VIRUS DE ARCHIVO

Los virus de archivos utilizan los siguientes métodos de infección:

Sobreescritura
Parasítico
Acompañante
Vínculos
Módulos de objeto (OBJ, por las siglas en inglés de object modules)
Librerías de compilación (LIB)
Código fuente de aplicación

SOREESCRITURA

Este es el método de infección más simple: El virus reemplaza al código del archivo infectado con el suyo propio, borrando el código original. El archivo se vuelve inservible y no puede ser restaurado. Estos virus son de fácil detección debido a que el sistema operativo y las aplicaciones afectadas dejarán de funcionar poco después de la infección.

PARASITICO

Los virus parasíticos modifican el código del archivo infectado. El archivo infectado permanece parcial o totalmente funcional. Los virus parasíticos están agrupados de acuerdo a la sección del archivo en la que escriben su código:

Anexado al comienzo: el código malicioso es escrito al comienzo del archivo
Anexado al final: el código malicioso es escrito al final del archivo
Inserto: el código malicioso es insertado a la mitad del archivo

Los virus de archivo insertos utilizan una variedad de métodos para escribir código en el medio del archivo: o mueven partes del archivo original al final, o copian su propio código en las secciones vacías del archivo objetivo. Éstos son denominados a veces virus de cavidad. Virus anexados al comienzo Los virus anexados al comienzo escriben su código para apuntar a archivos de dos formas. En el primer escenario, el virus mueve el código del comienzo del archivo objetivo al final y escriben su propio código en este espacio. En el segundo escenario el virus adiciona el código del archivo objetivo a su propio código. En ambos casos, cada vez que el archivo infectado es ejecutado, el código del virus se ejecuta primero. A fin de mantener la integridad de la aplicación, puede que el virus limpie el archivo infectado, lo vuelva a ejecutar, espera a que el archivo se ejecute y una vez que se termine este proceso, el virus se copiará a sí mismo nuevamente al inicio del archivo. Algunos virus utilizan archivos temporales para almacenar versiones limpias de los archivos infectados. Algunos virus restaurarán el código de la aplicación en la memoria y reiniciarán las direcciones necesarias en el cuerpo, duplicando de este modo el trabajo del sistema operativo. Virus anexados al final La mayoría de los virus caen en esta categoría. Los virus anexados al final se escriben a sí mismo al final de los archivos infectados. Sin embargo, estos virus por lo general modifican los archivos (cambian el punto de entrada en el encabezado del archivo) para asegurarse de que los instrucciones contenidos en el código del virus sean ejecutados antes que los instrucciones de objeto infectados.

VIRUS INSERTADOS

Los creadores de virus utilizan una variedad de métodos para insertar virus en la mitad del archivo. Los métodos más simples son mover parte del código del archivo al final del archivo o hacer el código original a un lado para crear un espacio para el virus. Los virus insertos incluyen los llamados virus de cavidad; éstos escriben su código en las secciones de los archivos que se sabe que están vacías. Por ejemplo, los virus de cavidad pueden copiarse a sí mismos en las partes no utilizadas de encabezados de archivos exe, en los vacíos que se encuentran entre secciones de archivos exe o en áreas de texto de compiladores conocidos. Algunos virus de cavidad sólo infectarán archivos donde un determinado bloque contenga cierto byte; el bloque elegido será sobrescrito con el código del virus. Por último, algunos virus insertos están mal escritos y simplemente sobrescriben secciones de código que son esenciales para que el archivo infectado funcione. Esto causa que el archivo quede corrompido de forma irrevocable. Virus que ocultan su punto de entrada (Entry point obscuring - EPOs) Existe un pequeño grupo de virus parasíticos que incluyen tanto virus anexos al comienzo y al final que no modifican la dirección del punto de entrada en los encabezados de los archivos ejecutables. Los virus EPO escriben el punteo de rutina en el cuerpo del virus, en el medio del archivo infectado. El código del virus se ejecuta entonces solamente si se llama a la rutina que contiene el virus ejecutable. Si esta rutina se utiliza rara vez, (ej., una notificación de error poco común) un virus EPO puede permanecer inactivo por mucho tiempo. Los creadores de virus necesitan escoger el punto de entrada con cuidado: un punto de entrada mal escogido puede, corromper el archivo anfitrión o causar que el virus permanezca inactivo el tiempo suficiente como para ser borrado. Los creadores de virus utilizan distintos métodos para encontrar puntos de entrada útiles:

Buscar marcos y sobrescribirlos con el punto de inicio infectado
Desmantelar el código del archivo anfitrión
O cambiar las direcciones de las funciones de importación

VIRUS ACOMPAÑANTES

Los virus acompañantes no modifican al archivo anfitrión. En su lugar, crean un archivo duplicado que contiene el virus. Cuando se ejecuta el archivo infectado, la copia que contiene el virus se ejecutará primero. En esta categoría se incluyen virus que cambian de nombre al archivo anfitrión, graban el nuevo nombre para futuras referencias y después sobrescriben el archivo original. Por ejemplo, un virus podría cambiar el nombre de notepad.exe a notepad.exd y escribir su propio código al archivo con el nombre original. Cada vez que el usuario de la máquina víctima ejecute notepad.exe, se ejecutará el código del virus, ejecutándose posteriormente el archivo original Notepad, notepad.exd. Existen otros tipos de virus acompañantes que utilizan técnicas de infección originales o aprovechan vulnerabilidades en sistemas operativos específicos. Por ejemplo los virus acompañantes de ruta colocan sus copias en el directorio del sistema Windows, aprovechando el hecho de que este directorio está de primero en la lista de RUTAS; el sistema comenzará desde este directorio cuando ejecuta Windows. Muchos gusanos y troyanos contemporáneos utilizan tales técnicas de auto ejecución. Otras técnicas de infección Algunos virus no utilizan archivos ejecutables para infectar un ordenador, sino que simplemente se copian a sí mismos a un rango de carpetas con la esperanza de que tarde o temprano sean ejecutados por el usuario. Algunos creadores de virus nombran a sus virus como install.exe o winstart.bat para persuadir al usuario a ejecutar el archivo que contiene el virus. Otros virus se copian a sí mismos en archivos comprimidos tales como ARJ, ZIP y RAR, mientras que otros escriben el instrucción para ejecutar un archivo infectado en un archivo BAT. Los virus de vínculo tampoco modifican los archivos anfitriones. Sin embargo, obligan al sistema operativo a ejecutar el código del virus, modificando los campos apropiados en el sistema de archivos.