1. Virus de 32 bits

    Con la llegada del Windows 95 un nuevo estándar quedó definido. Junto a Windows NT son los Sistemas Operativos de 32 Bits que más rápido desarrollo y aceptación han tenido.

    La que surge es: ¿Funcionan todos los viejos virus de DOS y Windows 3.x en estas plataformas?. Con la capacidad de Windows 95/NT de ejecutar programas DOS y Windows 3.x también ejecutan los virus programados para estos entornos, estos pueden permanecer como un peligro potencial durante años, y aunque su capacidad de copia se ve severamente limitada, todo depende si se continúa utilizando software para DOS y Windows 3.x bajo Windows 95/NT, aunque si bien su producción prácticamente se ha cortado, estos continúan utilizándose. Esta tendencia está despareciendo, lo cual significa la anulación de los virus programados para DOS y Windows 3.x.



2. Virus de Macro

    Muchas aplicaciones como Microsoft Office, permiten el uso de macros dentro de ellas. Los lenguajes de macros son instrucciones para personalizar sus aplicaciones. Muchos usuarios y organizaciones usan las macros para automatizar su trabajo y desarrollar soluciones personalizadas. Sin embargo, mal usado, un lenguaje de macro puede ser usado para crear virus.

    Las macros están escritos en lenguaje VBA, y sirven para automatizar actividades en cada aplicación de Office, pero pronto se empezó a usar el VBA para escribir subrutinas con órdenes maliciosas y dañinas, los virus de macros. Se alojan en los archivos de cada aplicación de Office y en las plantillas. Son considerados como los virus parásitos, pues se expanden a través de los archivos de programas, aunque no directamente a través de los EXE.

    Al contrario que los virus "normales" que existen como una aplicación independiente, los virus macro se encuentran añadidos a un documento de procesador de texto, una hoja de cálculo o a cualquier otro programa que permita grabar macros en sus documentos. Cuando un usuario abre un fichero infectado, el virus se activa. Algunos virus no tienen apenas efectos visibles, mientras otros pueden causar problemas en el ordenador o en los datos. Los virus, por definición, se auto-multiplican, lo cual quiere decir que una vez que un usuario abre un documento infectado, los documentos que cree o edite se infectarán también.

    Cuando estos documentos infectados se abren en una máquina limpia con la aplicación para la que fueron escritos, las macros se ejecutan y afectan a la plantilla de generación de nuevos documentos. Esto es posible porque algunas de estas órdenes de macro incluyen atributos que hacen que se ejecuten automáticamente cuando el usuario lleva a cabo determinadas tareas dentro de la aplicación correspondiente (como por ej, abrir un documento, cargar la plantilla global) A partir de ese momento, los documentos que se generen en la máquina ya irán también infectados. Además de esto, los virus macro suelen causar efectos adicionales, generalmente relacionados con pérdidas de datos.

    A pesar de que los macro virus son escritos en los lenguajes macro de MS-Word o MS-Excel y por consiguiente deberían infectar únicamente a documentos y hojas de cálculo, es posible desarrollar macro virus que ejecuten llamadas al sistema operativo, dando órdenes de borrar archivos o hasta de reformatear al disco duro.

    Tal es el caso del macro virus MDMA que borra archivos específicos de Windows 95/98, haciendo uso de la macro AutoClose, o el FORMAT.C que dentro de la macro AutoOpen ordena formatear al disco duro.

    Uno de los síntomas que acusan la presencia de un macro virus, en el caso de MS-Word, es la aparición de extrañas macros: AAAZAO, AAAZFS, AutoOpen, PayLoad, SaveFileAs, etc. instaladas en la plantilla global del archivo Normal.dot. Al abrir o usar un documento infectado, estas macros se enlazarán automáticamente a todos los documentos que se abran a partir de ese momento.

    Cada vez aparecen y se propagan una mayor cantidad de macro virus que los virus de archivos ejecutables y esto se debe a dos simples razones:

        1. Los macro virus a pesar de tener acciones muy sofisticadas en sus procesos de infección, son sumamente fáciles de crear o modificar, pues tan sólo es necesario tener nociones de programación en lenguaje macro.

        2. Ahora todos los usuarios intercambian más documentos que archivos ejecutables, ya sea a través de diskettes, correo electrónico u otro medio, lo cual alienta a los desarrolladores de virus.

PREVENCIÓN ANTE LOS VIRUS DE MACRO

1) No abrir a ciegas ningún archivo de Office que nos venga como adjunto en un mensaje de e-mail o de noticias. Ni aunque les juren que no tiene nada. Pásenle un antivirus y aún así crucen los dedos.

2) Mantener activado en cada aplicación de Office la protección de macros (Herramientas | Opciones)

3) Adquirir un excelente antivirus y mantenerse al día con las actualizaciones de la lista de virus y activarlo cuando estemos ante un archivo de Office no hecho por nosotros o del que sospechemos.

4) Activar la opción "Preguntar si se guarda la plantilla Normal" en Word: Herramientas | Opciones | Guardar

5) O podemos ponerle una contraseña a nuestro Normal.dot: Abrimos el editor de VBA, hacemos clic en Normal, en la ventana de Proyectos, se selecciona del menú Herramientas | Propiedades de Normal... <solapa Protección> activar la opción "Bloquear proyecto para visualización", tipear la contraseña y
reiniciar Word.

QUÉ HACER SI SOSPECHAMOS QUE ESTAMOS INFECTADOS:

1) Pasar nuestro antivirus.

2) Si sospechamos de un documento que tenga macros y necesitamos abrirlo, lo abrimos sosteniendo la tecla MAYÜS (Shift) para que no se ejecute ninguna macro.

3) Si es un archivo DOC podemos grabarlo en formato RTF (que mantiene los estilos) y TXT (sólo se guarda texto simple y se pierden los estilos). Esto elimina la información de macros.

4) Si es un virus macros alojado en la plantilla normal.dot, podemos borrarla. Word automáticamente generará una plantilla normal.dot nueva y limpia.

5) Si es un virus macro que nos permite acceder al editor de VBA podemos borrar las macros extrañas.

SÍNTOMAS:

1) Si el archivo DOC o XLS no se puede grabar a otro formato;

2) Si los archivos se graban en formato plantilla, o si el icono para grabar se ha cambiado al icono de grabar plantilla;

3) Si archivos extraños de Excel o Word se encuentran en el directorio "Inicio"

4) Si la opción Herramientas | Macros está deshabilitada, esto es muy común en Virus Stealth

5) De una versión a otra algunos virus macros no funcionan bien (por suerte), por lo que suelen dar el error "WordBasic Err=(Número de error)" y estamos *seguros* de no estar usando macros (esto en versiones antiguas, porque las actuales utilizan el lenguaje Visual Basic)..

6) Muchos virus de este tipo cambian las opciones en Herramientas | Opciones, habilitando o deshabilitando por ejemplo “Protección de antivirus en macros”, (Virus Protection), “Permitir guardar rápidamente” (Allow Fast Save), “Preguntar si se guarda la plantilla Normal” (Prompt to save Normal Template); son virus "ocultos" ya que no tienen código visible.

7) Si nos pide contraseña cuando sabemos con seguridad que no la hemos puesto

8) Si aparecen extrañas y nuevas secciones en nuestro Win.ini

9) Si nos aparecen mensajes y cuadros de diálogos extraños, con preguntas o afirmaciones extrañas (p.e. "¿Tailandia debería retirar sus tropas de Timor?") o en un idioma distinto del predeterminado

10) (Sólo Wd6) Si no podemos grabar en otro directorio o disco cuando usamos “Guardar como”

11) Si nos aparecen en Access archivos de bases de datos corruptos

12) Si nos aparecen hojas extras en Excel

13) Si un archivo nuevo DOC se guarda sin preguntar si se quiere guardar o no

14) Todos los documentos se ponen en 0 bytes y se pierde la información (éste me trae malos recuerdos)

15) Si al grabar pone automáticamente el nombre "document1.doc"

Enlace a virus  macro



3. El peligro del correo electrónico

    El correo electrónico se ha convertido, en el principal mecanismo de difusión de virus, dado que sigue un modelo de propagación exponencial, por lo que el número de potenciales receptores se dispara rápidamente.

    Dicha propagación, dejando de lado el caso de los modernos gusanos, se produce en forma de fichero enlazado, lo que supone un problema añadido para muchos antivirus comerciales, puesto que no todos ofrecen la capacidad de chequear tales ficheros.

    ¿Cómo evitar que nos afecten los virus del correo electrónico?

    La solución es cada vez que se reciba un correo electrónico que trae un fichero enlazado, se el debe pasar un antivirus actualizado. El problema reside en los últimos virus, en los que ya no es necesario abrir el fichero recibido para que se propague.

    Hay muchas herramientas o clientes de correo electrónico en la actualidad, pero una de las más utilizadas es Outlook Express, el cliente de correo que viene con los navegadores Internet Explorer de Microsoft y algunas versiones de Windows. Una de las características fundamentales de este cliente es la posibilidad de incluir el lenguaje HTML como parte de un correo electrónico. Eso es lo que permite, por ejemplo, que insertemos un archivo gráfico de firma o una imagen de fondo a nuestros correos. Pero es también lo que abre la puerta a los virus de correo.

Causas:

    Algo tan sencillo como incluir nuestra firma electrónica en un correo o una imagen de fondo puede ser la puerta que espera ver abierta uno de estos virus. La causa es la siguiente: el código HTML no sólo permite incluir imágenes o textos, sino que también permite la inclusión de código ejecutable. En ocasiones dicho código se ejecuta con nuestro consentimiento y en otras sin el mismo. Los primeros suelen ser ficheros adjuntos que al intentar abrir ejecutamos de forma involuntaria. Los segundos, y más difíciles de evitar pues no requieren nuestra intervención, son instrucciones de código insertadas directamente en la parte HTML del propio correo. Una vez infectados, el virus se reenviará automáticamente a todas las entradas de nuestra libreta de direcciones, insertando su código entre nuestro código HTML, pudiendo además quedar residente en el sistema.

    Evitando el virus:

    Además de proteger nuestro ordenador con un antivirus fiable y contrastado, hay una serie de pequeñas modificaciones a nuestra configuración que harán más dificil la entrada y salida de este tipo de virus de nuestro ordenador.

Bastará con configurar nuestro cliente de correo para que el correo entrante lo trate como texto sin formato (algunos clientes no permiten esta opción) y las contestaciones las envíe sin formato sea como fuere el mensaje original.

    Además de llevar a cabo estos pequeños cambios, aconsejamos no abrir ningún fichero adjunto sin antes ser escaneado por un antivirus actualizado, sea o no conocido el remitente. Aún siguiendo estos sencillos pasos, podremos infectarnos y/o transmitir los virus (pues no hay nada 100% infalible en cuanto a virus informáticos se refiere) pero al menos habremos puesto las cosas más difíciles a la infección.


4. MIRC
    Están saliendo a la luz una serie de troyanos que se transmiten entre los usuarios del IRC, haciéndose pasar por gráficos o otras cosas.

    El atacante manda un archivo a la víctima diciendo que es una foto (o algo que parezca inofensivo). Cuando la víctima lo recibe, ve que tiene la extensión .mrc y el atacante le dice que es un formato especial para poder verlo con el script, pensado precisamente para el intercambio por IRC, tras la pregunta de la víctima de como lo puede ver, el atacante responde que escribiendo esto en el staus:

/load -rs <ruta del download>\foto.mrc

    Lo más peligroso de todo es que cuando la víctima lo ejecuta, realmente ve la foto prometida y no sospecha nada. En realidad la víctima ha ejecutado un script que incluía la foto y un troyano, la foto la ha visto, pero del troyano, ni rastro.

    ¿Cómo es ésto posible? Para alguien que sepa scripting, no le es difícil hacer un script con estas características, pero lo
peligroso es que hoy por hoy cualquiera puede hacerlo sin tener conocimientos de scripting. El mircextractormaker.mrc es una herramienta que permite hacerlo fácilmente. Esta herramienta sirve básicamente para poder añadir programas a tu script sin necesidad de saber scripting. Con este script puedes transformar tus .exe y convertirlos en .mrc

    Además de transformar un ejecutable en un script, es capaz de añadir funciones adicionales. Es capaz de extraer el .exe a la ruta que quieras, y ejecutarlo, incluso se puede configurar para que introduzca una clave en el system.ini, de manera que el ejecutable se inicie cada vez que se arranque el PC.

    Aunque no permite archivos excesivamente grandes (alrededor de 20K), gracias a la clave que introduce en el system.ini, no es necesario utilizar troyanos para este método (aunque hay troyanos de bastente menor tamaño, visita la sección Troyanos) , un simple servidor de telnet, de ftp, o shell de cualquier tipo es suficiente, con el valor añadido de que no son detectables por los antivirus.

    El efecto de que se abra la foto (o lo que sea) que utilizó el atacante como pretesto, se consigue simplemente uniendo el "server del troyano" con el archivo que se va a utilizar como cebo mediante un binder (programa para pegar dos o mas archivos en uno) antes de tratarlo con el "mircextractormaker"

    Cómo funciona el mircextractormaker: En primer lugar hay que cargarlo en el Mirc, para ello cópialo a la carpeta mirc y escribe:
/load -rs mircextractormaker.mrc

    Recibirás algo así en el status si ha sido cargado correctamente:

*** Loaded script 'c:\mirc\mircextractormaker.mrc'

    Ahora pulsando el boton derecho en cualquier canal, pulsa en "Script Embedder" y verás esto:

    En la sección "Event to use" elige el momento en el que tendrá lugar la extracción del exe, por defecto está marcado "On Exit", es decir, cuando se cierre el Mirc, lo cual según el autor evita que se vean los mensajes del mirc. "Where the file should be extracted", especifica el lugar en el que el exe va a ser extraído, se puede elegir entre el directorio de windows, el directorio del mirc o el directorio de download del mirc, en caso de elegir otro directorio, también se puede especificar en el cuadro Other"
"File to embed into script" Aquí sólo hay que seleccionar el exe que se quiere utilizar.
Pulsa "Make It!" y se creará en la carpeta donde está guardado el mircextractormaker.mrc un archivo llamado result.mrc.

    Sólo con esto se ha transformado un troyano (virus, server...) en un script para el Mirc.

    La actuación del virus Mirc

    Otro campo de acción para los creadores de virus es el IRC (Internet relay Chat), un servicio de la red que permite que múltiples usuarios puedan acceder a comunicarse entre sí en tiempo real, por escrito. Para ello es necesario que los usuarios hagan uso de aplicaciones especiales para la conexión, como por ejemplo el Mirc.

    El Mirc es uno de los programa más extendidos de cara a la conexión con IRC y entre sus características se incluye la incorporación de un lenguaje de scripts propio, mediante los cuales es posible personalizar o potenciar las posibilidades de la propia aplicación. Obviamente, la presencia de un lenguaje de programación nos alerta acerca del riesgo que esto supone.

    Los virus del Mirc merecen una categoría propia, por la diversidad de variantes detectadas, cuyos efectos pueden oscilar desde la simple desconexión del canal IRC al que el usuario se encuentre conectado, hasta el libre acceso a la información contenida en la máquina del usuario.