Los virus y gusanos son todos aquellos programas maliciosos capaces de auto-replicarse en los sistemas, a través de redes de computadoras sin conocimiento del usuario. A su vez, cada copia de estos programas maliciosos es también capaz de auto-replicarse.
Los programas maliciosos que se propagan a través de las redes, o que infectan los equipos bajo las órdenes de su “operador” (por ejemplo, los troyanos “backdoor”); los programas que crean múltiples copias pero no son capaces de auto-replicarse, no pertenecen a esta subcategoría.
La característica principal para determinar si un programa entra en la clasificación de virus o gusano es la forma en que éste se propaga (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de los recursos locales o de la red).
Los gusanos más conocidos son distribuidos como archivos adjuntos en emails, a través de enlaces a un recurso web o FTP, por medio de un link enviado por mensaje privado (ICQ, IRC), o a través de redes P2P.
Algunos gusanos se propagan en forma de paquetes de red; éstos penetran directamente en la memoria de la computadora, y una vez hecho esto, el código del gusano es activado.
Los gusanos utilizan las siguientes técnicas para infiltrarse en los equipos y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere al usuario que abra un archivo adjunto), explotación de errores de configuración de red (como poder copiarse en un disco accesible) y explotando vulnerabilidades en el sistema operativo y en las aplicaciones.
Los virus se pueden dividir de acuerdo con el método utilizado para infectar un equipo:
- Virus de archivo
- Virus de sector de arranque
- Virus de macros
- Virus de script
Cualquier programa dentro de esta subcategoría puede incluir las funcionalidades de un troyano.
También debe tenerse en cuenta que muchos gusanos utilizan más de un método para distribuirse a través de las redes. Con el objetivo de clasificar este tipo de gusanos, se utilizan ciertas reglas de clasificación de los objetos detectados dependiendo de su funcionalidad.
Esta subclase de programas maliciosos incluye los siguientes comportamientos: