Glosario Virico

Este glosario pretende ser una buena referencia para la gente que recien empieza en el tema de los virus, las definiciones fueron sacadas de diferentes lugares, la mayoria del VDAT y algunas otras las escribi yo por mi cuenta. Todas las referencias estan en ingles ya que es el idioma en el que estan escritos el 90% de los textos, revistas, programas, etc. 


Appending Virus
Armoring
Batch File Viruses
Boot Sector Virus
Companion Virus
Computer Virus
Direct Action
Directory Traversal
Encryption
HLL Virus
Intended Virus
Logic Bomb
Macro Virus
Multipartite
Overwriting Virus
Payload
Polymorphism
Stealth
Trojan Horse
Tunneling
Worm

Computer Virus: Un virus de computadora no es mas que un programa que se reproduce y va "infectando" secciones de nuestra computadora para las que fue programado, pueden ser archivos ejecutables, boot sectors, documentos, etc. Un virus informatico no tiene porque ser destructivo, la mayoria de ellos no lo son, los creadores prefieren demostrar sus conocimientos del lenguaje no haciendo rutinas destructivas, sino buscando maneras para evadir a los mas famosos antivirus, rutinas de ocultamiento, etc

Trojan Horse: Es un conjunto de instrucciones destructivas metidas en un programa aparentemente 'normal' que puede simular un update de un software comercial, un crack de algun software, o cualquier cosa que el programador decida.
La diferencia entre un Trojan Horse y un virus es que el trojan no se reproduce, en cambio el virus si lo hace.

Worm: Un Worm (Gusano) es un programa que se replica igual que un virus, con la diferencia es que este no infecta los archivos, sino que crea copias exactas de si mismo, esta clase de programas se pueden hallar en sistemas multiusuarios y grandes redes.

Polymorphism: Es una de las mejores tecnicas de ocultamiento que puede tener un virus, ya que le dificulta mucho al antivirus descubrir un virus de este tipo. La tecnica consiste en cambiar la rutina de infeccion todas las veces que le sea posible, de esta manera el antivurus no puede tener un string especifico de busqueda.

Stealth: Es una forma de ocultamiento, consiste en que el usuario no note la presencia al mirar el archivo mediante un dir, con el Norton Commander, etc. Existe tambien la tecnica Full Stealth que es mucho mas poderosa y es cuando un virus es editado no es descubierto ya que el mismo se desinfecta cuando se abre el archivo y se vuelve a  infectar cuando se cierra (tambien llamado infeccion "on-the-fly"). Para que un virus pueda tener estas caracteristicas es necesario que quede residente.

Tunneling: Cuando un antivirus queda residente, instala gestores de interrupcion en interrupciones que pueden serle utiles a un virus y da la alarma cuando un virus intenta hacer una operacion con alguna de estas interrupciones. Un virus con Tunneling, intenta averiguar estas interrupciones antes de que el antivirus tome el control.

Encryption: Sirve para que el virus no pueda ser descubierto a simple vista (editando el archivo infectado), si es que este contiene cadenas de texto. Tambien puede servir para que sea mas dificil de encontrar por parte de los antivirus, aunque no es tan poderoso como el Polymorphism, ya que siempre la rutina de encripcion es la misma en todas las infecciones y los antivirus pueden buscar esos strings.

Armoring: Es una tecnica que permite que un virus sea mas dificil de desensamblar o tracear. Por ser tan facil incluir estas tecnicas en un virus muchos de los actuales virus la tienen. El problema de esto es que le facilita la tarea a los antivirus de ser descubiertos.

Direct Action: Contrariamente a los virus residentes, los virus Direct Action se ponen en accion cuando se ejecuta un archivo infectado. Son llamados tambien Virus No-Residentes, porque no quedan en memoria despues de haberse ejecutado.

Appending Virus: Llamados tambien parasitos o virus parasiticos, los virus appending, copian su codigo al final de un archivo sin dañarlo. Modifican el header original del archivo añadiendoles un jump al principio del codigo virico, y despues le devuelven el control al programa principal mediante otro jump. Estos virus tienen la ventaja de que el usuario los corre sin el peligro de que se de cuenta.

Overwriting Virus: Son los virus mas simples que se pueden crear. A diferencia de los Appending, esta clase de virus escribe su codigo al principio del archivo, sobreescribiendo los primeros bytes del archivo. Aunque esta es una de las mas faciles formas de hacer un virus, hay una desventaja, y es que el archivo infectado se arruina y no puede volverse a recuperar, ya que al sobreescribir los primeros bytes del archivo estos no se pueden volver a recuperar. Los virus Overwriting no son muy efectivos, ya que el usuario se da cuenta muy rapidamente de el y no se llega a dispersar mucho por el sistema.

Companion Virus: Un virus companion usa una caracteristica especial que tiene el DOS de ejecutar primero los archivos .COM y luego los .EXE, lo que hace es buscar en el disco un archivo .EXE, luego crea un .COM con el mismo nombre otorgandole el atributo +H (hidden), de esta manera el usuario ejecuta supuestamente el archivo .EXE pero el que primero se carga es el .COM, este infecta otro archivo y le deja el control al archivo .EXE.

Multipartite Virus: Estos virus combinan las ventajas de virus de BOOT y virus parasitico, incrementando las chances de multiplicacion.

Batch File Virus: Son virus escritos con el lenguaje BATCH del DOS

Macro Virus: Es una nueva gama de virus, generalmente son programados usando un lenguaje macro, por ejemplo: Microsoft Word Macro Language. Estos virus no infectan archivos ejecutables, pero si documentos, plantillas, etc. Son de una facil dispersion entre los que se pasan documentos. Por ser tan nuevos, algunos antivirus viejos no detectan la presencia de los Macro Virus, pero la mayoria ya esta preparado para detectarlos.

Intended Virus: Estos virus estan escritos para una computadora, sistema operativo, o algun sistema en especial y no funcionan fuera de el.

Boot Sector Virus: Los virus de boot se reproducen colocandose en el boot sector de los discos, y luego de haberse instalado en memoria corre el boot sector original. Estos virus son muy efectivos ya que se ejecutan antes que cualquier otro programa debido al sector en el que estan alojados.

Directory Transversal: Los virus que poseen la tecnica Directory Transversal son generalmente virus no residentes, que buscan el primer archivo ejecutable del directorio actual y si no lo encuentran saltan a otro directorio, puede ser un directorio ya especificado (ej. \DOS) o simplemente \ o ..

Payload: Es la activacion de un virus, puede ser efectos sonoros, pequeñas demos, rutinas destructivas o un simple mensaje, lo que al programador le interese poner. Algunos virus no tienen payloads y se limitan solamente a reproducirse.

Logic Bomb: Una Logic Bomb (Bomba Logica) es un programa que permanece en el disco esperando que una determinada accion del usuario (accidental o intencionalmente) la active. Generalmente son rutinas destructivas. Uno de los mejores lugares para esconder una Logic Bomb es el MBR (Master Boot Record) y puede ser activada a las 50 veces que se prendio la maquina por ejemplo.

HLL Virus: Los virus HLL son virus programados en lenguajes de alto nivel (C, C++, Pascal, Basic, etc). Estos virus no son tan complejos como los programados en assembler, ya que presentan un tamaño mucho mayor que los que estan programados en un lenguaje de bajo nivel.