5. Virus en la Red

  Algunos años atrás, antes del auge Internet y sus predecesoras, los virus ya existían. Pero los virus de aquel entonces sólo podían infectar un ordenador cada vez que atacaban, ya que no tenían ningún medio para comunicarse con otra máquina. Hoy en día, una gran cantidad de PCs están conectados a la red y los virus aprovechan este hecho para propagarse y realizar ataques a gran escala.
 Existen varios métodos mediante los cuales un virus puede penetrar en un ordenador:  por correo electrónico, al visualizar una página Web, al compartir recursos con otro ordenador infectado en una red local...

  5.1 Correo Electrónico

  Probablemente una de las formas de extenderse más utilizadas actualmente por los virus sea el correo electrónico. Gran cantidad  virus se envían adjuntos en cualquier mail, ocultan su extensión y cuando los ejecutamos para verlos, se activan e infectan nuestro PC. Muchos de ellos son capaces también de autoenviarse por correo electrónico a todas las direcciones que tengamos en nuestra agenda, con lo que la infección se extiende por la red alcanzando mayor gravedad.
   Otros incluso, no necesitan ser ejecutados para activarse, ya que aprovechan la vulnerabilidad de Internet Explorer (descrita en el punto 3.5) para ejecutarse en el momento en el que el mail se visualice. Un ejemplo de estos virus es Nimda. Éste se autoenvía en un e-mail con el archivo "readme.exe" adjunto y modifica la cabecera MIME que hace referencia a "readme.exe" indicando que se trata de un archivo tipo audio/x-wav. De esta forma engaña a Internet Explorer (v. 5.01 y 5.5), que lo abre de manera automática creyendo que se trata de un formato de un archivo de sonido y Nimda se activa sin necesidad de que el usuario lo ejecute. Ocurre lo mismo al previsualizar el mensaje en Outlook y Outlook Express, ya que los clientes de correo de Microsoft utilizan los módulos de Internet Explorer para interpretar HTML.
- ---
 db 'Content-Type: audio/x-wav;',0Dh,0Ah
 db 9,'name="readme.exe"',0Dh,0Ah
 db 'Content-Transfer-Encoding: base64',0Dh,0Ah
- ---
 

  5.2 Visualizar una página Web

  Muchos virus son capaces de autoejecutarse en el momento en el que una página web se ejecuta, es decir, se visualiza.  Nimda también es un virus que posee esta forma de propagarse. La página infectada por este virus contiene un código JavaScript que intenta abrir el archivo "readme.eml" (.EML extensión de mensaje de correo electrónico) y que explota de igual forma, la vulnerabilidad de Internet Explorer y Outlook para autoejecutar el código del virus.
- ---
 db '<html><script language="JavaScript">window.open("readme.eml"'
 db ', null, "resizable=no,top=6000,left=6000")</script></html>',0
- ---

  Esta forma de transmitirse los virus sólo es posible si se utilizan las versiones 5.01 y 5.5 de Internet Explorer en su versión vulnerable y sin parchear, es decir, sin que incluyan la solución que produjo Microsoft para este problema.
 

  5.3 Compartir recursos con un servidor

  La forma más antigua de la que se puede servir un virus para contagiar una serie de ordenadores conectados a un servidor probablemente sea infectar el archivo login.exe. Cualquier usuario puede ejecutar una aplicación infectada en su ordenador. El virus activado se hace residente en memoria y trata de infectar cualquier aplicación que esté en funcionamiento. Si el usuario está conectado a una red, cuando trate de acceder a ella ejecutará el programa login.exe localizado en el servidor, el cual le dará acceso al área de archivos que tenga asignada. Si login.exe o cualquier otro archivo de nuestra área está desprotegido, será infectado por el virus. Por lo tanto, el servidor se infectará y cualquier usuario que ejecute una aplicación en éste también será infectado y, como consecuencia, todos los PCs conectados a la red serán infectados por el virus.

 Otra manera de infectarse automáticamente en una red local, sin intentar visualizar algunos de los archivos infectados, sucede cuando un virus (por ejemplo Nimda) se copia en la carpeta Inicio de nuestro sistema  y tenemos nuestra unidad C: totalmente compartida. Esto hace que al iniciar el sistema el archivo infectado se autoejecute.