|
VSantivirus No. 147 - Año 4 - Sábado 2 de diciembre de 2000
Este artículo fue publicado por primera vez en Virus Attack!
(http://www.virusattack.com.ar) en junio de 2000. Como creemos de utilidad su aporte para esclarecer un tema que más de una vez se nos ha consultado, lo reproducimos con el permiso de su autor.
¿Extensiones de Archivo? ¿Y eso qué es?
por Ignacio M. Sbampato(*)
Desde la incesante irrupción de nuevos virus informáticos en distintos formatos, los usuarios de Internet han escuchado cientos de veces las palabras "extensiones de archivo", pero no muchos saben que es lo que eso significa. En este artículo intentaremos explicarlo y mostrar como debe configurarse correctamente el sistema operativo para evitar aquellos virus que aprovechan falencias en cuanto a extensiones de archivos nos referimos.
Muchos habrán visto que, normalmente, el nombre de un archivo de PC se forma de un primer texto, un punto y un segundo texto (por ejemplo, ARCHIVO.TXT). La primer parte de este texto es el nombre propio del archivo, y la segunda parte, los últimos caracteres después del punto, son lo que denominamos extensión. En la mayoría de los casos, estas extensiones son de 3 caracteres (.EXE, .DOC, .XLS, etc.), aunque puede haber de más (.java, .class). Este conjunto de caracteres es lo que se denomina extensión del archivo, y es lo que le especifica al sistema que tipo de archivo es.
Para que los lectores menos experimentados lo entendían, existen distintas clasificaciones para los archivos, y las mismas se relacionan con el tipo de función que realizan. Por ejemplo, si un archivo tiene una extensión .EXE, significa que se trata de un archivo ejecutable por si mismo, que puede realizar cierto tipo de funciones. Si, por otro lado, un archivo tiene una extensión .DOC, el sistema operativo sabe que este tipo de archivo es un documento de Word, por citar un caso.
Los tipos de archivo se diferencian en dos tipos bastante definidos:
Ejecutables: .EXE, .COM, .BAT, .DLL, etc.
De Datos: .TXT, .DOC, .XLS, .MDB, .RTF etc.
Los primeros son aquellos que se han sido programados bajo algún lenguaje específico para realizar acciones y rutinas por sí mismos, mientras que los segundos, son aquellos que, principalmente, contienen datos, y necesitan de una aplicación especifica para ser abiertos.
Por defecto, las extensiones más comunes de archivo son ocultadas por el sistema operativo. Esto quiere decir que, cuando un usuario visualiza en la pantalla un listado de archivos, ya sea por el Explorador de Windows, o a través de otras aplicaciones, no podrá ver la extensión del mismo. Por ejemplo, si el usuario tiene en pantalla el directorio que contiene el archivo EJECUTABLE.EXE, la configuración por defecto del sistema operativo le mostrará sólo la palabra EJECUTABLE, lo que no permitirá saber cuál es la extensión del mismo.
Cada tipo de archivo tiene un icono asociado que permite que el usuario pueda identificarlo sin necesidad de mirar la extensión. El inconveniente es que los virus informáticos pueden manipular esto, asociando iconos de archivos conocidos a otros archivos dañinos para que el usuario no sepa que lo que está ejecutando puede hacer peligrar la información de su PC.
Quedando claro qué son las extensiones de archivo y que existen distintos tipos, pasamos a relacionar este tema con las apariciones más resonantes de los últimos virus informáticos.
Todos, o por lo menos la gran mayoría, han oído hablar del virus ILOVEYOU o
VBS/LoveLetter. Este virus se distribuyó por millones de PC el pasado mes de mayo, viajando por correo electrónico o IRC, en un archivo LOVE-LETTER-FOR-YOU.TXT.VBS. Uno de los detalles que puede haber facilitado la rápida y amplia reproducción del mismo por todo el mundo, es el engaño que intenta hacer con la extensión del archivo. Como pueden observar, el archivo tiene una finalización .TXT.VBS. Esto quiere decir que la extensión del archivo es .VBS, lo que identifica como un archivo de VBScript, un lenguaje de programación, capaz de ser ejecutado en entornos que tengan instalado el WSH, una aplicación que viene por defecto con el Internet Explorer 4 y 5, y con el Windows 98 y 2000.
El problema con esta extensión de archivo es que, en la configuración por defecto del sistema operativo, la misma no es mostrada. Debido a esto, el usuario al visualizar el archivo cree que se trata de un simple archivo de texto (.TXT), dado que el mismo se visualiza como LOVE-LETTER-FOR-YOU.TXT.
Esto es muy simple de solucionar, realizando los siguientes pasos:
- Ir a Inicio -> Configuración -> Panel de Control.
- Ejecutar "Opciones..." dentro del menú Ver.
- Dentro de la pestaña "Ver", activar "Mostrar todos los archivos", y desactivar la opción "Ocultar extensiones de archivos conocidos".
Esto hará que las extensiones de los archivos "conocidos", o sea, los asociados a las aplicaciones más usadas, puedan ser visualizadas.
Pero existe otra forma de explotar falencias del sistema operativo con respecto a las extensiones de archivo. En la segunda mitad del mes de junio se comenzó a reportar un nuevo virus llamado LIFE_STAGES o
VBS/Stages, el cual se distribuye en un archivo LIFE_STAGES.TXT.SHS. La extensión .SHS pertenece a un tipo de archivo denominado Shell Scrap, el cual contiene otros archivos ejecutables en forma comprimida, que serán ejecutados si el archivo .SHS es abierto.
Esta extensión en particular posee una particularidad por la cual no es visualizada por el usuario, por más que se hayan realizado los pasos antes mencionados para mostrar todas las extensiones. Esto se debe a que la extensión .SHS posee un parámetro especifico por el cual el sistema nunca la muestra.
La única forma de solucionar este problema, es modificar manualmente el Registro de Windows. Para ello es necesario cambiar el valor "NeverShowExt" por "AlwaysShowExt" en la clave HKEY_CLASSES_ROOT\ShellScrap. Esto hará que la extensión .SHS sea mostrada.
Lo que estaba sucediendo con este virus en particular, el
VBS/Stages, es que el usuario al recibir el archivo en cuestión, lo visualizaba como LIFE_STAGES.TXT, sin la extensión .SHS real, debido a que la configuración del sistema oculta este tipo de extensiones. De esta manera, el usuario era engañado, dado que el mismo pensaba que se trataba de un archivo inofensivo, cuando en realidad era un virus desarrollado en VBScript, comprimido dentro de un archivo .SHS. Para acrecentar el engaño, si se ejecuta el archivo, el virus muestra un archivo de texto conteniendo una broma, para hacer creer al usuario que realmente estaba abriendo un archivo de texto.
Existen otras extensiones que tienen esta particularidad, como por ejemplo, los archivos .maw, .mag, del Access 2000, entre otros archivos de la misma aplicación, y los archivos con extensión .mydocs, y algunos otros más, pero no se conocen que puedan ser explotadas por virus informáticos, lo que, dado lo que hemos visto hasta ahora, no es ninguna garantía. Recuerden que se decía que para infectarse con un correo electrónico, era necesario abrir el archivo adjunto, y la llegada del virus
VBS/BubbleBoy (Ver Nota
1) cambió todo esto.
(*) Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de
Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de
LasNoticias.Org
Nota 1: Virus más recientes como el
Verona han terminado por acabar definitivamente con este mito.
|
|