- ¿Cómo surgen los
virus informáticos? - Objetivo
- Los virus
- ¿Cómo se
producen las infecciones de los virus
informáticos? - ¿Cuántas especies
de virus se reconocen en el mundo? - ¿Qué
tácticas antivíricas se deben
tomar? - Estrategias
virales - Los Antivirus
- Tipos de
antivirus - ¿Cómo realizan las
detecciones los Antivirus? - Vacunación
- ¿Dónde buscar los
antivirus? - Conclusiones
- Bibliografía
¿Cómo vigilar la entrada de virus
informáti en su computadora?,
la respuesta a esta pregunta puede ser muy corta: VIGILA o
puede ser muy larga: CONOCIMIENTO DE LOS VIRUS, DE LOS
ANTIVIRUS Y
VIGILANCIA SEGURA DE SU COMPUTADORA
CONTRA LOS VIRUS
INFORMÁTICOS. Si desea la primera, puede Ud.
remitirse al punto 5 de este material, pero si en realidad
desea conocer los ¿por qué? empiece la lectura del
mismo desde el inicio hasta el fin y luego aplique lo que
conoció en este a su computadora. Haga realidad este
mensaje: PROTEJÁMONOS CONTRA LOS VIRUS
INFORMÁTICOS.
Los virus informáticos son programas,
generalmente destructivos, que se introducen en el ordenador (al
leer un disco o acceder a una red informática) y pueden provocar
pérdida de la información (programas y
datos)
almacenada en el disco
duro.
¿Cómo
surgen los virus informáticos?
En 1949, el matemático estadounidense de origen
húngaro John von Neumann, en el Instituto de Estudios
Avanzados de Princeton (Nueva Jersey), planteó la
posibilidad teórica de que un programa
informático se reprodujera. Esta teoría
se comprobó experimentalmente en la década de 1950
en los Laboratorios Bell, donde se desarrolló un juego llamado
Core Wars en el que los jugadores creaban minúsculos
programas informáticos que atacaban y borraban el sistema del
oponente e intentaban propagarse a través de
él.
En 1983, el ingeniero eléctrico estadounidense
Fred Cohen, que entonces era estudiante universitario,
acuñó el término de "virus" para describir
un programa
informático que se reproduce a sí mismo.
En 1985 aparecieron los primeros caballos de Troya,
disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado
NUKE-LA.
Pronto les siguió un sinnúmero de virus
cada vez más complejos. El virus llamado Brain
apareció en 1986, y en 1987 se había extendido por
todo el mundo.
En 1988 aparecieron dos nuevos virus: Stone, el primer
virus de sector de arranque inicial, y el gusano de Internet, que cruzó
Estados Unidos
de un día para otro a través de una red informática. El virus Dark Avenger, el
primer infector rápido, apareció en 1989, seguido
por el primer virus polimórfico en 1990. En 1995 se
creó el primer virus de lenguaje de
macros,
WinWord Concept.
Ante este mal que surge en el mundo de la
Informática surgieron los llamados programas antivirus que los
reconocen y son capaces de 'inmunizar' o eliminar el virus del
ordenador.
De ahí la importancia que tienen el
conocimiento de "este mal informático" y sobre todo
como poder
enfrentarlo en estos tiempos, que con el surgimiento de las
Nuevas
Tecnologías de la Información (NTI) son más propensos
a propagarse.
Brindar una información teórica sobre
los virus informáticos, antivirus y cómo instalar
el antivirus McAfee VirusScan.
DESARROLLO:
En informática se conoce como Virus
a un programa de ordenador que se reproduce a sí mismo e
interfiere con el hardware de una computadora o con su
sistema operativo
(el software básico que controla la
computadora).
Los virus están diseñados
para reproducirse y evitar su detección. Como cualquier
otro programa informático, un virus debe ser ejecutado
para que funcione: es decir, el ordenador debe cargar el virus
desde la memoria del
ordenador y seguir sus instrucciones. Estas instrucciones se
conocen como carga activa del virus, esta trastornar o modificar
archivos de
datos,
presentar un determinado mensaje o provocar fallos en el sistema
operativo.
Existen otros programas informáticos
nocivos similares a los virus, pero que no cumplen
ambos requisitos de reproducirse y eludir su detección.
Estos programas se dividen en tres categorías:
- Caballos de Troya: Un caballo de Troya aparenta ser
algo interesante e inocuo, por ejemplo un juego, pero cuando se
ejecuta puede tener efectos dañinos. - Bombas lógicas: Una bomba lógica libera su carga activa cuando se
cumple una condición determinada, como cuando se alcanza
una fecha u hora determinada o cuando se teclea una
combinación de letras. - Gusanos: Un gusano se limita a reproducirse, pero
puede ocupar memoria de
la
computadora y hacer que sus procesos
vayan más lentos.
¿CÓMO SE PRODUCEN LAS INFECCIONES DE
LOS VIRUS INFORMÁTICOS?
Los virus informáticos se difunden cuando las
instrucciones —o código
ejecutable— que hacen funcionar los programas pasan de un
ordenador a otro. Una vez que un virus está activado,
puede reproducirse copiándose en discos flexibles, en el
disco duro, en
programas informáticos legítimos o a través
de redes
informáticas. Estas infecciones son mucho más
frecuentes en PC que en sistemas
profesionales de grandes computadoras,
porque los programas de los PC se intercambian fundamentalmente a
través de discos flexibles o de redes informáticas no
reguladas.
Los virus funcionan, se reproducen y liberan sus
cargas activas sólo cuando se ejecutan. Por eso, si un
ordenador está simplemente conectado a una red informática
infectada o se limita a cargar un programa infectado, no se
infectará necesariamente. Normalmente, un usuario no
ejecuta conscientemente un código
informático potencialmente nocivo; sin embargo, los virus
engañan frecuentemente al sistema operativo
de la computadora o al usuario informático para que
ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a
programas legítimos. Esta adhesión puede producirse
cuando se crea, abre o modifica el programa legítimo.
Cuando se ejecuta dicho programa, lo mismo ocurre con el virus.
Los virus también pueden residir en las partes del disco
duro o flexible que cargan y ejecutan el sistema operativo cuando
se arranca el ordenador, por lo que dichos virus se ejecutan
automáticamente. En las redes informáticas, algunos
virus se ocultan en el software que permite al usuario
conectarse al sistema.
¿CUÁNTAS ESPECIES DE VIRUS SE
RECONOCEN EN EL MUNDO?
Existen seis categorías de
virus:
- Parásitos: Los virus parásitos
infectan ficheros ejecutables o programas de la computadora.
No modifican el contenido del programa huésped, pero
se adhieren al huésped de tal forma que el
código del virus se ejecuta en primer lugar; pueden
ser de acción directa o residentes.
Un virus de acción directa selecciona
uno o más programas para infectar cada vez que se
ejecuta.
Un virus residente se oculta en la memoria
del ordenador e infecta un programa determinado cuando se
ejecuta dicho programa.
- Del sector de arranque inicial: Los virus
del sector de arranque inicial residen en la primera parte
del disco duro o flexible, conocida como sector de arranque
inicial, y sustituyen los programas que almacenan
información sobre el contenido del disco o los
programas que arrancan el ordenador. Estos virus suelen
difundirse mediante el intercambio físico de discos
flexibles. - Multipartitos: Los virus multipartitos
combinan las capacidades de los virus parásitos y de
sector de arranque inicial, y pueden infectar tanto ficheros
como sectores de arranque inicial. - Acompañantes: Los virus
acompañantes no modifican los ficheros, sino que crean
un nuevo programa con el mismo nombre que un programa
legítimo y engañan al sistema operativo para
que lo ejecute. - De vínculo: Los virus de
vínculo modifican la forma en que el sistema operativo
encuentra los programas, y lo engañan para que ejecute
primero el virus y luego el programa deseado. Un virus de
vínculo puede infectar todo un directorio
(sección) de una computadora, y cualquier programa
ejecutable al que se acceda en dicho directorio desencadena
el virus. - Fichero de datos: Infectan programas que
contienen lenguajes de macros
potentes (lenguajes de
programación que permiten al usuario crear nuevas
características y herramientas) que pueden abrir, manipular y
cerrar ficheros de datos. Estos virus, llamados virus de
ficheros de datos, están escritos en lenguajes de
macros y se ejecutan automáticamente cuando se abre el
programa legítimo. Son independientes de la
máquina y del sistema operativo.
¿QUÉ TÁCTICAS
ANTIVÍRICAS SE DEBEN TOMAR?
4.1. Preparación y prevención:
Los usuarios pueden prepararse frente a una
infección viral creando regularmente copias de seguridad del
software original legítimo y de los ficheros de
datos, para poder
recuperar el sistema informático en caso necesario. Puede
copiarse en un disco flexible el software del sistema
operativo y proteger el disco contra escritura,
para que ningún virus pueda sobreescribir el disco. Las
infecciones virales pueden prevenirse obteniendo los programas de
fuentes
legítimas, empleando una computadora en cuarentena para
probar los nuevos programas y protegiendo contra escritura los
discos flexibles siempre que sea posible.
4.2 Detección de virus: Para detectar la
presencia de un virus pueden emplearse varios tipos de programas
antivíricos.
4.2.1. Los programas de rastreo pueden
reconocer las características del código
informático de un virus y buscar estas
características en los ficheros del ordenador. Como
los nuevos virus tienen que ser analizados cuando aparecen,
los programas de rastreo deben ser actualizados
periódicamente para resultar eficaces. Algunos
programas de rastreo buscan características habituales
de los programas virales; suelen ser menos
fiables.
4.2.2. Los únicos programas que detectan
todos los virus son los de comprobación de suma, que
emplean cálculos matemáticos para comparar
el estado
de los programas ejecutables antes y después de
ejecutarse. Si la suma de comprobación no cambia, el
sistema no está infectado. Los programas de
comprobación de suma, sin embargo, sólo
pueden detectar una infección después de que se
produzca.
4.2.3. Los programas de vigilancia detectan
actividades potencialmente nocivas, como la sobreescritura de
ficheros informáticos o el formateo del disco duro de
la computadora. Los programas caparazones de integridad
establecen capas por las que debe pasar cualquier orden de
ejecución de un programa. Dentro del caparazón
de integridad se efectúa automáticamente una
comprobación de suma, y si se detectan programas
infectados no se permite que se ejecuten.
4.2 Contención y
recuperación:
Una vez detectada una infección viral,
ésta puede contenerse aislando inmediatamente los
ordenadores de la red, deteniendo el
intercambio de ficheros y empleando sólo discos protegidos
contra escritura. Para que un sistema informático se
recupere de una infección viral, primero hay que eliminar
el virus. Algunos programas antivirus intentan eliminar los virus
detectados, pero a veces los resultados no son satisfactorios. Se
obtienen resultados más fiables desconectando la
computadora infectada, arrancándola de nuevo desde un
disco flexible protegido contra escritura, borrando los ficheros
infectados y sustituyéndolos por copias de seguridad de
ficheros legítimos y borrando los virus que pueda haber en
el sector de arranque inicial.
Los autores de un virus cuentan con varias
estrategias
para escapar de los programas antivirus y propagar sus creaciones
con más eficacia.
- Los llamados virus polimórficos
efectúan variaciones en las copias de sí mismos
para evitar su detección por los programas de
rastreo. - Los virus sigilosos se ocultan del sistema
operativo cuando éste comprueba el lugar en que reside
el virus, simulando los resultados que proporcionaría un
sistema no infectado. - Los virus llamados infectores rápidos
no sólo infectan los programas que se ejecutan sino
también los que simplemente se abren.
Esto hace que la ejecución de programas de
rastreo antivírico en un ordenador infectado por este tipo
de virus pueda llevar a la infección de todos los
programas del ordenador. Los virus llamados infectores
lentos infectan los archivos
sólo cuando se modifican, por lo que los programas de
comprobación de suma interpretan que el cambio de suma
es legítimo. Los llamados infectores escasos
sólo infectan en algunas ocasiones: por ejemplo, pueden
infectar un programa de cada 10 que se ejecutan. Esta estrategia hace
más difícil detectar el virus.
Los antivirus son programas que tratan de detectar, si
un objeto informático ejectuable es infectado por un
programa Virus.
La mayoría de los antivirus pueden restaurar el
archivo
infectado a su estado
original, aunque no siempre es posible, dado que los virus pueden
haber hecho cambios no reversibles.
Los antivirus pueden también borrar los archivos
infectados o hacer el virus inofensivo.
¿Por qué y para qué se crearon
los antivirus?
¿Por qué?:
Porque los virus en muchos casos causan daño a
los datos y archivos. En caso contrario todavía queda la
reducción del rendimiento de la computadora, causado por
el aumento de tamaño de los archivos, y la actividad
computacional adicional para su reproducción.
¿Para qué?:
Para detectar la infección, y para eventualmente
restaurar los archivos infectados.
También se aplican preventivamente: Antes de
introducir un archivo al
sistema por copia de un disquete o guardar un archivo
añadido a un Email, o antes de ejecutar, abrir o copiar un
archivo dentro del sistema se revisa si presenta
infección, y se aborta la acción intentada, o
retrazada hasta que el archivo u objeto informático
esté desinfectado
Clasificación A, por acción:
Solo detección
Detección y desinfección
Detección y aborto de la
acción
Detección y eliminación del
archivo/objeto
Clasificación B, por método
de detección:
Comparación directa
Comparación por signatura
Comparación de signatura de archivo
(detección por comparación con atributos
guardados).
Por métodos heurísticos
Clasificación C, por instante de
activación:
Invocado por el/la usuario/a
Invocado por actividad del sistema (abrir, ejecutar,
copiar, guardar archivo)
Clasificación D, por Objeto
infectado:
Sector de Arranque
Archivo Ejecutable
Java
¿Cómo
realizan las detecciones los Antivirus?
A medida que evolucionan las técnicas
empleadas por los virus y éstas son investigadas, los
programas antivirus incorporan medidas de búsqueda y
detección más avanzadas como las
siguientes:
- Búsqueda de Cadenas:
Cada uno de los virus contiene en su interior
determinadas cadenas de caracteres que le identifican (firmas del
virus). Los programas antivirus incorporan un fichero denominado
"fichero de firmas de virus" en el que guardan todas estas
cadenas, para hacer posible la detección de cualquiera de
ellos. Por lo tanto, para detectar un virus, se analizan los
ficheros comprobando si alguno de ellos contiene alguna de las
cadenas comentadas. Si el fichero analizado no contiene ninguna
de ellas, se considera limpio. Si el programa antivirus detecta
alguna de esas cadenas en el fichero, indica la posibilidad de
que éste se encuentre infectado. En tal caso, se
producirá la desinfección.
- Excepciones:
Una alternativa en lo que se refiere a la
detección de virus, es la búsqueda de excepciones.
Cuando un virus utiliza una cadena para realizar una
infección, pero en posteriores infecciones emplea otras
distintas, es difícil detectarlo. En ese caso lo que el
programa antivirus consigue es realizar directamente la
búsqueda de un virus en concreto.
- Análisis Heurístico:
Cuando no existe información para detectar un
posible nuevo virus (que aun no se conoce), se utiliza esta
técnica. Con ella se analizan los archivos, obteniendo
determinada información (tamaño, fecha y hora de
creación, posibilidad de colocarse en memoria,…etc.).
Esta información es contrastada por el programa antivirus
con las informaciones que se hayan podido recogen en ocasiones
anteriores a cerca de cada uno de los ficheros objeto del
análisis. El antivirus será quien
decida si puede tratarse de una infección vírica, o
no.
- Protección Permanente:
La protección permanente vigila constantemente
todas aquellas operaciones
realizadas en el ordenador que sean susceptibles de permitir una
infección por un virus. Si se tiene activada una buena
protección, el riesgo de
contagio es mínimo, y se facilita enormemente el trabajo con
el ordenador, ya que no hay que estar pendiente de analizar todo
lo que se recibe: la protección permanente se encarga de
ello automáticamente.
El programa antivirus almacena información sobre
cada uno de los archivos. Si se detecta algún cambio entre
la información guardada y la información actual, el
antivirus avisa de lo ocurrido. Existen dos tipos de
vacunaciones:
- Interna: la información se guarda
dentro del propio archivo analizado. Al ejecutarse, él
mismo comprueba si ha sufrido algún
cambio. - Externa: la información se guarda en
un archivo especial y desde él se contrastan las
posibles modificaciones.
Paginas de interés
donde puedes encontrar antivirus y toda la información que
quieras sobre virus:
Donde buscarlos:
El antivirus mas popular entre los usuarios de Internet es el McAfee. Se
trata de un programa shareware localizable en las direcciones
habituales para encontrar programas shareware. Su versión
para Windows 95
contiene una utilidad muy
interesante, el VShield, que se instala residente al arrancar y
"vigila" de forma permanente la memoria del ordenador para
detectar posibles virus.
Hay otros muchos antivirus igualmente eficaces que se
pueden conseguir en Internet como el Norton Antivirus, que es
otro antivirus muy usado que se puede bajar también de la
red
CONCLUSIONES:
Con la revolución
tecnológica surgieron las Nuevas
Tecnologías de la Información las que han
contribuido a la proliferación de virus
informáticos capaces de destruir la información que
existen en las computadoras
incluso dañar a esta.
Por lo que se hace necesario que los usuarios de nuestra
red local tengan conocimiento
sobre los virus y qué hacer para enfrentarnos a sus
daños.
Siendo una forma de protegernos de este "mal
informático" la instalación en nuestras
computadoras de antivirus.
Enciclopedia Microsoft
Encarta 2000. 1993-1999 Microsoft
Corporation.
Networks Associates Technology, 1995-2000 Inc. All
Rights Reserved. (Ayuda del software
VirusScan)
[sa]¿Cómo realizan las detecciones los
antivirus?[en línea] URL:
http://www.seguridad.internautas.org/antivirus/detectar.php
[consulta realizada el 14 de febrero de 2004]
[sa] Antivirus. [en línea] URL:
http://personales.com/elsalvador/sansalvador/hackersycrackers/antivirus.htm
[consulta realizada el 14 de febrero de 2004]
[sa] Seguridad en la red. [en línea] URL:
http://www.uam.es/personal_pdi/ciencias/depaz/adi/internet3/aslopr9.htm
[consulta realizada el 14 de febrero de 2004]
Autor:
Lic. Manuela León Ramírez
Profesora Asistente
Informática Médica
Lic. Nehemías Cook McNeil
Profesor Asistente
Inglés
Informática Médica
Facultad de Ciencias
Médicas Las Tunas