BAQUIA

Los virus informáticos y sus variantes: orígenes y diferencias

Klez.F y Klez. I, junto a Opaserv, Opaserv.D y Opaserv. H son claros ejemplos de códigos maliciosos que se caracterizan por tener características comunes que permiten a los desarrolladores de antivirus agruparlos en \”familias\”. \”Entre las más numerosas\”, declara Luis Corrons, director del Laboratorio de Investigación de Virus de Panda Software, \”se encuentra la intregrada por el virus I love you y la del veterano Marker, del que se han detectado más de 60 variantes\”.

A veces, una nueva variante de un código malicioso tiene su origen en una anterior que ha sido modificada. En otras ocasiones, los autores de virus la generan teniendo en cuenta los patrones básicos que definen una familia en concreto. Por tal motivo, los códigos pertenecientes a una misma saga se comportan -básicamente- de la misma manera, y sus diferencias suelen estar vinculadas al e-mail en el que se difunden o en su capacidad para llevar a cabo determinadas acciones, tal y como ponen de manifiesto los que se mencionan a continuación.

  • Variantes \”I\” y \”F\” de Klez: ambos se propagan por correo electrónico aprovechándose de la misma vulnerabilidad detectada en el navegador Internet Explorer (y corregida por Microsoft), que posibilita su ejecución, de forma automática, con la vista previa del mensaje que lo contiene. Ambas versiones difieren en aspectos como los siguientes:
  • Klez.I se envía en un mensaje de correo electrónico cuyo cuerpo incluye texto y lleva adjuntos dos ficheros. El objetivo de este código malicioso es finalizar ciertos procesos en los ordenadores a los que afecta y borrar ficheros.
  • Klez.F: se manda en un e-mail en cuyo cuerpo del mensaje no aparece texto y sólo incluye un fichero adjunto. Modifica algunos de los controladores del sistema al que afecta (impidiendo el correcto arranque del equipo) y sobrescribe archivos ejecutables (dejándolos inservibles).
  • W32/Opaserv y W32/Opaserv.D tienen una gran capacidad para distribuirse a través de redes, al tiempo que intentan conectarse a una página web para actualizar algunos de sus componentes. Para realizar su infección, los dos crean -en el directorio de Windows- el fichero \”SCRSVR.EXE\”, que contiene el código de infección. Además, por su parte, W32/Opaserv.D genera -en el directorio raíz del disco duro al que afecta- el archivo TMP.INI, e introduce en el fichero WIN.INI una instrucción para activar el gusano.

En cuanto a Opaserv.H, cabe destacar que se diferencia del resto de variantes en que el fichero que lo contiene se presenta con diferentes tamaños y está comprimido con la utilidad PCShrink, que encripta el código que provoca la infección. Por su parte, la variante \”J\” de Opaserv crea, en el equipo al que afecta, varios archivos. Entre ellos se hallan \”INSTIT.BAT\”, copia del gusano que contiene el código de infección; y \”GUSTAV.SAV\” y \”INSTITU.VAT\”, generados para intercambiar información con la web a la que se conecta.

  • I love you: sus variantes difieren, principalmente, en las características de los mensajes en los que se envían; los nombres de los ficheros que adjunta; las páginas web a las que se conectan y las extensiones de los ficheros a los que afectan. La aparición, en apenas unas horas, de sucesivas variantes contribuyó a sembrar el desconcierto y, por extensión, a su difusión.

En relación a las variantes de los virus informáticos Luis Corrons llama la atención sobre \”el hecho de que algunas siguen propagándose, a pesar de que las soluciones antivirus las detectan y neutralizan desde hace tiempo\”. Un claro ejemplo es la variante \”I\” de Klez, que aunque apareció en abril es uno de los códigos maliciosos que más ha afectado a los equipos de los usuarios en los siete últimos meses, según se desprende de los datos proporcionados por Panda ActiveScan. \”Sin duda\”, afirma el director del Laboratorio de Investigación de Virus de Panda Software, \”Klez.I sigue difundiéndose porque los usuarios no adoptan las adecuadas medidas de protección\”. Entre ellas sobresalen:

  • Utilizar un buen antivirus y actualizarlo frecuentemente.
  • Verificar, antes de abrir, cada nuevo mensaje de correo electrónico recibido.
  • Evitar la descarga de programas de lugares no seguros en Internet.
  • Rechazar archivos que no se hayan solicitado cuando se esté en chats o grupos de noticias (news).
  • Actualizar el software instalado con los parches aconsejados por el fabricante de ese programa.
  • Más información sobre los códigos maliciosos mencionados en la Enciclopedia de Virus de Panda Software, disponible en la dirección:

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios