EJEMPLOS

    Como hemos dicho varias veces anteriormente, ha quedado claro que existen una innumerable cantidad de virus, y a su vez, también demasiadas variaciones de cada uno de ellos. Por esta razón nos sería imposible listarlos todos. Por eso, a continuación aparecen algunos de ellos, con su nombre y una pequeña explicación. Son algunos de los más famosos, y aparecen de todos los tipos que se han visto en la clasificación.


Anti-CNTE alias Antitelefónica

    Este es un virus de MS-DOS que infecta todo tipo de sectores de arranque(virus de boot), ya sean de discos duros o de disquetes, y la tabla de particiones. Realiza varias operaciones como cambios en el sector de arranque del ordenador y disminución de la velocidad de trabajo en el ordenador infectado. Tras producirse la infección y haber arrancado 300 veces el sistema infectado, el virus muestra un mensaje por pantalla: "VIRUS ANTITELEFONICA (BARCELONA)" y sobreescribe parte de la información contenida en el disco, haciendo imposible su recuperación.

Barrotes.1310

    Este otro también es un virus de MS-DOS. Infecta ficheros ejecutables(.EXE y .COM). Además se coloca como residente(virus de fichero residente) en memoria para asegurar su ejecución en cada arranque del sistema. En primer lugar, comprueba la fecha del sistema, y si concide con el 5 de enero, presenta una pantalla con barras verticales que cambian de color. En la parte superior de la pantalla aparece el siguiente texto: "Virus BARROTES creado por OSOFT".

    La pantalla tendrá el siguiente aspecto:




    Durante la presentación de estos barrotes en pantalla se podrá seguir trabajando con el equipo, aunque con la molestia de nopoder ver parte del texto que aparece en pantalla, ya que queda oculto tras los "barrotes". Además, este virus sobreescribe el sector de arranque del disco duro. De este modo, los usuarios no tendrán acceso al disco duro.

Cascade.1701

    Otro virus de MS-DOS que se coloca automáticamente en memoria como residente. En ella permanece mientras va realizando las infecciones de los ficheros con extensión .COM que se ejecutan, incluido el intérprete de comandos COMMAND.COM.

    Al igual que el anterior, su condición de ejecución es una fecha. Ésta tiene que corresponder con el  año 1988 o el año 1980 y además tiene que estar comprendida entre los meses de Octubre y Diciembre. El virus sólo se activará si se dan las condiciones anteriormente comentadas y se ejecuta un fichero con extensión .COM ya infectado. Al activarse hace que las letras correspondientes al texto que se esté mostrando en pantalla vayan cayendo en cascada, formando un montón en el fondo de ésta. Es capaz de infectar ficheros copiando su propio código al final de éstos y aumentando su tamaño en 1701 bytes, pero sin variar sus fechas de creación. Por otro lado se trata de un virus encriptado (cifrado o codificado).

Ping-pong

    Se trata de otro virus de BOOT que infecta el sector de arranque de los discos duros y de los disquetes. Este virus tiene como efecto la simulación gráfica de una bola en la pantalla, que va rebotando de un sitio a otro. Este es el motivo de su nombre, Ping-Pong.

Frodo(4096)

    4096 o Frodo, es un virus de MS-DOS que infecta ficheros ejecutables con extensiones .EXE y .COM tanto al abrirlos como al ejecutarlos. Además de destruir todo tipo de ficheros incorpora un sector de arranque, para sacar el mensaje "FRODO LIVES".

W95/HPS

    W95 es un virus de origen español, también conocido por el nombre de HPS. Infecta todos los ficheros de Windows 95/98 con los que se trabaje. Al entrar en acción, queda residente en memoria y emplea técnicas de ocultamiento que impiden al usuario ver el aumento de tamaño en los ficheros infectados.

    W95/HPS se activa cuando el virus comprueba que la fecha del sistema corresponde a un sábado. Entonces modifica todos los ficheros gráficos con extensión BMP, haciendo que la imagen contenida en ellos se gire, tal y como se aprecia en la siguiente imagen:


Flip/Omicrom

    Flip/Omicrom es un virus que se coloca como residente en memoria e infecta ficheros con extensiones .EXE, .COM y .SYS. Este virus se encuentra encriptado, es polimórfico y utiliza técnicas de ocultación (Stealth). Una vez infectados los ficheros se puede apreciar un aumento en su tamaño. Por otra parte, cuando el virus está residente en memoria el espacio disponible en ésta disminuirá. Después de la infección se podrá observar una perdida de datos en el disco duro, quedando la capacidad de éste limitada a 32 Mb.

    Como efecto óptico, cabe destacar que el día 2 de cada mes invierte el contenido de la pantalla, siempre que el ordenador disponga de una tarjeta gráfica EGA o VGA.


W97M/Melissa

    Se trata de un virus de macro que infecta documentos de Microsoft Word 97/2000 y la plantilla global NORMAL.DOT que este utiliza. Se extiende muy rápidamente ya que emplea el correo electrónico enviándose a las 50 primeras direcciones que encuentra en la Libreta de Direcciones del usuario infectado. El mensaje que envía contiene un fichero infectado y tiene las siguientes características:
 

De: Nombre del usuario infectado
Asunto: Important Message From "Nombre del destinatario"
Cuerpo: Here is that document you asked for ... don't show anyone else ;-)
Para: 50 direcciones que se encuentren en la Libreta


    Al abrir el documento infectado o cerrarlo cuando los minutos son iguales al número de día (condición de activación), este virus inserta el siguiente texto en el documento infectado:

    Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game is over. I am outta here. ("22 puntos, mas triple punto de palabra, mas 50 puntos por usar todas mis letras. El juego ha terminado. Estoy fuera")

I love you

 
    Este virus es uno de los más conocidos. Es un gusano(worm) que tiene tantas variaciones como mensajes distintos envía, y se replica por medio del correo electrónico. El proceso es el siguiente: se recibe un mensaje de correo electrónico en el que se incluye (o adjunta) el archivo LOVE-LETTER-FOR-YOU.TXT.VBS. O bien, el archivo LOVE-LETTER-FOR-YOU.HTM, si estuviésemos conectados a través de un canal de IRC (Chat conversaciones escritas en Internet) . Si se ejecuta el archivo haciendo doble clic sobre él, el virus se activa.

    Entonces se envía a sí mismo mediante correo electrónico (archivo LOVE-LETTER-FOR-YOU.TXT.VBS), a TODAS las direcciones que encuentra almacenadas en la Libreta de Direcciones de Outlook. Si el PC infectado está conectado a un canal de Chat (IRC), el virus envía el archivo LOVE-LETTER-FOR-YOU.HTM a todas las personas que se encuentren conectadas a ese canal. En cuestión de instantes, el virus I LOVE YOU se habrá propagado a cientos o miles de ordenadores por todo el mundo.

    El virus elimina definitivamente el contenido de ciertos archivos: VBS (Visual Basic Script), VBE, JS (Java Script), JSE, CSS (archivos de estilos), WSH, SCT, HTA JPG (imágenes), JPEG (imágenes), MP3 (sonido) ó MP2 (sonido). Además, VBS/LoveLetter(otra forma de llamarlo) impide cambiar la contraseña que permite el acceso a una red a través de conexión telefónica. (por ejemplo a Internet). Se obtiene la información confidencial del usuario y del ordenador infectado (fecha de infección, dirección o del ordenador infectado, nombre del ordenador infectado, nombre del usuario, contraseña correspondiente al acceso telefónico a redes, número de teléfono a través del cual se realiza esa conexión,... etc.) y se envía a una dirección de correo electrónico en Filipinas.

EXPLOREZIP.PACK

    Otro gusano que se replica mediante correo electrónico. El método es el siguiente: se recibe un mensaje de correo electrónico en el que se incluye o adjunta el archivo ZIPPED_FILES.EXE. El receptor del mensaje lo abre. Su idea es que el archivo que en él se incluye contiene a otros en su interior.


    Al ejecutar el archivo ZIPPED_FILES.EXE el virus muestra un mensaje en pantalla. A partir de ese momento ExploreZip.Pack, comienza sus acciones. Se envía a sí mismo como el fichero ZIPPED_FILES.EXE, incluido en un mensaje de correo electrónico. Este mensaje consiste en una respuesta a todos aquellos mensajes que se hayan recibido con anterioridad y se encuentren sin leer (marcados como no leídos) en la bandeja de entrada. Tras enviar estos mensajes, se borra el contenido de ciertos ficheros. El tamaño de estos quedará en 0 Bytes.

    Algunos de estos ficheros son:

    Además, se borra el fichero correspondiente al Explorador de Internet (Microsoft Internet Explorer). Este fichero se denomina EXPLORE.EXE y es el que permite navegar por las páginas Web. Si el ordenador infectado se encuentra conectado en red, ExploreZip.Pack realiza su infección en todos los equipos que formen parte de ella.

Trivial.88.D

    Este virus pertenece a la familia de virus Trivial. Es un virus de acción directa que infecta archivos ejecutables con extensión .COM incluido el COMMAND.COM. Sobreescribe todos los archivos infectados, y éstos  se hacen inservibles, y si un antivirus detecta su presencia, la única forma de combatirrlo es eliminando el fichero infectado.


Restart

    Este virus se clasifica dentro de las bombas, concretamente de las de tiempo. Contiene una porción de código que consigue apagar la computadora cada vez que  el programa se ejecute si la fecha es posterior al 18 de septiembre del 2000. Se encuentra en el interior de un programa denominado MICROCOM.EXE.

Aristotle.480
    Este virus de acción directa fue diseñado para crear archivos .CFG. El archivo que contiene el virus tiene un tamaño de 480 bytes. Uno de los síntomas de su presencia en el sistema es la creación de 101 archivos .CFG de 283 bytes cada uno, que contienen parte del código del virus. Además, cuando se ejecuta el virus, muestra el siguiente mensaje en la pantalla:
ARiSToTLE LiVES SoMEWHERE iN TiME - GR1
Infect = C, E
Traversal = N
Encryption = Y
IDWord = KL
MinSize = 0
MaxSize = A
Infections = 2
ErrorHandler =N
CommandCom = N
AllowZero = Y
Always = N
IfMonth = 6+
IfYear = 1993+
Percentage = 80
;[TaLC-N-JiSM] 93
ARiSToTLE MASS PRODUCED HACK GENERATOR.
Copyright (c) - 1993 BLACK AXiS WaReZ.