Un programa (trozo de código ejecutable) que se adhiere a otro, bien para sobreescribirle o modificarle, infectándole, y que se reproduce a sí mismo sin el conocimiento del usuario.

Por tanto una característica crucial es que se copie a sí mismo aunque las copias pueden ser automodificadas. Esto es lo que distingue al virus propiamente dicho de otros programas maliciosos como los troyanos.

Las copias se hacen porque el autor así lo ha programado, no se deben a efectos colaterales.

Segun esta definición por lo menos algunas de las copias son también virus.

El virus debe adherirse a otro programa, lo que implica que al ejecutarse éste el virus también lo hará.

No todos los virus son destructivos y algunos pueden pasar desapercibidos durante mucho tiempo, o causar pocas anomalías, como aparición de nieve, caída de letras, etc. en el monitor. De todos modos incluso estos ocupan espacio en disco y pueden causar problemas colaterales, como uso de la CPU y la memoria aparte del tiempo necesario que se emplea para detectarlos y eliminarlos. Claro que hay otros que son radicalmente malignos atacando e incluso destruyendo ficheros y discos bien a la larga o de modo inmediato.

Algunas clases de virus:

TROYANO (Trojan) Evoca al caballo de Troya y es un nombre que le cuadra perfectamente. En efecto, el usuario, sin saber de qué se trata y frecuentemente creyendo que es otro tipo de fichero, lo ejecuta en su PC donde empieza a actuar. Generalmente no se reproducen como los virus clásicos aunque esta distinción no es universalmente aceptada. Los troyanos suelen ser insertados en el ordenador mediante otros programas.

GUSANOS (worms) Generalmente son programas que se extienden por las redes y no se adhieren a un programa huésped y en realidad no se relacionan directamente con PCs. Suelen colapsar la memoria.

BOMBAS LOGICAS (logic bombs) Son virus que se activan en determinadas circunstancias previstas por el programador, por ejemplo cuando se pulsen una serie de teclas, mientras tanto están latentes aunque se pueden detectar con la herramienta adecuada.

BOMBAS DE TIEMPO (time bombs) Son programas que permanecen inactivos hasta que llegue una fecha determinada, en la que detectándola comienzan su actividad

BLINDADOS (armoured) Estos virus contienen rutinas que les hace difíciles de desensamblar con lo que los antivirus no los detectan, o al menos esa es su intención. Son bastante frecuentes ya que la operación de blindaje es fácil de realizar aunque esa técnica posibilita que un antivirus heurístico los detecte y para evitar eso se recurre a no combinar los bytes que desatan la alarma heurística.

CAMALEONES Es una especie de troyano pero no se añade a un programa existente, sino que lo crea y entonces se adhiere a él.

VIRUS BROMA (Joke) No suelen ser destructivos aunque molesten al usuario, como la nieve, la caída de letras de un texto que se amontonan en la parte baja del monitor, etc.

VIRUS INVISIBLES (Stealth -como los aviones F117-) Necesitan encontrarse en el ordenador antes de que se instale algún antivirus, de modo que cuando éste comience su trabajo, el virus irá cambiando la información que obtiene el antivirus a fin de que parezca que el programa está limpio. También puede ser que el virus enseñe al desinfectador una copia limpia del programa en cuestión por lo que no encontrará anomalías.

RETROVIRUS Estos son capaces de luchar contra un antivirus buscando su eliminación.

POLIMORFICOS Cada copia que hacen de sí mismos es distinta para lo que se encriptan de diferente manera a la vez que alteran la forma de desencriptarse. También a un virus ya terminado se le puede añadir un motor de encriptación que realice esas tareas.

ACOMPAÑANTES (Companions) Cambian el nombre del fichero que el usuario quiere ejecutar, se instala y a continuación se ejecuta el fichero original como si nada hubiera pasado. Esto es posible por el modo peculiar con que funciona el DOS que establece el orden con que se ejectuan los ficheros del mismo nombre, primero el BAT, luego COM y por último el EXE, de modo que si quiero correr el programa micodigo.exe el virus creará un micodigo.com que se ejecutará antes y a continuación lo hará con el micodigo.exe. No es la única técnica que usan los acompañantes.

VIRUS DE ENLACE Este virus no necesita modificar el programa que quiere infectar, lo que sí altera es la FAT para que el programa apunte al sector donde se encuentra el virus cargándolo y seguidamente ejecuta el programa.

¿Qué misión cumplen los virus?. Eso depende del programador que los crea por lo tanto no hay reglas. Lo que sí tienen en común es hacerlos indetectables al máximo para que tengan oportunidad de cumplir sus objetivos, ya que una vez descubiertos son eliminables.

En próximos trabajos veremos los métodos de infección más corrientes, vías de propagación, detección etc. apartados cada vez más complejos debido al crecimiento imparable de virus así como de sus antídotos.