- Que el pendrive o PC empiece a generar accesos directos los archivos los introduzcas en una
carpeta que se llama .trash
Alguno o varios de los siguientes sntomas aparecen cuando el virus est ejerciendo su
accin destructora:
1. Introduccin
Hace algn tiempo, el nico mecanismo capaz de comprometer la seguridad de nuestros
datos era insertar un disco contaminado en nuestro PC. En esa poca, para mantener a
salvo, prcticamente bastaba con evitar "prcticas de riesgo" y disponer de un buen
antivirus.
Como resultado de esta evolucin, los virus actuales suponen una terrible amenaza que
no puede ser ignorada por ningn tipo de usuario y que crece exponencialmente.
Mapa de infecciones vricas.
El presente artculo es de carcter introductorio, y puede ser ledo con facilidad por
cualquier usuario que tenga nociones bsicas sobre informtica, sin necesidad de
conocimientos previos en materias de seguridad.
Por ltimo, y abusando de la analoga con los virus biolgicos, aprenderemos tambin
cuales son las buenas y las malas prcticas para mantener la "salud" de nuestro
ordenador, evitar riesgos y prevenir indeseables "infecciones", as como los "sntomas"
a los que debemos estar atentos. Dentro de estas recomendaciones se indicaran algunas
de las principales "medicinas" disponibles gratuitamente en Internet en forma de
programas antivirus, cortafuegos, anti-espas, etc...
La analoga puede llevarse ms lejos, ya que sus efectos son tambin de lo ms variado,
desde pequeas molestias (como un resfriado) hasta prdida de datos y daos en el
software o incluso en el hardware (como el bola).
Son dainos
Existen multitud de tipos distintos de programas maliciosos diferentes. Cada una de las
distintas variantes recibe un nombre diferente (gusanos, troyanos, etc..) y no todos
encajan exactamente dentro del concepto genrico de virus que acabamos de exponer.
3. Tipos de Virus
Aunque existen criterios de clasificacin de carcter ms tcnico, la forma ms sencilla
de caracterizar a los virus es segn en virtud de sus mtodos de infeccin.
Pese a que muchos de los virus actuales combinan caractersticas de varios tipos
diferentes para conseguir ser ms "letales", en general podemos distinguir los siguientes
tipos:
Es sin duda el tipo ms antiguo de virus. Estos virus se encargan de infectar ficheros
ejecutables o programas (aunque como veremos tambin pueden adjuntarse a otros tipos
de archivos). Al ejecutar uno de los programas infectados activamos el virus,
produciendo los efectos dainos que el virus desee.
Posiblemente, en la actualidad, los gusanos de correo electrnico y sus variantes son los
virus ms populares.
3.3 Bulos o Falsos Virus (Hoaxes)
Los hoaxes no siempre contienen virus reales, ya que su propsito puede ser
simplemente colapsar ciertos servidores de correo o conseguir direcciones de e-mail
para realizar spam. No obstante, con frecuencia contienen adjuntos con virus o incluso
intentan que nosotros mismos realicemos ciertas acciones que daaran nuestro
ordenador. Un conocido ejemplo fue el hoax 'Sulfnbk.exe', que se extendi hace ya
algn tiempo, y que pretenda que borrsemos una utilidad legtima de Windows
asegurndonos que dicho archivo era un peligroso virus.
Siempre que utilicemos el programa vulnerable podemos ser atacados, por lo que el
problema es especialmente grave si el fallo de seguridad afecta al propio sistema
operativo o a las aplicaciones que utilizamos para conectarnos a Internet (navegadores,
clientes de correo, programas P2P,...).
Los agujeros de seguridad no son ninguna clase de virus, sino desafortunados errores de
programacin. La razn de incluirlos en este artculo es que, algunos hackers son
capaces de crear virus que explotan estas vulnerabilidades para atacarnos o infiltrarse en
nuestros sistemas (Sasser y Blaster son algunos conocidos ejemplos).
Los troyanos o caballos de Troya son ligeramente diferentes. Actan de forma similar al
mtico caballo de madera que, aparentando ser un regalo, fue utilizado por los soldados
griegos para introducirse en la sitiada ciudad de Troya. Llegan al ordenador como
aplicaciones o utilidades aparentemente inofensivas, pero cuando los ejecutamos, dejan
instalado en nuestro equipo un segundo programa oculto de carcter malicioso. Este
programa oculto es el que propiamente denominamos troyano.
A diferencia de otras clases de virus, la instalacin de los troyanos la suele llevar a cabo
el propio usuario de forma voluntaria (al menos en cierto modo), lo que ha llevado a
ciertas compaas de software a defender la supuesta legalidad de estas tcnicas. En este
sentido, este tipo de programas suelen incluir contratos y licencias de usuario ofuscadas
o engaosas que supuestamente advierten de lo que se est instalando. En cualquier
caso, estos programas actan de mala fe y utilizan tcnicas como mnimo abusivas.
Una vez introducidos en nuestro ordenador, estos virus abren una "puerta trasera"
(backdoor) que permite a un atacante acceder o controlar nuestro PC a travs de una red
local o de Internet. En cierto modo convierten nuestro equipo en una especie de servidor
de red al alcance de usuarios malintencionados.
- Por ltimo y por si fuera poco, hay que aadir los potenciales efectos destructivos
comunes a cualquier tipo de virus (borrado de datos, daos en el software o incluso en
el hardware,...)
Dado el enorme "poder de fuego" de estas redes, a menudo son utilizadas como
plataforma para el envo de correo basura o para ataques de denegacin de servicio
contra servidores web o de otros tipos.
Al igual que los backdoors, el software espa suele hacer uso de los medios de
comunicacin existentes (Internet, e-mail, red local,...) para enviar la informacin
recolectada a ciertos servidores o direcciones de correo electrnico.
Las motivaciones de este tipo de parsitos no estn del todo claras. La informacin
recolectada es principalmente sobre hbitos de navegacin o de uso de aplicaciones, por
lo que tiene valor estadstico para usos comerciales y se supone que es utilizada para
estudios de mercado. En cualquier caso y pese a no daar a nuestro ordenador, atentan
claramente contra nuestro derecho a la privacidad.
De manera similar al spyware, los programas Adware son aplicaciones que se instalan al
modo troyano y que permiten visualizar banners publicitarios durante la ejecucin de
determinados programas gratuitos.
A caballo entre troyanos, spyware y adware, son programas maliciosos que modifican el
comportamiento de nuestro navegador de Internet (literalmente lo secuestran).
Son un tipo de troyano cuyo efecto es modificar o suplantar nuestro acceso telefnico
sin que el usuario lo advierta. Habitualmente modifican el nmero de telfono de
nuestro acceso a Internet (o crean una nueva conexin por defecto) con lo que cada vez
que nos conectamos estaramos llamando a un nmero extranjero o con tarificacin
especial. El resultado es una factura telefnica desmesurada.
Los usuarios de banda ancha estn libres de estos virus, ya que slo pueden afectar a las
conexiones de marcado con mdem a travs de la red telefnica bsica (RTB).
- Vulnerabilidades del Sistema Operativo. Por ejemplo, slo por disponer de conexin a
Internet mientras instalamos Windows 2000 o XP podemos ser atacados y resultar
infectados con virus del tipo Blaster o Sasser antes del primer reinicio del equipo.
Para usar el archivo tenemos que abrirlo con determinada aplicacin, como un programa
de dibujo o un reproductor multimedia. Estos programas pueden tener vulnerabilidades
que podran ser explotadas desde el archivo de datos, es decir, un hacker
suficientemente hbil podra incluir determinadas estructuras de datos o inyectar ciertas
sentencias en el fichero de datos que activasen el error del programa y legar a ejecutar
determinado cdigo malicioso.
Esta tcnica se aplica con frecuencia a los clientes de correo. Es decir, en ciertas
circunstancias es en principio posible contaminar nuestro equipo slo por abrir un
mensaje con un determinado programa de correo electrnico (sin necesidad de llegara
abrir los adjuntos que pudiera contener)
- Alterar o reemplazar ficheros de inicio del sistema o del registro de Windows para
asegurarse de volver a ser cargado al reiniciar el ordenador.
- Instalarse en los sectores de arranque del disco duro (Master Boot Record o Boot
Sector). Se trata de ciertas secciones del disco duro que contienen el cdigo que permite
arrancar el ordenador y cargar el sistema operativo. Los virus instalados aqu pueden
llegar a ser capaces de sobrevivir incluso al formateado o la reinstalacin del sistema
operativo.
- Establecer conexiones con servidores de Internet, tanto para enviar informacin como
para descargar e instalar nuevos virus y troyanos.
Esta activacin puede producirse de manera aleatoria, pero en muchos casos est
prefijada en el cdigo del virus, por ejemplo, puede activarse en una fecha sealada, al
cabo de un perodo de tiempo determinado (incluso varios meses), cuando el usuario
realiza ciertas acciones, etc...
Los efectos van desde simples bromas (aparicin de mensajes absurdos, modificacin
del aspecto o la visualizacin en pantalla, comportamientos extraos,...) o dificultades
para el uso del equipo (reinicios, cuelgues, disminucin del rendimiento,
inestabilidad,..) hasta el robo de informacin e incluso la prdida de datos y/o la
modificacin o destruccin de programas o del propio sistema operativo.
Desgraciadamente, los virus pueden llevar a cabo cualquier accin que pueda realizarse
con un ordenador. El nico lmite a sus efectos viene impuesto por la imaginacin de su
creador, sus habilidades tcnicas y el nivel de dao que pretenda causar.
No obstante, y dado que en la lucha contra los virus resulta imprescindible la utilizacin
de determinados programas y herramientas, hemos optado por seleccionar algunos
programas gratuitos que por su calidad y prestaciones nos resultarn de gran utilidad.
Junto a las instrucciones y recomendaciones se han incluido las direcciones desde donde
se pueden descarga estos programas.
No basta con instalarlo, debemos realizar revisiones peridicas de nuestro ordenador (la
mayora de antivirus permiten programa estas revisiones de manera automtica).
Es esencial mantenerlo actualizado (se estima que aparecen del orden de 20 virus
nuevos cada da ...). Prcticamente todos los productos permiten su actualizacin
automtica a travs de Internet,
Existen unos pocos antivirus completamente gratuitos, nuestra seleccin (sin ningn
orden especial) es:
Free-AV: http://www.free-av.com/
Panda: http://www.pandasoftware.es/activescan/es/activescan_principal.htm
McAfee: http://es.mcafee.com/root/mfs/default.asp
Trend Micro: http://housecall.trendmicro.com/housecall/start_corp.asp
Bitdefender: http://www.bitdefender-es.com/scan/licence.html
En las mismas pginas podemos encontrar programas gratuitos para eliminar virus
especficos, lo que puede ser de utilidad si detectamos que estamos infectados y
sabemos de que virus se trata.
ZoneAlarm: http://download.zonelabs.com/bin/free/es/download/znalm.html
http://www.lavasoft.de/default.shtml.es
http://www.internautas.org/article.php?sid=1773&mode=thread&order=0
- En muchos casos esconden software espa o adware. Este hecho est verificado por lo
menos en las siguientes aplicaciones:
Pese a que no recomendamos su uso, incluiremos tambin la lista de los P2P que (de
momento) parecen limpios:
- Pueden contener vulnerabilidades que pueden ser explotadas con facilidad, ya que
permanecen cargados y conectados a la red la mayor parte del tiempo.
El correo electrnico es con diferencia el medio preferido por los virus actuales. Las
principales precauciones a tomar son:
- Cortar las pirmides y cadenas de correo. Aunque fuesen ciertas se comportan como
hoaxes o spam, por lo que no debemos difundirlas.
- No dar crdito a los bulos y falsas alarmas, por convincentes que resulten.
Por ltimo, aunque no por ello menos importante, nuestra ltima recomendacin es
simplemente: utilizar el sentido comn (aunque por desgracia, es el menos comn de los
sentidos ;-) ).
Para poder actuar con criterio es importante mantenerse al corriente de los ltimos virus
y amenazas que van surgiendo. Para ello, basta con visitar regularmente las pginas de
los principales fabricantes de antivirus, o portales especializados.
Hacia finales de los aos 60, Douglas McIlory, Victor Vysottsky y Robert Morris
idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la
memoria de la computadora), que se convirti en el pasatiempo de algunos de los
programadores de los laboratorios Bell de AT&T.
El juego consista en que dos jugadores escribieran cada uno un programa llamado
organismo, cuyo hbitat fuera la memoria de la computadora. A partir de una seal,
cada programa intentaba forzar al otro a efectuar una instruccin invlida, ganando el
primero que lo consiguiera.
Al trmino del juego, se borraba de la memoria todo rastro de la batalla, ya que estas
actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un
organismo suelto que pudiera acabar con las aplicaciones del da siguiente. De esta
manera surgieron los programas destinados a daar en la escena de la computacin.
Uno de los primeros registros que se tienen de una infeccin data del ao 1987, cuando
en la Universidad estadounidense de Delaware notaron que tenan un virus porque
comenzaron a ver " Brain" como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computacin paquistan que,
desde 1986, venda copias ilegales de software comercial infectadas para, segn los
responsables de la firma, dar una leccin a los piratas.
Ellos haban notado que el sector de booteo de un disquete contena cdigo ejecutable, y
que dicho cdigo se ejecutaba cada vez que la mquina se inicializaba desde un
disquete.
Lograron reemplazar ese cdigo por su propio programa, residente, y que este instalara
una rplica de s mismo en cada disquete que fuera utilizado de ah en ms.
Tambin en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo
poda ser creado para copiarse a s mismo, adosando una copia de l a otros archivos.
Escribi una demostracin de este efecto a la que llam VIRDEM, que poda infectar
cualquier archivo con extensin .COM.
Esto atrajo tanto inters que se le pidi que escribiera un libro, pero, puesto que l
desconoca lo que estaba ocurriendo en Paquistn, no mencion a los virus de sector de
arranque (boot sector). Para ese entonces, ya se haba empezado a diseminar el virus
Vienna.
Con relacin a la motivacin de los autores de virus para llevar a cabo su obra, existe en
Internet un documento escrito por un escritor freelance Markus Salo, en el cual, entre
otros, se exponen los siguientes conceptos:
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe
destacar que su existencia no ha sido slo perjuicios: gracias a ellos, mucha gente a
tomado conciencia de qu es lo que tiene y cmo protegerlo.
1.
2. QU ES UN VIRUS?.
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios
daos que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo
virus llamado W95/CIH-10xx. o tambin como CIH.Spacefiller (puede aparecer el 26
de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la PC husped
y cambiar su configuracin de tal forma que se requiere cambiarlo. Nunca se puede
asumir que un virus es inofensivo y dejarlo "flotando" en el sistema.
Existen ciertas analogas entre los virus biolgicos y los informticos: mientras los
primeros son agentes externos que invaden clulas para alterar su informacin gentica
y reproducirse, los segundos son programas-rutinas, en un sentido ms estricto, capaces
de infectar archivos de computadoras, reproducindose una y otra vez cuando se accede
a dichos archivos, daando la informacin existente en la memoria o alguno de los
dispositivos de almacenamiento del ordenador.
Tienen diferentes finalidades: Algunos slo 'infectan', otros alteran datos, otros los
eliminan, algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el
mismo: PROPAGARSE.
Es daino
Es autorreproductor
Es subrepticio
El hecho de que la definicin imponga que los virus son programas no admite ningn
tipo de observacin; est extremadamente claro que son programas, realizados por
personas. Adems de ser programas tienen el fin ineludible de causar dao en cualquiera
de sus formas.
Mdulo de Reproduccin
Mdulo de Ataque
Mdulo de Defensa
1. TIPOS DE VIRUS.
Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys
/ .bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de
Particin.
Mltiples: Infectan programas y sectores de "booteo".
Bios: Atacan al Bios para desde all reescribir los discos duros.
Hoax: Se distribuyen por e-mail y la nica forma de eliminarlos es el uso del
sentido comn.
Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos
especialmente en la Internet a pesar que los rumores lo muestran como algo muy serio y
a veces la informacin es tomada por la prensa especializada.
Por lo general, como ya se expres, la difusin se hace por cadenas de e-mail con
terribles e inopinadas advertencias. En realidad el nico virus es el mensaje. A
continuacin se dan una serie de supuestos "virus", por lo que es aconsejable ignorar los
mensajes que aparecen y no ayudar a replicarlos continuando con la cadena:
Por ltimo, cabe destacar que los HOAX estn diseados nicamente para asustar a los
novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma cerebral de
Jessica, Jessica Mydek, Anabelle, Ana, Billy y otros personajes imaginarios tampoco
son reales como tampoco lo es la direccin , ya que fueron creados para producir
congestionamiento en la Internet.
Los ms comunes son los residentes en la memoria que pueden replicarse fcilmente en
los programas del sector de "booteo", menos comunes son los no-residentes que no
permanecen en la memoria despus que el programa-huesped es cerrado.
a.
b. El virus re-orienta la lectura del disco para evitar ser detectado;
c. Los datos sobre el tamao del directorio infectado son modificados en la FAT,
para evitar que se descubran bytes extra que aporta el virus;
d. encriptamiento: el virus se encripta en smbolos sin sentido para no ser
detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces
detectable;
e. polimorfismo: mutan cambiando segmentos del cdigo para parecer distintos en
cada "nueva generacin", lo que los hace muy difciles de detectar y destruir;
f. Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una
determinada combinacin de tecleo; un macro o la apertura de un programa
asociado al virus (Troyanos).
Los virus de sectores de "booteo" se instalan en esos sectores y desde all van saltando a
los sectores equivalentes de cada uno de los drivers de la PC. Pueden daar el sector o
sobreescribirlo. Lamentablemente obligan al formateo del disco del drive infectado.
Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean
vamos a caer en el chiste fcil de decir que el ms extendido de los virus de este tipo se
llama MS
Windows 98).
Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad de
tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por
los virus, de acuerdo a la gravedad.
a. Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el
da 18 de cada mes cualquier tecla que presionemos hace sonar el beep.
Deshacerse del virus implica, generalmente, segundos o minutos.
b. DAOS TRIVIALES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar despus de que el virus
haya infectado la memoria residente. En el peor de los casos, tendremos que
reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos.
c. DAOS MENORES.
d. DAOS MODERADOS.
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el
da en que detectemos la presencia del virus y queramos restaurar el ltimo
backup notaremos que tambin l contiene sectores con la frase, y tambin los
backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron
creados con posterioridad a ese backup.
e. DAOS MAYORES.
Los daos severos son hechos cuando un virus realiza cambios mnimos,
graduales y progresivos. No sabemos cundo los datos son correctos o han
cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER
(es decir, no podemos buscar la frase Eddie lives ...).
f. DAOS SEVEROS.
g. DAOS ILIMITADOS.
El sistema operativo o un programa toma mucho tiempo en cargar sin razn
aparente.
El tamao del programa cambia sin razn aparente.
El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea
necesariamente as.
Si se corre el CHKDSK no muestra "655360 bytes available".
En Windows aparece "32 bit error".
La luz del disco duro en la CPU continua parpadeando aunque no se este
trabajando ni haya protectores de pantalla activados. (Se debe tomar este
sntoma con mucho cuidado, porque no siempre es as).
No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
Aparecen archivos de la nada o con nombres y extensiones extraas.
Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien
no esta advertido).
Los caracteres de texto se caen literalmente a la parte inferior de la pantalla
(especialmente en DOS).
En la pantalla del monitor pueden aparecen mensajes absurdos tales como
"Tengo hambre. Introduce un Big Mac en el Drive A".
En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes
blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda
en negro que dice Windows 98 (No puedo evitarlo, es mas fuerte que yo...!!).
Una infeccin se soluciona con las llamadas "vacunas" (que impiden la infeccin) o con
los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos
infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que
se debe destruir el archivo infectado.
8. VIRUS INFORMTICOS ARGENTINOS.
Al igual que todos los pases informatizados, la Argentina cuenta con una produccin
local de virus informticos.
Si bien estos no son de los ms complejos (en su mayora, buenas copias y variaciones
de virus conocidos) representan un problema, ya que muchos de ellos no estn incluidos
en las bases de datos de los programas antivirus.
PING PONG:
Este virus fue el primero en hacer explosin en Argentina. Fue descubierto en marzo de
1988 y en poco tiempo estuvo en nuestro pas, en donde se convirti rpidamente en
epidemia.
La falta de conocimiento sobre los virus ayud a que se diseminara ampliamente y fuera
incontrolable en un principio. En centros universitarios como la Facultad de Ciencias
Exactas de la UBA o la Facultad de Informtica de la Universidad de Morn era difcil
encontrar un disco sin infectar.
Ese mismo desconocimiento llev a que pasara bastante tiempo hasta que se empezaran
a tomar medidas. Slo despus de algunos meses, en revistas especializadas en
informtica, empezaron a publicarse formas de desinfectar los discos, y como
consecuencia de ello se aplicaron polticas de seguridad en las universidades.
Como tena un sntoma muy evidente (una pelotita que rebotaba), se pens que todos los
virus deban ser visibles, pero los siguientes fueron ms subrepticios, y se limitaban a
reproducirse o destruir sin avisar al usuario.
El Ping Pong original no poda infectar discos rgidos, pero la versin que se populariz
en el pas fue la B, que s poda hacerlo. Se cre una variante en Argentina, que
probablemente fue la primera variante de virus originada en el pas, el Ping Pong C, que
no mostraba la pelotita en la pantalla. Este virus est extinto en este momento ya que
slo poda funcionar en mquinas con procesador 8088 8086, porque ejecutaba una
instruccin no documentada en estos e incorrecta en los modelos siguientes.
AVISPA:
MENEM TOCOTO:
Esta adaptacin del virus Michelangelo apareci en 1994. En los disquetes se aloja en el
boot sector, y en los discos rgidos en la tabla de particiones. Es extremadamente
sencillo y, por ende, fcil de detectar.
CAMOUFLAGE II:
Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en
la unidad A y la tabla de particin de los discos rgidos. Es bastante simple y fcil de ser
detectado.
LEPROSO:
PINDONGA:
TEDY:
Es el primer virus argentino interactivo. Apareci hace poco tiempo. Infecta archivos
con extensin .EXE, y se caracteriza por hacer una serie de preguntas al usuario.
1.
2. Los programas que Ud. utiliza son originales? (s/n)
3. Los de Microsoft son unos ladrones? (s/n)
En caso contrario:
Con este virus, los archivos infectados aumentan su tamao en 4310 bytes.
8. QU NO ES UN VIRUS?.
Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.
Estos no-virus carecen de por lo menos una de las tres caractersticas identificatorias de
un virus (daino, autorreproductor y subrepticio). Veamos un ejemplo de estos no -
virus: "Hace algunos aos, la red de I. B. M., encargada de conectar ms de 130
pases, fue virtualmente paralizada por haberse saturado con un correo electrnico que
contena un mensaje de salutacin navidea que, una vez ledo por el destinatario, se
enviaba a s mismo a cada integrante de las listas de distribucin de correo del usuario.
Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser ledos por sus
destinatarios que el trfico se volvi demasiado alto, lo que ocasion la cada de la
red".
Por ello, dar algunas de las pautas principales para diferenciar entre qu debe
preocuparnos y qu no:
Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen
graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso,
eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a
grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la ltima
grabacin. Esto, en muchos casos, se debe a ERRORES del programa. Todos los
programas lo suficientemente complejos tienen bugs.
FALSA ALARMA.
Algunas veces tenemos problemas con nuestro hardware o software y, luego de una
serie de verificaciones, llegamos a la conclusin de que se trata de un virus, pero nos
encontramos con una FALSA ALARMA luego de correr nuestro programa antivirus.
Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las
siguientes preguntas puede ser de ayuda:
Es slo un archivo el que reporta la falsa alarma (o quizs varios, pero copias
del mismo)?.
Solamente un producto antivirus reporta la alarma? (Otros productos dicen que
el sistema est limpio).
Se indica una falsa alarma despus de correr mltiples productos, pero no
despus de bootear, sin ejecutar ningn programa?.
Si al menos una de nuestras respuestas fue afirmativa, es muy factible que
efectivamente se trate de una falsa alarma.
PROGRAMAS CORRUPTOS.
8. QU ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos
y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa,
slo funcionar correctamente si es adecuado y est bien configurado. Adems, un
antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de
los casos, sino que nunca ser una proteccin total ni definitiva.
La tcnica de scanning fue bastante eficaz en los primeros tiempos de los virus
informticos, cuando haba pocos y su produccin era pequea. Este relativamente
pequeo volumen de virus informticos permita que los desarrolladores de antivirus
escaneadores tuvieran tiempo de analizar el virus, extraer el pequeo trozo de cdigo
que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una
nueva versin. Sin embargo, la obsolescencia de este mecanismo de identificacin como
una solucin antivirus completa se encontr en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solucin a
posteriori: es necesario que un virus informtico alcance un grado de dispersin
considerable para que sea enviado (por usuarios capacitados, especialistas o
distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarn,
extraern el trozo de cdigo que lo identificar, y lo incluirn en la prxima versin de
su programa antivirus. Este proceso puede demorar meses a partir del momento en que
el virus comienza a tener una dispersin considerable, lapso en el cual puede causar
graves daos sin que pueda ser identificado.
Este tipo de mtodo rastrea rutinas de alteracin de informacin que no puedan ser
controladas por el usuario, modificacin de sectores crticos de las unidades de
almacenamiento (master boot record, boot sector, FAT, entre otras), etc.
Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon's
Toolkit.
MODELO ANTIVIRUS:
1.
2. Mdulo de control: posee la tcnica verificacin de integridad que posibilita
el registro de cambios en los archivos ejecutables y las zonas crticas de un disco
rgido. Se trata, en definitiva, de una herramienta preventiva para mantener y
controlar los componentes de informacin de un disco rgido que no son
modificados a menos que el usuario lo requiera.
Otra opcin dentro de este mdulo es la identificacin de virus, que incluye diversas
tcnicas para la deteccin de virus informticos. Las formas ms comunes de deteccin
son el scanning y los algoritmos, como por ejemplo, los heursticos.
2.
3. Mdulo de respuesta: la funcin alarma se encuentra incluida en todos los
programas antivirus y consiste en detener la accin del sistema ante la sospecha
de la presencia de un virus informtico, e informar la situacin a travs de un
aviso en pantalla.
Debido a que los virus informticos son cada vez ms sofisticados, hoy en da es difcil
sospechar su presencia a travs de sntomas como la prdida de performance. De todas
maneras la siguiente es una lista de sntomas que pueden observarse en una
computadora de la que se sospeche est infectada por alguno de los virus ms comunes:
La primera medida de prevencin a ser tenida en cuenta es, como se dijo anteriormente,
contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la nica forma
de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas
normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al
disco rgido de la computadora, lo cual se logra revisando con el antivirus todos los
disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al
mnimo posible todo tipo de trfico.
Es muy importante que los "strings" que se vayan a incorporar al antivirus provengan de
una fuente confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser
ineficaces.
Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, F-
Prot y Thunderbyte.
Para obtener dicha certificacin los productos deben pasar una serie de rigurosas
pruebas diseadas para asegurar la adecuada proteccin del usuario.
a.
b. Debe detectar el 100% de los virus encontrados comnmente. La lista de virus
comunes es actualizada peridicamente, a medida que nuevos virus son
descubiertos.
c. Deben detectar, como mnimo, el 90% de la librera de virus del NCSA (ms de
6.000 virus)
Estas pruebas son realizadas con el producto ejecutndose con su configuracin "por
defecto".
Una vez que un producto ha sido certificado, la NCSA tratar de recertificar el producto
un mnimo de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador
del programa. Esta es una buena manera de asegurar que el producto satisface el criterio
de certificacin.
En el caso de los virus polimrficos, se incluyen mltiples copias del virus para
asegurar que el producto testeado lo detecta perfectamente. Para pasar esta prueba el
antivirus debe detectar cada mutacin del virus.
Cheyenne Software
I. B. M.
Intel
McAfee Associates
ON Tecnology
Stiller Research Inc.
S&S International
Symantec Corp.
ThunderByte
Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en
sectores de buteo y tablas de particin la proteccin es genrica, es decir, independiente
del virus encontrado.
Certificado por la NCSA. Posee una proteccin automtica en segundo plano. Detiene
prcticamente todos los virus conocidos y desconocidos (a travs de una tecnologa
propia denominada NOVI, que implica control de las actividades tpicas de un virus,
protegiendo la integridad del sistema), antes de que causen algn dao o prdida de
informacin, con una amplia lnea de defensa, que combina bsqueda, deteccin de
virus e inoculacin (se denomina 'inoculacin' al mtodo por el cual este antivirus toma
las caractersticas principales de los sectores de booteo y archivos para luego chequear
su integridad. Cada vez que se detecta un cambio en dichas reas, NAV avisa al usuario
y provee las opciones de Reparar - Volver a usar la imagen guardada - Continuar - No
realiza cambios - Inocular - Actualizar la imagen.
La lista de virus conocidos puede ser actualizada peridicamente (sin cargo) a travs de
servicios en lnea como Internet, Amrica On Line, Compuserve, The Microsoft
Network o el BBS propio de Symantec, entre otros.
VIRUSSCAN.
Este antivirus de McAfee Associates es uno de los ms famosos. Trabaja por el sistema
de scanning descripto anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo
de Matriz de Cdigo) y CTS (Code Trace Scanning, Escaneo de Seguimiento de
Cdigo).
Una de las principales ventajas de este antivirus es que la actualizacin de los archivos
de bases de datos de strings es muy fcil de realizar, lo cual, sumado a su condicin de
programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en
cuanto a la configuracin de cmo detectar, reportar y eliminar virus.
11. CONCLUSIONES.
Para implementar tales estrategias deberan tenerse a mano los siguientes elementos:
Leer ms:
http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml#ixzz3FzHVHaeu
Los ms comunes son los residentes en la memoria que pueden replicarse fcilmente en
los programas del sector de "booteo", menos comunes son los no-residentes que no
permanecen en la memoria despus que el programa-husped es cerrado.
Los virus de sectores de "booteo" se instalan en esos sectores y desde all van saltando a
los sectores equivalentes de cada uno de los drivers de la PC. Pueden daar el sector o
sobrescribirlo. Lamentablemente obligan al formateo del disco del drive infectado.
Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean
vamos a caer en el chiste fcil de decir que el ms extendido de los virus de este tipo se
llama MS
Clases de Virus
Existen diversos tipos de virus, varan segn su funcin o la manera en que ste se
ejecuta en nuestra computadora alterando la actividad de la misma, entre los ms
comunes estn:
Gusano: tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las partes
automticas de un sistema operativo que generalmente son invisibles al usuario.
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogr
el COMMAND.COM y se muestra este mensaje: "bad or missing command
interpreter".
e) Los archivos ejecutables de los gestores de bases de datos como: BASE, Clipper,
FoxPro, etc. estn operativos, sin embargo las estructuras de sus archivos DBF estn
averiadas. Lo mismo puede ocurrir con las hojas de clculo como: Lotus 1-2-3, Q-Pro,
Excel, etc., o con el procesador de textos MS-Word, hojas de clculo de MS-Excel o
base de datos de MS-Access (macro virus).
Sabiendo esto, el virus puede tener control total de la mquina -al igual que lo hace el
SO- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una
entidad ejecutable viene de que, como cualquier otro programa de computadora,
necesita ser ejecutado y teniendo en cuenta que ningn usuario en su sano juicio lo har,
se vale de otros mtodos furtivos. Ahora que marcamos la importancia para un virus el
ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin
haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en
archivos comprimidos o encriptados.
Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap
ROM" que copia el MBR (Master Boot Record) en memoria RAM. El MBR contiene la
informacin de la tabla de particiones, para conocer las delimitaciones de cada
particin, su tamao y cul es la particin activa desde donde se cargar el SO. Vemos
que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la
posibilidad a que un virus tome partida. Hasta ac el SO todava no fue cargado y en
consecuencia tampoco el antivirus. El accionar tpico del virus sera copiar el MBR en
un sector alternativo y tomar su posicin. As, cada vez que se inicie el sistema el virus
lograr cargarse antes que el SO y luego, respetando su deseo por permanecer oculto
har ejecutar las instrucciones del MBR.
Una vez en nuestro PC, lo primero que hace un virus es autocopiarse en l. Muchas
veces no solo se copia en un sitio, sino que se reparte en diversas carpetas con el fin de
sobrevivir el mayor tiempo posible en nuestro sistema.
Ciclo de vida de un VirusEl ciclo de vida de un virus empieza cuando se crea y acaba
cuando es completamente erradicado. A continuacin describimos cada una de las fases:
CreacinHasta hace poco tiempo, la creacin de un virus requera el conocimiento de
lenguajes de programacin avanzados. Hoy cualquiera con simples conocimientos de
programacin bsica puede crear un virus. Tpicamente son individuos con afn de
protagonismo los que crean los virus, con el fin de extender al azar el efecto nocivo de
su creacin. RplicaLos virus no suelen ser activos en el momento de su creacin, sino
que poseen un tiempo de espera (incubacin), lo que les permite extenderse
ampliamente antes de ser detectados. ActivacinLos virus con rutinas dainas se activan
cuando se dan ciertas condiciones, por ejemplo, en una determinada fecha o cuando el
usuario infectado realiza una accin particular. Los virus sin rutinas dainas no tienen
activacin, causando de por si el dao, como la ocupacin del espacio de almacenaje.
DescubrimientoEsta fase no siempre sigue a la activacin. Cuando se detecta un virus,
este se asla y se enva al ICSA en Washington, D.C., para ser documentado y
distribuido a los fabricante de software antivirus. El descubrimiento suele realizarse
antes de que el virus pueda convertirse en una amenaza para la comunidad informtica.
AsimilacinEn este punto, los fabricantes de software antivirus modifican este para que
pueda detectar el nuevo virus. Este proceso puede durar de un da a seis meses,
dependiendo del fabricante y el tipo del virus. ErradicacinSi multitud de usuarios
instalan un software de proteccin actualizado, cualquier virus puede eliminarse
definitivamente. Aunque hasta ahora ningn virus ha desaparecido por completo,
algunos hace tiempo que han dejado de ser una amenaza.
Ventajas: Una LAN da la posibilidad de que los PC's compartan entre ellos programas,
informacin, recursos entre otros. La mquina conectada (PC) cambian continuamente,
as que permite que sea innovador este proceso y que se incremente sus recursos y
capacidades.
Tcnicas de prevencin
Copias de seguridad
No instale los programas desde los disquetes originales. Haga copia de los
discos y utilcelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayora de las infecciones provocadas
por virus se deben a discos de origen desconocido.
Utilice contraseas
Ponga una clave de acceso a su computadora para que slo usted pueda acceder
a ella.
Los Virus informticos se han convertido en una continua pesadilla, especialmente, para
los usuarios del correo electrnico. Para su informacin, seguidamente listamos una
serie de normas bsicas que le ayudarn a protegerse de los virus informticos:
Antivirus
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y
eliminar virus informticos.
Antivirus populares
Kaspersky Anti-virus.
Panda Security.
Norton antivirus.
McAfee.
avast! y avast! Home
AVG Anti-Virus y AVG Anti-Virus Free.
BitDefender.
F-Prot.
F-Secure.
NOD32.
PC-cillin.
ZoneAlarm AntiVirus.
Tipos de antivirus
Cortafuegos (Firewall)
Antiespas (Antispyware)
Aplicacin que busca, detecta y elimina programas espas (spyware) que se instalan
ocultamente en el ordenador.
Antipop-ups
Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups cuando
navegas por la web. Muchas veces los pop-ups apuntan a contenidos pornogrficos o
pginas infectadas.
Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con un
sistema antipop-up integrado.
Antispam
Aplicacin o herramienta que detecta y elimina el spam y los correos no deseados que
circulan va email.
Funcionan mediante filtros de correo que permiten detectar los emails no deseados.
Estos filtros son totalmente personalizables.
Adems utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva
alguna casilla en particular.