XTEC

Els virus i les seves tècniques de propagació

Què són els virus?
Tipus de virus
Tècniques de propagació i vulnerabilitats
Mètodes d'Entrada i sortida
Efectes que provoquen
Curiositats sobre els Virus

1. Què són els virus?

Els virus són programes que realitzen accions molestes i/o nocives a un ordinador. S'introdueixen de formes molt diverses: a través del correu electrònic, d'Internet, de disquets, etc. Generalment es reprodueixen infectant altres fitxers o programes.

El terme virus informàtic es deu a la gran semblança amb els virus biològics. Els virus biològics s'introdueixen en el cos humà i infecten una cèl·lula, que al seu torn infectarà noves cèl·lules a l'injectar el seu contingut en elles. Els virus informàtics s'introdueixen en els ordinadors i infecten fitxers inserint en ells el seu "codi".

Quan el programa infectat s'executa, el codi entra en funcionament i el virus segueix estenent-se. A més, ambdós tipus de virus presenten símptomes que avisen de la seva presència i, mentre que els virus biològics són micro-organismes, els virus informàtics són micro-programes.

Existeixen programes que fan una broma o falses alertes (jokes i hoaxs) que sense entrar en el concepte de virus també poden produir desastres sobre un equip informàtic o una xarxa. Aquestes enganyifes són tractades com a tals.

Enrere | Puja

2. Tipus de virus

Els virus informàtics es poden classificar seguint criteris molt diversos. En aquesta classificació s'inclouen els programes o falses alertes que poden alterar el funcionament d'un ordinador o d'una xarxa.

Virus residents

La característica principal d'aquests virus és que s'oculten en la memòria RAM de forma permanent o resident. D'aquesta manera poden controlar i interceptar totes les operacions del sistema operatiu, infectant tots aquells fitxers i/o programes que siguin executats, oberts, tancats, reanomentats, copiats, etc. Aquests virus només ataquen quan es compleixen certes condicions definides prèviament pel seu creador (per exemple, una data i hora determinada). La resta de temps resten ocults en una zona de la memòria principal, ocupant un espai de la mateixa, fins que són detectats i eliminats.

Alguns exemples d'aquest tipus de virus són: AntiCMOS, AntiEXE, Barrots, Divendres 13, Babylonia i Chernobyl (CIH).

Virus d'acció directa

Al contrari que els residents, aquests virus no resideixen en memòria. Per tant, el seu objectiu prioritari és reproduir-se i actuar en el mateix moment de ser executats. Al complir-se una determinada condició, s'activen i busquen els fitxers situats dins del seu mateix directori per a contagiar-los. A més, també realitzen les seves accions en els directoris especificats dintre de la línia PATH (camí o ruta de directoris), dintre del fitxer autoexec.bat (fitxer que sempre es troba en el directori arrel del disc dur). Els fitxers afectats pels virus d'acció directa poden ser desinfectats i restaurats completament per un antivirus.

Virus que sobreescriuen

Aquests virus es caracteritzen per destruir la informació continguda en els fitxers que infecten. Quan infecten un fitxer, modifiquen les dades, fent que quedin totalment o parcial inservibles. També es diferencien perquè els fitxers infectats no augmenten de grandària, llevat que el virus ocupi més espai que el propi fitxer (això es deu al fet que es col·loquen damunt del fitxer infectat, en lloc d'ocultar-se dintre del mateix). L'única forma de netejar un fitxer infectat per un virus que sobreescriu és esborrar-lo, perdent-se el seu contingut.

Virus de boot o d'arrencada

Els termes boot o sector d'arrencada fan referència a una part molt important d'un disc (tant d'un disquet com d'un disc dur), ja que hi ha la informació bàsica sobre les característiques del disc i un programa que permet arrencar l'ordinador. Aquest tipus de virus no infecta fitxers, sinó els discos que els contenen. Actuen infectant en primer lloc el sector d'arrencada dels disquets. Quan un ordinador s'engega amb un disquet infectat, el virus de boot infectarà el disc dur.

Els virus de boot no poden afectar l'ordinador mentre no s'intenti engegar aquest últim amb un disc infectat. Per tant, la millor manera de defensar-se contra ells és protegir els disquets contra escriptura i no arrencar mai l'ordinador amb un disquet desconegut en la disquetera.

Alguns exemples d'aquest tipus de virus són: Anti-Telefònica, CMOS.Erase, Cruel, Diable, Empire, Form, Michelangelo, Parity Boot i Tequila.

Virus de macro

Les macros són micro-programes associats a un fitxer (i aquest està associat a una aplicació) que serveixen per automatizar conjunts d'operacions complexos. Al ser programes, les macros poden ser infectades. Quan s'obri un fitxer que contingui un virus d'aquest tipus, les macros es carregaran de forma automàtica, produint-se la infecció.

L'objectiu d'aquests virus és la infecció dels fitxers creats utilitzant aplicacions que contenen macros. Per exemple, documents de Word (fitxers amb extensió DOC), fulls de càlcul d'Excel (fitxers amb extensió XLS), bases de dades d'Access (fitxers amb extensió MDB), presentacions de PowerPoint (fitxers amb extensió PPS), fitxers de Corel Draw, etc.

La majoria de les aplicacions que utilitzen macros disposen d'una protecció antivirus i de seguretat específica, però molts virus de macro sortegen fàcilment aquesta protecció.

Aquests en són alguns exemples: Bablas, Class, Lewinsky, Melissa, Marker, Eleccions2000 (virus de macro de Word); Barisada, Laroux, Manalo, Oblivion, Sugar, Totaler (virus de macro de Excel); Cybernet, HalfCross, Shiver, Tristate i I2K (virus de macro multiprograma o Multi Macro Partite).

Virus d'enllaç o directori

Els fitxers se situen en determinades adreces (solen ser formades per la unitat de disc més el directori) que el sistema operatiu reconeix per a poder localitzar-los. Els virus d'enllaç o directori alteren les adreces que indiquen on s'emmagatzemen els fitxers. D'aquesta manera, a l'intentar executar un programa (fitxer amb extensió EXE o COM) infectat per un virus d'enllaç, el que es fa en realitat és executar el virus, ja que aquest haurà modificat l'adreça on es trobava originalment el programa, col·locant-se en el seu lloc. Una vegada produïda la infecció, resulta impossible localitzar i treballar amb els fitxers originals.

Virus encriptats

Més que un tipus de virus, es tracta d'una tècnica utilitzada per alguns d'ells, que al seu torn poden pertànyer a altres classificacions. Aquests virus es xifren o s'encripten a si mateixos per a no ser detectats pels programes antivirus. Per a realitzar les seves activitats, el virus es desxifra a si mateix i, quan ha finalitzat, es torna a xifrar.

Virus polimorfes

Són virus que en cada infecció que realitzen es xifren o encripten d'una forma distinta (utilitzant diferents algorismes i claus de xifrat). D'aquesta manera generen una elevada quantitat de còpies de si mateixos i impedeixen que els antivirus els localitzin a través de la recerca de cadenes o signatures, per la qual cosa solen ser els virus més costosos de detectar.

Alguns exemples d'aquest tipus de virus són: Cocaine, Kriz, Marburg, Neuroquila, Satan Bug i Tuareg.

Virus de fitxer

Infecten programes o fitxers executables (fitxers amb extensions EXE i COM). A l'executar-se el programa infectat, el virus s'activa, produint diferents efectes. La majoria dels virus existents són d'aquest tipus.

Virus de companyia

Són virus de fitxer que al mateix temps poden ser residents o d'acció directa. El seu nom deriva del fet que "acompanyen" altres fitxers existents en el sistema abans de la seva arribada, sense modificar-los com fan els virus de sobreescriptura o els residents. Per efectuar les infeccions, els virus de companyia poden esperar ocults en la memòria fins que es porti a terme l'execució d'algun programa, o actuar directament fent còpies de si mateixos.

Virus de FAT

La Taula d'Assignació de Fitxers o FAT és la secció d'un disc utilitzada per enllaçar la informació continguda en aquest. Es tracta d'un element fonamental en el sistema. Els virus que ataquen aquest element són especialment perillosos, ja que impediran l'accés a certes parts del disc, on s'emmagatzemen els fitxers crítics per al normal funcionament de l'ordinador. Els mals causats a la FAT es traduiran en pèrdues de la informació continguda en fitxers individuals i en directoris complets.

Cucs (Worms)

D'una manera estricta, els cucs no es consideren virus perquè no necessiten infectar altres fitxers per a reproduir-se. A efectes pràctics però, són tractats com a virus i són detectats i eliminats pels antivirus. Bàsicament, els cucs es limiten a realitzar còpies de si mateixos a la màxima velocitat possible, sense tocar ni danyar cap altre fitxer. No obstant això, es reprodueixen a tal velocitat que poden col.lapsar per saturació les xarxes on s'infiltren. Les infeccions produïdes per aquests virus gairebé sempre es realitzen a través del correu electrònic, les xarxes informàtiques i els canals de xat (tipus IRC o ICQ) d'Internet. També poden propagar-se dintre de la memòria de l'ordinador.

Troians o cavalls de Troia

Tècnicament, els troians tampoc es consideren virus, ja que no es reprodueixen infectant altres fitxers. Tampoc es propaguen fent còpies de si mateix com fan els cucs. A efectes pràctics són tractats com a virus i són detectats i eliminats pels antivirus. L'objectiu bàsic d'aquests virus és la introducció i instal.lació d'altres programes en l'ordinador per a permetre el control remot des d'altres equips.

Els efectes dels troians poden ser molt perillosos. Igual que els virus, tenen la capacitat d'eliminar fitxers o destruir la informació del disc dur. Però, a més, poden capturar i enviar dades confidencials a una adreça externa o obrir ports de comunicacions, permetent que un possible intrús controli l'ordinador de forma remota.

Bombes lògiques

Tampoc es consideren estrictament virus, ja que no es reprodueixen. Ni tan sols són programes independents, sinó un segment camuflat dintre d'un altre programa. Tenen per objectiu destruir les dades d'un ordinador o causar altres mals de consideració quan es compleixen certes condicions. Mentre aquest fet no ocorre, ningú no s'adona de la presència de la bomba lògica. La seva acció pot arribar a ser tremendament destructiva.

Virus falsos

Al marge de les divisions anteriors, existeixen certs tipus de missatges o programes que en certs casos són confosos amb virus, però no ho són en cap sentit. Els principals components d'aquest grup són els hoaxes. Els hoaxes no són virus, sinó missatges de correu electrònic enganyosos que es difonen massivament per Internet sembrant l'alarma sobre suposades infeccions víriques i amenaces contra els usuaris. Els hoaxes tracten de guanyar-se la confiança dels usuaris aportant dades que semblen certes i proposant una sèrie d'accions a realitzar per a deslliurar-se de la suposada infecció. Si es rep un hoax, no cal fer cas dels seus advertiments i instruccions: el més aconsellable és esborrar-lo sense prestar-li la més mínima atenció i no reenviar-lo a altres persones.

Un joke tampoc és un virus, sinó un programa inofensiu que simula les accions d'un virus informàtic en el nostre ordinador. El seu objectiu no és atacar, sinó fer una broma als usuaris, fent-los creure que estan infectats per un virus i que s'estan posant de manifest els seus efectes. Encara que la seva activitat arriba a ser molesta, no produeixen efectes nocius.

Enrere | Puja

3. Tècniques de propagació i vulnerabilitats

El tipus de fitxer que un virus infecta, acostumen a ser programes que es poden executar (fitxers amb extensió EXE o COM) o fitxers, com pàgines web (HTML), documents del Word (DOC), fulls de càlcul Excel (XLS).

La infecció d'un fitxer pot provocar la modificació del comportament i funcionament d'aquest o fins i tot la seva eliminació. Això es tradueix en conseqüències que, en major o menor mesura, afecten el sistema informàtic.

D'altra banda, els fitxers s'allotgen o emmagatzemen en unitats de disc (disc dur, CD ROM, DVD, disquet, etc) que també poden veure's afectades per la infecció.

Aquestes són algunes de les tècniques més emprades pels virus per estendre's:

Inclusió de codi HTML en l'autosignatura dels missatges de correu.

Instal·lació i activació del virus al visualitzar el missatge a través de l'opció Vista prèvia de l'aplicació de correu.

Inclusió de codi que provoca, a l'obrir un missatge infectat, l'execució automàtica del fitxer inclòs dintre del mateix.

Aprofitament de vulnerabilitats dels navegadors o dels programes de correu electrònic.

Aprofitament de vulnerabilitats dels servidors web.

Apropiació indeguda dels recursos compartits. Ús d'unitats de disc i directoris compartits de xarxa per a disposar d'informació, utilitats o serveis comuns als usuaris.

Ús de sistemes de xarxes i nodes especials per a l'intercanvi i la descàrrega de fitxers.

Les vulnerabilitats són buits de seguretat detectats en els programes o aplicacions de programari existents. Els virus utilitzen cada vegada amb major freqüència aquestes vies per als seus atacs, sobretot els de les aplicacions més esteses, per així provocar el major nombre possible d'infeccions.

A més, existeixen el que es podria definir com estratègies generals d'actuació dels virus quan arriben a un ordinador, per exemple, procuren inspirar confiança als usuaris i aconseguir que "abaixin la guàrdia", o es presenten de forma atractiva (simulant ser imatges, música, documents o informació sobre temes d'interès, etc.).

Pel que fa al futur immediat de les tècniques de propagació, s'endevinen noves vies, com l'ús dels telèfons mòbils (ja existeix algun virus que aconsegueix enviar missatges de text a mòbils GSM), o els sistemes de televisió i serveis de connexió per cable, sostinguts en plataformes informàtiques.

Per altra banda, actualment existeixen diversos tipus de fitxers que no poden ser infectats pels virus. No obstant això, és molt probable que aquests formats de fitxers que avui semblen segurs, en un futur pròxim no ho siguin (de la mateixa manera que fa un temps era impossible infectar-se, per exemple, només al navegar per pàgines web i ara sí ho és).

Tècniques d'ocultació

Els virus intenten ocultar-se dels antivirus i dels altres sistemes de protecció utilitzant una combinació de complexes tècniques.

Stealth (camuflatge)

"Tunelització"

Armouring (blindatge)

Autoxifrat

Polimorfisme

Enrere | Puja

4. Mètodes d'entrada i sortida

Els virus informàtics utilitzen tots els mitjans d'intercanvi d'informació per a entrar i sortir, Internet, xarxes d'ordinadors o unitats de disc. És important conèixer perfectament totes les vies d'entrada i sortida dels virus per evitar tant les infeccions com la propagació.

Internet

La Xarxa s'ha convertit en el major mitjà de transferència d'informació i, en conseqüència, en la major via d'entrada de virus.

Actualment la via d'entrada preferida pels virus és el correu electrònic. És l'origen de més del 80% de les infeccions. La seva gran perillositat deriva de les seves característiques:

Extrema capacitat de replicació i propagació. Un correu infectat pot estendre's en qüestió de minuts a milers d'ordinadors de tot el món.

Elevada capacitat de connexió entre ordinadors, ja que és possible enviar i rebre missatges entre pràcticament qualsevol tipus d'ordinador o plataforma.

Gran sofisticació tècnica de molts virus; es reenvien per si sols a tots els contactes que l'usuari infectat tingui en la llibreta d'adreces. Produeixen infeccions amb la simple lectura o obertura del missatge s'aprofiten de possibles vulnerabilitats o forats de seguretat dels diversos programes de correu, etc.

Tot l'anterior implica la necessitat de protegir perfectament tant els ports d'entrada i sortida de la xarxa com els protocols a través dels quals es reben (POP3) i s'envien (SMTP) els missatges de correu.

Els virus utilitzen la navegació per pàgines web. Les tecnologies incloses en aquestes pàgines (Applets Java i controls ActiveX) són programes que poden estar infectats per virus i contagiar els internautes.

A més, els virus més recents aprofiten possibles fallades de seguretat en els servidors que allotgen les pàgines web. Altres virus redirigeixen els usuaris a pàgines web ja infectades.

FTP significa Protocol de Transferència de Fitxers, un sistema que serveix per a col·locar documents en altres ordinadors que estiguin arreu del món ("upload") o per a descarregar fitxers d'aquests ordinadors ("download"). Al descarregar un fitxer, aquest es copia directament en el nostre ordinador, amb el consegüent contagi en cas de contenir virus.

Les notícies "News" i els sistemes de conversa en línia (xat d'IRC, ICQ, etc.) representen una altra font de risc. En aquests grups es funciona de forma similar a com es fa amb els taulers d'anuncis: cada usuari va deixant els seus missatges perquè els altres els llegeixin, i aquests missatges poden estar infectats.

Xarxes d'ordinadors

Hi ha una clara tendència cap a la connectivitat entre els ordinadors, el que ha multiplicat el nombre de vies d'entrada disponibles per als virus.

Hi ha virus especialment dissenyats per estendre's a través de xarxes informàtiques, produint infeccions en tots els punts possibles de les mateixes.

Encara que tots ells tenen objectius similars, utilitzen diversos mètodes: uns s'aprofiten de certes vulnerabilitats en els programes instal·lats, uns altres ataquen determinats tipus de servidors de fitxers o de correu i uns altres es colen pels servidors "proxy" i els tallafocs de la xarxa.

En la protecció antivirus de les xarxes és vital tenir en compte una cosa: tan important és protegir els punts d'entrada com els punts de sortida. No cal oblidar que el major perill d'un virus resideix en la seva capacitat de propagació.

Discos compartits. Un ordinador pot comptar amb un o diversos discos durs als quals altres usuaris tenen accés des de qualsevol punt de la xarxa. Aquest disc podria estar infectat i provocar la infecció d'altres ordinadors quan aquests l'utilitzin. Igualment succeeix al revés: si un ordinador contaminat utilitza un disc compartit, podria infectar-lo i la infecció s'estendria als restants equips de la xarxa.

Estacions. Els usuaris connectats a una xarxa informàtica realitzen milers de transaccions d'informació diàries, tant internes (amb altres equips de la xarxa) com externes (connexió a altres xarxes d'àrea local o de gran abast i connexió a Internet). Per tant, qualsevol fitxer infectat amb virus pot entrar i sortir de la xarxa a través de les estacions si aquestes no estan convenientment protegides.

Servidors. Aquests equips són els que permeten el funcionament de la xarxa, les connexions entre les estacions, la disposició de fitxers, la gestió del correu electrònic, les comunicacions amb l'exterior, etc. Per aconseguir-lo utilitzen determinades aplicacions que poden tenir vulnerabilitats que són aprofitades pels virus.

Servidors "proxy" i tallafocs. Són els punts pels quals entra i surt tota la informació de la xarxa, conformant el perímetre de la xarxa corporativa. A través d'ells poden arribar o enviar-se fitxers infectats que produirien el contagi tant en els ordinadors de la xarxa com en els equips d'una altra xarxa externa a la qual es connecti qualsevol d'ells.

Unitats de disc

Les unitats de disc serveixen per a l'emmagatzematge de programes, fitxers, pàgines Web (fitxers amb extensió HTML, ASP, etc), missatges de correu amb fitxers adjunts, fitxers comprimits, fitxers descarregats des d'Internet, etc.

DVD i CD-ROM. La seva gran capacitat i versatilitat, així com la difusió de maquinari i programari assequible i específic per al seu ús, han desplaçat altres tipus de discos en benefici del CD-ROM i del DVD. La seva gran expansió converteix aquests discos en els de major amenaça potencial.

Unitats de disc dur extraíbles o llàpissos de memòria USB (pendrive). Els ordinadors compten amb un o diversos discos durs instal·lats en l'interior de la seva carcassa. No obstant això, per a traslladar tot el seu contingut a altres sistemes informàtics existeixen unitats de disc dur extraibles o llàpissos de memòria USB (pendrive) que poden ser utilitzades físicament en diversos sistemes informàtics. Si la informació continguda en aquestes unitats està infectada, contaminarà a nous ordinadors.

Discos compartits en xarxa. Són unitats de disc que es troben físicament en un ordinador concret, però el contingut del qual és accessible per a la resta d'equips connectats en la seva mateixa xarxa. Evidentment, si el disc compartit està contaminat, estendrà la infecció a la resta d'ordinadors.

Unitats Zip i Jazz. Es tracta d'unitats de disc extraibles de gran capacitat d'emmagatzematge d'informació. També poden ser un punt d'infecció si no estan convenientment protegides.

Disquets. Fa anys, eren el mitjà més utilitzat pels virus per a la seva propagació. Actualment, la seva utilització és molt més reduïda, ja que han deixat pas a altres unitats de disc. No obstant, segueixen representant un risc d'infecció per als que segueixen utilitzant-los.

Enrere | Puja

5. Efectes que provoquen

És difícil endevinar a primera vista si un ordinador està infectat per virus. La certesa només s'aconsegueix utilitzant antivirus actualitzats. No obstant això, hi ha certs símptomes que delaten la possible presència de virus en l'ordinador (encara que també poden deure's a altres problemes aliens als virus):

La lentitud no habitual, sense cap causa aparent, pot deure's a diversos motius: molts programes treballant al mateix temps o problemes de xarxa, però també a una infecció vírica.

La impossibilitat d'obrir certs fitxers o de treballar amb determinats programes perquè un virus els ha eliminat, o ha suprimit els fitxers que necessita per funcionar.

La desaparició de fitxers i carpetes, que és un dels efectes més comuns dels virus.

La impossibilat d'accedir al contingut de certs fitxers. Els virus també acostumen a modificar fitxers, deixant-los inservibles. A l'obrir-los, es mostrarà un avís d'error.

L'aparició en pantalla d'avisos o missatges de text inesperats pot ser un clar símptoma d'infecció per virus. Generalment, aquests avisos contenen textos que no són habituals (de caràcter absurd, jocós, feridor, agressiu, etc.).

La disminució de l'espai en disc o de la capacitat de la memòria és també un símptoma d'infecció per virus, que pot arribar a ocupar tot l'espai lliure. En tal cas es mostren avisos indicant que no hi ha més espai.

L'alteració inesperada en les propietats d'un fitxer és un símptoma d'infecció. Alguns virus modifiquen els fitxers que infecten, augmentant la seva grandària, alterant la data de creació i modificació o els atributs, etc.

L'aparició de missatges d'error pot ser a causa d'un error real o de la presència de virus. Si aquests missatges apareixen al realitzar operacions senzilles en condicions normals, cal sospitar.

L'existència de fitxers duplicats, com per exemple un d'ells d'extensió EXE i un altre amb el mateix nom, però amb extensió COM.

El canvi inesperat del nom d'un fitxer és també un símptoma d'infecció.

Els problemes a l'arrencar l'ordinador poden deure's a diversos motius, però la infecció per part d'un virus de "boot" és un dels més freqüents.

L'efecte de bloqueig (l'ordinador es queda penjat). Això és especialment clar quan s'estan realitzant operacions senzilles que no suposen massa treball per a l'ordinador.

El tancament sense motiu aparent i tornada a arrencar. Alguns virus necessiten que això succeeixi per activar-se i assegurar el seu funcionament, per la qual cosa provoquen aquest tipus de situacions. Si un programa es tanca sobtadament mentre estem treballant amb ell, tindrem motius per a sospitar d'una infecció.

Els efectes inesperats poden ser símptomes de la infecció per troians, com per exemple la safata del CD-ROM que s'obre i es tanca automàticament, el teclat i el ratolí que no funcionen correctament o ho fan a l'atzar...

Enrere | Puja

6. Curiositats sobre els virus

D'on surten els virus, qui els fa?

Els virus informàtics han de ser programats per alguna persona. Alguns virus simulen els efectes de reproducció d'un virus biològic.

I les mutacions?

Per evitar ser detectats, alguns virus es programen per modificar-se i canviar els efectes que produeixen. A diferència dels virus biològics, que poden mutar, els virus informàtics necessiten l'acció del programador.

Per què es fan els virus?

Per repte personal, per exposar les vulnerabilitats del sistema, per prestigi personal, per notorietat i algunes vegades per venjança. De vegades per motius econòmics, científics i fins i tot militars.

Com es fan els virus?

Els virus generalment estan programats en ensamblador per a una arquitectura i sistema operatius específics.

Què pot fer un virus?

Un virus és un programa, i un programa pot fer el que el sistema operatiu li permeti fer, ja sigui perquè estigui autoritzat a fer-ho, com perquè hi ha una vulnerabilitat de la seguretat que el programa explota. En general, pot fer des de replicar-se fins a esborrar informació vital del sistema com el disc dur o la BIOS o robar informació personal.

Quin tipus de fitxers poden contenir un virus?

Qualsevol que contingui codi executable, bé directament pel microprocessador (COM, EXE, OVL, DRV) com per un emulador (aplicacions DOC, RTF, CHM, HLP).

Què és una "BIOS flash"?

És una memòria regravable, anàloga al disc dur. És on es troba la rutina que comença a executar l'ordinador només encendre'l. Serveix per a configurar el sistema i carregar el sistema operatiu.

Es pot introduir un virus en una "BIOS flash" de la placa base?

Sí. Un exemple n'és el BIOS Meningitis de Qark/VLAD.

Existeix un virus per a una "BIOS flash" d'un disc dur, VGA o altre dispositiu?

De moment no se'n coneix cap, però al ser un mètode molt específic és probable que no es propagués gaire.

És il·legal programar virus?

No.

És il·legal distribuir públicament virus en codi font?

No.

És il·legal distribuir públicament virus en codi executable?

Sí. Si es fa amb el propòsit de propagar el virus, fer que algun sistema s'infecti distretament o perjudicar a algú.

Tinc un virus en la BIOS?

El més probable és que no. Si a l'intentar instal.lar el Windows apareix un missatge en pantalla com aquest o similar:

!!! WARNING !!!
Disk Boot sector is to be modified
Type "Y" to accept, any key to abort.

No vol dir que es tingui un virus a la BIOS, significa que el programa d'instal·lació del sistema operatiu està intentant guardar les rutines d'inici del sistema en el sector d'arrencada del disc dur ("boot") que normalment és el que es fa servir a l'instal·lar Windows.

En aquest cas s'hauria de prémer "Y" perquè continués la instal·lació, o millor abans d'instal.lar Windows desactivar l'opció "Virus Warning" en la configuració i activar-la de nou a l'acabar.

Si aquest missatge apareix en qualsevol altra circumstància, és possible que algun programa intenti escriure en el sector d'arrencada del disc dur i aquest pot ser algun virus.

Què passa quan un fitxer està corrupte?

Els fitxers es tornen corruptes en el procés de desar dades al disc dur en sectors defectuosos. En els discos durs actuals, quan un sector comença a funcionar malament la controladora IDE envia automàticament la informació a pistes de reserva.

També es produeix, en tancar incorrectament l'ordinador sense sortir del sistema operatiu, la mort prematura d'un procés o el mal funcionament del sistema operatiu. És aconsellable utilitzar les eines de revisió d'errors en el disc dur i posteriorment un desfragmentador.

Pot un virus infectar el Linux?

Es poden escriure i de fet s'han creat virus per al Linux. Els virus s'escriuen per a un sistema operatiu determinat, per això els creats per al Windows en principi no infecten el Linux, i a l'inrevés.

El primer virus que es va desenvolupar per aquest sistema operatiu es deia Staog i va ser creat a 1995. Aquest virus només funciona en les versions del Kernel 1.2.13. i infecta arxius ELF i utilitza 3 "exploits" diferents per aconseguir accés com a root. Aquest virus no va aconseguir estendre's degut al fet que els usuaris del Linux es descarreguen el programari en codi font i s'ho compilen ells mateixos.

Amb l'aparició del virus ILOVEYOU, algú va desenvolupar un "shell" que se suposa equivalent al ILOVEYOU però per a Unix/Linux, encara que cal dir que l'usuari ha d'infectar-se intencionadament, ja que els clients de correu d'Unix/Linux no tenen la facilitat de clicar fitxers adjunts per a executar-los.

També han sorgit alguns cucs per a Linux: el primer d'ells va ser el Ramen Worm. Aquest cuc utilitza vulnerabilitats del "wu-ftpd" i del servei RPC de les versions Xarxa Red Hat 6.2 i 7.0 de Linux. Un altre cuc d'Internet utilitza la vulnerabilitat de BIND, el servidor de DNS de Linux.

Mireu la següent adreça per tenir un llistat dels últims virus per Linux apareguts i vulnerabilitats dels últims kernels.

http://alerta-antivirus.inteco.es/linux/portada-linux.php

També heu d'anar amb compte si envieu fitxers adjunts per correu i aquests contenen virus de windows doncs infectareu altres equips si no els analitzeu abans d'enviar-los.

I què passa si és un servidor Linux de fitxers?

El Linux en moltes ocasions s'usa com servidor de fitxers, de tal forma que alberga programes *.exe, *.zip, *.doc als quals s'accedeix gràcies al popular programa SAMBA, que permet que Linux funcioni com un servidor 200x Server.

Aquests fitxers poden contenir virus, i avui en dia és recomanable que els servidors de fitxers disposin d'un bon antivirus, perquè un virus no s'estengui en la xarxa local.

Encara que és poc probable que un virus del Windows pugui afectar el Linux (ni tan sols usant WINE) un virus per a DOS sí pot actuar si s'executa un programa de DOS usant l'emulador DOSEMU.

Pot un virus infectar el nostre ordinador des d'una pàgina web?

Existeixen i han existit vulnerabilitats associades als navegadors. Per exemple, controls Active X incorrectament marcats com segurs per a "script" o fins i tot "buffer overflows" en els Active X. També dins del Java, en les seves primeres versions, alguns "applets" malignes podien trencar la seguretat i accedir al sistema de fitxers local.

Aquests tipus són extensibles als clients de correu electrònic i de "news" que suporten HTML, però acostumen a corregir-se de seguida. Convé tenir sempre disponibles les últimes versions del navegador que estiguem utilitzant i els "service packs" instal·lats.

Un exemple de virus d'HTML és l'HTML.Prepend/Internal, un virus que provoca un "buffer overflow" en el navegador i busca en el disc dur fitxers HTML per a infectar-los. Altres virus d'HTML són l'HTML Enel.3787, i l'HTML Worm v0.2/internal.

Com a conclusió podem dir que poden existir virus en pàgines web, això sí, aquests virus esmentats estan basats en Visual Basic Script.

Existeixen troians o cucs amb extensió GIF, JPEG, MP3 o TXT?

No existeixen troians amb extensió GIF o JPG, el que existeixen són troians del tipus troia.gif.exe o troia.jpg.exe i això és un programa executable.

El Windows instal·la per defecte l'opció de no veure les extensions dels fitxers. Si un fitxer com el troia.gif.exe acompanya un missatge, aquest es veu com troia.gif i l'extensió EXE queda oculta. D'aquesta forma sembla un inofensiu fitxer GIF, però en clicar sobre ell per obrir-lo s'executa el programa i actua el virus.

Per altra banda, és cada vegada més freqüent que provocar "buffer overflows" (desbordament del buffer), es busquin en aplicacions que utilitzen algun tipus de fitxer molt complex. Per exemple, actualment, existeix una vulnerabilitat en el lector de fitxers PDF, de tal forma que un fitxer PDF manipulat de certa forma podria provocar l'execució de codi arbitrari en la màquina local.

sau.ensenyament@gencat.cat

Enrere | Puja