3. Tipos de Virus
3.1  Virus de macro
    Los virus de macro infectan archivos con extensión DOC, XLS, SAM.... Éste tipo de virus se programa con el lenguaje VisualBasic para aplicaciones, gracias al cual pueden infectar y replicarse a través de ficheros MS-Word (.DOC) . Estos virus de ocultan en las plantillas de un documento o una hoja de cálculo y se activan al editarla. Normalmente, lo primero que hacen es modificar la plantilla maestra (NORMAL.DOT) y de esta forma se activa el virus cada vez que se arranque Word. En la actualidad, esta técnica se ha extendido a otras aplicaciones como Excel (.XLS) y a otros lenguajes de macros, como es el caso de los ficheros SAM del procesador de textos de Lotus. Las características de este tipo de virus hacen posible que sean los primeros que puedan funcionar en distintas plataformas. Así, un virus de macro podrá ejecutarse indistintamente en un PC o en un Macintosh, siempre que estos ordenadores utilicen la versión adecuada de la aplicación y del interprete de macros.

    Cuando un documento infectado se abre en una maquina "limpia"  con la aplicación para la que fueron escritos, las macros se ejecutan y afectan a la plantilla de generación de nuevos documentos. Esto es posible porque los virus de macro suelen incluirse en las macros autoejecutables al abrir un documento (ej.AutoOpen). Éstas cuando se ejecutan tienden a infectar/alterar otras macros globales de la aplicación, tales como las asociadas a cerrar, guardar documentos o cargar la plantilla global. De este modo la próxima vez que se ejecute una de estas macros, podrán infectarse nuevos documentos.
Una lista de instrucciones de una macro puede copiar o borrar ficheros, alterarlos, cargar otros ficheros y ejecutar programas.
  
Además, los virus de macro permiten la transmisión de los virus a través del correo electrónico de forma sencilla. Muchos lectores de mail actuales, como el Eudora o los incorporados
en navegadores como el Netscape o Explorer, incorporan el estándar MIME. Este hecho permite a los usuarios asociar aplicaciones para leer de modo automático determinados
documentos incluidos en el correo. Entre los documentos que se pueden leer se encuentran los creados por el Word. Así pues, de modo automático podemos estar ejecutando un virus de macro al "leer" un correo electrónico que incluya el documento en que se encuentra.
    Un ejemplo de un virus de macro es el Concept, que Microsoft incorporó accidentalmente en un CD, el cual se distribuyó por millares a mediados del 95.
 
 

3.2 Virus de la BIOS
    El virus de la Bios escribe basura en la memoria flash de determinadas BIOS (Basic Input Ouput System). Ésta es un chip que se encuentra en la placa base del ordenador y se encarga de ejecutar el arranque del ordenador y almacenar datos sobre el funcionamiento del hardware de todo el sistema. Si se destruyen algunos de los datos de este chip, puede que el ordenador no vuelva a arrancar. Muchas de las nuevas BIOS incorporan memoria flash lo cual permite efectuar actualizaciones mediante un programa, sin necesidad de cambiar todo el chip.
    El payload de estos virus se ejecuta el 26 de cada mes y consiste en escribir basura en la memoria flash. Éste no puede considerarse efectivo al 100%, ya que los medios de escritura en la BIOS difieren mucho entre sí, e incluso la posibilidad de ello depende de la placa base, desde la cual a veces es posible desactivar estos accesos mediante un jumper.
 
3.3 Virus de script
    Estos virus utilizan rutinas de script escritas en Visual Basic para difundirse a sí mismos y pueden infectar desde la caché del ordenador hasta documentos html.
    Como ejemplos podemos destacar 2 virus:
3.4  Virus del mIRC:
     El mIRC es un programa que permite a los usuarios de Windows 95/98/NT acceder a las charlas on-line en Internet conocidas como IRC (Internet Relay Chat). Entre sus características se incluye la incorporación de un lenguaje de scripts propio, mediante le cual es posible personalizar la aplicación. Utilizando este lenguaje también se pueden crear virus, que pueden llegar a desconectar al usuario conectado a la Red o acceder a la información contenida en la máquina.
     El virus del Mirc consiste en un script para el cliente de IRCMirc. Cuando alguien accede a un canal de IRC, donde se encuentra alguna persona infectada, recibe por DCC un archivo llamado “script.ini”. Por defecto, el subdirectorio donde se descargan los ficheros es el mismo donde está instalado el programa, C:\MIRC. Esto causa que el “script.ini” original sea sobrescrito por el nuevo fichero que contiene el código del virus. El nuevo script permite a los autores, y a cualquier persona que conozca su funcionamiento, desde desconectar al usuario infectado del IRC hasta acceder a información sensible de su ordenador. Así, por ejemplo, pueden abrir un FTP en la máquina de la víctima, acceder al archivo de claves de Windows 95 o bajarse el “etc/password” en caso de que sea LINUX.
     El usuario de IRC tiene varias formas de protegerse. Como primera medida debe desactivar la opción  AUTO GET que recoge los ficheros DCC  de forma automática. De esta forma cada vez que intenten un envío por DCC el cliente informará del fichero en cuestión, del nick que lo envía y, dará la opción a rechazarlo. Otra medida de protección consiste en cambiar el subdirectorio por defecto del DCC para evitar que sobrescriba el “script.ini”.
     Los virus más extendidos de este tipo son “script.ini” y “dmsetup.exe”.
 
 
3.5  Virus del  e-mail:
    Actualmente existen virus que son capaces de enviarse a sí mismos adjuntados dentro de otros mensajes, en los cuales de alguna u otra forma se recomienda la ejecución del archivo. Unos ejemplos de estos virus son el parvovirus, el Worm/Hydra.exe, el W32/Magistr...
    Estos virus se aprovechan de la ventaja de que algunos antivirus no ofrecen la posibilidad de analizar dichos archivos. Una solución para este problema es bajarse el fichero y antes de ejecutarlo o abrirlo pasarle el antivirus.
    Por otra parte, existen otros virus que se encuentran en el cuerpo del mensaje y que simplemente por leer el correo se activan si no se dispone del programa antivirus adecuado. Comos ejemplo de estos virus podemos citar Forgotten, KAK, Badtrans...
   Recientemente, ha aparecido una nueva variante de Badtrans, BadTrans.B,que posee dos módulos que actúan de gusano y de troyano. Como los gusanos, este virus se distribuye por correo electrónico, mandándose a todas las direcciones de correo Agenda del usuario, y como los troyanos, puede mandar información del usuario infectado a su creador.  Además, de todo esto, Badtrans es capaz de ejecutarse de forma automática en Outlook y Outlook Express con tan sólo visualizar un mensaje infectado.
   BadTrans.B explota una vulnerabilidad conocida de Internet Explorer, versiones 5.01 y 5.5, a través de la cual es posible forzar la ejecución automática de un binario adjunto en un mensaje de correo (.EML). Para lograrlo modifica la cabecera MIME que hace referencia al archivo de forma que simula ser un formato fiable. Esto provoca que Internet Explorer lo abra sin preguntar al usuario. Esta vulnerabilidad es heredada por los clientes de correo Outlook y Oulook Express, ya que utilizan el componente de Internet Explorer para visualizar los mensajes HTML.
   Cuando logra ejecutarse en un sistema, "BadTrans.B" copia tres archivos en el directorio sistema de Windows, por defecto como:    También añade una entrada en el registro de Windows para asegurarse que se ejecuta con cada inicio de sesión:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe
    Además, para evitar enviarse dos veces a un mismo destinatario, BadTrans lleva un registro con todas las direcciones a las que se envía, en el archivo PROTOCOL.DLL, que también se sitúa en el directorio de sistema de Windows.
   El módulo que actúa de troyano es kdll.dll que intercepta y almacena todas las pulsaciones de teclado que haga el usuario infectado. Las capturas se guardan en un archivo (cp_25389.nls) y son enviadas a la dirección de correo uckyjw@hotmail.com. Allí el creador del virus podrá recoger información sensible, tales como contraseñas, tarjetas de crédito, etc, que el troyano haya capturado de los sistemas infectados.
   Para desinfectarlo de forma manual basta con eliminar los tres archivos mencionados junto con la clave del registro.