Virus informàtic

Un virus informàtic és una sèrie d’instruccions en codi màquina que, introduïdes en un programari, en provoquen el funcionament defectuós o el bloqueig, i que s'instal·la sense el coneixement de l'usuari.^[1] És una forma de programari maliciós.^[2]

Virus informàtic
Característiques de Connectors
Representació esquemàtica

Stoned Code

Els virus solen reemplaçar un fitxer executable (.exe)^[3] per uns altres, infectats amb el codi del virus. Els virus poden destruir dades emmagatzemades, encara que també n'existeixen altres més benignes, que només es caracteritzen pel fet de ser molestos.

Els virus informàtics tenen, bàsicament, la funció de propagar-se i replicar-se, però alguns contenen a més una càrrega maligna amb objectius diferents, des d'una simple broma fins a danyar considerablement els sistemes, o blocar les xarxes informàtiques, per exemple quan generen trànsit inútil.

Els virus funcionen de manera simple: s'executen en un programa infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus resideix a la memòria RAM de l'ordenador, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control de serveis bàsics del sistema operatiu i després infecta arxius executables. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació.

Classificació

Segons l'infectat

Segons alguns autors existeixen, fonamentalment dos tipus de virus:

• Virus que infecten arxius. A la vegada, aquests es classifiquen en Virus d'acció directa. En el moment en què s'executen, infecten altres programes iVirus residents. Quan esdeven actius, s'instal·len a la memòria de l'ordenador. Infecten els altres programes a mesura que s'hi accedeix.
• Virus que infecten el sector d'arrencada, (virus d'arrencada). El sector d'arrencada és el primer que llegeix l'ordinador quan s'encén. Aquests virus resideixen en la memòria.

Existeix una tercera categoria anomenada multipartite, però correspon als virus que infecten arxius i al sector d'arrencada. Per tant, es pot dir que és la suma de les dues categories anteriors.

Altres autors els divideixen en dues categories, però el criteri de classificació utilitzat és diferent:

• Virus d'arxius, que modifiquen arxius o entrades de les taules que indiquen el lloc on es guarden els directoris o els arxius.
• Virus de sistema operatiu, que infecten el codi font que que governa l'ordenador.

Existeix una tercera classificació, promoguda per CARO, que vol unificar la nomenclatura dels virus. Aquesta classificació té en compte la plataforma en què actua el virus i algunes de les característiques més importants.

Per exemple, el W32/Hybris.A-mm és un virus cud que funciona a la plataforma win32 en la variant A (primera) que té capacitat mass mailing o d'enviament massiu de correu electrònic infectat.

Categories de virus

• Cucs: Es registren per córrer quan s'inicia el sistema operatiu ocupant la memòria i fent tornar lent l'ordinador, però no s'adhereixen a altres arxius executables. Es replica sense l'acció de l'usuari i distribueix còpies completes, possiblement modificades, de si mateix a través de la xarxa. L'autor de novel·les de ciència ficció John Brunner el 1975 ja va desenvolupar la idea d'un «cuc» que pogués proliferar en xarxes informàtiques en la novel·la The Shockwave Rider.^[4][5] El concepte va ser descrit per primera vegada per John F. Shoch i Jon A. Hupp el 1982.^[6]
• Troians: Solen ser els més perillosos, ja que no hi ha moltes maneres d'eliminar-los. Són capaços de mostrar pantalles amb paraules. Funcionen igual que el Cavall de Troia, ajuden l'atacant a entrar al sistema infectat, fent-se passar com contingut genuí (salvapantalles, jocs, música). A vegades descarreguen altres virus per a agreujar la condició de l'equip.^[7]
• Jokes o virus broma: Són virus que creen missatges de broma a la pantalla. També poden executar el lector de CD/DVD obrint-lo i tancant-lo, o controlar el mateix ratolí i fins i tot el teclat, sempre amb un fi de diversió i mai de destrucció o dany per al contingut de l'ordinador, encara que a vegades poden arribar a ser molestos.^[8]
• Hoaxs o falsos virus: Són missatges amb una informació falsa, que es solen difondre mitjançant el correu electrònic o les xarxer socials, a vegades amb el fi de crear confusió entre la gent que rep el missatge, o amb una finalitat pitjor: perjudicar algú o atacar l'ordinador per mitjà de l'enginyeria social, amb missatges com ara esborri aquest arxiu de l'equip. Són virus molt potents; de vegades afecten arxius del sistema necessaris per a l'arrencada o altres funcions importants.^[8]
• Programari espia: Són programes que recol·lecten i transmet informació sobre una persona o organització sense el seu consentiment. També coneguts com a programes de rastreig o spybot.^[8]
• Paquet d'intrusió o rootkit, un conjunt d'eines de programari que permeten a un pirata introduir-se en un sistema informàtic i obtenir-hi privilegis de superusuari sense deixar rastre.^[9][8]

Segons el seu comportament

• Virus uniformes, que produeixen una replicació idèntica a si mateixos.
• Virus xifrats, que xifren part del seu codi perquè esdevingui difícil a desxifrar. Poden utilitzar alhora: Xifratge fix, utilitzant la mateixa clau o Xifrat variable, qque fa que cada còpia de si mateix estigui xifrada amb una clau diferent. D'aquesta forma redueixen la mida del codi fix utilitzable per a poder detectar-lo.
• Virus oligomòrfics, que posseeixen un conjunt reduït de funcions de xifrat i n'elegeixen una aleatòriament. Calen diferents patrons per a la seva detecció.
• Virus polimòrfics, que en la seva replicació produeixen una rutina de xifratge completament variable, tant en la fórmula com en la forma de l'algorisme. Amb polimorfismes forts cal fer servir l'emulació, patrons múltiples i altres tècniques antivíriques avançades.
• Virus metamòrfics, que reconstrueixen tot el cos en cada generació, fent que variï per complet. D'aquesta forma es porten les tècniques avançades de detecció al límit. Per fortuna, aquesta categoria és molt rara i només es troba en el laboratori.
• Sobrescriptura, quan el virus sobreescriu els programes infectats amb el seu propi cos.
• Stealth o silenciós, quan el virus oculta símptomes de la infecció.

Els virus més enviats segons l'ICVS (Informàtic control virus scanner) són:^{[Cal actualitzar]}

Tipus	1998	2000	2003	2005
Troians	20%	15%	22%	25%
Cucs	22%	20%	25%	27%
Boot	6%	1%	4%	2%
Altres	52%	64%	49%	46%

Història

El primer virus que va atacar una màquina IBM Serie 360 (i reconegut com a tal), va ser l'anomenat Creeper, creat el 1972 per Robert Thomas Morris. Aquest programa emetia periòdicament a la pantalla el missatge: «I'm a creeper… catch me if you can!» (Sóc una enfiladissa, agafeu-me si podeu).^[10] Per eliminar aquest problema es va crear el primer programa antivirus denominat Reaper (segador^[11]).

Per bé que el terme virus informàtic va ser encunyuat el 1984 per Fred Cohen,^[12] ja n'hi havia abans. Un primer virus avant la lettre va ser desenvolupat als laboratoris de Bell Computers. Tres programadors hi van desenvolupar un joc anomenat Core Wars, al qual guanyava l'equip que reeixia el primer a ocupar tota la memòria RAM de l'equip adversari.^[13][14]

Després del 1984, el nombre de virus va expandir ràpidament, des dels que ataquen els sectors d'arrencada fins als que s'adjunten en un correu electrònic i s'oculten per exemple en un format d'imatge comprimida amb l'extensió JPEG.

Virus informàtics i sistemes operatius

Els virus informàtics afecten, poc o molt, quasi tots els sistemes operatius. El sistema operatiu Windows solia ser el més atacat per les raons següents:

• És molt popular entre els ordinadors personals. S'estimava que el 2007, un 90% dels usuaris utilitzava Windows. Aquesta popularitat basada en la facilitat d'ús sense coneixement previ (ignorància del que passa) facilita la vulnerabilitat del sistema per al desenvolupament dels virus, que en poden atacar els abundants punts dèbils.
• La tradicional baixa seguretat d'aquesta plataforma (situació a la qual, segons Microsoft, està donant en els últims anys^[Quan?] més prioritat i importància que antany. Pel fet de ser un sistema molt permissiu amb la instal·lació de programes aliens, sense exigir cap autentificació per part de l'usuari o demanar-li un permís especial.
• Programes com Internet Explorer i Outlook Express, desenvolupats per Microsoft i inclosos de forma predeterminada en Windows, són coneguts per ser vulnerables als virus, ja que aquests aprofiten l'avantatge que aquests programes són fortament integrats en el sistema operatiu donant accés complet i, pràcticament sense restriccions, als arxius del sistema.
• L'escassa formació de mants usuaris d'aquest sistema provoca que no prenguin cap mesura preventiva, car aquest sistema està dirigit sobre tot a usuaris no experts en informàtica.

En altres sistemes operatius com Mac OS X, GNU/Linux i altres basats en Unix les incidències i atacs són pràcticament més rares. Això es deu principalment a:

• No existeixen virus letals per a aquests sistemes, degut a la seva poderosa jerarquia de treball.
• Tradicionalment els programadors i usuaris de sistemes basats en Unix/BSD han considerat la seguretat com una prioritat per la qual cosa hi ha majors mesures davant a virus tals com la necessitat d'autentificació per part de l'usuari com a administrador o root per poder instal·lar qualsevol programa addicional al sistema.
• Als directoris o carpetes que contenen els arxius vitals del sistema operatiu compten amb permisos especials d'accés pel qual qualsevol usuari o programa pot accedir fàcilment a ells per a modificar-los o esborrar-los. Existeix una jerarquia de permisos i accessos per als usuaris.
• Relacionat al punt anterior, a diferència dels usuaris de Windows, la majoria dels usuaris de sistemes basats en Unix no poden normalment iniciar sessions com usuaris Administradors o root excepte per a instal·lar o configurar software, donant com a resultat que si inclús un usuari no administrador executa un virus o algun programa maliciós aquest no danyaria completament el sistema operatiu, ja que Unix limita l'entorn d'execució a un espai o directori reservat anomenat comunament home.
• Aquests sistemes a diferència del Windows, són utilitzats per a tasques més complexes com servidors que en general estan fortament protegits, raó que els fa menys atractius pel desenvolupament de virus o programari maliciós.

Danys

Donat que una característica dels virus és el consum de recursos, els virus ocasionen problemes tals com: pèrdua de productivitat, talls en els sistemes d'informació o danys a nivell de dades. També tenen sovint la capacitat de reproduir-se. Les xarxes sense protecció ajuden a aquesta propagació. Altres danys que els virus produeixen als sistemes informàtics són la pèrdua d'informació, hores de parada productiva, temps de reinstal·lació, etc.

Mètodes de contagi

Hi ha dos grans classes de contagi. A la primera, l'usuari, en un moment donat, executa o accepta de forma inadvertida la instal·lació del virus. A la segona, el programa maliciós actua replicant-se a través de les xarxes. En aquest cas es parla de cucs. En ambdós casos, el sistema operatiu infectat comença a sofrir una sèrie de comportaments anòmals o imprevistos. Dits comportaments poden donar una pista del problema i permetre'n la recuperació.

Dins de les contaminacions més freqüents per interacció de l'usuari estan les següents:

• Missatges que executen automàticament programes (com el programa de correu que obre directament un arxiu adjunt).
• Enginyeria social, missatges com executi aquest programa i guanyi un premi.
• Entrada d'informació a discos d'altres usuaris infectats.
• Instal·lació de software pirata o de baixa qualitat.

En el sistema Windows pot donar-se el cas que l'ordinador pugui infectar-se sense cap tipus d'intervenció de l'usuari (versions Windows 2000, XP y Server 2003)^{[Cal actualitzar]} per virus com Blaster, Sasser i les seves variants, pel simple fet d'estar la màquina connectada a una xarxa o a Internet. Aquests virus aprofiten una vulnerabilitat del desbordament de búffer i ports de xarxa per a infiltrar-se i contagiar l'equip, causar inestabilitat en el sistema, mostrar missatges d'error i, fins i tot, reinicis involuntaris, reenviar-se a altres màquines per mitjà de la xarxa local o internet, entre altres danys. En les últimes versions de Windows 2000, XP i Server 2003 s'ha corregit aquest problema en la seva majoria. De manera freqüent, l'usuari haurà de descarregar-se actualitzacions i pegats de seguretat.^{[Cal actualitzar]}

Mètodes de protecció

Hi ha mètodes actius i passiius per a contenir o reduir els riscos associats als virus.

Actius

• Antivirus: els anomenats programes antivirus intenten descobrir les traces que ha deixat un programa maliciós, per detectar-lo i eliminar-lo, i en alguns casos contenir o parar la contaminació. Intenten tenir controlat el sistema mentre funciona parant les vies conegudes d'infecció i notificant a l'usuari de possibles incidències de seguretat.

• Filtres de fitxers: consisteix a generar filtres de fitxers perjudicials si l'ordinador està connectat a una xarxa. Aquests filtres poden usar-se per exemple, en el sistema de correus o usant tècniques de firewall. En general, aquest sistema proporciona una seguretat on no cal la intervenció de l'usuari, pot ser molt eficaç, i permetre utilitzar únicament recursos de forma més selectiva.

Passius

• Còpies de seguretat: Mantenir una política de còpies de seguretat garanteix la recuperació de les dades i una solució quan res de l'anterior ha funcionat.

• Estudiar: Aprendre com és funciona el programari i cercar informació, en llocs fiables, sobre software maligne, per a així evitar-lo.

• Desconfiar: Si no coneixem alguna cosa o no sabem el que fa, serà millor tenir-li respecte i no tocar-lo fins a aclarir el dubte, (en l'ús d'aquesta norma és recomanable no obrir arxius de correus dels quals es desconegui el remitent, o se sospiti que pugui contenir codi maliciós, o que no va demanar vostè. Així i tot, si és de plena confiança, analitzi sempre amb un antivirus l'arxiu abans d'obrir-lo. És aconsellable complementar aquesta manera de procedir aplicant una política de contrasenyes i de seguretat més segures a la seva xarxa local o als paràmetres d'accés a Internet. El que molts creadors de virus desitgen és la sensació de vulnerabilitat al provocar les condicions de contagi idònies que permetin una infecció del virus a nivell mundial i causar danys sense deixar rastre de la seva presència.

• Fer reenviaments segurs de email: Quan rebem un missatge de correu electrònic sospitós de contenir un virus o que parli d'alguna cosa que desconeixem convé consultar la seva possible infecció o veracitat (per exemple a partir de buscadors www). Un cop estiguem segurs de l'absència de virus del missatge o que el que diu el missatge és cert i important de ser conegut per als nostres contactes i el reenviem, hem de tenir en compte de posar les adreces de correu electrònic dels destinataris en la casella CCO. Així evitarem la propagació de missatges amb virus, així com la de l'spam i la d'aquells missatges amb phishing o hoax.

• Informar als nostres contactes: Convé que fem saber allò mencionat en el punt anterior als nostres contactes en quant ens reenvien missatges amb virus o contingut fals o sense utilitzar la casella CCO.

• Netejar i eliminar el virus: En el cas que la nostra màquina resulti infectada hem de desconnectar-la immediatament de la xarxa, ja sigui local o Internet (això es fa per evitar contagis a altres màquines) i, una vegada aïllada, aplicar un programa antivirus actualitzat per prendre l'acció que correspongui.

• Restauració completa: En cas que el virus sigui tan virulent que destrueixi la lògica d'una unitat d'emmagatzemament, s'haurà de recórrer a la restauració completa amb un formateig complet. S'ha de tenir en compte que aquesta opció deixarà la màquina tal com era el dia que la va adquirir. Totes les configuracions i altres continguts quedaran esborrades permanentment.