Virus de sector de arranque (boot sector): Residen en las primeras pistas del disco duro o de los disquetes. Su función destructora suele consistir en inutilizar la FAT (tabla de asignación de direcciones de los ficheros). La reproducción del virus de este tipo se suele producir en el intercambio de disquetes.
Parásitos: Se unen a ficheros ejecutables de tal forma que el virus se ejecuta antes de que se comience a ejecutar el propio programa. Estos virus pueden ser de acción directa, si seleccionan el programa que quieran infectar, o bien pueden ser residentes, si se mantienen activos en la memoria del ordenador y consiguen infectar cada uno de los programas que se ejecutan.
Multipartitos: Estos virus combinan las capacidades de los parásitos y del virus de sector de arranque inicial. Infectan ficheros ejecutables y sectores de arranque inicial.
Acompañantes: Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre, engañando al sistema operativo para que lo pueda ejecutar. A veces ocultan la copia, utilizando los propios parámetros del sistema operativo, para evitar que sea descubierta; es decir, si existe un programa con extensión .EXE, crean un .COM con el código del virus y lo ocultan. Cuando el sistema operativo se encuentra con los dos programas, ejecuta el .COM en vez del .EXE.
Virus de vínculo: Los virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio.
Virus de fichero de datos o de macro: Estos tipos de virus infectan programas que contienen lenguajes de macros potentes. Un lenguaje de macros permite realizar todas las acciones posibles con un procesador de textos. El virus podrá abrir, manipular y cerrar ficheros de datos.
Virus de tipo gusano: Si estamos conectados a Internet y utilizamos el correo, entonces estaremos expuestos a este tipo de virus. Los virus de tipo gusano se transmiten con los mensajes de correo y se activan al abrir el fichero anexo. I love you y Melissa son virus de tipo gusano, que en el momento en el que se activan reenvían el mismo mensaje infectado a las primeras 50 direcciones de la agenda de correo. La propagación es muy rápida y difícilmente controlable.
Si desarrollamos la clasificación en función del daño que producen, los menos dañinos son los que sólo muestran mensajes aleatorios por pantalla, o se limitan a cargar el tráfico de la red. Los programas que se mantienen residentes en memoria, aunque no hagan ninguna otra función, reducen el número de recursos libres del sistema, ralentizando las operaciones.
Los virus malignos son capaces de hacer casi de todo, desde eliminar la información de todo el disco, hasta entrar en la configuración de la CMOS y borrar toda la información, quedando inservible la placa base del equipo. Esto último no suele pasar casi nunca, ya que para que un programa pueda modificar la CMOS, es necesario mover un conector de la placa base.
Si hacemos una clasificación de los tipos de virus, atendiendo al grado de malignidad, tenemos los siguientes:
Residentes: Casi todos los virus son residentes o TSR (Terminate and Stay Resident). Estos virus se mantienen activos en memoria y su misión consiste en infectar cada uno de los programas que se vayan ejecutando.
De sobreescritura: Estos virus utilizan una tecnología muy básica, se desactivan con facilidad y no suelen sobrevivir en “el salvaje oeste”. Eliminan el fichero infectado y sobrescriben encima el código del virus. Son muy fáciles de detectar, ya que el usuario identificará un problema serio la primera vez que intente utilizar su programa.
Stealth: La característica más importante es que son capaces de ocultarse, de permanecer sin ser detectados durante el tiempo suficiente para reproducirse e infectar otros ordenadores. Dependiendo de la tecnología utilizada, los virus con estas características son capaces incluso de identificar qué programa antivirus está instalado en el equipo y actuar en consecuencia. Por ejemplo, algunos programas antivirus mantienen una lista de todos los programas ejecutables del equipo. Si entre una ejecución y otra detectan una diferencia de tamaño, muestran una alerta y comienza la identificación del tipo de virus en función de los patrones. Por eso, un virus de tipo Stealth identificará dónde se mantiene esta comparación de tamaños y modificará los datos después de la infección.
Encriptación: Esta característica se explica por sí misma. Un virus que incorpora la tecnología de encriptación no permite que un escáner del programa antivirus acceda a sus patrones. De esta forma, aunque un programa antivirus esté activo, el virus permanecerá en el sistema en estado de latencia. Al combinar esta funcionalidad con el polimorfismo, el virus resultará difícilmente detectable y se propagará con mucha facilidad.
Polimorfismo: Estos virus tienen la característica de poder evolucionar cada vez que se replican. En su estado original suelen estar encriptados y cuando se replican añaden bytes aleatoriamente, dentro del cuerpo del virus, para cambiar de tamaño y forma.
No hay comentarios:
Publicar un comentario