Ensamblador, lenguaje de bajo nivel que permite trabajar directamente sobre el hardware, sin
tener que interactuar con el Sistema Operativo. Actualmente no todos los virus se desarrollan en
Ensamblador, sino que se utilizan todo tipo de lenguajes de alto nivel, que no permiten realizar
todas las acciones que permite el ensamblador, pero sí facilitan mucho su codificación.
Lo que tratan los virus es de ser ejecutados para con ello poder actuar y replicarse, ya que ningún
usuario ejecutaría un virus de forma intencionada. Los virus deben ocultarse, ya sea tras otros
programas “benignos” o bien utilizando otras técnicas.
Por norma general, un virus intentará cargarse en la memoria para poder ejecutarse, y controlar
las demás operaciones del sistema.
Como formas más comunes de infección de los virus podríamos tener las siguientes:
En el caso de que un virus tratara de cargarse en el arranque, intentaría dos cosas.
- Primero si existe la posibilidad de cargarse en la CMOS, lo cual sería posible si la memoria
no es ROM, sino que es Flash-ROM.
- Si esto no es posible, intentará cargarse en el sector de arranque. El sistema cargará el MBR
en memoria RAM que le indicará las particiones, el tamaño, cual es la activa (en la que se
encuentra el S.O.) para empezar a ejecutar las instrucciones. Es aquí donde el virus deberá
cargar el MBR en un sector alternativo y tomar su posición de tal forma que cada vez que
se arranque el sistema el virus se cargará. Así, ya que el antivirus se carga tras el S.O. la
carga del virus en memoria no será detectada.
Por otro lado, si virus infecta un archivo ejecutable .EXE, intentará rastrear en el código los puntos
de entrada y salida del programa. Teniendo conocimiento de estos dos puntos, el virus se
incrustará antes de cada uno de ellos, asegurándose así de que cada vez que dicho programa se
ejecute, el virus será ejecutado. Una vez esté en ejecución decidirá cual es la siguiente acción a
llevar a cabo, ya sea replicarse introduciéndose en otros programas que estén en memoria en ese
momento, ocultarse si detecta antivirus, etc.
Tanto virus como gusanos, troyanos,…, tienen unos objetivos comunes. Ocultarse al usuario;
reproducirse ya sea en otros ficheros o en el caso de los gusanos autoenviarse; y finalmente llevar
a cabo la acción para la cual ha sido programado, destrucción de datos, obtención de datos
personales, control remoto de la máquina.
Para conseguir dichos objetivos podríamos decir que su estructura se divide en tres módulos
principales:
- Módulo de reproducción:
Es la parte encargada de gestionar las rutinas gracias a lascuales el virus garantiza su replicación a través de ficheros ejecutables. Dichos ficheros
ejecutables cuando sean trasladados a otras computadoras provocarán también la
dispersión del virus.
- Módulo de ataque:
Módulo que contiene las rutinas de daño adicional o implícito. Estepodrá ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un
archivo específico (COMMAND.COM),
- Módulo de defensa:
Módulo encargado de proteger el código del virus. Sus rutinas seocuparán de disminuir los síntomas que puedan provocar su detección por parte de los
antivirus. Utiliza para ello técnicas que pueden ir desde una simple encriptación, a técnicas
muy sofisticadas.
No hay comentarios:
Publicar un comentario