Virus informático

virus informático

Un virus informático es un software que puede «infectar» (modificar) otros programas, o incluso cualquier tipo de contenido ejecutable. La modificación incluye inyectar el código original con una rutina para hacer copias del código del virus, que luego puede infectar otro contenido.

Al igual que su análogo biológico, un virus informático lleva en su código de instrucción la receta para hacer copias perfectas de sí mismo y cada vez que la computadora infectada entra en contacto con un código no infectado, una copia nueva del virus pasa a la nueva ubicación.

Cuando un virus informático se adjunta a un programa ejecutable puede hacer cualquier cosa que el programa tenga permitido hacer, como borrar archivos y programas, que esté permitido por los privilegios del usuario actual.

La mayoría de los virus que infectan archivos de programas ejecutables llevan a cabo su trabajo de manera específica para un sistema operativo en particular y, en algunos casos, para una plataforma de hardware en particular

Partes de un virus

Tradicionalmente, un virus informático esta formado por tres componentes principales y son los siguientes:

  • Mecanismo de infección: el medio por el cual un virus se propaga o propaga, lo que le permite replicarse. El mecanismo también se conoce como el vector de infección.
  • Disparador (trigger): el evento o condición que determina cuándo se activa o entrega la carga útil, a veces conocida como bomba lógica
  • Carga útil (payload): lo que hace el virus, además de propagarse. La carga útil puede implicar daños o puede implicar actividad benigna pero notable

Fases de la vida de un virus

Las fases o el ciclo de vida de un virus informático se puede dividir en cuatro partes:

  • Fase inactiva: el virus está inactivo. El virus eventualmente se activará por algún evento, como una fecha, la presencia de otro programa o archivo, o la capacidad del disco que excede algún límite. No todos los virus tienen esta etapa
  • Fase de propagación: el virus coloca una copia de sí mismo en otros programas o en ciertas áreas del sistema en el disco. La copia puede no ser idéntica a la versión de propagación; los virus a menudo se transforman para evadir la detección.
    Cada programa infectado ahora contendrá un clon del virus, que entrará en una fase de propagación
  • Fase de activación: el virus se activa para realizar la función para la que fue creado. Al igual que con la fase inactiva, la fase de activación puede ser causada por una variedad de eventos del sistema, incluido un recuento de la cantidad de veces que esta copia del virus ha realizado copias de sí misma.
  • Fase de ejecución: se realiza la función. La función puede ser inofensiva, como un mensaje en la pantalla, o perjudicial, como la destrucción de programas y archivos de datos.

Pasos que sigue un programa infectado

  1. La primera línea de código es un salto al programa principal de virus
  2. La segunda línea es un marcador especial que utiliza el virus para determinar si un posible programa de víctimas ya ha sido infectado con este virus.
  3. Cuando se invoca el programa, el control se transfiere inmediatamente al programa principal de virus. El programa de virus puede primero ejecutar archivos ejecutables e infectarlos buscar no infectados
  4. Luego, el virus puede ejecutar su carga útil si se cumplen las condiciones de activación requeridas, si las hay…
  5. Finalmente, el virus transfiere el control al programa original

Clasificación

Los virus informáticos se pueden clasificar de dos formas principales como son el tipo de objetivo que el virus intenta infectar y el método que utiliza el virus para ocultarse de la detección por parte de los usuarios o antivirus.

Una clasificación de virus por objetivo incluye las siguientes categorías:

  • Infección del sector de inicio: infecta un registro de inicio maestro o un registro de inicio y se propaga cuando un sistema se inicia desde el disco que contiene el virus
  • Infección de archivos: infecta los archivos que el sistema operativo o el shell consideran ejecutables
  • Virus de macro: infecta los archivos con código interpretado por una aplicación en particular (más info)
  • Virus multipartito: infecta los archivos de múltiples maneras. Típicamente, el virus multiparte es capaz de infectar múltiples tipos de archivos, por lo que la erradicación del virus debe tratar con todos los posibles sitios de infección (más info)

Una clasificación de virus por estrategia de ocultación incluye las siguientes categorías:

  • Virus cifrado: una parte del virus crea una clave de cifrado aleatoria y cifra el resto del virus. La clave se almacena con el virus. Cuando se invoca un programa infectado, el virus usa la clave aleatoria almacenada para descifrar el virus. Cuando el virus se replica, se selecciona una clave aleatoria diferente. Debido a que la mayor parte del virus está encriptada con una clave diferente para cada instancia, no hay un patrón de bits constante para observar
  • Virus stealth: una forma de virus diseñada explícitamente para ocultarse de la detección por software antivirus. Por lo tanto, todo el virus, no solo una carga útil, está oculto. (más info)
  • Virus polimórfico: un virus que muta con cada infección, haciendo imposible la detección por la «firma» del virus.
  • Virus metamórfico: al igual que con un virus polimórfico, un virus metamórfico muta con cada infección. La diferencia es que un virus metamórfico se reescribe completamente en cada iteración, lo que aumenta la dificultad de detección. Los virus metamórficos pueden cambiar su comportamiento y su apariencia. Se le considera el virus informático más infeccioso y, si no se detecta rápidamente, puede producir graves daños en un sistema. Además, se reescribe y reprograma a sí mismo cada vez que infecta un sistema informático. Debido a su complejidad, para la creación de virus metamórficos es necesario contar con conocimientos amplios en programación. (más info)

Un ejemplo de cómo podría variar el código de un virus sin que su funcionalidad se vea afectada podría ser un código que usa, las variables A y B, pero no la variable C. Este algoritmo puede permanecer intacto incluso tras añadir grandes cantidades de datos que modifiquen la variable C.

Diferencia entre virus informático y malware

La palabra malware es la unión de las palabras ‘malicious software’ o software malicioso y se refiere a un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.

En cambio, un virus informático es un tipo de malware cuyo objetivo es alterar el correcto funcionamiento de un dispositivo. Por lo tanto, malware es el término principal que se utiliza para hablar de todas las amenazas informáticas provenientes de un software malicioso. Dentro de esta categoría ya tenemos diferentes clasificaciones bastante más específicas, como los troyanos, los gusanos, los virus informáticos, el adware, el spyware o ransomware entre otras.