Un virus en simplemente un
programa. Una secuencia de
instrucciones y rutinas creadas con el único objetivo de alterar el
correcto funcionamiento del sistema y, en la inmensa
mayoría de los casos, corromper o destruir parte o la
totalidad de los datos almacenados en el disco.
De todas formas, dentro del término "virus informático" se
suelen englobar varios tipos de programas, por lo que a
continuación se da un pequeño repaso a cada uno de
ellos poniendo de manifiesto sus diferencias. La
clasificación es la siguiente:
Virus 'Puro'
Caballo de Troya
Bomba Lógica
Gusano o Worm
Todos estos programas tienen en común
la creación de efectos perniciosos; sin embargo, no todos
pueden ser considerados como virus propiamente
dichos.
Virus Puro
Un verdadero virus tiene como características más
importantes la capacidad de copiarse a sí mismo en
soportes diferentes al que se encontraba originalmente, y por
supuesto hacerlo con el mayor sigilo posible y de forma
transparente al usuario; a este proceso de autorréplica
se le conoce como "infección", de ahí que en todo
este tema se utilice la terminología propia de la medicina: "vacuna",
"tiempo de incubación",
etc. Como soporte entendemos el lugar donde el virus se oculta, ya sea
fichero, sector de arranque, partición, etc.
Un virus puro también debe
modificar el código original del programa o soporte objeto de la
infección, para poder activarse durante la
ejecución de dicho código; al mismo tiempo, una vez activado, el
virus suele quedar residente en memoria para poder infectar así de
forma trasparente al usuario.
Caballo de Troya
Al contrario que el virus puro, un Caballo de Troya es un
programa maligno que se
oculta en otro programa legítimo, y que
produce sus efectos perniciosos al ejecutarse este ultimo. En
este caso, no es capaz de infectar otros archivos o soportes, y
sólo se ejecuta una vez, aunque es suficiente, en la
mayoría de las ocasiones, para causar su efecto
destructivo.
Bomba Lógica
Se trata simplemente de un programa maligno que permanece
oculto en memoria y que solo se activa
cuando se produce una acción concreta, predeterminada por
su creador: cuando se llega a una fecha en concreto ( Viernes 13 ),
cuando se ejecuta cierto programa o cierta combinación de
teclas, etc.
Gusano o Worm
Por último, un gusano en un programa cuya única
finalidad es la de ir consumiendo la memoria del sistema, mediante la
realización de copias sucesivas de sí mismo, hasta
desbordar la RAM, siendo ésta su
única acción maligna.
La barrera entre virus puros y el resto de programas malignos es muy
difusa, prácticamente invisible, puesto que ya casi todos
los virus incorporan características propias de
uno o de varios de estos programas: por ejemplo, los
virus como el Viernes 13 son capaces de infectar otros archivos, siendo así virus
puro, pero también realizan su efecto destructivo cuando
se da una condición concreta, la fecha Viernes 13,
característica propia
de una bomba lógica; por
último, se oculta en programas ejecutables teniendo
así una cualidad de Caballo de Troya. De ahí la gran
confusión existente a este respecto.
Formas De Infección
Antes de nada, hay que recordar que un virus no puede
ejecutarse por si solo, necesita un programa portador para
poder cargarse en memoria e infectar; asimismo,
para poder unirse a un programa
portador necesita modificar la estructura de este, para que
durante su ejecución pueda realizar una llamada al
código del virus.
Las partes del sistema más susceptibles
de ser infectadas son el sector de arranque de los disquetes,
la tabla de partición y el sector de arranque del disco duro, y los ficheros
ejecutables (*.EXE y *.COM). Para cada una de estas partes
tenemos un tipo de virus, aunque muchos son capaces de infectar
por sí solos estos tres componentes del sistema.
En los disquetes, el sector de arranque es una zona
situada al principio del disco, que contiene datos relativos a la estructura del mismo y un
pequeño programa, que se ejecuta cada vez que arrancamos
desde disquete.
En este caso, al arrancar con un disco contaminado, el
virus se queda residente en memoria RAM, y a partir de
ahí, infectara el sector de arranque de todos los
disquetes a los que se accedan, ya sea al formatear o al hacer
un DIR en el disco, dependiendo de cómo esté
programado el virus).
El proceso de infección
consiste en sustituir el código de arranque original del
disco por una versión propia del virus, guardando el
original en otra parte del disco; a menudo el virus marca los sectores donde guarda
el boot original como en mal estado, protegiéndolos
así de posibles accesos, esto suele hacerse por dos
motivos: primero, muchos virus no crean una rutina propia de
arranque, por lo que una vez residentes en memoria, efectúan una
llamada al código de arranque original, para iniciar el
sistema y así aparentar
que se ha iniciado el sistema como siempre, con normalidad.
Segundo, este procedimiento puede ser usado
como técnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes
que ocupa el sector de arranque, por lo que en éste suele
copiar una pequeña parte de si mismo, y el resto lo guarda
en otros sectores del disco, normalmente los últimos,
marcándolos como defectuosos. Sin embargo, puede ocurrir
que alguno de los virus no marquen estas zonas, por lo que al
llenar el disco estos sectores pueden ser sobrescritos y
así dejar de funcionar el virus.
La tabla de partición esta situada en el primer
sector del disco duro, y contiene una
serie de bytes de información de cómo
se divide el disco y un pequeño programa de arranque del
sistema. Al igual que ocurre con el boot de los
disquetes, un virus de partición suplanta el código
de arranque original por el suyo propio; así, al arrancar
desde disco duro, el virus se
instala en memoria para efectuar sus
acciones. También en
este caso el virus guarda la tabla de partición original
en otra parte del disco, aunque algunos la marcan como
defectuosa y otros no. Muchos virus guardan la tabla de
partición y a ellos mismos en los últimos sectores de
disco, y para proteger esta zona, modifican el contenido de la
tabla para reducir el tamaño lógico del disco. De
esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera
sabe que esta zona existe.
Casi todos los virus que afectan la partición
también son capaces de hacerlo en el boot de los
disquetes y en los ficheros ejecutables; un virus que actuara
sobre particiones de disco duro tendría un
campo de trabajo limitado, por lo que suelen combinar sus
habilidades.
Con todo, el tipo de virus que más abunda es el de
fichero; en este caso usan como vehículo de expansión
los archivos de programa o
ejecutables, sobre todo .EXE y . COM, aunque también a
veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado,
el virus se instala residente en memoria, y a partir de
ahí permanece al acecho; al ejecutar otros programas,
comprueba si ya se encuentran infectados. Si no es así, se
adhiere al archivo ejecutable,
añadiendo su código al principio y al final de
éste, y modificando su estructura de forma que al
ejecutarse dicho programa primero llame al código del
virus devolviendo después el control al programa portador
y permitiendo su ejecución normal.
Este efecto de adherirse al fichero original se conoce
vulgarmente como "engordar" el archivo, ya que éste
aumenta de tamaño al tener que albergar en su interior al
virus, siendo esta circunstancia muy útil para su
detección. De ahí que la inmensa mayoría de los
virus sean programados en lenguaje ensamblador, por
ser el que genera el código más compacto, veloz y de
menor consumo de memoria; un virus
no seria efectivo si fuera fácilmente detectable por su
excesiva ocupación en memoria, su lentitud de trabajo o
por un aumento exagerado en el tamaño de los archivos infectados. No todos
los virus de fichero quedan residentes en memoria, si no que al
ejecutarse se portador, éstos infectan a otro archivo, elegido de forma
aleatoria de ese directorio o de otros.
Efectos Destructivos De Los Virus
Los efectos perniciosos que causan los virus son
variados; entre éstos se encuentran el formateo completo
del disco duro, eliminación
de la tabla de partición, eliminación de archivos, ralentización
del sistema hasta limites exagerados, enlaces de
archivos destruidos, archivos de datos y de programas corruptos,
mensajes o efectos extraños en la pantalla, emisión
de música o
sonidos.
Formas De Ocultamiento
Un virus puede considerarse efectivo si, además de
extenderse lo más ampliamente posible, es capaz de
permanecer oculto al usuario el mayor tiempo posible; para ello se
han desarrollado varias técnicas de ocultamiento o sigilo.
Para que estas técnicas sean efectivas, el virus debe
estar residente en memoria, puesto que debe monitorizar el
funcionamiento del sistema operativo. La base
principal del funcionamiento de los virus y de las
técnicas de ocultamiento, además de la condición
de programas residentes, la intercepción de
interrupciones. El DOS y los programas de aplicación se
comunican entre sí mediante el servicio de interrupciones,
que son como subrutinas del sistema operativo que
proporcionan una gran variedad de funciones a los programas. Las
interrupciones se utilizan, por ejemplo, para leer o escribir
sectores en el disco, abrir ficheros, fijar la hora del
sistema, etc. Y es aquí donde el virus entra en
acción, ya que puede sustituir alguna interrupción
del DOS por una suya propia y así, cuando un programa
solicite un servicio de esa
interrupción, recibirá el resultado que el virus
determine.
Entre las técnicas más usuales cabe destacar el
ocultamiento o stealth, que esconde los posibles signos
de infección del sistema. Los síntomas más
claros del ataque de un virus los encontramos en el cambio de tamaño de los
ficheros, de la fecha en que se crearon y de sus atributos, y
en la disminución de la memoria
disponible.
Estos problemas son indicadores de la posible
presencia de un virus, pero mediante la técnica stealth es
muy fácil (siempre que se encuentre residente el virus)
devolver al sistema la información solicitada
como si realmente los ficheros no estuvieran infectados. Por
este motivo es fundamental que cuando vayamos a realizar un
chequeo del disco duro arranquemos el ordenador con un disco de
sistema totalmente limpio.
La autoencriptación o self-encryption es una
de las técnicas víricas más extendidas. En la
actualidad casi todos los nuevos ingenios destructivos son
capaces de encriptarse cada vez que infectan un fichero,
ocultando de esta forma cualquier posible indicio que pueda
facilitar su búsqueda. No obstante, todo virus encriptado
posee una rutina de desencriptación, rutina que es
aprovechada por los antivirus para remotoizar el
origen de la infección.
El mayor avance en técnicas de encriptación
viene dado por el polimorfismo. Gracias a él un
virus no sólo es capaz de encriptarse sino que además
varía la rutina empleada cada vez que infecta un fichero.
De esta forma resulta imposible encontrar coincidencias entre
distintos ejemplares del mismo virus, y ante esta técnica
el tradicional método de búsqueda de
cadenas características se
muestra inútil.
Otra técnica básica de ocultamiento es la
intercepción de mensajes de error del sistema. Supongamos
que un virus va a infectar un archivo de un disco protegido
contra escritura; al intentar
escribir en el obtendríamos el mensaje: "Error de
protección contra escritura leyendo unidad A
Anular, Reintentar, Fallo?", por lo que descubriríamos el
anormal funcionamiento de nuestro equipo. Por eso, al virus le
basta con redireccionar la interrupción a una rutina
propia que evita la salida de estos mensajes, consiguiendo
así pasar desapercibido.
Prevención, Detección Y Eliminación
Una buena política de prevención y
detección nos puede ahorrar sustos y desgracias. Las
medidas de prevención pasan por el control, en todo momento,
del software ya introducido o
que se va a introducir en nuestro ordenador, comprobando la
fiabilidad de su fuente. Esto implica la actitud de no aceptar
software no original, ya que el
pirateo es una de las principales fuentes de contagio de un
virus, siendo también una practica ilegal y que hace mucho
daño a la industria del software.
Por supuesto, el sistema operativo, que a fin
de cuentas es el elemento
software más importante
del ordenador, debe ser totalmente fiable; si éste se
encuentra infectado, cualquier programa que ejecutemos
resultara también contaminado. Por eso, es imprescindible
contar con una copia en disquetes del sistema operativo,
protegidos éstos contra escritura; esto ultimo es
muy importante, no solo con el S.O. sino con el resto de
disquetes que poseamos. Es muy aconsejable mantenerlos siempre
protegidos, ya que un virus no puede escribir en un disco
protegido de esta forma. Por último es también
imprescindible poseer un buen software antivirus, que detecte y
elimine cualquier tipo de intrusión en el sistema.
Windows 95
La existencia de un nuevo sistema operativo con
bastantes diferencias técnicas respecto a desarrollos
anteriores merece un estudio especial para comprobar cómo
reacciona ante virus conocidos y el tipo de protección que
ofrece.
Ante la infección del sector de arranque (boot
sector) Windows 95 reacciona
sorprendentemente bien, o al menos mucho mejor que sus
antecesores. De hecho, frente a cualquier modificación del
sector de arranque el sistema presenta un mensaje durante la
inicialización. Nos anuncia que algo se ha cambiado y que
la causa de tal hecho puede ser un virus de boot, aunque
no necesariamente.
También debemos precisar que si hay un error
remotoizado en la tabla de particiones el sistema nos da el
mismo aviso que en el caso anterior, lo que sin duda puede ser
motivo de confusión. En general siempre que Windows 95 se dé cuenta de
un fallo en el sistema de ficheros que le impida trabajar con
la VFAT a pleno rendimiento, se inicia con el «Sistema de
archivos en modo compatibilidad MS-DOS», sugiriendo
como posible causa el ataque de un virus.
Que Microsoft achaque estos
fallos a la acción de un virus es una solución un
tanto drástica, ya que una falsa alarma puede ser tan
peligrosa como la presencia real de un ingenio
vírico.
Problemas Con Windows 95
El nuevo sistema operativo de Microsoft ha creado más
de un problema a las empresas de seguridad, y no sólo
por el trabajo adicional de
reprogramar sus desarrollos para adecuarse a las características el nuevo
entorno, sino también por algunos fallos de diseño propios de
W95.
En MS-DOS (también en
Windows 3.1) se podían
solicitar informes al sistema de todas
las actividades realizadas, y todo ello en tiempo real. Es decir, a
través de un residente era factible conseguir información sobre acciones como abrir, leer y
escribir en ficheros, cambio de atributos, etc.
Cuando hablamos de tiempo real nos referimos al
hecho de recibir la información solicitada en
el mismo momento en que se realiza la acción.
Desgraciadamente en W95 la cosa varía, ya que a
pesar de tratarse de un sistema operativo multitarea no se
envían informes en tiempo real,
sino cada determinados intervalos de tiempo o cuando el
procesador está menos
ocupado. Por este motivo la programación de un
controlador capaz de monitorizar el sistema con seguridad es muy
difícil, ya que el antivirus recibe la información de que se va a
producir una infección cuando el fichero ya está
infectado.
A pesar de ello, gran parte de los antivirus para Windows 95 incluyen drivers
virtuales o controladores VxD capaces de mantener bajo su
atenta mirada el sistema en todo momento. De todas formas, la
realización de un driver de este tipo para W95 no es una
tarea sencilla y acarrea bastantes problemas. Además, es
importante que la protección se ofrezca en todo momento,
es decir, que se controle la interfaz gráfica, la
versión previa del sistema operativo, las sesiones DOS y
el modo MS-DOS 7.0 (arrancando sin
la interfaz o al apagar el sistema). Desde luego todas estas
acciones no son controlables
por un driver VxD exclusivamente.
Virus De Macros
Esta entre las novedades surgidas últimamente en el
mundo de los virus, aunque no son totalmente nuevos, parece que
han esperado hasta 1995 para convertirse en una peligrosa
realidad. Por desgracia, ya existe un número importante de
virus de este tipo catalogados, que han sido escritos en
WordBasic, el potente lenguaje incluido en
Microsoft Word.
Estos virus sólo afectan a los usuarios de Word para Windows y consisten en un
conjunto de macros de este procesador de textos. Aunque
el peligro del virus se restringe a los usuarios de Word, tiene una importante
propagación ya que puede infectar cualquier texto, independientemente de
la plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W95 y OS/2. Este
es el motivo de su peligrosidad, ya que el intercambio de
documentos en disquete o por
red es mucho más
común que el de ejecutables.
El primer virus de este tipo que salió a la luz se llamaba
«WordMacro/DMV» y era inofensivo, ya que sólo
anunciaba su presencia y guardaba un informe de sus acciones. Escrito por Joel
McNamara para el estudio de los virus de macros, fue desarrollado en
1994 pero su autor guardó el resultado hasta que
observó la aparición del virus conocido por
«WordMacro/Concept». Tras ello, McNamara decidió
hacer público su desarrollo esperando que la
experiencia adquirida sirviera de enseñanza para todos los
usuarios. Y aunque probablemente tenga un efecto negativo,
McNamara ha publicado también las pautas para crear virus
que afecten a los ficheros de Exel.
«WinMacro/Concept», también conocido como
«WW6Infector», «WBMV-Word Basic Macro Virus»
o «WWW6 Macro», no es demasiado molesto, ya que al
activarse infecta el fichero «normal.dot» y sólo
muestra en pantalla un cuadro
de diálogo con el texto «1».
Microsoft ya tiene
disponible un antivirus llamado
«prank.exe» que distribuye gratuitamente entre sus
usuarios registrados, pero que también puede encontrarse
en numerosas BBS, Internet o Compuserve.
Sin embargo, la evolución de este tipo
de virus sigue su camino y ya se han detectado dos nuevas
creaciones llamadas «WordMacro/Nuclear» y
«WordMacro/Colors». El primero de ellos puede llegar
a introducir un virus tradicional en el sistema o modificar la
salida impresa o por fax en determinados
momentos. El «WordMacro/Colors», también
conocido por Rainbow o arco iris, cambia (cada 300 ejecuciones
de la macro) la configuración de colores de Windows.
De momento la macros conocidas para Word no son capaces de
infectar las versiones nacionales del programa, los usuarios
españoles pueden estar tranquilos ya que los comandos del lenguaje de macros han sido traducidos al
castellano y las macros creadas con versiones en
inglés no funcionan. No
obstante, siempre es posible que alguien traduzca el virus o
cree uno nuevo. Por último, aclarar que aunque otros
procesadores de texto como
WordPerfect o AmiPro son capaces de leer documentos escritos con
Word, en estos casos el
virus no entra en acción por lo que no se corre
ningún peligro.
Virus De Nueva Hornada
Aunque la principal novedad vírica ha venido de la
mano de los virus de macros, se han remotoizado en España nuevas creaciones
que merece la pena conocer para luchar contra ellas de manera
efectiva.
Se ha descubierto un virus que incrementa los ficheros en
1.376 bytes simplemente por abrirlos. Una vez que el virus
está en memoria basta con una orden COPY o TYPE para que
infecte el fichero. Su acción pasa por borrar los ficheros
de validación de antivirus como CPAV o Microsoft.
Muchos usuarios españoles se han visto afectados por
el virus 1.099, que si bien no es nuevo, es la primera
vez que aparece en nuestro país. Este virus se queda
residente en RAM e infecta los ficheros
".EXE" aumentando su tamaño en 1.099 bytes. Ha llegado a
España a través de
los discos de drivers que acompañaban a una pequeña
partida de tarjeta Cirrus Logic, y se puede identificar ya que
en los ficheros VER se señala como «BIN3,
Ver1.2» con fecha 27-5-94.
Por su parte, el virus MiliKK infecta en primer
lugar la tabla de partición para desde ahí comenzar
con su siniestro cometido. Emplea técnicas stealth por lo
que no podremos ver cómo se queda residente en la RAM, aumenta los ficheros
".COM" en 1.020 bytes e incrementa la fecha de los ficheros
infectados en 100 años. Además, cada vez que se
enciende el PC se visualiza el mensaje "M I L I K K".
Por último, en Sevilla se ha detectado el virus
DelCMOS, que como su nombre indica borra el contenido de la
CMOS cuando se arranca desde un disco duro con la
partición afectada. Aunque borra la información sobre
la configuración de disqueteras, sólo es dañino
con los datos de los discos duros
correspondientes al tipo 47.
Virus En Internet
En ocasiones se propagan rumores que dan por cierto
noticias de dudosa procedencia. Más o menos esto es lo que
ha sucedido de un tiempo a esta parte con el virus por correo electrónico de
Internet conocido por Good
Times. Lógicamente las primeras noticias de esta maligna
creación aparecieron en la «red de redes», en un mensaje alarmante que
decía que si algún usuario recibía un mensaje
con el tema «Good Times» no debía abrirlo o
grabarlo si no quería perder todos los datos de su disco
duro. Posteriormente el mensaje recomendaba que se informara a
todo el mundo y se copiara el aviso en otros lugares. En esta
ocasión el rumor es totalmente falso, aunque todavía
sigue existiendo gente que se lo cree y no es raro encontrar en
algún medio de comunicación electrónica nuevo
reenvíos del mensaje original. De hecho, es totalmente
inviable la posibilidad de una infección vía correo electrónico.
El riesgo de contraer un virus en
la Internet es menor que de
cualquier otra manera, tanto los mensajes de correo, como las
página WEB transfieren
datos. Sólo si se trae un software por la red y lo instala en su máquina puede
contraer un virus
Software Antivirus
Para combatir la avalancha de virus informáticos se
creó el software antivirus. Estos programas suelen
incorporar mecanismos para prevenir, detectar y eliminar virus.
Para la prevención se suelen usar programas residentes que
alertan al usuario en todo momento de cualquier acceso no
autorizado o sospechoso a memoria o a disco, por lo que
resultan sumamente útiles al impedir la entrada del virus
y hacerlo en el momento en que este intenta la infección,
facilitándonos enormemente la localización del
programa maligno. Sin embargo presentan ciertas desventajas, ya
que al ser residentes consumen memoria RAM, y pueden
también resultar incompatibles con algunas aplicaciones.
Por otro lado, pueden llegar a resultar bastante molestos,
puesto que por lo general suelen interrumpir nuestro trabajo
habitual con el ordenador avisándonos de intentos de
acceso a memoria o a disco que en muchos casos provienen de
programas legítimos. A pesar de todo, son una medida de
protección excelente y a ningún usuario debería
faltarle un programa de este tipo.
A la hora de localizar virus, los programas usados sin
los detectores o scanners. Normalmente estos programas chequean
primero la memoria RAM, después
las zonas criticas del disco como el boot o
partición, y por ultimo los ficheros almacenados en
él.
Los productos antivirus han
mejorado considerablemente sus algoritmos de búsqueda,
aunque en la actualidad la exploración de cadenas sigue
siendo la técnica más empleada. Pero el aumento
imparable del número de virus y las técnicas de
camuflaje y automodificación que suelen emplear hacen que
la búsqueda a través de una cadena genérica sea
una tarea cada vez más difícil. Por ello, es cada
día es más frecuente el lanzamiento de antivirus con
técnicas heurísticas.
La detección heurística es una de las
fórmulas más avanzadas de remotoización de
virus. La búsqueda de virus mediante esta técnica se
basa en el desensamblado del código del programa que se
intenta analizar con el objetivo de encontrar
instrucciones (o un conjunto de ellas) sospechosas. Sin duda,
lo mejor es disponer de un antivirus que combine la
búsqueda de cadenas características y además
cuente con técnicas heurísticas.
Gracias a la heurística se buscan programas que
puedan quedarse residentes o que sean capaces de capturar
aplicaciones que se estén ejecutando, código
preparado para mover o sobreescribir un programa en memoria,
código capaz de automodificar ejecutables, rutinas de
encriptación y desencriptación, y otras actividades
propias de los virus.
Aunque las técnicas heurísticas han
representado un gran avance en la detección de virus
desconocidos, presentan un gran inconveniente: es muy alta la
posibilidad de obtener «falsos positivos y
negativos». Se produce un «falso positivo»
cuando el antivirus anuncia la presencia de un virus que no es
tal, mientras que se llama «falso negativo» cuando
piensa que el PC esta limpio y en realidad se encuentra
infectado.
¿Que Debemos Buscar En Un
Antivirus?
A la hora de decidirnos por un antivirus, no debemos
dejarnos seducir por la propaganda con mensajes como
"detecta y elimina 56.432 virus". Realmente existen miles de
virus, pero en muchísmos casos son mutaciones y familias
de otros virus; esto está bien, pero hay que tener en
cuenta que una inmensa mayoría de virus no han llegado ni
llegaran a nuestro país.
Por lo que de poco nos sirve un antivirus que detecte y
elimine virus muy extendidos en América y que
desconozca los más difundidos en España. Por tanto,
estaremos mejor protegidos por un software que, de alguna
forma, esté más "especializado" en virus que puedan
detectarse en nuestro país. Por ejemplo "Flip", "Anti
Tel", "Barrotes", "Coruña", etc. Por otro lado, hemos de
buscar un software que se actualice el mayor numero posible de
veces al año; puesto que aparecen nuevos virus y
mutaciones de otros ya conocidos con mucha frecuencia, el estar
al día es absolutamente vital.
Cómo Reaccionar Ante Una
Infección
La prevención y la compra de un buen antivirus son
las mejores armas con las que cuenta el
usuario ante el ataque de los virus. Sin embargo, siempre cabe
la posibilidad de que en un descuido se introduzca un inquilino
no deseado en el PC. Ante esta situación lo primero que
debemos hacer es arrancar el ordenador con un disco de sistema
totalmente libre de virus. Posteriormente deberemos pasar un
antivirus lo más actualizado posible, ya que si es antiguo
corremos el riesgo de que no remotoice
mutaciones recientes o nuevos virus.
En el disco de sistema limpio (que crearemos con la orden
«format a: /s») incluiremos utilidades como
«mem.exe», «chkdsk.exe»,
«sys.com», «fdisk.exe» y todos los
controladores para que el teclado funcione
correctamente. Si disponemos de dos o más antivirus es muy
recomendable pasarlos todos para tener mayor seguridad a la hora de
inmunizar el PC.
Si la infección se ha producido en el sector de
arranque podemos limpiar el virus con la orden «sys
c:», siempre y cuando hayamos arrancado con el disquete
antes mencionado. Para recuperar la tabla de particiones
podemos ejecutar «fdisk /mbr».
Software AntiVirus Comercial
Análisis heurístico
Hay que señalar una marcada mejoría en las
técnicas de detección heurísticas, que aunque en
determinadas condiciones siguen provocando «falsos
positivos», muestran una gran efectividad a la hora de
remotoizar virus desconocidos. En este apartado debemos
destacar al ThunderByte, ya que la técnica heurística
de este antivirus le ha permitido detectar 42 de los virus no
remotoizados mediante el método adicional. De
hecho, la mayoría de estos virus son desarrollos
nacionales de reciente aparición, por lo que o ha habido
tiempo de incluirlos en la última versión.
Además, este producto destaca por una
relación de «falsos positivos» realmente
baja.
Otros productos que permiten la
detección heurística son Artemis Profesional, Dr.
Solomon´s y F-Prot 2.20. En todos los casos esta
técnica ha servido para aumentar el porcentaje de virus
detectados, aunque de esta forma no se identifica el virus,
sino que sólo se sospecha de su presencia. Por otra parte,
el Dr. Solomon´s combina perfectamente una gran base de datos de virus
conocidos con su análisis
heurístico.
Búsqueda específica
Aunque algunos antivirus engordan su porcentaje de
efectividad gracias a técnicas de remotoización
genérica (heurísticamente), muchos usuarios pueden
preferir la seguridad aportada por un
sistema específico que identifique, e incluso elimine, sin
problemas ni dudas el mayor
número de virus posible.
Los usuarios más inexpertos probablemente no sepan
enfrentarse a las alarmas producidas por el análisis
heurístico, por lo que en todos los antivirus es posible
realizar la exploración de las unidades de disco sin dicha
posibilidad. En tal caso será necesario conocer cuál
es la efectividad del producto prescindiendo de
tal análisis.
Por este motivo, si nos basamos en técnicas
tradicionales como la búsqueda de cadenas y dejamos a un
lado métodos heurísticos
tenemos que reconocer que el producto dominante es el
antivirus Artemis Profesional 4.0,. tras él, el conocido
Scan de McAfee demuestra el porqué de su prestigio,
seguido muy de cerca por el F-Prot.
Virus nacionales
En todos los casos han sido los virus de procedencia de
nacional y aquellos de aparición más reciente los que
han planteado mayores problemas de
identificación. Por este motivo, los productos Artemis y Anyware
(desarrollados por empresas españolas) no han
fallado en la detección de ingenios patrios como los virus
Raquel, Maripuri, Mendoza, Diálogos, RNE, Currante y
nuevas mutaciones de Barrotes.
Los productos internacionales
muestran buenos índices globales de detección, aunque
todos fallan al encontrarse con virus españoles. Esta
carencia, sin embargo, se ve solventada en los antivirus con
análisis
heurístico, que si bien no son capaces de identificar el
virus sí logran detectar su presencia.
Inseguridad Informática
El 5 de noviembre de 1988 quedó señalado para
siempre en la historia de la "inseguridad" informática. El
personal que estaba
trabajando en los ordenadores de la Universidad de Cornell
vieron sorprendidos y asustados como sus computadoras, uno a uno e
irremediablemente, quedaban bloqueados. Estos eran los primeros
síntomas de una terrible epidemia "bloqueante" que
atacó seguida y rápidamente a las Universidades de
Stanford, California, Princeton, al propio MIT, a la Rand
Corporation, a la NASA, hasta un total aproximado de 6.000
ordenadores, ¡6.0000!, que permanecieron inactivos durante
dos o tres días, con un coste estimado de 96 millones de
dólares (más de 10.000 millones de pesetas). Causa:
un simple y único gusano "worm", activado sólo
una vez, resultado de un sencillo trabajo de autoprácticas
de Robert T. Morris, "bienintencionado einofensivo" estudiante
de la Universidad de Cornell.
Eficiencia demostrada. Un solo
Worm, 6.000 ordenadores inactivos, 96.000.000 de dólares
de pérdidas.
La epidemia vírica ha alcanzado en pocos años
una magnitud escalofriante. Según el experto virólogo
Vesselin V. Bontchev, nacen cada día 2 o 3 virus.
Las amenazas a la informática no terminan
con los virus. Los "hackers" constituyen una
potente fuerza de ataque a la
seguridad informática.
Personas dotadas de probados conocimientos, utilizando
tecnologías de alto nivel, agrupados en clubes, celebrando
Congresos Internacionales, con seminarios y clases: su nivel de
peligrosidad alcanza altísimos valores.
Fraudes, sabotajes, espionaje comercial e industrial,
vandalismo, terrorismo, desastres naturales como el
fuego y el agua, amenazan
constantemente a nuestros sistemas de proceso de datos,
convirtiendo a la Seguridad Informática en
un importantísimo objetivo a alcanzar en
la empresa, toda vez que
está en peligro su más preciado tesoro: la
información.
Por otra parte, las empresas han cambiado su estilo
de trabajo, apoyándose en y dependiendo fuertemente del
sistema informático y de las telecomunicaciones. La
ofimática, las Bases de Datos corporativas o
distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de
sistemas y comunicaciones "trusted",
los sistemas distribuidos, etc.,
colocan a la Seguridad Informática en
la cúspide de los objetivos a alcanzar en
la empresa.
Si no existe seguridad no hay calidad en la Información,
si ésta no es segura, exacta, precisa y rabiosamente
actual, es decir, si no es de calidad, las operaciones y decisiones
serán equivocadas y si éstas son erróneas
la empresa muere.