Historia y evoluci贸n de los virus inform谩ticos
Lydia Maria Delgado Torres
INDICE Evoluciรณn de los virus informรกticos: Historia de los virus.(pรกgina
Evoluciรณn de los virus informรกticos (IV): El primer troyano.(pรกgina
Evoluciรณn de los virus informรกticos: Windows y Visual Basic.(pรกgina
Evoluciรณn de los virus informรกticos: como se difundรญan los primeros virus (II)(pรกgina
Evolución de los virus informáticos y 5: Los lenguajes de programación(página
Evolución de los virus informáticos: Las vulnerabilidades del software(página
Evolución de los virus informáticos, los primeros virus para MSDos y Win16(página
Virus complejos y técnicas de detección: “polimórficos”, “metamórficos” y de ”ocultamiento de punto de entrada” (EPO). (página
Evolución de los virus informaticos:Historia de los virus Al igual que cualquier otra rama de la informática, los virus han evolucionado -y mucho-, a lo largo de los años. En esta serie de notas de prensa nos ocuparemos de los orígenes, así como de la evolución, que los códigos maliciosos han experimentado desde su aparición hasta el momento actual. Haciendo un poco de historia, ya en 1949 el matemático John Von Neumann describió programas que se reproducían a sí mismos y que podrían asemejarse a los que hoy conocemos como virus informáticos. Pero hay que avanzar hasta los años 60 para encontrar el precursor de los virus actuales. Unos programadores desarrollaron un juego llamado Core Wars, que tenía la capacidad de reproducirse cada vez que se ejecutaba y podía llegar a saturar la memoria del equipo de otro jugador. Además, los propios creadores del curioso juego inventaron también el primer antivirus, una aplicación llamada Reeper, que destruía las copias hechas por Core Wars. Pero no fue hasta 1983 cuando uno de aquellos programadores dio
a conocer la existencia de Core Wars, cuyos detalles fueron publicados al año siguiente en una prestigiosa revista científica: ése sería el punto de partida para los que hoy conocemos como virus informáticos. En esa época, el sistema operativo que comenzaba a imponerse en todo el mundo era un jovencísimo MS DOS, con muchas posibilidades pero todavía con muchas carencias, motivadas tanto por desarrollos de software como por la inexistencia de muchos elementos hardware que hoy conocemos. Pero aún así, en 1986, el nuevo sistema operativo ya cuenta con un virus:
Brain, un código malicioso originario de Pakistán que infecta los sectores de arranque de los discos de forma que impide acceder a su contenido. Ese mismo año aparece también el primer troyano en forma de una aplicación llamada PC-Write. Muy pronto, los autores de virus se dan cuenta de que infectar archivos puede causar aun más daño. Así, en 1987 aparece Suriv-02, un virus que infectaba ficheros COM y que dio origen al famoso virus Jerusalem o Viernes 13. Pero lo peor aún
estaba por llegar, y en 1988 hace su aparición el famoso “gusano de Morris” que llegó a infectar 6000 ordenadores. A partir de aquí, y hasta 1995, se van desarrollando los tipos de códigos maliciosos que hoy conocemos: aparecen los primeros virus de macro, los virus polimórficos… Algunos llegaron a causar epidemias como MichaelAngelo. Sin embargo, un acontecimiento
cambió radicalmente el panorama vírico mundial, y fue el uso masivo de Internet y el correo electrónico. Poco a poco, los virus fueron adaptándose a la nueva situación hasta la aparición, en 1999, de Melissa, el primer código malicioso que provocó una epidemia a nivel mundial, y que inauguró una nueva era para los virus informáticos.
Evolución de los virus informáticos (IV):el primer troyano En los primeros tiempos de la informática personal, los ordenadores susceptibles de contener información de “riesgo”, como por ejemplo, un número de tarjeta de crédito o cualquier otro dato de esta índole eran muy pocos, restringidos sobre todo a los de empresas importantes que ya habían dado el paso de incorporar la informática a sus rutinas de trabajo.
En cualquier caso, aunque ese tipo de información se encontrase almacenada en una máquina, no corría demasiado peligro, a no ser que se hallase conectada a una red a través de la cual poder transmitirla. Por supuesto, hubo excepciones y se dieron casos de hackers que llegaron a realizar estafas a partir de datos almacenados en sistemas informáticos. Sin embargo, lo consiguieron mediante técnicas típicas de ataques hacker, sin emplear ningún tipo de virus. La aparición de Internet motivó un cambio de objetivo de los creadores de virus que, a partir de entonces, intentaron infectar el máximo número de ordenadores en el menor tiempo posible. Por su parte, la aparición de los servicios asociados a Internet -como la
banca electrónica, o las compras online- conllevó otro cambio. Algunos autores de virus no los creaban con el ánimo de infectar muchos equipos, sino para robar los datos confidenciales asociados a dichos servicios y obtener un beneficio económico personal. Evidentemente, para alcanzar dicho objetivo necesitaban virus que infectasen muchos equipos de forma silenciosa. Pero no tuvieron que trabajar demasiado, ya que la respuesta estaba en un código malicioso aparecido en 1986, al que se denominó genéricamente “caballo de troya”, o más comúnmente “troyano”. Concretamente, llevaba por nombre PC-Write y se presentaba como una supuesta versión shareware de un procesador de textos. Si era ejecutado, un procesador de textos funcional se presentaba en pantalla. El problema era que, al tiempo que el usuario escribía, el troyano se encargaba de borrar y corromper archivos del disco duro. A partir de PC-Write, este tipo de código malicioso evolucionó rápidamente convirtiéndose en los troyanos que hoy conocemos. Por eso, en la actualidad, muchos de los
creadores de troyanos diseñados para robar datos no son autores de virus propiamente dichos, sino simples ladrones que en lugar de utilizar sopletes o dinamita utilizan virus para cometer sus robos. Ejemplos de ello, pueden ser Ldpinch.W, o las familias de troyanos Bancos o Tofger.
Evolución de los virus informáticos:Windows y Visual Basic
En la séptima entrega de la historia de los virus vamos a referirnos a cómo incidieron en ellos la evolución de Windows y de Visual Basic. Con ambos dieron comienzo las epidemias a escala mundial, como la primera, protagonizada en 1999 por Melissa. Mientras Windows pasaba de ser sólo una aplicación para hacer más sencillo el manejo de DOS a convertirse en una plataforma de 32 bits y en un verdadero sistema operativo, los creadores de virus volvían a adoptar ensamblador como el principal lenguaje de programación de virus. Visual Basic (VB), por su parte, evolucionaba a las versiones 5 y 6, afianzándose junto a Borland Delphi (la evolución de Pascal al entorno de Windows) como una de las herramientas preferidas de los creadores de troyanos y gusanos. Visual C, un entorno potente de desarrollo en C para Windows, es adoptado para crear virus, troyanos o gusanos. Este último tipo de malware cobra una fuerza inusitada desplazando, casi totalmente, a los virus. Aunque las características de los gusanos varían a lo largo de su evolución, todos tienen el mismo objetivo: propagarse al mayor número de equipos en el menor tiempo posible. Con el paso del tiempo, Visual Basic cosecha un gran éxito, y
Microsoft implementa parte de la funcionalidad de este lenguaje, como un intérprete capaz de ejecutar ficheros con script de sintaxis similar. Coincidiendo con la implantación de la plataforma Win32 aparecen los primeros virus de script: malware dentro de un simple fichero con texto. Se basan en que no sólo el código ejecutable (los .EXE y los .COM) pueden contener virus. Como ya se demostrara con los
virus de BAT, existen otros medios de propagación, haciéndose realidad la máxima de que “todo aquello que pueda ejecutarse directamente o mediante un programa intérprete, puede ser utilizado como malware”. En concreto, surgen los primeros virus dentro de macros de Microsoft Office. De esta manera, Word, Excel, Access y Power Point se vuelven vías de propagación de “armas letales”, que destruyen la información de los usuarios cuando estos abren un simple documento.
Melissa y los gusanos autoejecutables La potencia de los intérpretes de script de Microsoft Office permite a los autores de virus incluir en sus creaciones características de gusanos. Un claro ejemplo es Melissa, un virus de macro para Word con particularidades de gusano que infecta documentos de Word, tanto en su versión para Office 97 como 2000. Se autoenvía, adjunto a un mensaje de correo electrónico, a los 50 primeros contactos de la libreta de direcciones de Outlook del ordenador al que afecta. Esta técnica, que desgraciadamente hoy es muy habitual, tiene su origen en este virus que en marzo de 1999, y en apenas unos días, protagonizó uno de los casos de infección masiva más importantes de la historia de los virus informáticos. De hecho, compañías de la talla de Microsoft, Intel o Lucent Technologies tuvieron que bloquear sus conexiones a Internet debido a la acción de Melissa.
La escuela iniciada por Melissa fue continuada en 1999 por ejemplares como VBS/Freelink que, a diferencia de su predecesor, se enviaba a sí mismo a todos los contactos que el PC afectado tuviese incluidos en su libreta de direcciones. Tras él asistimos a la proliferación de gusanos capaces de enviarse a todas las direcciones
que encuentran en la libreta de direcciones del Outlook de los ordenadores a los que afectan. De entre todos ellos destaca, de manera sobresaliente, el gusano VBS/LoveLetter, más conocido como “I love You”, que apareció en mayo de 2000 y cuya epidemia tuvo un impacto económico de 10.000 millones de euros[1]. Para atraer la atención del usuario, y así conseguir propagarse, se mandaba por correo electrónico en un mensaje cuyo asunto era "ILOVEYOU" e incluía adjunto un fichero denominado "LOVE-LETTER-FORYOU.TXT.VBS". Si tras recibir el mensaje el usuario abría el citado archivo, el equipo resultaba infectado.
En el año 1999, además de Melissa aparece -en noviembreVBS/BubbleBoy, un nuevo tipo de gusano de internet escrito en VB Script, que también marcó un antes y un después en la historia de los virus. En concreto, VBS/BubbleBoy se activaba sin necesidad de ejecutar ningún fichero adjunto, ya que con tan solo abrir el mensaje de correo o visualizarlo lleva a cabo su acción, aprovechándose para ello de un agujero de seguridad de Internet Explorer 5. Tras él, en el año 2000, apareció JS/Kak.Worm, que se propaga mediante su ocultación, tras un guión de Java Script, en la autofirma de Microsoft Outlook Express, lo que también le permite infectar los sistemas sin que para ello sea necesario abrir ningún fichero adjunto. Son los primeros representantes de una serie de gusanos a los que más adelante se sumarán aquellos capaces de atacar un equipo cuando el usuario navega por internet.
Evolución de los virus informáticos: como
se difundían los primeros virus (II)
En esta segunda entrega, relativa a la evolución de los virus, vamos a referirnos a qué medios utilizaban principalmente los códigos maliciosos para difundirse antes de la utilización masiva de Internet y del correo electrónico, y a cuáles eran los principales objetivos que tenían en mente sus autores al crearlos. Hasta que la Red de Redes y los e-mails se convirtieron en una realidad cotidiana para los usuarios de todo el mundo, los virus se extendían, fundamentalmente, al compartir disquetes, discos removibles, CD-ROM, etc., que contenían ficheros ya infectados o disponían de un sector de arranque ejecutable, en el que estaba grabado el código de un virus. Cuando un virus entraba en un sistema podía quedar residente en memoria, infectando otros archivos a medida que se abrían, o bien comenzaba a reproducirse inmediatamente, infectando de esta manera otros archivos del sistema. La activación del código maligno del virus también podía realizarse cuando se produjese un suceso determinado (como, por ejemplo, cuando el sistema alcanzaba una fecha concreta). En este caso, el creador de virus calculaba el tiempo necesario para que se difundiese y lo fijaba teniendo en cuenta una fecha que le evocase algo, o simplemente le gustase. De esa manera, el virus tendría un “tiempo de latencia” en el que no afectaba a los equipos, simplemente se reproducía en todos los ordenadores posibles, esperando la fecha clave. Gracias a ese tiempo, el creador del virus conseguía que su “obra” se extendiese a muchos ordenadores. Un claro ejemplo de virus con efectos destructivos de acción retardada es CIH, cuya versión más peligrosa se activa el 26 de
abril, día que intentaba sobrescribir la flash-BIOS de los
ordenadores, memoria donde se almacenan programas básicos para la gestión de los dispositivos del PC. Este virus, que apareció en junio de 1998, tuvo un gran impacto durante más de dos años y, aún hoy en día, sigue infectando equipos. Debido a los medios que utilizaban para propagarse, los virus se difundían muy despacio, máxime si tenemos en cuenta la velocidad de propagación que alcanzan los ejemplares actuales. Así, por ejemplo, a finales de los 80, el virus Viernes 13 necesitó mucho tiempo para propagarse e, incluso, estuvo infectando ordenadores durante varios años. Por el contrario, en enero de 2003, y según los expertos, SQLSlammer empleó tan sólo 10 minutos en causar un problema global en Internet. Protagonismo versus invisibilidad Mayoritariamente, en el pasado, la activación del código malicioso conllevaba la aparición en pantalla de determinados mensajes o imágenes, o la generación de determinados sonidos que llamaban la atención del usuario. Un claro ejemplo es el virus Ping Pong, que mostraba la imagen de una pelota que botaba de un extremo a otro de la pantalla. En este caso, como en muchos otros, el creador del virus tenía como principal objetivo conseguir el mayor protagonismo a partir de llamativos o espectaculares diseños. Paradójicamente, en el presente, la motivación de los autores de virus es la opuesta, es decir: conseguir que sus creaciones pasen desapercibidas en los sistemas de los usuarios, haciéndolas casi “invisibles”.
Evolución de los virus informáticos y 5: Los lenguajes de programación Pese a que ninguno puede dejarse de lado, algunos campos concretos de la Informática han sido más determinantes que otros para la evolución de los virus. Precisamente, uno de los
que más ha influido ha sido el desarrollo de los lenguajes de programación Dicho lenguajes son, básicamente, una forma de comunicarse con los ordenadores para decirles lo que tienen que hacer. Cada uno de ellos tiene sus normas de desarrollo y formulación específicas pero, en realidad, los ordenadores tan sólo entienden un lenguaje llamado "código máquina". Así, los lenguajes de programación son tan sólo un intérprete entre el programador y el ordenador. Por supuesto, cuanto más directamente podamos comunicarnos con la máquina mejor nos entenderá, y más complejas acciones podremos ordenarle que haga. En base a ello, los lenguajes de programación pueden dividirse en de "alto y bajo nivel", en función de que su sintaxis sea más comprensible para el programador o para la máquina. Así, un lenguaje de "alto nivel" utiliza expresiones que son fácilmente comprensibles por la mayoría de los programadores, pero no tanto por el ordenador. Visual Basic y C son buenos representantes de este tipo de lenguajes. Por el contrario, las expresiones que usan los lenguajes de "bajo nivel" están más cercanas al código máquina, pero resultan muy difíciles de entender para cualquier persona que no haya participado en el proceso de programación. Uno de los lenguajes de este tipo más conocidos -y más potentes que existen- es el ensamblador. Pero para explicar el empleo de los lenguajes de programación a lo largo de la historia de los virus, es necesario hacer referencia a la evolución sufrida por el hardware. Es fácil de comprender que un antiguo procesador de 8 bits no tiene la potencia de los modernos procesadores de 64 bits, y esto es algo que no puede superar ni el mejor de los lenguajes.
En la presente y posteriores entregas de esta serie, descubriremos los diferentes lenguajes de programación que los autores de virus han ido empleando a lo largo de la historia de la informática:
–
Los precursores de los virus: Core Wars
Como ya vimos en la primera entrega de esta serie, unos programas desarrollados por ingenieros de una importante empresa de telecomunicaciones, y a los que denominaron Core Wars, son considerados como los precursores de los virus modernos. La informática estaba en sus inicios y los lenguajes de programación apenas se habían desarrollado. Por esa razón, sus autores emplearon un lenguaje prácticamente igual al código máquina para programarlo. Como dato curioso, parece ser que uno de los programadores de Core Wars fue Robert Thomas Morris, cuyo hijo programó -años despuésel "gusano de Morris". Este código malicioso se hizo extraordinariamente famoso debido a que fue capaz de infectar 6.000 ordenadores, cifra nada desdeñable para el año 1988.
–
Los nuevos gurús de los 8 bits y el lenguaje ensamblador.
Los nombres Altair, IMSAI y Apple en USA, así como Sinclair, Atari y Commodore en Europa, hacen recordar tiempos pasados en los que una incipiente generación de apasionados por la informática "peleaban" por hacerse un hueco en el mundo de la programación. Ser el mejor
requería un profundo conocimiento de código máquina y ensamblador, ya que los intérpretes de lenguajes de alto nivel consumían demasiado tiempo – ejecución. Por ejemplo, BASIC era un lenguaje relativamente fácil de aprender. Es más, desarrollar un programa con este lenguaje resultaba cómodo y rápido. El problema es que tenía muchas limitaciones. Ese fue el origen de que surgieran dos ramas de programadores. Una de ellas estaba conformada por aquellos que utilizaban ensamblador, y la otra por quienes se decantaron por lenguajes de alto nivel (BASIC y PASCAL, principalmente). Ciertamente, los aficionados a la informática de esa época disfrutaban más haciendo software útil que malware. Sin embargo, en 1981 aparece el que puede considerarse el primer virus de 8 bits. Su nombre era "Elk Cloner", y estaba programado en código máquina. Era capaz de infectar sistemas Apple II y, además, mostraba un mensaje en el momento en que infectaba un equipo
Evolución de los virus informáticos: Las vulnerabilidades del software La evolución de los virus informáticos nos referiremos a cómo los creadores de virus comenzaron a aprovechar vulnerabilidades de software de uso habitual. Una vulnerabilidad puede definirse como un fallo de seguridad detectado en algún programa o sistema informático, que puede ser aprovechado por virus para propagarse e infectar.
Pese a que el aprovechamiento de vulnerabilidades de software pueda parecer algo muy reciente, en realidad comenzaron a emplearse en 1998. De ello se encargó el troyano Back Orifice, que utilizaba puertos de comunicaciones desprotegidos para introducirse en los sistemas y dejarlos a merced de hackers que podían controlar los equipos de forma remota. Pero muy poco tiempo después comenzaron a utilizarse vulnerabilidades como las que conocemos ahora. Así, en 1999 apareció el gusano Bubble Boy que, aprovechando un agujero de seguridad de Internet Explorer, se activaba de forma automática simplemente con visualizar el mensaje de correo en el que llegaba al equipo. Esto mismo también lo hacía el gusano Kak, cuyo código se ocultaba en la autofirma de los mensajes generados con Microsoft Outlook Express. Los exploits Casi siempre, el aprovechamiento de una vulnerabilidad de software por parte de un virus se hace a través de un exploit que ha sido previamente programado por otros usuarios o, raramente, por el propio autor del código malicioso. Técnicamente, un exploit es un bloque de código que se ejecuta únicamente si en la máquina objeto del ataque se produce un error esperado y muy concreto, es decir, en caso de que la máquina presente la vulnerabilidad que el exploit trata de
utilizar. La creación de un exploit es una tarea compleja, no apta para cualquier usuario, ya que para ello -casi siempre- debe utilizarse lenguaje ensamblador. El problema es que, en muchas ocasiones, el autor del exploit lo pone a disposición de otros usuarios maliciosos que, a su vez, lo incorporan a programas escritos con lenguajes de alto nivel. Esos programas pueden ser, obviamente, virus informáticos que gracias a la incorporación del exploit, pueden infectar
ordenadores aprovechando la vulnerabilidad objeto del exploit. Precisamente, la incorporación de exploits a virus o gusanos informáticos puede considerarse como el inicio de una “nueva era” para los códigos maliciosos. El hecho de que un virus se propague o infecte los sistemas aprovechando una vulnerabilidad implica varias ventajas para su creador. Por una parte, si se trata de una vulnerabilidad que afecte a un sistema operativo, como puede ser Windows, supone que millones de equipos de todo el mundo son víctimas potenciales del ataque del código malicioso. Por otro lado, los virus que incorporan exploits suelen tener una velocidad de propagación extremadamente rápida, ya que nada se interpone en su camino. Por ejemplo, si se trata de un virus que aprovecha una vulnerabilidad por la que puede introducirse en los ordenadores a través de un puerto de comunicación desprotegido, un software antivirus actualizado tan sólo podría detectarlo cuando ya se encuentre dentro del equipo. En ese caso el antivirus lo detectará y eliminará, pero no podrá evitar que el virus vuelva a entrar una y otra vez. La única solución posible pasa por reparar la vulnerabilidad de la que hace uso el virus. Así, no es de extrañar que cada vez que ha hecho su aparición un virus de esas características ha causado epidemias a nivel mundial: Klez, Blaster, Mydoom, Sasser… son solo algunos ejemplos de ello.
Evolución de los virus informáticos, los primeros virus para MSDos y Win16
La evolución de los virus informáticos se produce de forma paralela al del resto de campos de la informática. Sin embargo, entre los factores más determinantes para entender cómo se ha llegado hasta los virus actuales se encuentran, por una parte, el desarrollo de los lenguajes de programación y, por otra, la aparición de elementos hardware cada vez más potentes. En 1981, casi al mismo tiempo que Elk Kloner -el primer virus para procesadores de 8 bits- entra en escena un nuevo sistema operativo que comienza a hacerse muy popular. Su nombre completo era Microsoft Disk Operating System, aunque pronto los aficionados a la informática de todo el mundo lo conocerían por sus siglas: DOS. Virus para DOS El desarrollo de los sistemas DOS se produce paralelamente al de nuevos y potentes elementos hardware. Los ordenadores personales van ganando poco a poco espacio entre las herramientas de uso cotidiano, permitiendo que muchas más personas tengan acceso a ellos. Por supuesto, esto conlleva que más usuarios se planteen la posibilidad de crear un virus. Poco a poco, comienzan a aparecer los primeros virus y troyanos para DOS escritos en lenguaje ensamblador, lo que demuestra cierta pericia por parte de sus autores.
Pocos programadores conocen el lenguaje ensamblador en comparación con aquellos que dominan los lenguajes de alto nivel, mucho más fáciles de aprender. De esa manera, comienzan a aparecer códigos maliciosos escritos en Fortran, Basic, Cobol, C o Pascal. Los dos últimos, por su amplia difusión y potencia, son los más utilizados, sobre todo en sus versiones TurboC y Turbo Pascal. Esto,
finalmente, tiene como consecuencia la aparición de “familias de virus”, es decir, de virus a los que siguen infinidad de ejemplares con leves modificaciones con respecto al original. Otros usuarios, con un espíritu bastante menos artístico, se decantan por crear virus destructivos que no exigen grandes conocimientos de programación. De esa manera, empiezan a aparecer los virus en ficheros de procesos por lotes, más conocidos como virus de BAT. Virus para Win16 El desarrollo de los procesadores de 16 bits da paso a una nueva era para la informática. La primera consecuencia es el nacimiento de Windows que, por aquella época, es sólo una aplicación para hacer más sencillo el manejo de DOS a través de una interfaz gráfica. La estructura de los archivos de Windows 3.xx es difícil de entender y la codificación en ensamblador complicada; por ello pocos programadores se atreven a desarrollar virus para esta plataforma. Pero este problema queda resuelto muy poco tiempo después gracias al desarrollo de herramientas de programación para lenguajes de alto nivel, sobre todo Visual Basic. Tal es la efectividad de esta aplicación, que muchos creadores de virus la adoptan como “herramienta de
trabajo habitual”. Hacer un virus ya es una tarea muy sencilla, y comienzan a crearse por cientos. A esto se une la aparición de los primeros troyanos capaces de robar passwords. El resultado es que, por ejemplo, se contabilizan más de 500 variantes de la familia de troyanos AOL, diseñados para robar información personal de los ordenadores afectados.
Virus complejos y técnicas de detección: “polimórficos”, “metamórficos” y de ”ocultamiento de punto de entrada”(EPO).
No todos los virus son iguales, ni mucho menos. Algunos son variantes de otros códigos maliciosos aparecidos anteriormente; otros son códigos maliciosos muy simples, y algunos, incluso, presentan fallos que les impiden funcionar como su autor deseaba.
En cualquier caso, si PandaLabs, el laboratorio de virus de Panda Software, detuviese su actividad un solo instante, cualquiera de ellos podría provocar graves problemas a los usuarios. Podría pensarse que la tarea de PandaLabs es rutinaria y sistemática; sin embargo, esto dista mucho de ser así. De ello se ocupan algunos códigos maliciosos que aparecen con frecuencia, que técnicamente se denominan virus “polimórficos”, “metamórficos” y de ”ocultamiento de punto de entrada” (EPO).
Los virus polimórficos son capaces de modificar su apariencia mediante el uso de una capa externa denominada "polimórfica”, en la que se pueden cambiar las instrucciones de cada generación del virus. Por ejemplo, pueden cifrar su código con una clave distinta cada vez, añadiendo al mismo tiempo a su propio código la rutina de descifrado correspondiente. De esta
forma, cada vez tendrán un aspecto diferente, aunque su contenido seguirá siendo el mismo. Por su parte, los metamórficos van un paso más allá, ya que además de modificar su aspecto externo, también cambian su interior hasta el extremo de poder variar su propio código vírico. La última generación, en lo que a virus se refiere, son los llamados de “ocultamiento de punto de entrada”. Se trata de códigos maliciosos que no actúan del modo normal, es decir, inmediatamente después de ser ejecutados, sino que insertan su código en medio de otros archivos. De esta manera, el virus lleva a cabo únicamente su función cuando una parte muy concreta del archivo “hospedante” es ejecutada (por ejemplo, cada vez que se muestra un mensaje en una ventana de texto, o cuando se accede a un fichero de disco).Se trata de un proceso similar al que llevan a cabo algunos virus biológicos. La finalidad de estos todos estos tipos de virus es muy clara: dificultar su detección por parte de los programas antivirus, pero ¿realmente lo consiguen? Según explica Luis Corrons, director de PandaLabs: “Evidentemente, no es lo mismo hacer una vacuna para un gusano simple de correo electrónico, que para un virus polimórfico. Sin embargo, si se cuenta con los medios adecuados, esto no pasa de ser una mera
anécdota. Para poder detectar un código malicioso de este tipo no se llevan a cabo las rutinas habituales, sino que procedemos a hacer lo que llamamos “excepciones”. Es decir, remedios capaces no sólo de detectar al virus, sino de adelantarse a su próximo cambio. Sin embargo”, añade, “para esto es necesario contar con los suficientes recursos humanos y técnicos. De otra manera, el tiempo que se tardaría en preparar la vacuna contra un virus de este tipo podría conllevar la infección de miles de equipos”.
Al igual que los virus evolucionan, lo hacen los programas antivirus. Desde siempre, se ha tratado de dotar a estas aplicaciones con comportamientos “inteligentes”, es decir, conseguir que sean capaces de detener amenazas por sí solos, sin necesidad de ser actualizados previamente con la vacuna correspondiente. Así, comenzaron a utilizarse los sistemas de detección heurísticos que, pese a que han dado resultados aceptables, no son totalmente eficaces. Ello se debe a que este tipo de análisis detecta virus nuevos aplicando sencillas reglas de comparación sobre el código estático de los ficheros analizados.