Virus propios de Internet

Virus Falsos o Hoaxes

Los virus falsos son simplemente mensajes que circulan por e-mail que advierten sobre algún virus inexistente. Estos virus falsos no infectan el sistema ni mucho menos, solo son advertencias, que se multiplican y se mandan por Internet con una gran velocidad. No tienen ningún código oculto ni instrucciones para ejecutar. Funciona de manera muy sencilla: un usuario recibe un e-mail con la advertencia de algún virus raro, estos usuarios lo reenvían a otros usuarios para advertirlos, entonces se genera un tráfico de e-mail sobre una amenaza inexistente.

Virus Falsos conocidos:

Irina. El virus falso Irina empezó como un método de publicidad electrónica creada por una compañía que creó un libro interactivo con el mismo nombre. No pensaron tener tanta repercusión, y terminaron pidiendo perdón por este hecho.

Good Time: Esta advertencia circuló y circula en Internet hace muchos años. El mensaje creado en 1994, decía que un virus que rondaba por AOL podía infectar su máquina y borrar el disco rígido con solo leer el mensaje y que debía ser borrado inmediatamente si este llegaba a alguna casilla.

Penpal Greetings!. Esta advertencia decía que un virus del tipo gusano se iniciaba a él mismo con solo leer un mensaje, borraba el disco rígido y se reenviaba a todas las personas de nuestra Cuenta de correo.

Determinar si existe infección

Realmente nadie puede determinar a ciencia cierta qué síntomas muestra el sistema cuando está infectado ya que los virus son muy variados y sus formas de comportamiento también, a esto se suma que en la actualidad los virus bien programados son mucho más sofisticados que antes y reconocer la presencia de un virus con un simple vistazo no es una habilidad que muchos puedan ostentar.

Podemos mencionar algunos indicios que delatarían la presencia de un virus pero la lista no es definitiva:

•  
• Los comandos o acciones que hacemos ejecutar por la computadora aparentan ser más lentos. Esto es debido a que hay un programita extra que no está en nuestros cálculos y que trabaja sobre cada una de las cosas que nosotros hacemos. De todas formas resulta un poco improbable ya que el tamaño de los virus, por lo general, no da lugar a que realicen extensas ejecuciones, descontando obviamente la lentitud de cualquier dispositivo periférico.
•  
• Las aplicaciones que ya de por sí son un tanto pesadas en cargarse ahora resultan aún más pesadas.
•  
• Dispositivos como la HDD o la FDD son leídos repentinamente sin causa o motivo. Esto puede pasar cuando un virus intenta propagarse a un disquete, por ejemplo.
•  
• Los archivos se incrementan levemente en tamaño. Puede ser a causa de un virus que parasita a esos archivos agregando su código al código ejecutable del archivo. En la actualidad resulta más difícil detectar un virus de estos ya que las técnicas stealth permiten que el virus manipule el tamaño de archivo que el usuario termina viendo en la pantalla. El resultado es que el usuario termina viendo el tamaño que tenía el archivo antes de ser infectado en vez del tamaño real actual.
•  
• Programas o procesos en memoria que son desconocidos. Para un usuario experimentado resultaría extraño ver en memoria un proceso que él no autorizó a que sea cargado. Los sistemas operativos poseen distintos comandos o programas que permiten ver el estado de la memoria y poder determinar que programas se encuentran cargados en ese momento, entre otras cosas como la dirección en donde están localizados, el tamaño que ocupan, etc.

Existen otras manifestaciones que muchos confunden con síntomas cuando en realidad no lo son. Gráficos poco comunes que aparecen en la pantalla, mensajes nunca antes vistos, letras que se caen y rebotan en el fondo de la pantalla y todo otro tipo de cosas similar no son más que el accionar propio del virus. Los virus fueron programados para ese tipo de cosas –por más ridículas que parezcan para algunos- y no son consecuencias secundarias en el sistema debido a que exista un virus.

Síntomas más comunes de virus

Incluso el mejor software antivirus puede fallar a la hora de detectar un virus. La educación del personal sobre cuáles son posibles síntomas de virus informáticos puede ser la diferencia entre un simple dolor de cabeza y un gran problema. Veamos algunos síntomas:

• Los programas comienzan a ocupar más espacio de lo habitual.
• Aparecen o desaparecen archivos.
• Cambia el tamaño de un programa o un objeto.
• Aparecen mensajes u objetos extraños en la pantalla.
• El disco trabaja más de lo necesario.
• Los objetos que se encuentran en la pantalla aparecen ligeramente distorsionados.
• La cantidad de espacio libre del disco disminuye sin ningún tipo de explicación,
• Se modifican sin razón aparente el nombre de los ficheros.
• No se puede acceder al disco duro.

Cómo proceder ante una infección

Cuando el antivirus logra confirmar la presencia de un virus, lo primero que siente el usuario es pánico. Luego pensará qué hacer y se dará cuenta que no tiene idea cómo enfrentarse a un virus informático. Educar a los usuarios sobre estas cuestiones es tan importante como mantenerlos actualizados de los últimos virus que aparecen.

No intentaremos describir paso a paso la solución cuando se tiene un antivirus actualizado que posiblemente haga todo por nosotros y solo nos solicita que tomemos una decisión. En su lugar, nos posicionaremos desde la perspectiva del antivirus para determinar qué debemos hacer contra un virus una vez que reconocemos un accionar virósico en el sistema. En algunas oportunidades no tendremos otra salida más que utilizar una extracción manual realizada por nosotros mismos. Es muy común este tipo de cosas con los virus de última horneada que no les dan tiempo a los fabricantes de antivirus a actualizar sus definiciones de virus. La página de ViruScan presenta información sobre los últimos virus aparecidos y la forma de extraerlos manualmente.

Cuando uno mismo se va a hacer cargo de la eliminación de un virus es importante contar con el disquete de inicio del sistema operativo limpio de virus para poder arrancar la computadora.

Programas antivirus

Los riesgos que infunden los virus hoy en día obligaron a que empresas enteras se dediquen a buscar la forma de crear programas con fines comerciales que logren combatir con cierta eficacia los virus que ataquen los sistemas informáticos. Este software es conocido con el nombre de programas antivirus y posee algunas características interesantes para poder cumplir su trabajo.

Como ya dijimos una de las características fundamentales de un virus es propagarse infectando determinados objetos según fue programado. En el caso de los que parasitan archivos, el virus debe poseer algún método para no infectar los archivos con su propio código –para evitar autodestruirse, en otras palabras-, así es que dejan una marca o firma que los identifica de los demás programas o virus.

Para la mayoría de los virus esta marca representa una cadena de caracteres que "inyectan" en el archivo infectado. Los virus más complejos como los polimorfos poseen una firma algorítmica que modificará el cuerpo del mismo con cada infección. Cada vez que estos virus infecten un archivo, mutará su forma y dificultará bastante más las cosas para el software de detección de virus. Ver Virus polimorfos.

El software antivirus es un programa más de computadora y como tal debe ser adecuado para nuestro sistema y debe estar correctamente configurado según los dispositivos de hardware que tengamos. Si trabajamos en un lugar que posee conexión a redes es necesario tener un programa antivirus que tenga la capacidad de detectar virus de redes. Los antivirus reducen sensiblemente los riesgos de infección pero cabe reconocer que no serán eficaces el cien por ciento de las veces y su utilización debería estar acompañada con otras formas de prevención (Más información).

La función primordial de un programa de estos es detectar la presencia de un posible virus para luego poder tomar las medidas necesarias. El hecho de poder erradicarlo podría considerarse como una tarea secundaria ya que con el primer paso habremos logrado frenar el avance del virus, cometido suficiente para evitar mayores daños.

Antes de meternos un poco más adentro de lo que es el software antivirus es importante que sepamos la diferencia entre detectar un virus e identificar un virus. El detectar un virus es reconocer la presencia de un accionar virósico en el sistema de acuerdo a las características de los tipos de virus. Identificar un virus es poder reconocer qué virus es de entre un montón de otros virus cargados en nuestra base de datos. Al identificarlo sabremos exactamente qué es lo que hace, haciendo inminente su eliminación.

De estos dos métodos es importante que un antivirus sea más fuerte en el tema de la detección, ya que con este método podremos encontrar virus todavía no conocidos (de reciente aparición) y que seguramente no estarán registrados en nuestra base de datos debido a que su tiempo de dispersión no es suficiente como para que hayan sido analizados por un grupo de expertos de la empresa del antivirus.

Identificación

Identificar un virus supone, primero, lograr su detección y luego poder determinar de qué virus se trata exactamente. A esta técnica se la conoce con el nombre de scanning o –en Argentina- escaneo. Es muy sencilla de entender. El programa antivirus posee una base de datos con ciertas strings propias de cada virus. Estas strings no son más que las firmas que mencionamos más atrás en el texto, o sea cadenas de caracteres que el scanner del antivirus utilizará como huella digital para identificar de qué virus se trata. El scanner comienza a revisar uno por uno el código de los archivos almacenados intentando encontrar alguno de estos fragmentos representativos de los virus que tiene registrados. Con cada una de las verificaciones no se revisa la base de datos completa ya que resultaría bastante trabajoso y en una pérdida de tiempo considerable, aunque de hecho el hacer un escaneo de nuestra unidad de disco rígido lleva algún tiempo. Entonces, cada antivirus utilizará diferentes técnicas algorítmicas para agilizar un poco este paso de comparar el código contra su base de datos.

Hoy en día la producción de virus se ve masificada e Internet colabora enormemente en la dispersión de virus de muchos tipos, incluyendo los "virus caseros". Muchos de estos virus son creados por usuarios inexpertos con pocos conocimientos de programación y, en muchos casos, por simples usuarios que bajan de Internet programas que crean virus genéricos. Ante tantos "desarrolladores" al servicio de la producción de virus la técnica de scanning se ve altamente superada. Las empresas antivirus están constantemente trabajando en la búsqueda y documentación de cada nuevo virus que aparece. Muchas de estas empresas actualizan sus bases de datos todos los meses, otras lo hacen quincenalmente, y algunas pocas llegan a hacerlo todas las semanas (cosa más que importante para empresas que necesitan una alta protección en este campo o para usuarios fanáticos de obtener lo último en seguridad y protección).

La debilidad de la técnica de scanning es inherente al modelo. Esto es debido a que un virus debería alcanzar una dispersión adecuada para que algún usuario lo capture y lo envíe a un grupo de especialistas en virus que luego se encargarán de determinar que parte del código será representativa para ese virus y finalmente lo incluirán en la base de datos del antivirus. Todo este proceso puede llevar varias semanas, tiempo suficiente para que un virus eficaz haga de las suyas. En la actualidad, Internet proporciona el canal de bajada de las definiciones antivirus que nos permitirán identificar decenas de miles de virus que andan acechando. Estas decenas de miles de virus, como dijimos, también influirán en el tamaño de la base de datos. Como ejemplo concreto podemos mencionar que la base de datos de Norton Antivirus de Symantec Corp. pesa alrededor de 2MB y es actualizada cada quince o veinte días.

La técnica de scanning no resulta ser la solución definitiva, ni tampoco la más eficiente, pero continúa siendo la más utilizada debido a que permite identificar con cierta rapidez los virus más conocidos, que en definitiva son los que lograron adquirir mayor dispersión.

Técnicas de detección

Teniendo en cuenta los puntos débiles de la técnica de scanning surgió la necesidad de incorporar otros métodos que complementaran al primero. Como ya se mencionó la detección consiste en reconocer el accionar de un virus por los conocimientos sobre comportamiento que se tienen sobre ellos, sin importar demasiado su identificación exacta. Este otro método buscará código que intente modificar la información de áreas sensibles del sistema sobre las cuales el usuario convencional no tiene control –y a veces ni siquiera tiene conocimiento-, como el master boot record, el boot sector, la FAT, entre las más conocidas.

Otra forma de detección que podemos mencionar adopta, más bien, una posición de vigilancia constante y pasiva. Esta, monitorea cada una de las actividades que se realizan intentando determinar cuándo una de éstas intenta modificar sectores críticos de las unidades de almacenamiento (mencionados en el primer párrafo de este apartado), entre otros. A esta técnica se la conoce como chequear la integridad y es tratada con mayor detalle más adelante.

Análisis heurístico

La técnica de detección más común es la de análisis heurístico. Consiste en buscar en el código de cada uno de los archivos cualquier instrucción que sea potencialmente dañina, acción típica de los virus informáticos. Es una solución interesante tanto para virus conocidos como para los que no los son. El inconveniente es que muchas veces se nos presentarán falsas alarmas, cosas que el scanner heurístico considera peligrosas y que en realidad no lo son tanto. Por ejemplo: tal vez el programa revise el código del comando DEL (usado para borrar archivos) de MS-DOS y determine que puede ser un virus, cosa que en la realidad resulta bastante improbable. Este tipo de cosas hace que el usuario deba tener algunos conocimientos precisos sobre su sistema, con el fin de poder distinguir entre una falsa alarma y una detección real.

Eliminación

La eliminación de un virus implica extraer el código del archivo infectado y reparar de la mejor manera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles de virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus conocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de su comportamiento. Resulta lógico entonces que muchos antivirus tengan problemas en la detección y erradicación de virus de comportamiento complejo, como el caso de los polimorfos, que utilizan métodos de encriptación para mantenerse indetectables. En muchos casos el procedimiento de eliminación puede resultar peligroso para la integridad de los archivos infectados, ya que si el virus no está debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo de virus.

Hoy en día los antivirus más populares están muy avanzados pero cabe la posibilidad de que este tipo de errores se de en programas más viejos. Para muchos el procedimiento correcto sería eliminar completamente el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la infección se realizó en algún sector crítico de la unidad de disco rígido la solución es simple, aunque no menos riesgosa. Hay muchas personas que recomiendan reparticionar la unidad y reformatearla para asegurarse de la desaparición total del virus, cosa que resultaría poco operativa y fatal para la información del sistema. Como alternativa a esto existe para el sistema operativo MS-DOS / Windows una opción no documentada del comando FDISK que resuelve todo en cuestión de segundos. El parámetro /MBR se encarga de restaurar el registro maestro de booteo (lugar donde suelen situarse los virus) impidiendo así que este vuelva a cargarse en el inicio del sistema. Vale aclarar que cualquier dato que haya en ese sector será sobrescrito y puede afectar mucho a sistemas que tengan la opción de bootear con diferentes sistemas operativos. Muchos de estos programas que permiten hacer la elección del sistema operativo se sitúan en esta área y por consiguiente su código será eliminado cuando se usa el parámetro mencionado.

Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con soporte técnico local, que sus definiciones sean actualizadas periódicamente y que el servicio técnico sea apto para poder responder a cualquier contingencia que nos surja en el camino.

Comprobación de integridad

Como ya habíamos anticipado los comprobadores de integridad verifican que algunos sectores sensibles del sistema no sean alterados sin el consentimiento del usuario. Estas comprobaciones pueden aplicarse tanto a archivos como al sector de arranque de las unidades de almacenamiento.

Para poder realizar las comprobaciones el antivirus, primero, debe tener una imagen del contenido de la unidad de almacenamiento desinfectada con la cual poder hacer después las comparaciones. Se crea entonces un registro con las características de los archivos, como puede ser su nombre, tamaño, fecha de creación o modificación y, lo más importante para el caso, el checksum, que es aplicar un algoritmo al código del archivo para obtener un valor que será único según su contenido (algo muy similar a lo que hace la función hash en los mensajes). Si un virus inyectara parte de su código en el archivo la nueva comprobación del checksum sería distinta a la que se guardó en el registro y el antivirus alertaría de la modificación. En el caso del sector de booteo el registro puede ser algo diferente. Como existe un MBR por unidad física y un BR por cada unidad lógica, algunos antivirus pueden guardarse directamente una copia de cada uno de ellos en un archivo y luego compararlos contra los que se encuentran en las posiciones originales.

Una vez que el antivirus conforma un registro de cada uno de los archivos en la unidad podrá realizar las comprobaciones de integridad. Cuando el comprobador es puesto en funcionamiento cada uno de los archivos serán escaneados. Nuevamente se aplica la función checksum y se obtiene un valor que es comparado contra el que se guardó en el registro. Si ambos valores son iguales el archivo no sufrió modificaciones durante el período comprendido entre el registro de cheksum antiguo y la comprobación reciente. Por el otro lado, si los valores checksum no concuerdan significa que el archivo fue alterado y en ciertos casos el antivirus pregunta al usuario si quiere restaurar las modificaciones. Lo más indicado en estos casos sería que un usuario con conocimientos sobre su sistema avale que se trata realmente de una modificación no autorizada –y por lo tanto atribuible a un virus-, elimine el archivo y lo restaure desde la copia de respaldo.

La comprobación de integridad en los sectores de booteo no es muy diferente. El comprobador verificará que la copia que está en uso sea igual a la que fue guardada con anterioridad. Si se detectara una modificación en cualquiera de estos sectores, se preguntará al usuario por la posibilidad de reconstruirlos utilizando las copias guardadas. Teniendo en cuenta que este sector en especial es un punto muy vulnerable a la entrada de los virus multipartitos, los antivirus verifican constantemente que no se hagan modificaciones. Cuando se detecta una operación de escritura en uno de los sectores de arranque, el programa toma cartas en el asunto mostrando en pantalla un mensaje para el usuario indicándole sobre qué es lo que está por suceder. Por lo general el programa antivirus ofrece algunas opciones sobre como proceder, como evitar la modificación, dejarla continuar, congelar el sistema o no tomar ninguna medida (cancelar).

Para que esta técnica sea efectiva cada uno de los archivos deberá poseer su entrada correspondiente en el registro de comprobaciones. Si nuevos programas se están instalando o estamos bajando algunos archivos desde Internet, o algún otro archivo ingresa por cualquier otro dispositivo de entrada, después sería razonable que registremos el checksum con el comprobador del antivirus. Incluso, algunos de estos programas atienden con mucha atención a lo que el comprobador de integridad determine y no dejarán que ningún archivo que no esté registrado corra en el sistema.

Proteger áreas sensibles

Muchos virus tienen la capacidad de "parasitar" archivos ejecutables. Con esto queremos decir que el virus localizará los puntos de entrada de cualquier archivo que sea ejecutable (los archivos de datos no se ejecutan por lo tanto son inutilizables para los virus) y los desviará a su propio código de ejecución. Así, el flujo de ejecución correrá primero el código del virus y luego el del programa y, como todos los virus poseen un tamaño muy reducido para no llamar la atención, el usuario seguramente no notará la diferencia. Este vistazo general de cómo logra ejecutarse un virus le permitirá situarse en memoria y empezar a ejecutar sus instrucciones dañinas. A esta forma de comportamiento de los virus se lo conoce como técnica subrepticia, en la cual prima el arte de permanecer indetectado.

Una vez que el virus se encuentra en memoria puede replicarse a sí mismo en cualquier otro archivo ejecutable. El archivo ejecutable por excelencia que atacan los virus es el COMMAND.COM, uno de los archivos fundamentales para el arranque en el sistema operativo MS-DOS. Este archivo es el intérprete de comandos del sistema, por lo tanto, se cargará cada vez que se necesite la shell. La primera vez será en el inicio del sistema y, durante el funcionamiento, se llamará al COMMAND.COM cada vez que se salga de un programa y vuelva a necesitarse la intervención de la shell. Con un usuario desatento, el virus logrará replicarse varias veces antes de que empiecen a notarse síntomas extraños en la PC.

El otro "ente" ejecutable capaz de ser infectado es el sector de arranque de los discos magnéticos. Aunque este sector no es un archivo en sí, contiene rutinas que el sistema operativo ejecuta cada vez que arranca el sistema desde esa unidad, resultando este un excelente medio para que el virus se propague de una computadora a la otra. Como dijimos antes una de las claves de un virus es lograr permanecer oculto dejando que la entidad ejecutable que fue solicitada por el usuario corra libremente después de que él mismo se halla ejecutado. Cuando un virus intenta replicarse a un disquete, primero deberá copiar el sector de arranque a otra porción del disco y recién entonces copiar su código en el lugar donde debería estar el sector de arranque.

Durante el arranque de la computadora con el disquete inserto en la disquetera, el sistema operativo MS-DOS intentará ejecutar el código contenido en el sector de booteo del disquete. El problema es que en esa posición se encontrará el código del virus, que se ejecuta primero y luego apuntará el puntero de ejecución a la nueva posición en donde se encuentran los archivos para el arranque. El virus no levanta sospechas de su existencia más allá de que existan o no archivos de arranque en el sector de booteo.

Nuestro virus se encuentra ahora en memoria y no tendrá problemas en replicarse a la unidad de disco rígido cuando se intente bootear desde esta. Hasta que su módulo de ataque se ejecute según fue programado, el virus intentará permanecer indetectado y continuará replicándose en archivos y sectores de booteo de otros disquetes que se vayan utilizando, aumentando potencialmente la dispersión del virus cuando los disquetes sean llevados a otras máquinas.

Demonios de protección

Estos programas residentes en memoria son módulos del antivirus que se encargan de impedir la entrada del cualquier virus y verifican constantemente operaciones que intenten realizar modificaciones por métodos poco frecuentes. Estos, se activan al arrancar el ordenador y por lo general es importante que se carguen al comienzo y antes que cualquier otro programa para darle poco tiempo de ejecución a los virus y detectarlos antes que alteren algún dato. Según como esté configurado el antivirus, el demonio (como se los conoce en el ambiente Unix) o TSR (en la jerga MS-DOS / Windows), estará pendiente de cada operación de copiado, pegado o cuando se abran archivos, verificará cada archivo nuevo que es creado y todos los downloads de Internet, también hará lo mismo con las operaciones que intenten realizar un formateo de bajo nivel en la unidad de disco rígido y, por supuesto, protegerá los sectores de arranque de modificaciones.

Las nuevas computadoras que aparecieron con formato ATX poseen un tipo de memoria llamada Flash-ROM con una tecnología capaz de permitir la actualización del BIOS de la computadora por medio de software sin la necesidad de conocimientos técnicos por parte del usuario y sin tener que tocar en ningún momento cualquiera de los dispositivos de hardware. Esta nueva tecnología añade otro punto a favor de los virus ya que ahora estos podrán copiarse a esta zona de memoria dejando completamente indefensos a muchos antivirus antiguos. Un virus programado con técnicas avanzadas y que haga uso de esta nueva ventaja es muy probable que sea inmune al reparticionado o reformateo de las unidades de discos magnéticos.

Aplicar cuarentena

Es muy posible que un programa antivirus muchas veces quede descolocado frente al ataque de virus nuevos. Para esto incluye esta opción que no consiste en ningún método de avanzada sino simplemente en aislar el archivo infectado. Antes que esto el antivirus reconoce el accionar de un posible virus y presenta un cuadro de diálogo informándonos. Además de las opciones clásicas de eliminar el virus, aparece ahora la opción de ponerlo en cuarentena. Este procedimiento encripta el archivo y lo almacena en un directorio hijo del directorio donde se encuentra el antivirus.

De esta manera se está impidiendo que ese archivo pueda volver a ser utilizado y que continúe la dispersión del virus. Como acciones adicionales el antivirus nos permitirá restaurar este archivo a su posición original como si nada hubiese pasado o nos permitirá enviarlo a un centro de investigación donde especialistas en el tema podrán analizarlo y determinar si se trata de un virus nuevo, en cuyo caso su código distintivo será incluido en las definiciones de virus. En la figura vemos el programa de cuarentena Quarantine de Norton Antivirus 5.0. Nos permite enviar los archivos infectados al SARC (Symantec Antivirus Research Center) para su posterior análisis.

Definiciones antivirus

Los archivos de definiciones antivirus son fundamentales para que el método de identificación sea efectivo. Los virus que alcanzaron una considerable dispersión pueden llegar a ser analizados por los ingenieros especialistas en virus de algunas de las compañías antivirus, que mantendrán actualizadas las definiciones permitiendo así que las medidas de protección avancen casi al mismo paso en que lo hacen los virus.

Un antivirus que esté desactualizado puede resultar poco útil en sistemas que corren el riesgo de recibir ataques de virus nuevos (como organismos gubernamentales o empresas de tecnología de punta), y están reduciendo en un porcentaje bastante alto la posibilidad de protección. La actualización también puede venir por dos lados: actualizar el programa completo o actualizar las definiciones antivirus. Si contamos con un antivirus que posea técnicas de detección avanzadas, posibilidad de análisis heurístico, protección residente en memoria de cualquiera de las partes sensibles de una unidad de almacenamiento, verificador de integridad, etc., estaremos bien protegidos para empezar. Una actualización del programa sería realmente justificable en caso de que incorpore algún nuevo método que realmente influye en la erradicación contra los virus. Sería importante también analizar el impacto económico que conllevará para nuestra empresa, ya que sería totalmente inútil tener el mejor antivirus y preocuparse por actualizar sus definiciones día por medio si nuestra red ni siquiera tiene acceso a Internet, tampoco acceso remoto de usuarios y el único intercambio de información es entre empleados que trabajan con un paquete de aplicaciones de oficina sin ningún contenido de macros o programación que de lugar a posibles infecciones. Todas estas posibilidades para la protección serán tratadas con más detalle en la siguiente sección.

En la imagen podemos ver la barra de herramientas de Norton Antivirus 5.0 en la ventana que está en segundo plano. En primer plano se encuentra abierto el archivo con la lista de virus que puede reconocer. Debajo de ese cuadro de texto podemos ver el total de 46.861 virus que las definiciones pueden identificar y la fecha de su última actualización (23/2/00). Ese total de virus identificables incluye los más comunes y los que son de rara aparición.

Estrategia de seguridad contra los virus

En la problemática que nos ocupa, poseer un antivirus y saber cómo utilizarlo es la primer medida que debería tomarse. Pero no será totalmente efectiva si no va acompañada por conductas que el usuario debe respetar. La educación y la información son el mejor método para protegerse.

El usuario debe saber que un virus informático es un programa de computadora que posee ciertas características que lo diferencian de un programa común, y se infiltra en las computadoras de forma furtiva y sin ninguna autorización. Como cualquier otro programa necesitará un medio físico para transmitirse, de ninguna manera puede volar por el aire como un virus biológico, por lo tanto lo que nosotros hagamos para el transporte de nuestra información debemos saber que resulta un excelente medio aprovechable por los virus. Cualquier puerta que nosotros utilicemos para comunicarnos es una posible vía de ingreso de virus, ya sea una disquetera, una lectora de CD-ROM, un módem con conexión a Internet, la placa que nos conecta a la red de la empresa, los nuevos puertos ultrarrápidos (USB y FireWire) que nos permiten conectar dispositivos de almacenamiento externos como unidades Zip, Jazz, HDDs, etc.

Viendo que un virus puede atacar nuestro sistema desde cualquier ángulo, no podríamos dejar de utilizar estos dispositivos solo porque sean una vía de entrada virósica (ya que deberíamos dejar de utilizarlos a todos), cualquiera de las soluciones que planteemos no será cien por ciento efectiva pero contribuirá enormemente en la protección y estando bien informados evitaremos crear pánico en una situación de infección.

Una forma bastante buena de comprobar la infección en un archivo ejecutable es mediante la verificación de integridad. Con esta técnica estaremos seguros que cualquier intento de modificación del código de un archivo será evitado o, en última instancia, sabremos que fue modificado y podremos tomar alguna medida al respecto (como eliminar el archivo y restaurarlo desde la copia de respaldo). Es importante la frecuencia con la que se revise la integridad de los archivos. Para un sistema grande con acceso a redes externas sería conveniente una verificación semanal –o tal vez menor- por parte de cada uno de los usuarios en sus computadoras. Un ruteador no tiene manera de determinar si un virus está ingresando a la red de la empresa porque los paquetes individuales no son suficiente cómo para detectar a un virus. En el caso de un archivo que se baja de Internet, éste debería almacenarse en algún directorio de un servidor y verificarse con la técnica de scanning, recién entonces habría que determinar si es un archivo apto para enviar a una estación de trabajo.

La mayoría de los firewall que se venden en el mercado incorporan sistemas antivirus. También incluyen sistemas de monitorización de integridad que le permiten visualizar los cambios de los archivos y sistema todo en tiempo real. La información en tiempo real le puede ayudar a detener un virus que está intentando infectar el sistema.

En cuanto a los virus multipartitos estaremos cubiertos si tomamos especial cuidado del uso de los disquetes. Estos no deben dejarse jamás en la disquetera cuando no se los está usando y menos aún durante el arranque de la máquina. Una medida acertada es modificar la secuencia de booteo modificando el BIOS desde el programa Set-up para que se intente arrancar primero desde la unidad de disco rígido y en su defecto desde la disquetera. Los discos de arranque del sistema deben crearse en máquinas en las que sabemos que están libres de virus y deben estar protegidos por la muesca de sólo lectura.

El sistema antivirus debe ser adecuado para el sistema. Debe poder escanear unidades de red si es que contamos con una, proveer análisis heurístico y debe tener la capacidad de chequear la integridad de sus propios archivos como método de defensa contra los retro-virus. Es muy importante cómo el antivirus guarda el archivo de definiciones de virus. Debe estar protegido contra sobreescrituras, encriptado para que no se conozca su contenido y oculto en el directorio (o en su defecto estar fragmentado y cambiar periódicamente su nombre). Esto es para que los virus no reconozcan con certeza cuál es el archivo de definiciones y dejen imposibilitado al programa antivirus de identificar con quien está tratando.

Regularmente deberemos iniciar la máquina con nuestro disquete limpio de arranque del sistema operativo y escanear las unidades de disco rígido con unos disquetes que contengan el programa antivirus. Si este programa es demasiado extenso podemos correrlo desde la lectora de CD-ROM, siempre y cuando la hayamos configurado previamente. Este último método puede complicar a más de una de las antiguas computadoras. Las nuevas máquinas de factor ATX incluso nos permiten bootear desde una lectora de CD-ROM, que no tendrán problemas en reconocer ya que la mayoría traen sus drivers en firmware. Si no se cuenta con alguna de estas nuevas tecnologías simplemente podemos utilizar un disco de inicio de Windows 98 (sistema bastante popular hoy en día) que nos da la posibilidad de habilitar la utilización de la lectora para luego poder utilizarla con una letra de unidad convencional.

El módulo residente en memoria del antivirus es fundamental para la protección de virus que están intentando entrar en nuestro sistema. Debe ser apto para nuestro tipo de sistema operativo y también debe estar correctamente configurado. Los antivirus actuales poseen muchas opciones configurables en las que deberá fijarse el residente. Cabe recordar que mientras más de estas seleccionemos la performance del sistema se verá mayormente afectada. Adoptar una política de seguridad no implica velocidad en los trabajos que realicemos.

El usuario hogareño debe acostumbrarse a realizar copias de respaldo de su sistema. Existen aplicaciones que nos permitirán con mucha facilidad realizar copias de seguridad de nuestros datos (también podemos optar por hacer sencillos archivos zipeados de nuestros datos y copiarlos en un disquete). Otras, como las utilidades para Windows 9x de Norton permiten crear disquetes de emergencia para arranque de MS-DOS y restauración de todos los archivos del sistema (totalmente seleccionables). Si contamos con una unidad de discos Zip podemos extender las posibilidades y lograr que todo el sistema Windows se restaure después de algún problema.

Estos discos Zip son igualmente útiles para las empresas, aunque quizás estas prefieran optar por una regrabadora de CD-Rs, que ofrece mayor capacidad de almacenamiento, velocidad de grabación, confiabilidad y los discos podrán ser leídos en cualquier lectora de CD-ROM actual.

Una persona responsable de la seguridad informática de la empresa debería documentar un plan de contingencia en el que se explique en pasos perfectamente entendibles para el usuario cómo debería actuar ante un problema de estos. Las normas que allí figuren pueden apuntar a mantener la operatividad del sistema y, en caso de que el problema pase a mayores, debería privilegiarse la recuperación de la información por un experto en el tema.

No se deberían instalar programas que no sean originales o que no cuenten con su correspondiente licencia de uso.

En el sistema de red de la empresa podría resultar adecuado quitar las disqueteras de las computadoras de los usuarios. Así se estaría removiendo una importante fuente de ingreso de virus. Los archivos con los que trabajen los empleados podrían entrar, por ejemplo, vía correo electrónico, indicándole a nuestro proveedor de correo electrónico que verifique todos los archivos en busca de virus mientras aún se encuentran en su servidor y los elimine si fuera necesario.

Los programas freeware, shareware, trial, o de cualquier otro tipo de distribución que sean bajados de Internet deberán ser escaneados antes de su ejecución. El download deberá ser sólo de sitios en los que se confía. La autorización de instalación de programas deberá determinarse por el administrador siempre y cuando este quiera mantener un sistema libre de "entes extraños" sobre los que no tiene control. Es una medida adecuada para sistemas grandes en donde los administradores ni siquiera conocen la cara de los usuarios.

Cualquier programa de fuente desconocida que el usuario quiera instalar debe ser correctamente revisado. Si un grupo de usuarios trabaja con una utilidad que no está instalada en la oficina, el administrador deberá determinar si instala esa aplicación en el servidor y les da acceso a ese grupo de usuarios, siempre y cuando el programa no signifique un riesgo para la seguridad del sistema. Nunca debería priorizarse lo que el usuario quiere frente a lo que el sistema necesita para mantenerse seguro.

Ningún usuario no autorizado debería acercarse a las estaciones de trabajo. Esto puede significar que el intruso porte un disquete infectado que deje en cualquiera de las disqueteras de un usuario descuidado. Todas las computadoras deben tener el par ID de usuario y contraseña.

Nunca dejar disquetes en la disquetera durante el encendido de la computadora. Tampoco utilizar disquetes de fuentes no confiables o los que no halla creado uno mismo.

Cada disquete que se valla a utilizar debe pasar primero por un detector de virus. Con escanear los archivos ejecutables será suficiente. Escanear todos los archivos, por lo general, resulta en una pérdida de tiempo.

Si el disquete no lo usaremos para grabar información, sino más que para leer, deberíamos protegerlo contra escritura activando la muesca de protección. La protección de escritura estará activada cuando al intentar ver el disco a tras luz veamos dos pequeños orificios cuadrados en la parte inferior.

 

Conclusión del trabajo

Como vimos a lo largo del trabajo los virus informáticos no son un simple riesgo de seguridad. Existen miles de programadores en el mundo que se dedican a esta actividad con motivaciones propias y diversas e infunden millones de dólares al año en gastos de seguridad para las empresas. El verdadero peligro de los virus es su forma de ataque indiscriminado contra cualquier sistema informático, cosa que resulta realmente crítica en entornos dónde máquinas y humanos interactúan directamente.

Es muy difícil prever la propagación de los virus y que máquina intentarán infectar, de ahí la importancia de saber cómo funcionan típicamente y tener en cuenta los métodos de protección adecuados para evitarlos.

A medida que las tecnologías evolucionan van apareciendo nuevos estándares y acuerdos entre compañías que pretenden compatibilizar los distintos productos en el mercado. Como ejemplo podemos nombrar la incorporación de Visual Basic para Aplicaciones en el paquete Office y en muchos otros nuevos programas de empresas como AutCAD, Corel, Adobe. Con el tiempo esto permitirá que con algunas modificaciones de código un virus pueda servir para cualquiera de los demás programas, incrementando aún más los potenciales focos de infección.

La mejor forma de controlar una infección es mediante la educación previa de los usuarios del sistema. Es importante saber qué hacer en el momento justo para frenar un avance que podría extenderse a mayores. Como toda otra instancia de educación será necesario mantenerse actualizado e informado de los últimos avances en el tema, leyendo noticias, suscribiéndose a foros de discusión, leyendo páginas web especializadas, etc.

 

Bibliografía y fuentes

• Seguridad informática; Juan José Nombela; Paraninfo; 1996; Cap. 4. Virus informáticos y Cap. 5. Protección experimental contra virus.
• Seguridad informática; Gustavo Aldegani; MP Ediciones; 1997; Cap. 2. Virus informáticos.
• A prueba de hackers; Lars Klander; Anaya Multimedia; 1998; Cap. 13. Inmunizar el sistema contra virus.
• La PC por dentro; Mario C. Ginzburg; Publicación UAI; 1999; Cap. 1.16. Arranque de una PC.
• Introducción general a la informática: periféricos; Mario C. Ginzburg; Publicación UAI, 1999.
• • Symantec Corp.: www.symantec.com
  • McAfee Asoc.: www.mcafee.com
  • Sdlfkh: www.nextvision.com

Trabajo realizado y enviado por:
Vanden Bosch Leandro
Nicolás Waisman. (zomb4[arroba]yahoo.com)
Franco Rojas.
Estudiantes de Ing. En informática,
Universidad Abierta Interamericana.
Buenos Aires, Argentina.
lvbosch[arroba]usa.net