Diferencias entre virus, gusanos y caballos de Troya


El término virus se utiliza a menudo de forma genérica para referirse a cualquier tipo de código dañino aunque, de hecho, no se trate de un verdadero virus informático. Este documento trata sobre los virus, los caballos de Troya, los gusanos y las falsas alarmas, así como sobre las formas de evitarlos.

            
   ¿Qué es un virus?
Un virus informático es un pequeño programa creado para alterar la forma en que funciona un equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos características:
  • Debe ser capaz de ejecutarse a sí mismo. A menudo coloca su propio código en la ruta de ejecución de otro programa.
  • Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado. Los virus pueden infectar tanto equipos de escritorio como servidores de red.

Algunos virus están programados para atacar el equipo dañando programas, eliminando archivos o reformateando el disco duro. Otros no están creados para causar daño alguno, sino para replicarse y dar a conocer su presencia mediante la presentación de mensajes de texto, vídeo o sonido. Incluso estos virus benignos pueden crear problemas al usuario informático. Normalmente hacen uso de la memoria correspondiente a los programas legítimos. Como resultado, pueden provocar a menudo un comportamiento irregular en el equipo e incluso hacer que el sistema deje de responder. Además, muchos virus contienen errores que pueden ocasionar pérdidas de datos y bloqueos del sistema.

Existen cinco tipos de virus conocidos

Virus que infectan archivos Este tipo de virus ataca a los archivos de programa. Normalmente infectan el código ejecutable, contenido en archivos .com y .exe, por ejemplo. También pueden infectar otros archivos cuando se ejecuta un programa infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus están residentes en memoria. Una vez que la memoria se infecta, cualquier archivo ejecutable que no esté infectado pasará a estarlo. Algunos ejemplos conocidos de virus de este tipo son Jerusalem y Cascade.
Virus del sector de arranque Estos virus infectan el área de sistema de un disco, es decir, el registro de arranque de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los que sólo contienen datos) tienen un pequeño programa en el registro de arranque que se ejecuta cuando se inicia el equipo. Los virus del sector de arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos virus están residentes en memoria por naturaleza. La mayoría se crearon para DOS, pero todos los equipos, independientemente del sistema operativo, son objetivos potenciales para este tipo de virus. Para que se produzca la infección basta con intentar iniciar el equipo con un disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estén protegidos contra escritura quedarán infectados al acceder a ellos. Algunos ejemplos de virus del sector de arranque son Form, Disk Killer, Michelangelo y Stoned.
Virus del sector de arranque maestro Estos virus están residentes en memoria e infectan los discos de la misma forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar en que se encuentra el código vírico. Los virus del sector de arranque maestro normalmente guardan una copia legítima del sector de arranque maestro en otra ubicación. Los equipos con Windows NT infectados por virus del sector de arranque o del sector de arranque maestro no podrán arrancar. Esto se debe a la diferencia en la forma en que el sistema operativo accede a la información de arranque, en comparación con Windows 95/98. Si el sistema con Windows NT está formateado con particiones FAT, normalmente se puede eliminar el virus arrancando desde DOS y utilizando un programa antivirus. Si la partición de arranque es NTFS, el sistema deberá recuperarse utilizando los tres discos de instalación de Windows NT. Algunos ejemplos de virus del sector de arranque maestro son NYB, AntiExe y Unashamed.
Virus múltiples Estos virus infectan tanto los registros de arranque como los archivos de programa. Son especialmente difíciles de eliminar. Si se limpia el área de arranque, pero no los archivos, el área de arranque volverá a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del área de arranque, los archivos que hayan sido limpiados volverán a infectarse. Algunos ejemplos de virus múltiples son One_Half, Emperor, Anthrax y Tequilla.
Virus de macro Estos virus infectan los archivos de datos. Son los más comunes y han costado a empresas importantes gran cantidad de tiempo y dinero para eliminarlos. Con la llegada de Visual Basic en Microsoft Office 97, se puede crear un virus de macro que no sólo infecte los archivos de datos, sino también otros archivos. Los virus de macro infectan archivos de Microsoft Office: Word, Excel, PowerPoint y Access. Actualmente están surgiendo también nuevos derivados en otros programas. Todos estos virus utilizan el lenguaje de programación interno de otro programa, creado para permitir a los usuarios automatizar ciertas tareas dentro del programa. Debido a la facilidad con que se pueden crear estos virus, existen actualmente miles de ellos en circulación. Algunos ejemplos de virus de macro son W97M.Melissa, WM.NiceDay y W97M.Groov

            
   ¿Qué es un caballo de Troya?
Los caballos de Troya son impostores, es decir, archivos que pretenden ser benignos pero que, de hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que no se replican a sí mismos. Los caballos de Troya contienen código dañino que, cuando se activa, provoca pérdidas o incluso robo de datos. Para que un caballo de Troya se extienda es necesario dejarlo entrar en el sistema, por ejemplo abriendo un archivo adjunto de correo. Un ejemplo de caballo de Troya es PWSteal.Trojan.

            
   ¿Qué es un gusano?
Los gusanos son programas que se replican a sí mismos de sistema a sistema sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga. Normalmente el gusano generará un documento que ya contendrá la macro del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el documento completo debe considerarse como gusano. PrettyPark.Worm es un buen ejemplo de gusano.

            
   ¿Qué es una falsa alarma de virus (Hoax)?
Las falsas alarmas de virus son mensajes, casi siempre enviados por correo electrónico, que se asemejan a las cartas en cadena. Algunas de las expresiones utilizadas a menudo en estas falsas alarmas son:
  • Si recibe un mensaje de correo electrónico titulado [nombre de la falsa alarma de virus], no lo abra.
  • Bórrelo inmediatamente.
  • Contiene el virus [nombre de la falsa alarma].
  • Borrará el contenido del disco duro y [aquí se especifica un peligro extremo e improbable].
  • Nombre de una empresa famosa] ha informado hoy de la existencia de este virus.
  • Remita este aviso a todos sus conocidos.

Muchos de los avisos de falsas alarmas de virus no se alejan mucho de este patrón. Si no está seguro de si un aviso de virus es legítimo o si se trata de una falsa alarma, podrá encontrar más información en: http://www.symantec.com/avcenter/hoax.html (este recurso se encuentra en inglés).

            
   ¿Qué no es un virus?
Debido a la publicidad que han recibido los virus, es fácil culparlos de cualquier problema informático. Los siguientes problemas normalmente no están causados por virus ni otro tipo de código dañino:
  • Problemas de hardware. No existen virus que puedan dañar físicamente el hardware, como por ejemplo chips, placas o monitores.
  • El equipo emite un pitido durante el inicio y no aparece nada en la pantalla. Normalmente esto se debe a un problema de hardware durante el proceso de arranque. Consulte la documentación del equipo para comprobar el significado de los pitidos.
  • El equipo no registra 640 k de memoria convencional. Esto puede ser un síntoma de virus, pero no es definitivo. Algunos controladores de hardware, como los correspondientes al monitor o a la tarjeta SCSI, pueden hacer uso de parte de esta memoria. Consulte con el fabricante del equipo o con el proveedor de hardware para averiguar si es el caso.
  • Tiene dos programas antivirus instalados y uno de ellos informa de la existencia de un virus. Aunque podría tratarse de un virus, también puede ser que uno de los programas antivirus detecte la firma del otro programa en la memoria. Si desea obtener más información, consulte el documento ¿Debería ejecutar más de un programa antivirus a la vez?
  • Se está usando Microsoft Word y este programa le avisa de que un documento contiene macros. Esto no significa que la macro sea un virus.
  • No es posible abrir un documento concreto. Esto no indica la presencia de un virus necesariamente. Intente abrir otro documento o una copia de respaldo del documento en cuestión. Si otros documentos se abren sin problemas, puede que el documento esté dañado.
  • Ha cambiado la etiqueta de un disco duro. Todos los discos pueden tener una etiqueta. Se puede asignar una etiqueta a un disco mediante el comando Label de DOS o desde Windows.
  • Cuando se ejecuta ScanDisk, la función Auto-Protect de Norton AntiVirus informa de la existencia de actividad vírica. A continuación se ofrecen dos posibles soluciones.
    • Desactivación de Auto-Protect
      1
      Inicie Norton AntiVirus y desactive temporalmente la función Auto-Protect.
      2
      Ejecute ScanDisk y deje que corrija los errores.
      3
      Vuelva a activar Auto-Protect.

    • Modificación de una opción de ScanDisk
      1
      Inicie ScanDisk y elija la opción Completa.
      2
      Haga clic en Opciones.
      3
      Desactive la opción No realizar prueba de escritura.
      4
      Ejecute ScanDisk de nuevo.

            
   Información adicional

Si desea acceder a la información más reciente sobre virus, visite el sitio Web del Centro de investigación antivirus de Symantec (Security Response) en la dirección:

http://www.symantec.com/region/mx/avcenter/

Para enviar un archivo o un disco sospechoso de estar infectado por un virus, consulte los siguientes documentos:

            
   Protección de los equipos informáticos

Con toda la publicidad que se les ha dado, es fácil creer que los virus acechan en todos los archivos, mensajes de correo electrónico o sitios Web. Sin embargo, con unas pocas precauciones básicas se puede minimizar el riesgo de infección. Mantenga su equipo protegido y anime a todos sus conocidos a hacer lo mismo.

Precauciones generales

  • No deje un disquete en la disquetera al apagar o encender el equipo.
  • Proteja contra escritura los disquetes después de escribir en ellos.
  • Sospeche de los datos adjuntos recibidos en mensajes de fuentes desconocidas.
  • Compruebe que los archivos adjuntos hayan sido enviados por el autor del mensaje. Los virus recientes pueden enviar mensajes de correo electrónico que parezcan proceder de conocidos.
  • No configure el programa de correo electrónico para que ejecute automáticamente los datos adjuntos.
  • Hágase con todas las actualizaciones de seguridad de Microsoft.
  • Realice una copia de respaldo de sus datos con frecuencia. Guarde los soportes (protegidos contra escritura) en un lugar seguro, preferentemente en un lugar distinto al del equipo.

Precauciones específicas para Norton AntiVirus

  • Asegúrese de contar con las definiciones de virus más recientes. Se recomienda ejecutar LiveUpdate al menos una vez por semana. Security Response actualiza las definiciones de virus como respuesta a las nuevas amenazas de virus. Si desea obtener más información, consulte el documento Cómo ejecutar LiveUpdate.
  • Asegúrese de haber configurado Norton AntiVirus para analizar los disquetes al acceder a ellos y al apagar el equipo.
  • Consulte la Guía del usuario si desea obtener información sobre cómo hacerlo en su versión de Norton AntiVirus.
  • Mantenga siempre activa la función Auto-Protect de Norton AntiVirus. Security Response recomienda encarecidamente configurar Norton AntiVirus para que analice todos los archivos, no sólo los de programa.
  • Analice el nuevo software antes de instalarlo. Ya que los virus del sector de arranque se extienden mediante disquetes y CD de arranque, todos ellos deben analizarse en busca de virus. El software con su embalaje original, los discos de demostración de los proveedores y el software de prueba no están exentos de esta regla. Se han encontrado virus incluso en software distribuido comercialmente.
  • Analice todos los soportes que le proporcionen otras personas.
  • Tenga cuidado al abrir datos adjuntos de correo. Los datos adjuntos son uno de los focos más importantes de infección vírica. Los datos adjuntos de Microsoft Word, Excel y Access pueden estar infectados con virus de macro. Otros tipos de datos adjuntos también pueden contener virus que infectan archivos. La función Auto-Protect de Norton AntiVirus analizará estos datos adjuntos en busca de virus al abrirlos o extraerlos. Si tiene instalado Norton AntiVirus 2000, se recomienda activar la protección del correo electrónico, lo que permitirá analizar los datos adjuntos de correo antes de que el mensaje sea enviado a su programa de correo electrónico.

Número de documento: 20010921095248905
Ultima modificación: 11/23/2006
Fecha de creación: 09/21/2001
Producto: General, Virus Information

©1995 - 2009 Symantec Corporation