permanece en la memoria una vez finalizada la ejecución). [44]
Muchas aplicaciones comunes, como Microsoft Outlook y Microsoft Word , permiten que se incrusten programas de macros en documentos o correos electrónicos, de modo que los programas se puedan ejecutar automáticamente cuando se abre el documento. Un virus de macro (o "virus de documentos") es un virus escrito en un lenguaje de macros e integrado en estos documentos de modo que cuando los usuarios abren el archivo, el código del virus se ejecuta y puede infectar la computadora del usuario. Esta es una de las razones por las que es peligroso abrir archivos adjuntos inesperados o sospechosos en los correos electrónicos . [45] [46] Si bien no abrir archivos adjuntos en correos electrónicos de personas u organizaciones desconocidas puede ayudar a reducir la probabilidad de contraer un virus, en algunos casos, el virus está diseñado para que el correo electrónico parezca provenir de una persona confiable. organización (por ejemplo, un banco importante o una compañía de tarjetas de crédito).
Los virus del sector de arranque se dirigen específicamente al sector de arranque y/o al registro de arranque maestro [47] (MBR) de la unidad de disco duro , unidad de estado sólido o medio de almacenamiento extraíble ( unidades flash , disquetes , etc.) del host . [48]
La forma más común de transmisión de virus informáticos en el sector de arranque son los medios físicos. Al leer el VBR de la unidad, el disquete infectado o la unidad flash USB conectada a la computadora transferirán datos y luego modificarán o reemplazarán el código de inicio existente. La próxima vez que un usuario intente iniciar el escritorio, el virus se cargará y ejecutará inmediatamente como parte del registro de inicio maestro. [49]
Los virus del correo electrónico son virus que intencionalmente, y no accidentalmente, utilizan el sistema de correo electrónico para propagarse. Si bien los archivos infectados por virus pueden enviarse accidentalmente como archivos adjuntos de correo electrónico , los virus de correo electrónico conocen las funciones del sistema de correo electrónico. Por lo general, se dirigen a un tipo específico de sistema de correo electrónico ( Microsoft Outlook es el más utilizado), recopilan direcciones de correo electrónico de diversas fuentes y pueden adjuntar copias de sí mismos a todos los correos electrónicos enviados, o pueden generar mensajes de correo electrónico que contengan copias de sí mismos como archivos adjuntos. [50]
Para evitar ser detectados por los usuarios, algunos virus emplean diferentes tipos de engaño . Algunos virus antiguos, especialmente en la plataforma DOS , se aseguran de que la fecha de "última modificación" de un archivo host permanezca igual cuando el archivo está infectado por el virus. Sin embargo, este enfoque no engaña al software antivirus , especialmente a aquellos que mantienen y fechan comprobaciones de redundancia cíclica sobre cambios de archivos. [51] Algunos virus pueden infectar archivos sin aumentar su tamaño ni dañarlos. Lo logran sobrescribiendo áreas no utilizadas de archivos ejecutables. Estos se llaman virus de la caries . Por ejemplo, el virus CIH , o virus Chernobyl, infecta archivos ejecutables portátiles . Debido a que esos archivos tienen muchos espacios vacíos, el virus, que tenía 1 KB de longitud, no aumentó el tamaño del archivo. [52] Algunos virus intentan evitar la detección eliminando las tareas asociadas con el software antivirus antes de que pueda detectarlas (por ejemplo, Conficker ). Un virus también puede ocultar su presencia mediante un rootkit al no aparecer en la lista de procesos del sistema o al disfrazarse de un proceso confiable. [53] En la década de 2010, a medida que las computadoras y los sistemas operativos crecen y se vuelven más complejos, es necesario actualizar o reemplazar las antiguas técnicas de ocultación. Defender una computadora contra virus puede requerir que un sistema de archivos migre hacia permisos detallados y explícitos para todo tipo de acceso a archivos. [ cita necesaria ] Además, solo una pequeña fracción de los virus conocidos realmente causan incidentes reales, principalmente porque muchos virus permanecen por debajo del umbral epidémico teórico. [54]
Si bien algunos tipos de software antivirus emplean diversas técnicas para contrarrestar los mecanismos ocultos, una vez que se produce la infección, cualquier recurso para "limpiar" el sistema no es confiable. En los sistemas operativos Microsoft Windows, el sistema de archivos NTFS es propietario. Esto deja al software antivirus sin otra alternativa que enviar una solicitud de "lectura" a los archivos de Windows que manejan dichas solicitudes. Algunos virus engañan al software antivirus interceptando sus solicitudes al sistema operativo. Un virus puede ocultarse interceptando la solicitud de lectura del archivo infectado, manejando la solicitud en sí y devolviendo una versión no infectada del archivo al software antivirus. La interceptación puede ocurrir mediante la inyección de código de los archivos reales del sistema operativo que manejarían la solicitud de lectura. Por lo tanto, un software antivirus que intente detectar el virus no podrá leer el archivo infectado o la solicitud de "lectura" será atendida con la versión no infectada del mismo archivo. [55]
El único método confiable para evitar virus "ocultos" es arrancar desde un medio que se sabe que es "transparente". Luego se puede utilizar software de seguridad para comprobar los archivos inactivos del sistema operativo. La mayoría del software de seguridad se basa en firmas de virus o emplea heurísticas . [56] [57] El software de seguridad también puede utilizar una base de datos de archivos " hashes " para archivos del sistema operativo Windows, de modo que el software de seguridad pueda identificar archivos alterados y solicitar medios de instalación de Windows para reemplazarlos con versiones auténticas. En versiones anteriores de Windows, las funciones hash criptográficas de los archivos del sistema operativo Windows almacenados en Windows (para permitir que se verifique la integridad/autenticidad de los archivos) podrían sobrescribirse para que el Comprobador de archivos del sistema informara que los archivos del sistema alterados son auténticos, por lo que se utilizan hashes de archivos. Buscar archivos alterados no siempre garantiza encontrar una infección. [58]
La mayoría de los programas antivirus modernos intentan encontrar patrones de virus dentro de programas comunes analizándolos en busca de las llamadas firmas de virus . [59] Los diferentes programas antivirus emplearán diferentes métodos de búsqueda para identificar virus. Si un escáner de virus encuentra un patrón de este tipo en un archivo, realizará otras comprobaciones para asegurarse de haber encontrado el virus, y no simplemente una secuencia coincidente en un archivo inocente, antes de notificar al usuario que el archivo está infectado. Luego, el usuario puede eliminar o (en algunos casos) "limpiar" o "curar" el archivo infectado. Algunos virus emplean técnicas que dificultan, pero probablemente no imposibilitan, la detección mediante firmas. Estos virus modifican su código en cada infección. Es decir, cada archivo infectado contiene una variante diferente del virus. [ cita necesaria ]
Un método para evadir la detección de firmas es utilizar cifrado simple para cifrar (codificar) el cuerpo del virus, dejando sólo el módulo de cifrado y una clave criptográfica estática en texto sin cifrar que no cambia de una infección a otra. [60] En este caso, el virus consta de un pequeño módulo de descifrado y una copia cifrada del código del virus. Si el virus se cifra con una clave diferente para cada archivo infectado, la única parte del virus que permanece constante es el módulo de descifrado, que (por ejemplo) se añadiría al final. En este caso, un escáner de virus no puede detectar el virus directamente mediante firmas, pero aún puede detectar el módulo de descifrado, lo que aún hace posible la detección indirecta del virus. Dado que estas serían claves simétricas, almacenadas en el host infectado, es completamente posible descifrar el virus final, pero esto probablemente no sea necesario, ya que el código automodificable es una rareza tal que encontrar algunas puede ser razón suficiente para que los escáneres de virus al menos "marcar" el archivo como sospechoso. [ cita necesaria ] Una forma antigua pero compacta será el uso de operaciones aritméticas como suma o resta y el uso de condiciones lógicas como XORing , [61] donde cada byte en un virus tiene una constante para que la operación exclusiva o Sólo había que repetirlo para descifrarlo. Es sospechoso que un código se modifique a sí mismo, por lo que el código para realizar el cifrado/descifrado puede ser parte de la firma en muchas definiciones de virus. [ cita necesaria ] Un enfoque antiguo más simple no usaba una clave, donde el cifrado consistía solo en operaciones sin parámetros, como incrementar y disminuir, rotación bit a bit, negación aritmética y NOT lógico. [61] Algunos virus, llamados virus polimórficos, emplearán un medio de cifrado dentro de un ejecutable en el que el virus se cifra bajo ciertos eventos, como que el escáner de virus se desactive para actualizaciones o se reinicie la computadora . [62] Esto se llama criptovirología .
El código polimórfico fue la primera técnica que representó una seria amenaza para los escáneres de virus. Al igual que los virus cifrados normales, un virus polimórfico infecta archivos con una copia cifrada de sí mismo, que es decodificada por un módulo de descifrado . Sin embargo, en el caso de los virus polimórficos, este módulo de descifrado también se modifica con cada infección. Por lo tanto, un virus polimórfico bien escrito no tiene partes que permanezcan idénticas entre infecciones, lo que hace que sea muy difícil detectarlo directamente mediante "firmas". [63] [64] El software antivirus puede detectarlo descifrando los virus usando un emulador o mediante un análisis de patrones estadísticos del cuerpo del virus cifrado. Para habilitar el código polimórfico, el virus debe tener un motor polimórfico (también llamado "motor mutante" o " motor de mutación ") en algún lugar de su cuerpo cifrado. Consulte el código polimórfico para obtener detalles técnicos sobre cómo funcionan dichos motores. [sesenta y cinco]
Algunos virus emplean código polimórfico de una manera que limita significativamente la tasa de mutación del virus. Por ejemplo, se puede programar un virus para que mute sólo ligeramente con el tiempo, o se puede programar para que se abstenga de mutar cuando infecta un archivo en una computadora que ya contiene copias del virus. La ventaja de utilizar un código polimórfico tan lento es que hace más difícil para los profesionales e investigadores de antivirus obtener muestras representativas del virus, porque los archivos "cebo" que se infectan en una sola ejecución normalmente contendrán muestras idénticas o similares del virus. Esto hará que sea más probable que la detección por parte del escáner de virus no sea confiable y que algunas instancias del virus puedan evitar la detección.
Para evitar ser detectados por la emulación, algunos virus se reescriben completamente cada vez que infectan nuevos ejecutables. Se dice que los virus que utilizan esta técnica están en código metamórfico . Para permitir el metamorfismo, se necesita un "motor metamórfico". Un virus metamórfico suele ser muy grande y complejo. Por ejemplo, W32/Simile constaba de más de 14.000 líneas de código en lenguaje ensamblador , el 90% del cual forma parte del motor metamórfico. [66] [67]
Los daños se deben a provocar fallas en el sistema, corromper datos, desperdiciar recursos informáticos, aumentar los costos de mantenimiento o robar información personal. [10] Aunque ningún software antivirus puede descubrir todos los virus informáticos (especialmente los nuevos), los investigadores de seguridad informática están buscando activamente nuevas formas de permitir que las soluciones antivirus detecten más eficazmente los virus emergentes, antes de que se distribuyan ampliamente. [68]
Un power virus es un programa informático que ejecuta un código de máquina específico para alcanzar la máxima disipación de energía de la CPU ( producción de energía térmica para las unidades centrales de procesamiento ). [69] Los aparatos de enfriamiento de computadoras están diseñados para disipar energía hasta la potencia de diseño térmico , en lugar de la potencia máxima, y un virus de energía podría causar que el sistema se sobrecaliente si no tiene lógica para detener el procesador. Esto puede causar daño físico permanente. Los virus Power pueden ser maliciosos, pero a menudo son conjuntos de software de prueba que se utilizan para pruebas de integración y pruebas térmicas de componentes informáticos durante la fase de diseño de un producto o para la evaluación comparativa de productos . [70]
Las aplicaciones de prueba de estabilidad son programas similares que tienen el mismo efecto que los virus potentes (uso elevado de CPU), pero permanecen bajo el control del usuario. Se utilizan para probar CPU, por ejemplo, durante el overclocking . Spinlock en un programa mal escrito puede causar síntomas similares, si dura lo suficiente.
Las diferentes microarquitecturas suelen requerir un código de máquina diferente para alcanzar su potencia máxima. Los ejemplos de dicho código de máquina no parecen distribuirse en los materiales de referencia de la CPU. [71]
Como el software suele estar diseñado con características de seguridad para evitar el uso no autorizado de los recursos del sistema, muchos virus deben aprovechar y manipular los errores de seguridad , que son defectos de seguridad en un sistema o software de aplicación, para propagarse e infectar otras computadoras. Las estrategias de desarrollo de software que producen un gran número de "errores" generalmente también producirán "agujeros" o "entradas" potencialmente explotables para el virus.
Para replicarse, a un virus se le debe permitir ejecutar código y escribir en la memoria. Por este motivo, muchos virus se adjuntan a archivos ejecutables que pueden formar parte de programas legítimos (consulte inyección de código ). Si un usuario intenta iniciar un programa infectado, el código del virus puede ejecutarse simultáneamente. [72] En los sistemas operativos que utilizan extensiones de archivo para determinar asociaciones de programas (como Microsoft Windows), las extensiones pueden estar ocultas al usuario de forma predeterminada. Esto hace posible crear un archivo que sea de un tipo diferente al que le aparece al usuario. Por ejemplo, se puede crear un ejecutable con el nombre "imagen.png.exe", en el que el usuario sólo ve "imagen.png" y, por lo tanto, asume que este archivo es una imagen digital y que probablemente sea seguro, pero cuando se abre, ejecuta el ejecutable en la máquina cliente. [73] Los virus pueden instalarse en medios extraíbles, como unidades flash . Las unidades pueden dejarse en el estacionamiento de un edificio gubernamental u otro lugar, con la esperanza de que los usuarios curiosos inserten la unidad en una computadora. En un experimento de 2015, investigadores de la Universidad de Michigan descubrieron que entre el 45 y el 98 por ciento de los usuarios conectarían una unidad flash de origen desconocido. [74]
La gran mayoría de los virus atacan sistemas que ejecutan Microsoft Windows . Esto se debe a la gran cuota de mercado de Microsoft entre usuarios de ordenadores de sobremesa . [75] La diversidad de sistemas de software en una red limita el potencial destructivo de virus y malware. [a] Los sistemas operativos de código abierto como Linux permiten a los usuarios elegir entre una variedad de entornos de escritorio , herramientas de empaquetado, etc., lo que significa que el código malicioso dirigido a cualquiera de estos sistemas solo afectará a un subconjunto de todos los usuarios. Muchos usuarios de Windows ejecutan el mismo conjunto de aplicaciones, lo que permite que los virus se propaguen rápidamente entre los sistemas Microsoft Windows al atacar los mismos exploits en una gran cantidad de hosts. [76] [77] [78] [79]
Si bien Linux y Unix en general siempre han impedido de forma nativa que los usuarios normales realicen cambios en el entorno del sistema operativo sin permiso, a los usuarios de Windows generalmente no se les impide realizar estos cambios, lo que significa que los virus pueden fácilmente obtener el control de todo el sistema en los hosts de Windows. Esta diferencia ha continuado en parte debido al uso generalizado de cuentas de administrador en versiones contemporáneas como Windows XP . En 1997, los investigadores crearon y lanzaron un virus para Linux conocido como " Bliss ". [80] Bliss, sin embargo, requiere que el usuario lo ejecute explícitamente y solo puede infectar programas que el usuario tiene acceso para modificar. A diferencia de los usuarios de Windows, la mayoría de los usuarios de Unix no inician sesión como administrador o "usuario root" , excepto para instalar o configurar software; como resultado, incluso si un usuario ejecutara el virus, no podría dañar su sistema operativo. El virus Bliss nunca se generalizó y sigue siendo principalmente una curiosidad de investigación. Posteriormente, su creador publicó el código fuente en Usenet , lo que permitió a los investigadores ver cómo funcionaba. [81]
Antes de que las redes informáticas se generalizaran, la mayoría de los virus se propagaban en medios extraíbles , en particular en disquetes . En los primeros días de la computadora personal , muchos usuarios intercambiaban regularmente información y programas en disquetes. Algunos virus se propagan infectando programas almacenados en estos discos, mientras que otros se instalan en el sector de inicio del disco , asegurando que se ejecutarán cuando el usuario inicie la computadora desde el disco, generalmente sin darse cuenta. Las computadoras personales de la época intentarían arrancar primero desde un disquete si se hubiera dejado uno en la unidad. Hasta que los disquetes dejaron de utilizarse, esta era la estrategia de infección más exitosa y los virus del sector de arranque fueron los más comunes durante muchos años. Los virus informáticos tradicionales surgieron en la década de 1980, impulsados por la proliferación de las computadoras personales y el consiguiente aumento del sistema de tablón de anuncios (BBS), el uso de módems y el uso compartido de software. El uso compartido de software mediante tablones de anuncios contribuyó directamente a la propagación de programas troyanos y se escribieron virus para infectar software comercializado popularmente. El shareware y el software pirata eran vectores igualmente comunes de virus en las BBS. [82] [83] Los virus pueden aumentar sus posibilidades de propagarse a otras computadoras al infectar archivos en un sistema de archivos de red o un sistema de archivos al que acceden otras computadoras. [84]
Los macrovirus se han vuelto comunes desde mediados de la década de 1990. La mayoría de estos virus están escritos en lenguajes de programación para programas de Microsoft, como Microsoft Word y Microsoft Excel , y se propagan por todo Microsoft Office infectando documentos y hojas de cálculo . Dado que Word y Excel también estaban disponibles para Mac OS , la mayoría también podía extenderse a computadoras Macintosh . Aunque la mayoría de estos virus no tenían la capacidad de enviar mensajes de correo electrónico infectados , los virus que sí aprovechaban la interfaz del Modelo de objetos componentes (COM) de Microsoft Outlook . [85] [86] Algunas versiones antiguas de Microsoft Word permiten que las macros se repliquen con líneas en blanco adicionales. Si dos virus de macro infectan simultáneamente un documento, la combinación de los dos, si también se autorreplica, puede aparecer como un "acoplamiento" de los dos y probablemente se detectaría como un virus exclusivo de los "padres". [87]
Un virus también puede enviar un enlace de dirección web como mensaje instantáneo a todos los contactos (por ejemplo, direcciones de correo electrónico de amigos y colegas) almacenados en una máquina infectada. Si el destinatario, pensando que el enlace es de un amigo (una fuente confiable) sigue el enlace al sitio web, el virus alojado en el sitio puede infectar esta nueva computadora y continuar propagándose. [88] Los virus que se propagan mediante secuencias de comandos entre sitios se informaron por primera vez en 2002, [89] y se demostraron académicamente en 2005. [90] Ha habido múltiples casos de virus de secuencias de comandos entre sitios en estado "salvaje", explotando sitios web. como MySpace (con el gusano Samy) y Yahoo! .
En 1989, la División de la Industria de Software de ADAPSO publicó Dealing With Electronic Vandalism , [91] en el que siguieron el riesgo de pérdida de datos por "el riesgo añadido de perder la confianza del cliente". [92] [93] [94]
Muchos usuarios instalan software antivirus que puede detectar y eliminar virus conocidos cuando la computadora intenta descargar o ejecutar el archivo ejecutable (que puede distribuirse como un archivo adjunto de correo electrónico o en unidades flash USB , por ejemplo). Algunos programas antivirus bloquean sitios web maliciosos conocidos que intentan instalar malware. El software antivirus no cambia la capacidad subyacente de los hosts para transmitir virus. Los usuarios deben actualizar su software periódicamente para corregir las vulnerabilidades de seguridad ("agujeros"). El software antivirus también debe actualizarse periódicamente para reconocer las amenazas más recientes . Esto se debe a que los piratas informáticos malintencionados y otras personas siempre están creando nuevos virus. El instituto alemán AV-TEST publica evaluaciones de software antivirus para Windows [95] y Android. [96]
Ejemplos de software antivirus y antimalware de Microsoft Windows incluyen Microsoft Security Essentials [97] opcional (para Windows XP, Vista y Windows 7) para protección en tiempo real, la herramienta de eliminación de software malicioso de Windows [98] (ahora incluida con Windows (Seguridad) Actualizaciones el " Patch Tuesday ", el segundo martes de cada mes), y Windows Defender (una descarga opcional en el caso de Windows XP). [99] Además, varios programas de software antivirus capaces están disponibles para su descarga gratuita desde Internet (generalmente restringidos a uso no comercial). [100] Algunos de estos programas gratuitos son casi tan buenos como los competidores comerciales. [101] A las vulnerabilidades de seguridad comunes se les asignan ID CVE y se enumeran en la base de datos nacional de vulnerabilidades de EE. UU . Secunia PSI [102] es un ejemplo de software, gratuito para uso personal, que comprobará una PC en busca de software desactualizado vulnerable e intentará actualizarlo. Las alertas de estafas de ransomware y phishing aparecen como comunicados de prensa en el tablón de anuncios del Centro de quejas sobre delitos en Internet . El ransomware es un virus que publica un mensaje en la pantalla del usuario indicando que la pantalla o el sistema permanecerá bloqueado o inutilizable hasta que se realice el pago del rescate . El phishing es un engaño en el que el individuo malintencionado se hace pasar por un amigo, un experto en seguridad informática u otro individuo benévolo, con el objetivo de convencer al individuo objetivo de que revele contraseñas u otra información personal.
Otras medidas preventivas comúnmente utilizadas incluyen actualizaciones oportunas del sistema operativo, actualizaciones de software, navegación cuidadosa en Internet (evitando sitios web sospechosos) e instalación únicamente de software confiable. [103] Ciertos navegadores marcan sitios que han sido reportados a Google y que Google ha confirmado que albergan malware. [104] [105]
Hay dos métodos comunes que utiliza una aplicación de software antivirus para detectar virus, como se describe en el artículo sobre software antivirus . El primer método, y con diferencia el más común, de detección de virus es utilizar una lista de definiciones de firmas de virus . Esto funciona examinando el contenido de la memoria de la computadora (su memoria de acceso aleatorio (RAM) y sectores de arranque ) y los archivos almacenados en unidades fijas o extraíbles (discos duros, unidades de disquete o unidades flash USB) y comparando esos archivos con una base de datos de "firmas" de virus conocidos. Las firmas de virus son simplemente cadenas de código que se utilizan para identificar virus individuales; Para cada virus, el diseñador del antivirus intenta elegir una cadena de firma única que no se encontrará en un programa legítimo. Los distintos programas antivirus utilizan distintas "firmas" para identificar los virus. La desventaja de este método de detección es que los usuarios sólo están protegidos contra los virus que se detectan mediante firmas en su actualización de definición de virus más reciente, y no están protegidos contra virus nuevos (consulte " Ataque de día cero "). [106]
Un segundo método para encontrar virus es utilizar un algoritmo heurístico basado en comportamientos comunes de los virus. Este método puede detectar nuevos virus para los cuales las empresas de seguridad antivirus aún no han definido una "firma", pero también da lugar a más falsos positivos que el uso de firmas. Los falsos positivos pueden ser perjudiciales, especialmente en un entorno comercial, porque pueden llevar a que una empresa indique al personal que no utilice el sistema informático de la empresa hasta que los servicios de TI hayan verificado el sistema en busca de virus. Esto puede ralentizar la productividad de los trabajadores habituales.
Se puede reducir el daño causado por los virus haciendo copias de seguridad periódicas de los datos (y de los sistemas operativos) en diferentes medios, que se mantienen desconectados del sistema (la mayor parte del tiempo, como en un disco duro), de solo lectura o no. accesible por otros motivos, como el uso de diferentes sistemas de archivos . De esta manera, si se pierden datos a causa de un virus, se puede empezar de nuevo a utilizar la copia de seguridad (que con suerte será reciente). [107] Si se cierra una sesión de copia de seguridad en un medio óptico como CD y DVD , se vuelve de solo lectura y ya no puede verse afectada por un virus (siempre que no se haya copiado un virus o un archivo infectado en el CD / DVD ). Del mismo modo, se puede utilizar un sistema operativo en un CD de arranque para iniciar la computadora si los sistemas operativos instalados quedan inutilizables. Las copias de seguridad en medios extraíbles deben inspeccionarse cuidadosamente antes de la restauración. El virus Gammima, por ejemplo, se propaga a través de unidades flash extraíbles . [108] [109]
Muchos sitios web administrados por compañías de software antivirus ofrecen escaneo de virus en línea gratuito, con instalaciones de "limpieza" limitadas (después de todo, el propósito de los sitios web es vender productos y servicios antivirus). Algunos sitios web, como VirusTotal .com, filial de Google , permiten a los usuarios cargar uno o más archivos sospechosos para que uno o más programas antivirus los analicen y revisen en una sola operación. [110] [111] Además, varios programas de software antivirus capaces están disponibles para su descarga gratuita desde Internet (generalmente restringidos a uso no comercial). [112] Microsoft ofrece una utilidad antivirus gratuita opcional llamada Microsoft Security Essentials , una herramienta de eliminación de software malicioso de Windows que se actualiza como parte del régimen de actualización regular de Windows, y una herramienta antimalware (eliminación de malware) opcional más antigua, Windows Defender , que ha sido actualizado a un producto antivirus en Windows 8.
Algunos virus desactivan Restaurar sistema y otras herramientas importantes de Windows, como el Administrador de tareas y CMD . Un ejemplo de virus que hace esto es CiaDoor. Muchos de estos virus se pueden eliminar reiniciando la computadora, ingresando al " modo seguro " de Windows con funciones de red y luego usando las herramientas del sistema o Microsoft Safety Scanner . [113] Restaurar sistema en Windows Me , Windows XP , Windows Vista y Windows 7 puede restaurar el registro y los archivos críticos del sistema a un punto de control anterior. A menudo, un virus hará que un sistema se "cuelgue" o se "congele", y un reinicio completo posterior dañará un punto de restauración del sistema del mismo día. Los puntos de restauración de días anteriores deberían funcionar, siempre que el virus no esté diseñado para dañar los archivos de restauración y no exista en los puntos de restauración anteriores. [114] [115]
El Comprobador de archivos del sistema de Microsoft (mejorado en Windows 7 y posteriores) se puede utilizar para buscar y reparar archivos del sistema dañados. [116] Restaurar una copia anterior "limpia" (libre de virus) de toda la partición desde un disco clonado , una imagen de disco o una copia de respaldo es una solución; restaurar una "imagen" de disco de respaldo anterior es relativamente sencillo de hacer. generalmente elimina cualquier malware y puede ser más rápido que "desinfectar" la computadora, o reinstalar y reconfigurar el sistema operativo y los programas desde cero, como se describe a continuación, y luego restaurar las preferencias del usuario. [107] Reinstalar el sistema operativo es otro método para eliminar virus. Es posible recuperar copias de datos esenciales del usuario iniciando desde un CD en vivo , o conectando el disco duro a otra computadora e iniciando desde el sistema operativo de la segunda computadora, teniendo mucho cuidado de no infectar esa computadora ejecutando cualquier programa infectado en el unidad original. Luego se puede reformatear el disco duro original e instalar el sistema operativo y todos los programas desde el medio original. Una vez que se haya restaurado el sistema, se deben tomar precauciones para evitar la reinfección de cualquier archivo ejecutable restaurado . [117]
La primera descripción conocida de un programa de autorreproducción en la ficción se encuentra en el cuento de 1970 The Scarred Man de Gregory Benford, que describe un programa de computadora llamado VIRUS que, cuando se instala en una computadora con capacidad de marcación por módem telefónico , marca aleatoriamente números de teléfono hasta que golpea un módem al que responde otra computadora y luego intenta programar la computadora que responde con su propio programa, de modo que la segunda computadora también comenzará a marcar números aleatorios, en busca de otra computadora más para programar. El programa se propaga rápidamente de manera exponencial a través de computadoras susceptibles y sólo puede ser contrarrestado por un segundo programa llamado VACCINE. [118] Su historia se basó en un virus informático real escrito en FORTRAN que Benford había creado y ejecutado en la computadora del laboratorio en la década de 1960, como prueba de concepto, y del que le habló a John Brunner en 1970. [119]
La idea se exploró más a fondo en dos novelas de 1972, When HARLIE Was One de David Gerrold y The Terminal Man de Michael Crichton , y se convirtió en un tema importante de la novela de 1975 The Shockwave Rider de John Brunner . [120]
La película de ciencia ficción de Michael Crichton de 1973, Westworld, hizo una mención temprana del concepto de virus informático, siendo un tema central de la trama que hace que los androides se vuelvan locos. [121] [ se necesita mejor fuente ] El personaje de Alan Oppenheimer resume el problema afirmando que "... aquí hay un patrón claro que sugiere una analogía con el proceso de una enfermedad infecciosa, que se propaga de un... área a la siguiente". A lo que se responde: "Quizás existan similitudes superficiales con la enfermedad" y "debo confesar que me resulta difícil creer en una enfermedad de la maquinaria". [122]
El término “virus” también se hace mal uso por extensión para referirse a otro tipo de malware . "Malware" abarca virus informáticos junto con muchas otras formas de software malicioso, como "gusanos" informáticos , ransomware , spyware , adware , troyanos , registradores de pulsaciones de teclas , rootkits , bootkits , objetos auxiliares del navegador (BHO) maliciosos y otro software malicioso. La mayoría de las amenazas de malware activas son programas troyanos o gusanos informáticos en lugar de virus informáticos. El término virus informático, acuñado por Fred Cohen en 1985, es inapropiado. [123] Los virus a menudo realizan algún tipo de actividad dañina en las computadoras host infectadas, como la adquisición de espacio en el disco duro o tiempo de la unidad central de procesamiento (CPU), accediendo y robando información privada (por ejemplo, números de tarjetas de crédito , números de tarjetas de débito , números de teléfono) . , nombres, direcciones de correo electrónico, contraseñas, información bancaria, domicilios, etc.), corromper datos, mostrar mensajes políticos, humorísticos o amenazantes en la pantalla del usuario, enviar spam a sus contactos de correo electrónico, registrar sus pulsaciones de teclas o incluso inutilizar el ordenador. . Sin embargo, no todos los virus llevan una " carga útil " destructiva e intentan ocultarse; la característica definitoria de los virus es que son programas informáticos autorreplicantes que modifican otro software sin el consentimiento del usuario inyectándose en dichos programas, similar a un virus biológico. virus que se replica dentro de las células vivas.
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )Mantenimiento CS1: nombres numéricos: lista de autores ( enlace ){{cite web}}
: Mantenimiento CS1: URL no apta ( enlace )Y aquí hay un patrón claro que sugiere una analogía con el proceso de una enfermedad infecciosa, que se propaga de un área turística a otra." ... "Tal vez haya similitudes superficiales con la enfermedad". "Debo confesar que me resulta difícil creer en una enfermedad de la maquinaria.
{{cite AV media}}
: Mantenimiento CS1: ubicación ( enlace ){{cite book}}
: Mantenimiento CS1: ubicación ( enlace )