Los diferentes virus que existen se pueden clasificar dependiendo del medio a través del cual realizan su infección y las técnicas utilizadas para realizarla. Aunque bastantes de ellos tendrán una característica especial por la que se asociarán a un tipo concreto dentro de esta clasificación, otros podrán formar parte de varios grupos diferentes.

Virus de Fichero: Este tipo de virus se encarga de infectar programas o ficheros ejecutables (archivos con extensiones EXE o COM). Al realizar la ejecución de uno de estos programas, de forma directa o indirecta, el virus se activa produciendo los efectos dañinos que le caractericen en cada caso. La mayoría de los virus existentes son de este tipo, pudiéndose clasificar cada uno de ellos en función de su modo de actuación.

Virus Residentes: Cuando se ponen en marcha, la primera acción que realizan consiste en comprobar si se cumplen todas las condiciones para atacar (fecha, hora,... etc.). De no ser así, se colocan en una zona de la memoria principal, esperando que se ejecute algún programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable (programa) no infectado el virus lo infectará. Para ello, el virus se añadirá al programa que infecta, añadiendo su código al propio código del fichero ejecutable (programa).

Virus de Acción Directa: En el momento de su ejecución, el virus trata de replicarse a sí mismo. Esto implica que creará copias de sí mismo. Cumpliéndose unas determinadas condiciones, propias en cada caso, se activará pasando a realizar infecciones dentro del directorio o carpeta en el que nos encontremos y dentro de los directorios que se encuentran especificados en la línea PATH (camino o ruta de directorios) dentro del fichero AUTOEXEC.BAT (este fichero se encuentra siempre en la raíz del disco duro, siendo un fichero de proceso por lotes que realiza ciertas operaciones cuando se enciende el ordenador). Es posible llevar a cabo la desinfección, de los ficheros afectados por el virus, dejándolos en un estado correcto.

Virus de Sobreescritura: Este tipo de virus se caracteriza por no respetar la información contenida en los ficheros que infecta, haciendo que estos queden inservibles posteriormente. Pueden encontrarse virus de sobreescritura que además son residentes y otros que no lo son. Aunque la desinfección es posible, no existe posibilidad de recuperar los ficheros infectados, siendo la única alternativa posible la eliminación de éstos.

Virus de Compañía: Para efectuar sus operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve a cabo la ejecución de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos (virus de acción directa). Al contrario que los virus de sobreescritura o los residentes, los virus de compañía no modifican los ficheros que infectan. Cuando el sistema operativo está trabajando (ejecutando programas, ficheros con extensiones EXE y COM) puede ocurrir que éste, el S.O., tenga que ejecutar un programa con un nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con diferentes extensiones (uno con extensión EXE y otro con extensión COM), el sistema operativo ejecutará en primer lugar el que lleve la extensión COM.
Esta peculiaridad del sistema operativo es aprovechada por los virus de compañía. En caso de existir un fichero ejecutable con un determinado nombre y extensión EXE, el virus se encargará de crear otro fichero con el mismo nombre pero con extensión COM haciéndolo invisible (oculto) al usuario para evitar levantar sospechas. Este fichero que crea será el propio virus y el sistema operativo, al encontrarse con dos ficheros que llevan el mismo nombre, ejecutará en primer lugar el de extensión COM, siendo éste el virus que en ese preciso instante realizará la infección. Tras realizarse la ejecución del fichero COM correspondiente al virus, éste devuelve el control al sistema operativo para que ejecute el fichero EXE. De esta forma el usuario no tendrá conocimiento de la infección que en ese preciso instante ha tenido lugar.

Virus de Boot: El término Boot o Boot Sector representa lo que también se denomina "sector de arranque". Se trata de una sección muy importante en un disco (disquete o disco duro), en la cual se guarda la información sobre las características de ese disco, además de incluir un programa que permite arrancar el ordenador con ese disco, determinando previamente si existe sistema operativo en el mismo.
Este tipo de virus de Boot, no afectan a los ficheros por lo que el contenido del disco no estará en peligro a no ser que se intente arrancar el ordenador con ese disco. Si esto ocurre, el virus realizará la infección siguiendo una serie de pasos habituales:
1. Reserva un determinado espacio en memoria para que éste no sea ocupado por ningún otro programa.
2.Después de hacer esto, se coloca en esa zona reservada de la memoria.
3.Desde esa posición de memoria se encarga de interceptar servicios que realiza el sistema operativo. En cada ocasión que una aplicación del S.O. llame a una función de acceso a ficheros, el virus toma el control. De esta forma comprueba si el disco al que se accede esta infectado y si no lo está, lo infecta.
4.Una última operación que realiza es volver a colocar el sector de arranque original (sin infectar), cediéndole el control, de tal forma que parezca no haber ocurrido nada. No obstante el virus seguirá actuando.
5.Las infecciones de virus de Boot se suelen realizar mediante disquetes siendo la protección contra escritura en él, el mejor método de protección.

Virus de Macro: A diferencia de los tipos de virus comentados anteriormente, los cuales infectan programas (ficheros EXE o COM) o aplicaciones, los virus de macro realizan infecciones sobre los ficheros que se han creado con determinadas aplicaciones o programas. Con ellos es posible crear documentos de texto, bases de datos, hojas de cálculo,...etc. Cada uno de estos tipos de ficheros puede tener adicionalmente unos pequeños programas, denominados macros. Una macro no es más que un micro-programa que el usuario asocia al fichero que ha creado con determinadas aplicaciones y que no depende del sistema operativo sino de acciones determinadas que el usuario puede realizar dentro del documento que la contiene. Mediante ellos es posible automatizar conjuntos de operaciones para que se lleven a cabo como una sola acción del usuario de forma independiente sin necesidad de realizarlas una a una manualmente.
Pues bien, estas macros son susceptibles de infección, lo que significa que los virus (más concretamente los de macro) pueden fijar sus objetivos de infección en ellas. En este caso, al abrir un documento que contenga macros, éstas se cargarán de forma automática (ejecutándose o esperando que el usuario decida ejecutarlas). En ese instante o posteriormente, el virus actuará realizando cualquier tipo de operación perjudicial. Al diferencia de lo que se piensa habitualmente, los virus de macro pueden realizar acciones dañinas de bastante importancia, propagándose en poco tiempo de forma muy rápida.

Virus de enlace o de directorio: Los ficheros son los documentos que contienen la información real en la que se ha trabajado (textos, bases de datos, hojas de cálculo, imágenes, sonido,... etc.) o programas (extensiones EXE y COM) y otros tipos de "elementos" que hacen posible la ejecución de éstos. Cuando hablamos de un fichero, podemos emplear indistintamente éste término, o el de documento, o el de archivo. Para organizar toda esta información, se crean directorios o carpetas que son quienes contienen a los ficheros, pudiendo contener también otras carpetas o directorios (subcarpetas o subdirectorios). De esta forma, la estructura de un disco se puede ver como una gran carpeta clasificadora en la que los ficheros son guardados en determinadas secciones (directorios o carpetas). Otra forma diferente de presentar este concepto es pensar que el disco es una mesa de despacho en la que tenemos cajones. Estos cajones son los directorios, dentro de los cuales guardamos hojas (que representarían a los documentos, ficheros o archivos), pero que también pueden contener subsecciones (subcarpetas o subdirectorios). En definitiva el documento, fichero o archivos es el contenido y las carpetas o directorios son el continente que alberga dicho contenido.
Pues bien, el sistema informático deberá conocer en todo momento información sobre un determinado fichero, como el nombre que tiene y el lugar (carpeta o directorio) en el que se encuentra (en el que se ha guardado). Para ello le asignará una dirección a la que se debería acceder en caso de desear utilizar ese determinado fichero.

Los virus de enlace o directorio se encargan de alterar estas direcciones para provocar la infección de un determinado fichero. Si un programa (fichero EXE o COM) se encuentra en una dirección concreta, para ejecutarlo habrá que acceder a dicha dirección. Sin embargo, el virus la habrá modificado con anterioridad. Lo que hace es alterar esta dirección para que apunte al lugar en el que se encuentra el virus, guardando en otro lugar la dirección de acceso correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se hará realmente es ejecutar el virus.

Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los ficheros del disco (disco duro), su capacidad para infectar TODOS éstos es real. De este modo, los virus de enlace o directorio pueden infectar toda la información contenida en un disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los ficheros infectados. En caso de realizar un análisis del disco en busca de errores (mediante programas como SCANDISK o CHKDSK), se detectarán grandes cantidades de errores que identifican todos los enlaces a los ficheros que el virus ha modificado. No obstante, en este caso sería mejor no recuperarlos ya que podría producirse un caos en lo que al sistema de almacenamiento de la información se refiere, que sería más perjudicial si cabe.

Volver