El virus informático Chernobyl (CIH)

Serie: Cómo combatir los virus en mi propia computadora

El "día después" del virus Chernobyl

La amenaza de un verdadero holocausto en nuestras computadoras, apresuran a usuarios de todo el mundo a prevenirse y a enfrentar al temido virus "Chernobyl", mientras que las compañías de anti-virus están muy ocupadas y preocupadas en prevenir y detener a un estimado de 300 nuevos viruses en cada mes.

El virus CHERNOBYL o CIH, viene "pisándole los talones" al Melissa E-mail virus desde hace un mes, promete descargar un poderoso "techno-estrago" destruyendo archivos en la unidad de disco rígido de nuestras computadoras y escribiendo garabatos en el BIOS que evitan que la máquina pueda reiniciarse.

El peligroso virus está programado para activarse el 26 de abril de 1999, concidiendo con el décimo tercer aniversario del desastre nuclear de Chernobyl en Ucrania. Ya se han descubierto variantes en Asia y en otras partes, donde en algunos casos se activa en los días 26 de cada meses.

Mientras que los expertos estaban todavía "haciendo" números, Turquía y Corea del Sur cada una, informaron de 300.000 ordenadores dañados el lunes, y aún había muchos más en Asia y Oriente Medio. Fuentes oficiales, de esos países, lanzaron mensajes de advertencia, que no fueron obviamente tenidos en cuenta.

En la mayoría de las computadoras personales ya están instalados programas anti-virus. Pero se advierte todavía una gran cantidad de usuarios que necesitan poner al día su software con anti-virus actualizados. Para ello, los usuarios concurren a determinados sitios oficiales --de la red Internet-- de compañías especializadas, principalmente Symantec S.A., fabricantes del Norton Anti-virus como una de las más populares. (...)

Introducción

Se trata de un virus muy importante, no solo por sus destructivos efectos --los peores hasta ahora conocidos--, sino por la atención que le otorga la prensa mundial al fenómeno, característico de la época en que nos toca vivir. Por ejemplo, vea a continuación dos noticias como marcadas "del día", ambas del primer mundo, originadas tanto de un lado como del otro del Atlántico.

Según la siguiente información originada en los EEUU y documentación en línea recabada a partir de la lista de correo vigente: de España, nos enteramos de:

EL VIRUS "CHERNOBYL" DEMUESTRA SER DESTRUCTIVO

(por CHRIS ALLBRITTON, corresponsal de AP), traducido al castellano por Eduardo Javier Martínez Rey ()

NUEVA YORK (AP Cyberespacio) - Demostrando ser más destructivo de lo esperado, el virus "Chernobyl" causó cientos de miles de "cuelgues" de ordenadores alrededor del mundo, aunque los efectos fueron mucho peores fuera de los Estados Unidos. (...)

"Posiblemente, éste es el virus informático más malévolo" afirmó Dan Schrader, director de marketing de productos de Trend Micro Inc., compañía dedicada a la fabricación de software antivirus.

Otros expertos discrepaban sobre si éste era el virus más destructivo jamás creado. Pero muchos fueron tomados con la guardia bajada por la cantidad de daño creado y afirmaron que este era mucho peor que el causado por el virus "Melliza" a comienzos de mes. Antes de que el virus "Chernobyl" golpease, numerosos expertos habían afirmado, que no esperaban que ese virus crease demasiados problemas:

• Los Estados Unidos sufrieron mucho menos daño que otras naciones, los expertos creyeron en los extensos avisos y actualizaron programas antivirus que ayudaron a prevenir problemas en el mundo corporativo. Los usuarios domésticos fueron afectados más duramente.
• Cerca de 100 ordenadores de estudiantes en la Universidad de Princeton fueron "noqueados" dos semanas antes de que se entregasen los proyectos del trimestre. "Los ordenadores fueron afectados hasta tal punto que los discos duros fueron hechos inservibles", afirmó el martes Justin Harmon, portavoz de Princenton.
• En la Universidad de Boston, el virus afectó sólo a aquellos estudiantes que no instalaron el software antivirus distribuido por la universidad el otoño pasado, afirmó Jack Dunn, portavoz de la Universidad de Boston.
• Bill Pollak, portavoz del equipo de respuesta de emergencia informática de la Universidad Carnegie Mellon de Pittsburgh, afirmó que había noticias de al menos 2328 ordenadores dañados en los Estados Unidos. Pero las cifras podrían ser superiores dado que ninguna compañía o usuario doméstico está obligado a informar del ataque de un virus, dijo Bill Pollack.
• "Turquía fue tomada por sorpresa" afirmó Mustafa Ucoklar, un ingeniero electrónico en Turquía, donde el virus infectó ordenadores en bancos, un aeropuerto, una radio estatal y varias estaciones de televisión, de acuerdo con el periódico turco "Radikal", dijo: "Los avisos estaban ahí, pero nadie hizo caso de ellos".
• Fuentes oficiales surcoreanas también informaron de que unos 300.000 ordenadores fueron atacados en oficinas gubernamentales, escuelas y negocios --cerca de un 4% de todos los ordenadores del país- en el peor ataque de esta clase, en este país. "Hemos sido descuidados y carecimos de un conocimiento del virus", afirmó Ahn Byung-Yop, viceministro de información y comunicaciones.

"Necesitamos fortalecer tanto nuestro sistema de alarma como una educación pública sobre los virus informáticos". Schrader también explicó que los países más duramente golpeados, han generalizado el uso de software pirateado y carecen de software antivirus actualizado. La existencia de "Chernobyl" es conocida desde el verano pasado, y cada paquete importante de software antivirus, puede detectarlo y proteger contra éste (???).

También el virus "Melissa" sirvió el mes pasado como una "muy efectiva llamada de atención" en los Estados Unidos, afirmó Schrader. Muchos usuarios norteamericanos actualizaron su software de un modo agresivo y comenzaron a tomar muy en serio a los virus informáticos. "En otras partes, no se tomo tan en serio", dijo Schrader.

• En la India, al menos 10.000 propietarios de ordenadores informaron haber sido afectados. Negocios, bancos y empresas editoriales de la India fueron "apagados" y se perdió información por valor de millones de dólares, informó el periódico "Indian Express".
• Medios locales afirmaron que hasta un 10% de todos los ordenadores usados en los Emiratos Arabes Unidos fueron afectados; al menos 10.000 ordenadores fueron golpeados en Bangladesh; informes en China varían entre 7600 y 100.000 ordenadores dañados. "Este fue el peor desastre informático en este país", afirmó Ahmed Hasan, secretario general de la "Sociedad Informática" de Bangladesh.

Y esta otra noticia, originada en España, como puede leerse claramente en el copete de "La Brujula.Net", que dice textualmente...

El virus CIH/Chernobyl afectará el lunes 26 a miles de PCs. Más dañino que el Melissa, actúa sobre Windows 95 y 98 pero no en Windows NT. Los expertos recomiendan: antivirus y copias de seguridad.

ESTE LUNES 26/04/1999, UN NUEVO VIRUS AFECTARÁ A MILES DE PCs

Expertos en seguridad informática de todo el mundo han advertido sobre los notables perjuicios que puede causar en los PCs este lunes, día 26 de abril, el virus denominado CIH/Chernobyl, que reside desde hace meses en miles de ordenadores y se activará en esa fecha, coincidiendo con el decimotercer aniversario del desastre de la central nuclear ucraniana. El virus actúa sobre máquinas con Windows 95 y 98, pero no Windows NT, borrando la información contenida en el disco duro e imposibilitando iniciar programas.

Desde que fuera descubierto, en el verano de 1998, los fabricantes anti-virus han desarrollado protectores, la mayoría de los cuales se pueden descargar gratuitamente de Internet. Network Associates y Symantec sugieren, por ejemplo, aplicar las últimas versiones sus respectivos programas, el popular McAfee y Norton, antes del lunes. Asimismo, compañías y expertos recomiendan efectuar una copia de seguridad del disco duro.

A diferencia del "Melissa", el virus de más rápida propagación y efecto mediático de la historia de Internet, el "CIH/Chernobyl" puede causar daños infinitamente más graves, sobre todo en redes corporativas.

Pero el pueblo de ucraniano de Chernobyl, nunca podrá imaginarse que su "explosiva" fama trascendería largamente a sus fronteras, en algo tan extrañamente ajeno a la consciencia de su pueblo. Lo extraño es que las computadoras deben de todo el mundo deben sufrir en un muy breve plazo, otro descomunal desastre: "el problema del año 2000".

¿Cómo podrá explicársele al sufrido pueblo de Chernobyl, que las centrales nucleares de todo el mundo, serán las víctimas más críticas de la problemática del año 2000, que involucra necesariamente a las computadoras que funcionan en sus recintos, controlando al fatídico reactor, cuando "estalle" la incertidumbre de no saber en qué maldito día se encuentren?, ¿Qué tiene que ver el pueblo de Chernobyl, en toda esta masacre?, ¿Acaso se trata de un pueblo maldito... ?

A propósito, vea por ejemplo lo que este mismo diario electrónico, y en otra noticia aparentemente inconexa, nos advierte:

EL EFECTO 2000: EXPERTOS ADVIERTEN SOBRE EL RIESGO EN PLANTAS NUCLEARES

Expertos nucleares han expresado su preocupación acerca del funcionamiento de la central de Chernobyl y de otras plantas de la antigua Unión Soviética el 1 de enero del 2000, cuando se compruebe el efecto del "bug del milenio". Según un despacho de la agencia Reuters en Kiev, algunos expertos estiman que el "Efecto 2000" incidirá en la planta nuclear de Chernobyl, mientras otros técnicos consideran que todavía hay tiempo para solucionarlo.

Así, Yury Nertin, el ingeniero jefe de la central, dijo esta semana en una conferencia de prensa: "Estamos trabajando sobre el problema, y estamos seguros de que estará solucionado antes del 2000". Este lunes se cumplen trece años desde que estallara el núcleo de Chernobyl, originando una nube radioactiva sobre Ucrania, Bielorrusia, Rusia y parte de Europa Occidental.

Monumento en Slavutich, en memoria a los empleados que murieron después de la catástrofe. (El Reactor Número 4 explotó el 26 de abril de 1986). Se estima el número de víctimas en 125,000 personas. (fuente UNESCO)

Por su parte, Lola Espinosa <>, colistera de una de las tantas listas de distribución de habla hispana, nos comentaba en su mensaje:

"El pasado día 26 el ordenador de un colega resultó tremendamente dañado por el nuevo virus Chernobyl (ni siquiera reconoce su sistema operativo). ¿Alguno sabe como se puede desactivar el virus y recuperar todo lo dañado?"

Un nuevo virus está causando estragos. Y eso mismo ocurrió este lunes en las computadoras de una gran cantidad de empresas y particulares.

El virus Chernobyl

El virus Chernobyl es una variante de W95.CIH virus. Fue creado en Taiwán a mediados de 1998 y es el primer virus que ha causado serios daños a las PC por modificación o corrupción de la programación del chip BIOS, sobreescribiendo parte de este firmware . La modificación se traduce en la incapacidad del reinicio de la computadora, tornándola completamente inútil. Esta vez se trata de un daño físico (ataque sobre el) ante la imposibilidad de corregir el programa dañado.

Aunque Ud. no lo crea, el virus CIH lleva 14 meses desde que fue informada su existencia en la "WildList" mantenida por Joe Wells de IBM. Esto muestra que el virus está ahora en plena circulación (¿cuántos más se estarán en esto momentos "incubando"?) y que los usuarios están expuestos al riesgo de una infección, si es que sus antivirus todavía no están actualizados. La propagación del CIH fue originada a partir de un CD de la revista ROM's y desde varios sitios Web confiables. Ésto da una idea cabal de la extremadamente alta velocidad de propagación que posee.

Ficha Técnica

Nombre: Chernobyl / W95.CIH

Tipo: Virus tradicional. Los virus de archivos tradicionales infectan archivos ejecutables (por ejemplo, los archivos .exe y .com). Cuando se ejecuta un archivo o programa infectado, el virus se ejecuta primero y luego pasa el control al programa original. Cuando el virus tiene el control, lo aprovecha para replicarse en otro archivo, y así sucesivamente.

Activación: Según sus diferentes variantes, el virus CIH se activa en días diferentes. La variante más común se activa el 26 de abril de 1999, mientras que otras, pueden hacerlo otros días 26 de todos o diferentes meses. En efecto, a tan corto tiempo de su aparición inicial, se confirmaron tres variantes: la versión1.2 se activa los días 26 de abril, la v.1.3 los días 26 de junio, y la v.1.4 se activa en los días 26 de cada mes.

Infección: El CIH no infecta a archivos de documentos, solo a ejecutables. Infecta a los archivos ejecutables de 32 bits, en computadoras controladas por los sistemas operativos Windows 95 y Windows 98, y a todos los ficheros de este tipo, que encuentre a su paso. Si luego se ejecuta un fichero infectado, el virus queda residente en memoria y desde allí, infectará a cuantos archivos sean copiados o abiertos en los sucesivo. Los archivos infectados serán del mismo tamaño que los originales, debido a las técnicas especiales que utiliza dicho virus, lo cual hace mas difícil su detección. Éste busca espacios vacíos dentro del fichero y los va rellenando con el código viral, en pequeños segmentos. Pero --en este caso afortunadamente-- ¡nada es perfecto!, el virus tiene algunos bugs (errores de programación) que ocasionan bloqueos de la computadora cuando se ejecutan los ficheros infectados.

En Windows NT y Windows 3.XX, el CIH nunca podrá estar activo y por ello no será capaz de dañar a computadoras controladas por estos sistemas operativos. Pero estas máquinas no podrán impedir ser verdaderas "portadoras" del virus, con sus consecuencias lógicas de permitir la difusión y el contagio con sus congéneres, vinculadas en red.

Si es Ud. una persona con conocimientos más avanzados, y desea conocer detalles técnicos más profundos, vea el siguiente comentario tomados de textos de ZDNet y de Symantec http://www.symantec.com traducidos por Lucas Morea; Información de los productores de F-PROT y Command AntiVirus; notas aparecidas en el foro ALT.COMP.VIRUS de Internet y los textos de ITASA http://www.itasa.com.mx

Cuando el virus se dispone a infectar un archivo, busca un hueco o "caverna" en el cuerpo del archivo. Estos huecos son normales en la estructura de los archivos PE (Portable Executable) en la que todas las secciones del archivo se alínean mediante un valor que se define en el encabezado de ese tipo de archivos... y nunca hay bloques de datos entre el final de una sección y el principio de la siguiente lo que significa "espacio disponible". En esos huecos escribe el virus su código e incrementa el tamaño de las secciones con los valores necesarios con lo cual el tamaño del archivo no aumenta.

Si se encuentra un hueco del tamaño suficiente, el virus guarda su código en una sola sección, de lo contrario se segmenta en las piezas y secciones que sean necesarias hasta completar todo el código.

El CIH busca también un hueco en el encabezado del PE. Si localiza un bloque libre de al menos 184 bytes, allí escribe su rutina de arranque y modifica la dirección de entrada en el encabezado del PE para que apunte al propio virus. Una vez que la rutina de arranque toma control, reserva memoria y se copia allí, localiza cualesquiera otros bloques que contengan fragmentos del virus y los agrega al bloque de memoria que reservó. A continuación el virus secuestra las rutinas de control de entrada salida (IFS API de Windows) y devuelve el control al programa anfitrión.

Como ya se mencionaba, lo más interesante desde el punto de vista técnico, es que el virus emplea complejos trucos para saltar del anillo 3, --que es la capa de software en la que corren todas las aplicaciones del usuario ¡incluyendo el antivirus!-- al anillo 0 del procesador (capas de software que determinan el nivel de protección disponible a un programador) para secuestrar las llamadas al sistema, burlando así la posibilidad de ser detectado por los productos antivirus.

El manejador de archivos del virus intercepta solo una función, la apertura de archivos. Cuando un .EXE se abre, el virus lo infecta, siempre que contenga huecos suficientes y en seguida verifica la fecha del archivo para decidir si es tiempo de activar sus rutinas destructivas. En este punto el virus hace llamadas directas a los puertos del Flash BIOS y de acceso a discos para evadir el sistema operativo.

Dado que ningún virus había llegado hasta allí con anterioridad, los antivirus simplemente no están preparados para esa tecnología y se requiere de una solución especialmente diseñada para ese virus, que por otra parte ya han sido desarrolladas y puestas a disposición del público en los modernos AntiVirus.

Daño: El daño que origina ete virus, puede ser analizado desde tres ángulos diferentes:

1. Sobreescribe, rellenando con ceros, la información (nuestros documentos) del disco duro, usando llamadas de escritura directa. Queda como única alternativa la recuperación a partir de respaldos (o backups), si es que se disponen.
3. Aunque únicamente infecta a archivos, al momento de causar el daño no establece preferencias, pues destruye tanto los archivos, como el MBR (Master Boot Record) y el sector BOOT de arranque del sistema operativo. Todas las variantes de este virus borran los primeros 2048 sectores del disco rígido (casi 1 Mb), esencialmente formateándolo, superando las protecciones antivirus del BIOS y dejando a la computadora inutilizable ante la imposibilidad de su reinicio.
4. La mayor perversidad del CIH radica en una rutina de activación única: el virus intenta sobreescribir el BIOS de la máquina con basura, no con código viral como se ha corrido el rumor. Lo bueno es que esto únicamente es posible en los llamados Flash BIOS; la malo es que prácticamente todos los BIOS en la actualidad son de este tipo. Si el CIH logra sobreescribir el BIOS, la máquina nunca volverá a arrancar, a menos que se cambie su placa madre (motherboard) o se reprograme el Flash BIOS. Pero esto es algo que muy pocos usuarios saben cómo hacer y que no se trata de algo trivial, porque existen miles de BIOS diferentes (incluso de un mismo fabricante).

La rutina del Flash BIOS opera en muchos modelos de máquinas con procesadores Pentium. En algunas placas madres es posible activar su protección mediante un puente (jumper), pero por desgracia la mayoría de estas son configuradas de fábrica, con dicha protección desactivada. Por lo tanto, para recuperarse del desastre, en principio es necesario el reemplazo físico del chip del BIOS directamente en la placa madre, o en algunos casos más graves la sustitución completa de la propia placa madre.

Cómo combatir el virus Chernobyl

Si está leyendo estas líneas, siga este procedimiento de manera sistemática, paso a paso sin olvidar ninguno. Pueden presentarse dos alternativas, pero en cualesquiera de ellas, se impone la ejecución de los necesarios primeros dos pasos:

1. Hacer una copia impresa (hard copy) en papel de este documento ahora mismo (antes que ocurra algo imprevisto). Esto le permitirá una segura referencia para ejecutar el procedimiento paso a paso, con la seguridad de tenerlo escrito en sus manos. Si no hay peligro de momento, guarde este impreso en lugar seguro, junto al disquete que se cita en el paso siguiente.
2. Obtenga de inmediato el disquete de inicio que Ud. mismo preparó en oportunidad de la instalación de su sistema operativo, que por supuesto (doy por sentado que Ud. es una persona previsora) mantuvo guardado en un lugar "fresco y seco", envuelto en papel estaño (para protegerlo de los efluvios magnéticos del ambiente) y todo el paquete anterior, nuevamente envuelto en una bolsa de polietileno (para protegerlo de la humedad ambiente). Si no dispone de este disco, pídale a un amigo que le permita realizar esta operación, sobre un disco virgen confiable.

Si su computadora PUEDE reiniciarse:

1. Consiga un programa antivirus actualizado, de los tantos que se ofrecen en el mercado, la mayoría de ellos muy efectivos, los que incluso permiten su actualización "en línea", vía Internet. Tal es el caso del Norton AntiVirus (por citar alguno, quizás el más popular). Si le interesa, puede bajar versiones "trial" (válidas por 30 días), de este programa en español desde aquí: Norton AntiVirus 5.0 para Windows 95 (12Mb) y Norton AntiVirus 5.0 para Windows 98 (12Mb) (es necesario registrarse primero para hacer el "download"). Alternativamente Ud. puede consultar nuestras sugerencias, más adelante en el tema "Software Detector".
2. Inicie su computadora, por ahora solo para entrar al "setup" de BIOS y habilitar allí (opción enable) el arranque de su computadora a partir de un disquete de inicio. Esto es así, porque supuestamente Ud. habría configurado el arranque de su computadora a partir únicamente del disco rígido C: (justamente para evitar una infección a partir de disquetes contaminados y "olvidados" en la unidad A:)
3. Reinicie su computadora con el disquete de inicio obtenido en el punto 2.
4. Cuando aparezca el indicador C:\>_ ejecute el archivo kill_cih.exe Este programa desactiva el virus de memoria, deteniendo así sus acciones de infección, para permitir la remoción por parte del antivirus. Es importante tener en cuenta, que este ejecutable no elimina el virus, sino que impide su proceso de infección, desactivándolo de memoria... hasta la próxima vez que se inicia la computadora.
5. Si su disco de inicio estuviese infectado, es posible que esta utilidad no detecte la infección, pero de todas formas es importante correrla antes de ejecutar el antivirus (o de actualizarlo por Internet), ya que si se intenta la desinfección antes, sólo se estará infectando al resto de los archivos con el virus. Entonces estará en condiciones de aplicar un potente antivirus de reconocida eficacia, sin prisa, configurándolo para que rastree todo tipo de archivo: ejecutables o no, incluyendo a los comprimidos.

SI su computadora NO PUEDE reiniciarse:

1. Encienda su computadora e intente entrar al "setup" de BIOS. Pruebe el auto-reconocimiento de su disco rígido. Verifique que efectivamente la ROM BIOS reconozca a su disco rígido. Si su disco rígido es reconocido, continúe con el procedimiento anterior en el punto a.
2. Si su rígido no es reconocido, controle cuidadosamente las conexiones físicas (conectores y cables bien enchufados). Una buena manera de hacerlo, es desenchufando y enchufando cada conector, uno por uno... sin olvidar ninguno.
3. Reinicie su computadora con el disquete de inicio obtenido en el punto 2.
4. Cuando aparezca el indicador A:\>_ escriba fdisk /mbr y pulse ENTER. Si el daño estaba localizado en una partición del disco rígido, esta acción será suficiente para restaurarla y corregirla. Se comprueba reiniciando exitosamente la computadora.
5. Alternativamente, en el CD de instalación de Windows 95/98 puede recurrir a un programa llamado ERU (Utilidad de Recuperación de Emergencia) que es muy útil en estos casos, sin embargo es necesario correrlo antes de que llegue el problema, pues el ERU lo que hace es sacar una copia muy completa de los archivos del registro y de la configuración de sistema operativo, para poder hacer la restauración posteriormente.
6. Si las acciones anteriores fallan, llega el momento de intentar el formateo en bajo nivel del disco rígido, operación muy delicada y específica para técnicos especializados, que no recomiendo la practique un usuario no calificado técnicamente.

Software detector

• El más grande impacto es localizado en las computadoras personales, dice Viveros, quien agrega que los usuarios pueden descargar programas anti-virus libre desde su empresa ubicada en el sitio http://www.nai.com/ El virus puede venir a través del e-mail o en programas pirateados contaminados.
• Si es Ud. usuario de Norton AntiVirus recientemente actualizado, de seguro está cubierto, como lo afirman sus fabricantes. Si su antivirus no posee el último archivo de definiciones, debería correr el "LiveUpdate!". Symantec aconseja que esa actualización se haga por lo menos con una frecuencia mensual. Nuevas definiciones de virus están disponible vía el LiveUpdate! en la publicaciones semanales.

Si tiene grandes sospechas de estar infectado, puede bajar una herramienta gratis para Windows 95/98 desde el sitio Symantec's web que detectará y eliminará el CIH virus. Haga su "download" desde http://www.symantec.com/nav/navc.html

• Usando el antivirus AVP (Antiviral Toolkit Pro), de distribución gratuita como demostración, se puede conseguir en la siguiente dirección: www.avp.com
• Otros antídotos para este virus los encontrará en:

http://www.pandasoftware.es

http://www.symantec.com

http://www.nai.com

Ampliaciones

• La empresa especialista Symantec, en su sitio web http://www.symantec.com/region/uk/avcenter/chernobyl.html brinda detalles más profundos.
• La multinacional española Panda Software, ofrece una rutina de desinfección gratuita para todos los usuarios en http://www.pandasoftware.es

Sugerencias finales

Con demasiada frecuencia -desafortunadamente-- se observa en los mensajes de las listas de correo, pedidos de auxilio como el citado al principio. Si a alguien más le sucedió algo similar a que "se le desapareció" su disco rígido, en una fecha alrededor del 26 de abril , lo más probable es que se trate del virus CIH.

Pero el problema es más grave está en las empresas que usan el correo electrónico dentro de las aplicaciones de red, tanto a través de un navegador WEB como con Telnet y FTP. Se ha convertido en parte importante para la vida de las empresas y los corporativos, porque es una parte integral en sus comunicaciones.

Realmente resulta imposible imaginar una empresa que pueda operar sin un sistema de correo electrónico eficaz, ya sea de tipo local o remoto. Internet se ha convertido en un medio muy utilizado por las empresas grandes y medianas para el manejo de su correo electrónico.

Por medio del correo electrónico se pueden enviar y recibir no sólo mensajes, sino también archivos ejecutables, encriptados o comprimidos. En el caso de los archivos comprimidos se persigue disminuir el tráfico en la red. Desafortunadamente, estos archivos pueden contener un virus, que se pueden diseminar rápidamente, con los riesgos que ya conocemos. La mayoría de los antivirus no pueden rastrear en los correos buscando por virus, debido a que tienen un formato especial además de que pueden estar en formato comprimido y/o encriptados.

Los virus que infectan archivos, pueden ser transmitidos a través de éstos por medio del correo electrónico como archivos anexados o adjuntos.

Quizás ahora mismo Ud. esté haciéndose estas preguntas:

¿Mi computadora puede contraer una infección cuando navego por internet?

Por el simple echo de estar conectado a internet no se transfiere ningun tipo de virus informático. Existe quizá algún peligro, examinando páginas web o "bajando" archivos de la red.

Las páginas web que utilizan objetos ActiveX pueden contener virus, puesto que ellos son realmente ficheros ejecutables, recogidos por nuestro navegador y ejecutados en nuestras PC. Podrían eventualmente ser utilizados inescrupulosamente para propagar un virus.

La "seguridad" de los objetos ActiveX consiste simplemente en un certificado digital de autenticidad, "firmado" por quien ha creado el objeto. Pero un simple certificado de autenticidad no puede garantizar que no esté un virus presente.

También podemos recibir páginas que utilizan Applets de Java. Estos programas no llegan a ser descargados por nuestro navegador, se ejecutan en un entorno muy restringido, y no hay acceso a la PC, o al disco duro, con lo que resulta prácticamente imposible infectarnos con applets (al menos hoy por hoy).

Durante el proceso de descarga de ficheros, también es muy difícil recoger un virus, tenemos las mismas condiciones que con los applets de java, pero una vez que el fichero ha llegado completamente a nuestro PC, debe ser chequeado antes de ejecutarse, ya que podria contener un virus.

¿Qué hacer con los virus del correo electrónico?

Con estos podemos estar tranquilos, ya que un virus no puede copiarse ni romper nuestro disco duro tan solo por leer un correo electrónico, porque se trata simplemente de un archivo de texto (no ejecutable).

Una cosa muy diferente, son los ficheros adjuntos (attachments), ya que podemos recibir un fichero ejecutable que podria contener un virus. Lo mejor es no ejecutar directamente los archivos desde nuestro navegador, sino almacenarlos en nuestro disco duro y antes de ejecutarlos, chequearlos con un anti-virus confiable. Es recomendable por lo mismo, abstenerse en lo posible de enviar archivos adjuntos, por idéntico riesgo que representa para nuestros corresponsales.

Si su programa de correo electrónico esta configurado para leer los mensajes automáticamente con Microsoft Word, es posible recibir un virus-macro e infectar a nuestro Ms-Word. Si tiene esta opción activada; desactívala, y chequea los ficheros recibidos antes de ejecutarlos.

Finalmente, y por si quedara alguna duda, lo mejor es tomar por norma eliminar los ficheros recibidos por corresponsales desconocidos, aquellos que no hemos solicitado. No exponga sus datos a un riesgo innecesario por abrir (o ejecutar) un archivo desconocido.

Enciclopedias de Virus en Internet

Si necesita más información sobre un determinado virus, muchos desarrolladores de programas antivirus proporcionan una más amplia informacion. Vienen a modo de ejemplo, los siguientes:

Antiviral Toolkit Pro Incluye solamente los principales detalles.
DataFellows Organizados por nombre y pais. Muy actualizado.
Dr. Solomon Importantes detalles de los principales virus.
Symantec Mas de 10,000 virus, organizados por nombre.
Trend Micro Muchos virus organizados por nombre, muchos detalles.
Cheyenne Descripcion tecnica de virus informaticos.
IBM Listado de virus y alias.
Network Associates (McAfee) Listado de virus, con varias referencias.
Quarterdeck Amplio listado de virus por nombre, muchos detalles.
Stiller Research Listado de virus por nombre y otras referencias.
Virus Bulletin Algunos articulos sobre virus, con muchos detalles.

El que a hierro mata...

DETENIDO UN TAIWANÉS CREADOR DEL VIRUS «CIH/CHERNOBYL»

Un joven ingeniero de informática taiwanés de 24 años, Chen Ing-Hau, ha admitido ser el autor del virus CIH/Chernobyl, que el lunes 26 afectó a miles de ordenadores de todo el mundo, borrando la información contenida en el disco duro y obligando a reinstalar todos los programas incluido el sistema operativo. Chen Ing-Hau, antiguo estudiante del Tatung Institute of Technology de Taiwan, y actualmente en el servicio militar de su país, bautizó el virus utilizando las primeras letras de su nombre y apellidos: CIH.

El autor del virus fue localizado y detenido por la policía de Taipei siguiendo pistas y basándose en testimonios como el de su antiguo decano, Lee Chee-Chen, quien desveló que ya antes, el joven había sido sancionado por infectar una red local intercolegial con otra de sus "creaciones".

Sin embargo, en el momento actual, Chen Ing Hau está en libertad, dado que, según los investigadores, una serie de lagunas jurídicas en la legislación de Taiwan impiden incriminarlo.

"No es un delincuente hasta que alguien no presente una demanda judicial", ha dicho a Reuters un portavoz de la policía de Taipei. El virus de "Chen" causó gran efecto en países con escasa protección en los programas como Corea del Sur, Turquía, Corea, India y países de Oriente Medio. Sin embargo, según la policía nadie ha dado cuenta de problemas en Taiwan.

Una vez detenido y puesto a continuación en libertad, Chen se mostró arrepentido y se ofreció a ayudar a las víctimas a eliminar el virus.

http://www.labrujula.net/semanal/

 

Trabajo realizado por

Raúl Vera