Los virus y amenazas informáticas utilizan todos los medios de intercambio de información para entrar y salir de los ordenadores.

Para entrar en los ordenadores y permanecer ocultos dentro de ellos, los virus y demás amenazas emplean una gran variedad de técnicas, que evolucionan velozmente, a la par de los cambios generales en el sector de la informática y de la aparición en el mercado de nuevas aplicaciones.

Técnicas de propagación

Estas son algunas de las técnicas más empleadas por los virus y amenazas informáticas para extenderse:

• Inclusión de código HTML en la Autofirma de los mensajes de correo.
• Instalación y activación del virus al visualizar el mensaje a través de la Vista previa.
• Inclusión de código que provoca, al abrir un mensaje infectado, la ejecución automática del fichero incluido dentro del mismo.
• Aprovechamiento de fallos o vulnerabilidades del navegador Internet Explorer y de los programas de correo electrónico Outlook y Outlook Express.
• Aprovechamiento de fallos o vulnerabilidades de los servidores Web, como Internet Information Server, Index Server, Indexing Service, etc.
• Uso de unidades de disco y directorios compartidos de red, para disponer de información, utilidades o servicios comunes a los usuarios.
• Uso de sistemas de redes y nodos especiales para el intercambio y la descarga de ficheros, como la red Gnutella.

Además, existen lo que se podrían definir como estrategias generales de actuación de los virus cuando llegan a un ordenador. Por ejemplo, procuran inspirar confianza a los usuarios y conseguir que "bajen la guardia", o se presentan de forma atractiva (simulando ser imágenes, música, documentos de interés, información sobre temas de interés, etc.).

En cuanto al futuro inmediato de las técnicas de propagación, se adivinan nuevas vías, como el uso de los teléfonos móviles (ya existe algún virus que, aunque no se extiende a través de ellos, consigue enviar mensajes de texto a móviles GSM), o los sistemas de televisión y servicios de conexión por cable, sostenidos en plataformas informáticas.

Por otra parte, actualmente existen varios tipos de ficheros que no pueden ser infectados por los virus o amenazas. Sin embargo, es muy probable que estos formatos de ficheros que hoy parecen seguros, en un futuro próximo no lo sean (del mismo modo que hace un tiempo era imposible infectarse por ejemplo sólo al navegar por páginas Web y ahora si lo es).

Técnicas de camuflaje

Los virus intentan ocultarse de los antivirus y demás sistemas de protección utilizando una combinación de complejas técnicas.

Stealth. Los virus que utilizan esta técnica intentan pasar desapercibidos ocultando los síntomas que normalmente delatan su presencia.

• Por ejemplo, cuando un fichero es infectado, generalmente aumenta de tamaño. Para que esto no se aprecie, el virus sólo incluye su código de infección en las secciones libres (sin contenido) del fichero. De este modo, aunque aumente el tamaño del fichero, el virus hará creer al sistema que éste no ha variado.
• Cuando un fichero es infectado, se produce una modificación, cuya fecha y hora queda registrada, variando las características del fichero. El virus evita esto manteniendo la fecha y hora que estuvieran establecidas antes de la infección.
• Para no levantar sospechas, los virus ocultan algunos de los ficheros que infectan, cambiando sus atributos y poniéndolos como oculto.

Sobrepasamiento. Se basa en un complejo sistema mediante el cual, el microprocesador del ordenador debe trabajar en el modo paso a paso y con interrupciones. De esta forma, el virus es capaz de interceptar cada una de las peticiones realizadas por el sistema operativo. Así dificulta que el antivirus detecte esta situación.

Armouring. Con ella, los virus protegen el código maligno del programa, de tal forma que no pueda ser abierto ni leído por los antivirus. Los antivirus hacen frente a esta situación con sus modernas técnicas heurísticas.

Autocifrado. Los antivirus buscan determinados grupos de instrucciones o cadenas de caracteres, que son las que les permiten identificar a los virus. Para defenderse, éstos codifican su código maligno de forma que no sea fácilmente perceptible. En contrapartida, los modernos antivirus son capaces de encontrar las claves de cifrado mediante el uso de algoritmos.

Polimorfismo. Los virus que utilizan esta técnica se cifran a sí mismos de forma diferente en cada una de las infecciones que realizan, con claves, operaciones y algoritmos diferentes. El resultado de esto serán nuevos virus en cada nueva infección, con características distintas entre sí. Esto dificulta enormemente la detección por parte de los programas antivirus.

Sin embargo, los virus no pueden auto-cifrarse completamente, ya que necesitan contar con partes no cifradas para ejecutarse. Es aquí donde actúan los antivirus, localizando el algoritmo que permite al virus realizar automáticamente estas operaciones.

Vulnerabilidades

Las vulnerabilidades son fallos o huecos de seguridad detectados en los programas o aplicaciones de software existentes.

Los virus y demás amenazas utilizan cada vez con mayor frecuencia estos fallos en sus ataques, sobre todo los de las aplicaciones más extendidas, para así provocar el mayor número posible de infecciones. Estas son algunas de las más recientes:

Vulnerabilidades que afectan a Internet Explorer.

• Cross-site scripting. Afecta a Internet Explorer (versiones 5.01, 5.5 y 6.0), siendo aprovechada para ejecutar código maligno en un ordenador a través de una página Web en Internet, o a través de un mensaje de correo electrónico en formato HTML.

  Información adicional: boletín de seguridad de Microsoft MS02-023.

  Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q321323 y en la página de Windows Update.

• XMLHTTP Control Can Allow Access to Local Files. Esta vulnerabilidad permite enviar o recibir datos XML mediante el protocolo HTTP. El problema corresponde al modo como el control XMLHTTP aplica la configuración de Internet Explorer. El resultado es que se puede obtener información del sistema afectado.

  Información adicional: boletín de seguridad de Microsoft MS02-008.

  Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q317244.

• Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files. Esta vulnerabilidad permite que un atacante acceda a las macros existentes en otros dominios, mediante páginas Web o mensajes de correo electrónico en formato HTML. Esto se debe a que Internet Explorer no valida correctamente la relación el dominio cuando utiliza código escrito en el lenguaje de programación Visual Basic Script, lo que hace posible que el atacante obtenga datos confidenciales, recogidos desde páginas HTML.

  Información adicional: boletín de seguridad de Microsoft MS02-009.

  Solución: disponible en la Web de Microsoft, en la página Knowledge Base article Q318089.

• Malformed Dotless IP Address Can Cause Web Page to be Handled in Intranet Zone. Permite que se puedan abrir páginas Web en Internet con un bajo nivel de seguridad y también permite que el atacante redireccione al ordenador atacado a una determinada página Web. En tercer lugar, esta vulnerabilidad permite que se puedan ejecutar sesiones remotas de Telnet a través de Internet Explorer.

  Información adicional y solución: boletín de seguridad de Microsoft MS01-051.

• Incorrect MIME Header Can Cause IE to Execute E-mail. Esta vulnerabilidad impide que Internet Explorer interprete correctamente el código HTML.

  Información adicional y solución: boletín de seguridad de Microsoft MS01-020.

Vulnerabilidades que afectan a Outlook.

• Outlook View Control Exposes Unsafe Functionality. Afecta a Outlook (versiones 98, 2000 y 2002) y consiste en un control ActiveX que permite la consulta de las carpetas de correo desde una página Web.

  Información adicional y solución: boletín de seguridad de Microsoft MS02-038.

• Unchecked buffer in vCard Handler. Afecta a Outlook Express y el problema surge en la manipulación de vCards. Aprovechando dicha vulnerabilidad, un atacante puede causar que el programa cliente de correo falle cuando se abre un vCard, o que se ejecute código maligno en el equipo que lo abre.

  Información adicional y solución: boletín de seguridad de Microsoft MS02-012.

• Malformed E-mail Header. Permite la ejecución de código malicioso de forma remota, con sólo abrir un determinado mensaje que el atacante habrá creado expresamente para explotar dicha vulnerabilidad.

  Información adicional y solución: boletines de seguridad de Microsoft MS00-043, MS00-045 y MS00-046.

• Actualización contra virus para Outlook (versiones 2000 y 98). No se trata de una vulnerabilidad, sino de una serie de actualizaciones preparadas por Microsoft para limitar la apertura de los ficheros ejecutables.
• Seguridad en Outlook con ficheros adjuntos no ejecutables. Esta vulnerabilidad consiste en la ejecución automática del fichero incluido dentro un mensaje, cuando éste último es abierto.

  Información adicional y solución: boletines de seguridad de Microsoft MS99-048.

Vulnerabilidades que afectan a Windows XP/2000 Pro/NT/Me/98/95.

• Authentication Flaw Could Allow Unauthorized Users To Authenticate To SMTP Service en Windows 2000 y Exchange 5.5. Exclusiva de sistemas Windows 2000 Pro. Esta vulnerabilidad afecta al servidor de correo SMTP, permitiendo el envío de mensajes de correo sin autorización.

  Información adicional y solución: boletines de seguridad de Microsoft MS02-011.

• Windows 2000 Security Rollup Package 1 (SRP1). Exclusiva de sistemas Windows 2000 Pro. Parche de una serie de mejoras incluidas desde la edición del Service Pack 2 de Windows 2000 Pro.
• ActiveX Parameter Validation. Exclusiva de sistemas Windows 2000 Pro. Esta vulnerabilidad facilita la ejecución de código vírico o maligno desde una página Web o desde un mensaje de correo electrónico a través de un componente ActiveX.

  Información adicional y solución: boletines de seguridad de Microsoft MS00-085.

• Microsoft VM ActiveX Component. Aplicable a sistemas Windows 2000 Pro/NT/Me/98/95. Esta vulnerabilidad afecta a la Máquina Virtual Java, permitiendo realizar cualquier acción desde otro ordenador conectado al ordenador afectado.

  Información adicional y solución: boletines de seguridad de Microsoft MS00-075.

• Varios nombres reservados para de Rutas y Dispositivos DOS. Aplicable a sistemas Windows 98/95. Esta vulnerabilidad provoca el bloqueo del ordenador afectado. Dicho bloqueo se puede forzar desde una página Web, desde un fichero ejecutable, etc.

  Información adicional y solución: boletines de seguridad de Microsoft MS00-017.

• Fichero de Autorun. Aplicable a sistemas Windows 98/95. Esta vulnerabilidad permite la creación de un fichero AUTORUN.INF en el directorio raíz de cualquier unidad de disco. A su vez, esto posibilita la ejecución de ficheros con virus u otra amenaza, que infectarán la unidad y producirán nuevas infecciones cuando se acceda a ella.

  Información adicional y solución: para solucionar este problema, se debe sustituir el valor 0 por 1 en la clave Autorun, existente dentro de la siguiente entrada del Registro de Windows: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom.

• Programa CMD.EXE - Desbordamiento de buffer. Aplicable a sistemas Windows 2000 Pro/NT 4.0. Esta vulnerabilidad permite a un usuario consumir parte o toda la memoria del equipo afectado.

  Información adicional y solución: boletines de seguridad de Microsoft MS00-27.

Virus, amenazas y vulnerabilidades.

Una de las vulnerabilidades más utilizadas por los virus se ha centrado en Internet Explorer (versiones 5.01 y 5.5). En concreto, los virus o las amenazas aprovechan un problema del navegador de Microsoft para ejecutarse, de forma automática, mediante la visualización de los mensajes a través de la Vista previa.

También se han descubierto otras vulnerabilidades en los servidores de Internet IIS y Apache. En este último, los virus aprovechan el fallo para ejecutar código maligno.

De cara al futuro, es de esperar la aparición de virus capaces de difundirse a partir de la vulnerabilidad detectada en el reproductor Winamp, que posibilita que un fichero de sonido con extensión MP3 ejecute código vírico.

Nuevas técnicas

Los virus y demás amenazas evolucionan constantemente hacia nuevos formatos y técnicas que multiplican el riesgo de infección para los usuarios. Estos son los virus y amenazas que han destacado recientemente por marcar un hito tecnológico:

• SWF/LMF-926, primer virus en infectar ficheros con extensión SWF (Shockwave Flash).
• Donut, pionero en estar diseñado para infectar ficheros de la plataforma .NET de Microsoft.
• Dadinu, primer gusano de correo electrónico en afectar a los ficheros con extensión CLP.
• Kazoa, diseñado para propagarse utilizando la popular aplicación para intercambio de ficheros KaZaa.

Estos son otros ejemplos que destacan por el ingenio de sus creadores:

• Freedesktop, que tiene la apariencia de una dirección Web, oculto en un fichero de nombre www.freedesktopthemes.com. Mediante este disfraz intenta hacer creer al usuario que, si pincha en el citado fichero, conseguirá fondos para el Escritorio de Windows. Sin embargo, al hacerlo, Freedesktop se envía a todos los contactos que encuentra en la Libreta de direcciones.
• WorldCup (Chick.F) utiliza como señuelo el Mundial de Fútbol de Corea y Japón 2002, haciéndose pasar por un fichero con los resultados del mismo.
• Gibe se envía en un mensaje de correo como si se tratara de una actualización proporcionada por Microsoft para resolver varias vulnerabilidades.
• Petlil.A se envía en un mensaje de correo electrónico cuyo texto atrae la atención del receptor utilizando como reclamo una fotografía de carácter erótico.
• Kazoa emplea como reclamo los nombres de conocidos juegos de ordenador, películas o ficheros de música.