VR3: Virus imposibles
Por Fernando Bonsembiante
En los medios no especializados muchas veces aparecen noticias sobre virus. Lamentablemente, debido a la falta de información de que sufren, suelen tener graves errores. A veces parecen hechos a propósito para aumentar las ventas de sus publicaciones, mostrando a los virus más peligrosos de lo que son.
Virus de modem
El año pasado, con el escándalo del Michelángelo, se habló en muchos lugares de que el virus infectaba las máquinas a través del modem. Esto está originado por una exceso de anlogía con el virus biológico. La idea es que si uno puede contagiarse de un resfrío con solamente hablar con una persona, tambien podría contagiarse de un virus informático en una comunicación con una máquina infectada. Esto no puede ser más erroneo. Es imposible que un virus pase por el modem sin que lo notemos. Para contagiarse un virus por modem deberíamos bajar de un BBS un archivo infectado y luego ejecutarlo, pero sería equivalente a haber conseguido dicho archivo de otra fuente por diskette, el hecho de que pase por modem no aumenta el peligro. Siempre tenemos que ejecutar el programa infectado para que el virus pueda activarse. En el caso de los virus de boot sector, como el Michelangelo, esto es todavía menos probable. Deberíamos bajar de un BBS una imagen de disco completa infectada, luego re-crearla en un diskette, y bootear con él para poder infectarnos. Es una secuencia demasiado complicada como para ser muy peligrosa. Además, menos del 1 por ciento de los programas shareware se distribuyen en forma de imagen de disco. Otro punto en contra a estos virus por modem es que los BBS son extremadamente cuidadosos en cuanto a los virus, es muy dificil encontrar archivos infectados en ellos.
Otro argumento que se da a favor de los virus por modem es la existencia de un supuesto sub-carrier en los modems de 2400 o mas velocidad. Este sería como el carrier normal que transmite datos, pero se trataría de un carrier paralelo no usado por los protocolos comunes de transmision, pero que un virus podría utilizar para propagarse. Primero que nada, el mismo criterio de que debemos ejecutar un programa para que el virus pueda activarse es válido acá. Por otra parte, no existe ningun sub-carrier, sería un desperdicio de ancho de banda muy grande, porque un modem de 2400 que pudiera transmitir algo más además de lo normal sería vendido como un modem de mas velocidad, ese sería el efecto práctico de dicho sub-carrier. La idea alocada de un sub-carrier puede venir de que los modems de mas de 2400 fabricados por US Robotics, norma HST, tienen dos carriers distintos, porque usan dos canales de datos, uno en un sentido de alta velocidad, para datos, y uno en el otro sentido de baja velocidad, para comandos. Pero es simplemente una norma que tiene una sola direccion de transferencia de alta velocidad, switcheable de acuerdo a los comandos recibidos por el canal lento. Esto de ninguna forma sirve para transmitir un virus. Y en el caso de que el virus pueda aprovechar el procesador y la memoria del mismo modem para transmitirse, tambien es una locura. Los modems usan procesadores distintos y muy poca memoria, y las implementaciones son tan distintas que sería imposible diseñar un virus para modems.
Virus que infectan ROM - Eprom
Este es otro mito que a veces se escucha. Los virus que pueden modificar la memoria ROM o meterse en ella. Si esto fuera posible, los virus serían extremadamente peligrosos, ya que la ROM controla toda las operaciones de la máquina y es lo primero en ejecutarse cuando encendemos nuestra computadora. Pero el mismo nombre de la memoria lo dice, ROM, Read Only Memory, es imposible que un virus pueda modificarla o introducirse en ella. La memoria Eprom sería posible modificarla, en principio. El problema es que para modificarla se debe primero borrar utilizando rayos ultravioletas o una fuente de electricidad, y para grabarla nuevamente debe tambien usarse una fuente externa de electricidad. Mientras no existan virus que traigan sus propias baterías eléctricas, es imposible que suceda.
La unica forma de que haya un virus en estos tipos de memoria sería que el fabricante ya lo incluyera en esta. Esto no sería un virus en realidad, sino un troyano, porque si bien podría hacer daño no podría reproducirse a otras máquinas. Lo único que podría hacerse sería introducir una rutina que infecte la máquina con un virus, pero ya no tendríamos en si un virus sino un 'dropper', una rutina depositadora de virus.
Virus que infectan CMOS
La memoria CMOS es modificable por programa y además no se borra al apagar la máquina, ya que queda energizada por una pila. Es usada para guardar cierta información básica para el BIOS, como ser las características físicas del sistema. Este podría ser un excelente blanco para un virus, ya que no se borraría al apagar la PC. El problema es que es muy poca memoria como para guardar algo que valga la pena. Además, está casi toda usada para guardar datos del BIOS, y si este detecta información inválida resetea los valores automáticamente, o causa problemas de funcionamiento en la máquina. Por otro lado, esta memoria tampoco se ejecuta en ningun momento, son solo datos, por lo cual el virus nunca se activaría.
Otra posiblidad es que un virus utilice estos datos como parte del ataque al sistema o como defensa. Recientemente se habló de un virus que modifica el CMOS para evitar que el sistema bootee de disketera y siempre bootee con el virus cargado del disco rígido. Esto es algo muy relativo, ya que no todos los BIOS soportan esta funcion, y la CMOS no es standard en estos tipos de datos. Lo que puede suceder es que el virus trate de modificar la secuencia de booteo y termine modificando, en un BIOS ligeramente distinto, por ejemplo la velocidad del BUS, y la máquina deje de funcionar. Un virus así podría existir, es mas, existen reportes sobre él, pero sería extremadamente inestable debido a lo poco confiable que es ese manipuleo del CMOS. El virus que hace esto, llamado CMOS1, sería por lo tanto poco peligroso.
Virus que infectan etiquetas de disco
A principios de este año salió en una revista norteamericana una nota donde se hablaba de un supuesto virus infecta la etiqueta del disco (volume label o nombre del disco). Este virus se escondería en la etiqueta del disco y se ejecutaría desde allí. Lamentablemente estas etiquetas son simplemente el nombre de un archivo especial de cero bytes de contenido, el espacio que ocupa realmente en el disco es el mismo que el de cualquier entrada de directorio. Lo que ocupa un nombre de archivo en un directorio son 32 bytes, y una etiqueta ocupa lo mismo por ser no mas que eso. En ese lugar cabe el virus más pequeño conocido, que solo tiene 30 bytes, pero como una entrada de directorio no es ejecutable por si misma, esto es absolutamente imposible. No confundir estos imposibles virus de etiqueta de disco con los virus de directorio o de FAT, como el Dir II, que se basan en un principio completamente distinto.
Virus que pasan por la línea eléctrica
Otro tipo de virus imposibles son los que se transmiten por vía de la corriente eléctrica. Esto se originó como una broma, pero nunca está de más aclararlo. La energía eléctrica que alimenta nuestras máquinas no tiene ninguna relación con el software que ellas ejecutan. Si bien un problema eléctrico puede causar errores en el sofware, esos errores son físicos, por ejemplo, una parte de la memoria corrupta por no haber recibido corriente eléctrica en un momento determinado. Nunca la energía eléctrica puede por si misma modificar el contenido de la memoria o del disco, ya que para eso necesitaría violar las leyes de la física que pemiten que funcionen los chips que componen las PC. Si bien se pueden transmitir datos en forma de ondas dentro de la corriente eléctrica, decir que eso pueda afectar el funcionamiento de la máquina sería equivalente a decir que la composición química del papel en el que está impreso esta nota puede cambiar su significado.
Virus que se meten en archivos de datos
Como dijimos antes, es imposible que un virus se active si no se ejecuta como programa. Un virus que se meta integramente en un archivo de datos no sería ejecutado nunca. La única posibilidad sería que el virus esté parte en un ejecutable y parte en un archivo de datos, y al ejecutarse ese programa cargaría el resto del virus de ese archivo. En ese caso dicho archivo funcionaría como un overlay para el virus. De esta forma, si tratamos a los archivos ejecutables como datos, o sea, si no los ejecutamos o los guardamos simplemente dentro de un archivo .ZIP por ejemplo, o los guardamos como backup, aunque tengan virus no pueden afectarnos de ninguna forma.
Virus que pasan de un tipo de computadora a otra
Este es otro imposible, pero que tiene algo de verdad. Un virus no puede pasar de un tipo de computadora a otra, por ejemplo un virus de Mac no puede infectar una PC, ni viceversa. Esto se debe a que tanto el procesador como el sistema operativo son totalmente distintos, y no existe la compatibilidad necesaria como para correr programas de una en la otra. La posibilidad es por ejemplo, en máquinas Unix, que aunque tengan distinto hardware y procesador comparten un sistema operativo. En este caso el virus podría pasar como código fuente de una a la otra y ser recompilado, con lo cual podría ser ejecutado. Este es el caso de por ejemplo el gusano de Internet, que a pesar de no ser un virus, utilizaba este mecanismo para diseminarse entre las distintas máquinas de la red, todas bajo sistema operativo Unix.
Virus heridos
Por último, un caso del que se habló por televisión hace un tiempo en este país, fue el de una persona que dijo que si se removía mal un virus era todavía más peligroso que el virus original. La frase fue 'un virus herido es peligroso como un animal herido'. Esto es un error, ya que un virus mal removido es un programa al que le falta una parte, pero el efecto que puede causar es impredecible pero nunca muy complicado. No puede destruir una máquina, o formatear un disco, o borrar archivos. Puede colgarse, por ejemplo, o hacer que el programa infectado no funcione. No existen virus que detecten que están semi destruidos y tomen represalias debido a esto. Para hacerlo deberían ser extremadamente complejos, y si el intento de remoción destruyó la parte donde hacían esta comprobación jamás podrían darse cuenta de lo sucedido. Sería igual a cualquier programa corrupto, dejaría de funcionar correctamente, pero no sería peligroso por ello.
Conclusion
Todos estos ejemplos nos demuestran que debemos ser cuidadosos cuando nos hablan de un virus nuevo, y tenemos que tomar las cosas con precaución. Un virus no es mas que un programa, no tiene nada mágico que lo haga superior a cualquiera que tengamos en nuestra máquina, por lo tanto debemos tener sentido comun y pensar bien antes de creer cualquier rumor que aparezca en cualquier medio. Si creemos cualquier cosa estaremos aterrorizados por cualquier bromista o ignorante que quiera hacernos pasar un mal rato.