Los ataques por sobreescritura están vinculados a un tipo de virus del mismo nombre que se caracterizan por borrar el contenido de los ficheros que infectan. Su funcionamiento consiste en reescribir el contenido del fichero infectado, de forma que lo hacen parcial o totalmente inútil para el propósito que tenía originalmente.
Cuando un virus de sobreescritura infecta un archivo, este no aumenta de tamaño, pero la imposibilidad de abrirlo o ejecutarlo evidencia inmediatamente que se encuentra infectado. Además, también existen otros síntomas que pueden evidenciar una infección por un virus de sobreescritura:
- Funcionamiento lento del dispositivo.
- Anomalías del teclado.
- Mensajes emergentes en pantalla.
- Programas que dejan de funcionar sin previo aviso.
- Apagado o reinicio repentino del ordenador.
Algunos ejemplos de este tipo de virus son:
BAT/WAY
El BAT/WAY es un virus de tipo gusano de riesgo medio. Tiene un gran índice de propagación por correo electrónico o chats. Además, tiene la capacidad de eliminar el contenido de ficheros de ciertos programas antivirus, inutilizándolos en el caso de que estén instalados. Es bastante sencillo de detectar en correos electrónicos porque tiene la siguiente estructura:
Asunto: Which pub in Singapore is the best in the world?
Contenido: Read me to find out!!!
Fichero: README.TXT.VBS
Para su limpieza se debe eliminar el correo electrónico recibido, así como el fichero infectado. Posteriormente hay que pasar un antivirus que borre la presencia de WAY, y finalmente realizar un segundo análisis para verificar que está todo en orden.
Trj.Reboot
Este troyano, una vez realiza la infección, reinicia el equipo. Utiliza librerías de Visual Basic 5, concretamente del fichero msvbvm50.dll y no funciona para sistemas operativos Windows NT o Windows 2000. Un síntoma visible de que un equipo ha sido infectado por este virus es que el dispositivo se reinicie sin motivo aparente. No obstante, puede prevenirse mediante la tecnología TruPrevent.
TruPrevent es un software que se mantiene vigilante ante posibles aplicaciones que supongan un riesgo. En cuanto detecta uno de estos programas maliciosos, bloquea las acciones sospechosas, llegando incluso a cerrarlas. El uso de este tipo de programas de prevención es muy útil, puesto que el daño causado por el virus de sobreescritura no tiene solución una vez se ha producido la infección.
Trivial.88.D
Es un virus poco peligroso que infecta los ficheros ejecutables con extensión .com, incluyendo el fichero de sistema COMMAND.COM. Además, este virus se propaga, puesto que al intentar ejecutar un archivo .com intenta infectar a otros archivos ejecutables. Como es un virus de sobreescritura, la única forma de protegerse es borrar los ficheros que han sido infectados.
La principal fuente de infección de estos virus es mediante la descarga de archivos maliciosos procedentes del correo, de algún chat o de un dispositivo de memoria no confiable. La única forma de limpiar un fichero infectado con un virus de sobreescritura es eliminándolo y, por lo tanto, perdiendo la información allí contenida; por ello conviene ser prudentes a la hora de descargarse archivos desde Internet.
Las precauciones ante este tipo de ataque son bastante sencillas, pero esenciales:
- Ser prudente con los archivos que se descarguen de Internet.
- Configurar el navegador en un nivel de seguridad adecuado.
- Evitar compartir ficheros mediante redes P2P.
- Instalar un antivirus o analizar los archivos antes de abrirlos/ejecutarlos.
- Disponer de copias de seguridad debidamente actualizadas y protegidas.
