Virus y antivirus (página 3)

LOS
ANTIVIRUS

¿Que es un antivirus?

Un antivirus es un programa de
computadora
cuyo propósito es combatir y erradicar los virus
informáticos. Para que el antivirus sea productivo y
efectivo hay que configurarlo cuidadosamente de tal forma que
aprovechemos todas las cualidades que ellos poseen. Hay que saber
cuales son sus fortalezas y debilidades y tenerlas en cuenta a la
hora de enfrentar a los virus.

Debemos tener claro que según en la vida humana hay
virus que no tienen cura, esto también sucede en el mundo
digital y hay que andar con mucha precaución. Un antivirus
es una solución para minimizar los riesgos y
nunca será una solución definitiva, lo principal es
mantenerlo actualizado. Para mantener el sistema estable y
seguro el
antivirus debe estar siempre actualizado, tomando siempre medidas
preventivas y correctivas y estar constantemente leyendo sobre
los virus y nuevas
tecnologías. Escanear

El antivirus normalmente escanea cada archivo en
la computadora
y lo compara con las tablas de virus que guarda en disco. Esto
significa que la mayoría de los virus son eliminados del
sistema después que atacan a éste. Por esto el
antivirus siempre debe estar actualizado, es recomendable que se
actualice una vez por semana para que sea capaz de combatir los
virus que son creados cada día. También, los
antivirus utilizan la técnica heurística que
permite detectar virus que aun no están en la base de datos
del antivirus. Es sumamente útil para las infecciones que
todavía no han sido actualizadas en las tablas porque
trata de localizar los virus de acuerdo a ciertos comportamientos
ya preestablecidos. El aspecto más importante de un
antivirus es detectar virus en la computadora y tratar de alguna
manera de sacarlo y eliminarlo de nuestro sistema. Los antivirus,
no del todo facilitan las cosas, porque ellos al estar todo el
tiempo
activos y
tratando de encontrar un virus, al instante esto hace que
consuman memoria de la
computadora y tal vez la vuelvan un poco lentas o de menos
desempeño.

Un buen antivirus es uno que se ajuste a nuestras necesidades.
No debemos dejarnos seducir por tanta propaganda de
los antivirus que dicen que detectan y eliminan 56,432 virus o
algo por el estilo porque la mayoría de esos virus o son
familias derivadas o nunca
van a llegar al país donde nosotros estamos. Muchos virus
son solamente de alguna región o de algún
país en particular.

A la hora de comprar un buen antivirus debemos saber con que
frecuencia esa empresa saca
actualizaciones de las tablas de virus ya que estos son creados
diariamente para infectar los sistemas. El
antivirus debe constar de un programa detector de virus que
siempre este activo en la memoria y
un programa que verifique la integridad de los sectores
críticos del disco duro y
sus archivos
ejecutables. Hay antivirus que cubren esos dos procesos, pero
si no se puede obtener uno con esas características hay
que buscar dos programas por
separado que hagan esa función
teniendo muy en cuenta que no se produzca ningún tipo de
conflictos
entre ellos.

Un antivirus además de protegernos el sistema contra
virus, debe permitirle al usuario hacer alguna copia del archivo
infectado por si acaso se corrompe en el proceso de
limpieza, también la copia es beneficiosa para intentar
una segunda limpieza con otro antivirus si la primera falla en
lograr su objetivo.

En la actualidad no es difícil suponer que cada vez hay
más gente que está consciente de la necesidad de
hacer uso de algún antivirus como medida de
protección básica. No obstante, en principio lo
deseable sería poder tener un
panorama de los distintos productos que
existen y poder tener una guía inicial para proceder a
evaluarlos.

Algunos antivirus:

• Antivirus Expert (AVX)

http://www.avx-es.com/download.php

• AVG Anti-Virus System

http://www.grisoft.com/html/us_downl.cfm

• Command Antivirus:

http://www.commandcom.com/try/download.cfm http://web.itasa.com.mx/

• Dr. Web Antivirus:

http://www.dials.ru/english/home.htm

• ESAFE:

http://www.ealaddin.com/esafe/

• F-PROT Antivirus:

http://www.frisk.is/f-prot/download/

• F-SECURE Anti-Virus:

http://www.f-secure.com/download-purchase/

• Indefense:

http://www.indefense.com/downloads/index.html

• Inoculateit (Etrustantivirus):

www.ca.com/solutions/enterprise/etrust/downloads/internet_def.htm

• Kaspersky antivirus (AVP)

http://www.avp.ru/download.asp

http://www.avp.ch/ http://www.kaspersky-es.com

• McAfee virusscan antivirus:

http://www.nai.com/naicommon/buy-try/try/products-evals.asp

• Nod32 Antivirus System

http://www.nod32.com

• Norman Virus Control:

http://www.norman.com/downloads.shtml

• Norton Antivirus:

http://www.symantec.com/downloads/

• Panda Antivirus:

http://www.pandasoftware.es/

• PC-Cillin:

http://www.antivirus.com/pc-cillin/download/

• Per Antivirus:

http://www.persystems.net/antivir/bajar.htm

• Protector Plus Antivirus:

http://www.pspl.com/download/download.htm

• Rumanian Antivirus:

http://www.ravantivirus.com/

• Sophos Anti-Virus:

http://www.sophos.com/downloads/products/

• Superlite Antidote:

www.vintage-solutions.com/English/Antidote/Support/Update/VirusDiag.html

• The Hacker Antivirus:

http://www.hacksoft.com.pe/thhome.htm#versiones_de_evaluacion

• Virusbuster:

http://www.leprechaun.com.au/

Los riesgos que infunden los virus hoy en día obligaron
a que empresas enteras
se dediquen a buscar la forma de crear programas con fines
comerciales que logren combatir con cierta eficacia los
virus que ataquen los sistemas informáticos. Este software es conocido con el
nombre de programas antivirus y posee algunas
características interesantes para poder cumplir su
trabajo.

Como ya dijimos una de las características
fundamentales de un virus es propagarse infectando determinados
objetos según fue programado. En el caso de los que
parasitan archivos, el virus debe poseer algún método
para no infectar los archivos con su propio código
para evitar autodestruirse, en otras palabras, así es que
dejan una marca o firma que
los identifica de los demás programas o virus.

Para la mayoría de los virus esta marca representa una
cadena de caracteres que "inyectan" en el archivo infectado. Los
virus más complejos como los polimorfos poseen una firma
algorítmica que modificará el cuerpo del mismo con
cada infección. Cada vez que estos virus infecten un
archivo, mutará su forma y dificultará bastante
más las cosas para el Software de detección de
virus.

El software antivirus es un programa más de computadora
y como tal debe ser adecuado para nuestro sistema y debe estar
correctamente configurado según los dispositivos de
hardware que
tengamos. Si trabajamos en un lugar que posee conexión a
redes es
necesario tener un programa antivirus que tenga la capacidad de
detectar virus de redes. Los antivirus reducen sensiblemente los
riesgos de infección pero cabe reconocer que no
serán eficaces el cien por ciento de las veces y su
utilización debería estar acompañada con
otras formas de prevención.

La función primordial de un programa de estos es
detectar la presencia de un posible virus para luego poder tomar
las medidas necesarias. El hecho de poder erradicarlo
podría considerarse como una tarea secundaria ya que con
el primer paso habremos logrado frenar el avance del virus,
cometido suficiente para evitar mayores daños.

Antes de meternos un poco más adentro de lo que es el
software antivirus es importante que sepamos la diferencia entre
detectar un virus e identificar un virus. El detectar un virus es
reconocer la presencia de un accionar viral en el sistema de
acuerdo a las características de los tipos de
virus. Identificar un virus es poder reconocer qué
virus es de entre un montón de otros virus cargados en
nuestra base de datos. Al
identificarlo sabremos exactamente qué es lo que hace,
haciendo inminente su eliminación.

De estos dos métodos es
importante que un antivirus sea más fuerte en el tema de
la detección, ya que con este método podremos
encontrar virus todavía no conocidos (de reciente
aparición) y que seguramente no estarán registrados
en nuestra base de datos debido a que su tiempo de
dispersión no es suficiente como para que hayan sido
analizados por un grupo de
expertos de la empresa del
antivirus.

Hoy en día la producción de virus se ve masificada en
Internet colabora
enormemente en la dispersión de virus de muchos tipos,
incluyendo los "virus caseros". Muchos de estos virus son creados
por usuarios inexpertos con pocos conocimientos de programación y, en muchos casos, por
simples usuarios que bajan de Internet programas que crean virus
genéricos. Ante tantos "desarrolladores" al servicio de la
producción de virus la técnica de
scanning se ve altamente superada. Las empresas antivirus
están constantemente trabajando en la búsqueda y
documentación de cada nuevo virus que
aparece. Muchas de estas empresas actualizan sus bases de datos
todos los meses, otras lo hacen quincenalmente, y algunas pocas
llegan a hacerlo todas las semanas (cosa más que
importante para empresas que necesitan una alta protección
en este campo o para usuarios fanáticos de obtener lo
último en seguridad y
protección).

La debilidad de la técnica de scanning es inherente al
modelo. Esto
es debido a que un virus debería alcanzar una
dispersión adecuada para que algún usuario lo
capture y lo envíe a un grupo de especialistas en virus
que luego se encargarán de determinar que parte del
código será representativa para ese virus y
finalmente lo incluirán en la base de datos del antivirus.
Todo este proceso puede llevar varias semanas, tiempo suficiente
para que un virus eficaz haga de las suyas. En la actualidad,
Internet proporciona el canal de bajada de las definiciones
antivirus que nos permitirán identificar decenas de miles
de virus que andan acechando. Estas decenas de miles de virus,
como dijimos, también influirán en el tamaño
de la base de datos. Como ejemplo concreto
podemos mencionar que la base de datos de Norton Antivirus de
Symantec Corp. pesa alrededor de 2Mb y es actualizada cada quince
o veinte días.

La técnica de scanning no resulta ser la
solución definitiva, ni tampoco la más eficiente,
pero continúa siendo la más utilizada debido a que
permite identificar con cierta rapidez los virus más
conocidos, que en definitiva son los que lograron adquirir mayor
dispersión.

TÉCNICAS
DE DETECCIÓN

Teniendo en cuenta los puntos débiles de la
técnica de scanning surgió la necesidad de
incorporar otros métodos que complementaran al primero.
Como ya se mencionó la detección consiste en
reconocer el accionar de un virus por los conocimientos sobre el
comportamiento
que se tiene sobre ellos, sin importar demasiado su
identificación exacta. Este otro método
buscará código que intente modificar la información de áreas sensibles del
sistema sobre las cuales el usuario convencional no tiene
control
–y a veces ni siquiera tiene conocimiento-,
como el master boot record, el boot sector, la FAT, entre las
más conocidas.

Otra forma de detección que podemos mencionar adopta,
más bien, una posición de vigilancia constante y
pasiva. Esta, monitorea cada una de las actividades que se
realizan intentando determinar cuándo una de éstas
intenta modificar sectores críticos de las unidades de
almacenamiento, entre otros. A esta técnica se la
conoce como chequear la integridad.

ANÁLISIS HEURÍSTICO

La técnica de detección más común
es la de análisis heurístico. Consiste en
buscar en el código de cada uno de los archivos cualquier
instrucción que sea potencialmente dañina, acción
típica de los virus informáticos. Es una
solución interesante tanto para virus conocidos como para
los que no los son. El inconveniente es que muchas veces se nos
presentarán falsas alarmas, cosas que el scanner
heurístico considera peligrosas y que en realidad no lo
son tanto. Por ejemplo: tal vez el programa revise el
código del comando DEL (usado para borrar archivos) de
MS-DOS y
determine que puede ser un virus, cosa que en la realidad resulta
bastante improbable. Este tipo de cosas hace que el usuario deba
tener algunos conocimientos precisos sobre su sistema, con el fin
de poder distinguir entre una falsa alarma y una detección
real.

ELIMINACIÓN

La eliminación de un virus implica extraer el
código del archivo infectado y reparar de la mejor manera
el daño
causado en este. A pesar de que los programas antivirus pueden
detectar miles de virus, no siempre pueden erradicar la misma
cantidad, por lo general pueden quitar los virus conocidos y
más difundidos de los cuales pudo realizarse un
análisis profundo de su código y de su
comportamiento. Resulta lógico entonces que muchos
antivirus tengan problemas en
la detección y erradicación de virus de
comportamiento complejo, como el caso de los polimorfos, que
utilizan métodos de encriptación para mantenerse
indetectables. En muchos casos el procedimiento de
eliminación puede resultar peligroso para la integridad de
los archivos infectados, ya que si el virus no está
debidamente identificado las técnicas
de erradicación no serán las adecuadas para el tipo
de virus.

Hoy día los antivirus más populares están
muy avanzados pero cabe la posibilidad de que este tipo de
errores se de en programas más viejos. Para muchos el
procedimiento correcto sería eliminar completamente el
archivo y restaurarlo de la copia de respaldo. Si en vez de
archivos la infección se realizó en algún
sector crítico de la unidad de disco rígido la
solución es simple, aunque no menos riesgosa. Hay muchas
personas que recomiendan reparticionar la unidad y reformatearla
para asegurarse de la desaparición total del virus, cosa
que resultaría poco operativa y fatal para la
información del sistema. Como alternativa a esto existe
para el sistema operativo
MS-DOS / Windows una
opción no documentada del comando FDISK que resuelve todo
en cuestión de segundos. El parámetro /MBR se
encarga de restaurar el registro maestro
de booteo (lugar donde suelen situarse los virus) impidiendo
así que este vuelva a cargarse en el inicio del sistema.
Vale aclarar que cualquier dato que haya en ese sector
será sobrescrito y puede afectar mucho a sistemas que
tengan la opción de bootear con diferentes sistemas
operativos. Muchos de estos programas que permiten hacer la
elección del sistema operativo se sitúan en esta
área y por consiguiente su código será
eliminado cuando se usa el parámetro mencionado.

Para el caso de la eliminación de un virus es muy
importante que el antivirus cuente con soporte técnico
local, que sus definiciones sean actualizadas
periódicamente y que el servicio técnico sea apto
para poder responder a cualquier contingencia que nos surja en el
camino.

COMPROBACIÓN DE INTEGRIDAD

Como ya habíamos anticipado los comprobadores de
integridad verifican que algunos sectores sensibles del sistema
no sean alterados sin el consentimiento del usuario. Estas
comprobaciones pueden aplicarse tanto a archivos como al sector
de arranque de las unidades de almacenamiento.

Para poder realizar las comprobaciones el antivirus, primero,
debe tener una imagen del
contenido de la unidad de almacenamiento desinfectada con la cual
poder hacer después las comparaciones. Se crea entonces un
registro con las características de los archivos, como
puede ser su nombre, tamaño, fecha de creación o
modificación y, lo más importante para el caso, el
checksum, que es aplicar un algoritmo al
código del archivo para obtener un valor que
será único según su contenido (algo muy
similar a lo que hace la función hash en los mensajes). Si
un virus inyectara parte de su código en el archivo la
nueva comprobación del checksum sería distinta a la
que se guardó en el registro y el antivirus
alertaría de la modificación. En el caso del sector
de booteo el registro puede ser algo diferente. Como existe un
MBR por unidad física y un BR por
cada unidad lógica,
algunos antivirus pueden guardarse directamente una copia de cada
uno de ellos en un archivo y luego compararlos contra los que se
encuentran en las posiciones originales.

Una vez que el antivirus conforma un registro de cada uno de
los archivos en la unidad podrá realizar las
comprobaciones de integridad. Cuando el comprobador es puesto en
funcionamiento cada uno de los archivos serán escaneados.
Nuevamente se aplica la función checksum y se obtiene un
valor que es comparado contra el que se guardó en el
registro. Si ambos valores son
iguales, el archivo no sufrió modificaciones durante el
período comprendido entre el registro de cheksum antiguo y
la comprobación reciente. Por el otro lado, si los valores
checksum no concuerdan significa que el archivo fue alterado y en
ciertos casos el antivirus pregunta al usuario si quiere
restaurar las modificaciones. Lo más indicado en estos
casos sería que un usuario con conocimientos sobre su
sistema avale que se trata realmente de una modificación
no autorizada –y por lo tanto atribuible a un virus-,
elimine el archivo y lo restaure desde la copia de respaldo.

La comprobación de integridad en los sectores de booteo
no es muy diferente. El comprobador verificará que la
copia que está en uso sea igual a la que fue guardada con
anterioridad. Si se detectara una modificación en
cualquiera de estos sectores, le preguntará al usuario por
la posibilidad de reconstruirlos utilizando las copias guardadas.
Teniendo en cuenta que este sector en especial es un punto muy
vulnerable a la entrada de los virus multipartitos, los antivirus
verifican constantemente que no se hagan modificaciones. Cuando
se detecta una operación de escritura en
uno de los sectores de arranque, el programa toma cartas en el
asunto mostrando en pantalla un mensaje para el usuario
indicándole sobre qué es lo que está por
suceder. Por lo general el programa antivirus ofrece algunas
opciones sobre como proceder, evitar la modificación,
dejarla continuar, congelar el sistema o no tomar ninguna medida
(cancelar).

Para que esta técnica sea efectiva cada uno de los
archivos deberá poseer su entrada correspondiente en el
registro de comprobaciones. Si nuevos programas se están
instalando o estamos bajando algunos archivos desde Internet, o
algún otro archivo ingresado por cualquier otro
dispositivo de entrada, después sería razonable que
registremos el checksum con el comprobador del antivirus.
Incluso, algunos de estos programas atienden con mucha atención a lo que el comprobador de
integridad determine y no dejarán que ningún
archivo que no esté registrado corra en el sistema.

PROTEGER
ÁREAS SENSIBLES

Muchos virus tienen la capacidad de "parasitar" archivos
ejecutables. Con esto se afirma que el virus localizará
los puntos de entrada de cualquier archivo que sea ejecutable
(los archivos de datos no se ejecutan por lo tanto son
inutilizables para los virus) y los desviará a su propio
código de ejecución. Así, el flujo de
ejecución correrá primero el código del
virus y luego el del programa y, como todos los virus poseen un
tamaño muy reducido para no llamar la atención, el
usuario seguramente no notará la diferencia. Este vistazo
general de cómo logra ejecutarse un virus le
permitirá situarse en memoria y empezar a ejecutar sus
instrucciones dañinas. A esta forma de comportamiento de
los virus se lo conoce como técnica subrepticia, en la
cual prima el arte de
permanecer indetectado.

Una vez que el virus se encuentra en memoria puede replicarse
a sí mismo en cualquier otro archivo ejecutable. El
archivo ejecutable por excelencia que atacan los virus es el
COMMAND.COM, uno de los archivos fundamentales para el arranque
en el sistema operativo MS-DOS. Este archivo es el
intérprete de comandos del
sistema, por lo tanto, se cargará cada vez que se necesite
la shell. La primera vez será en el inicio del sistema y,
durante el funcionamiento, se llamará al COMMAND.COM cada
vez que se salga de un programa y vuelva a necesitarse la
intervención de la shell. Con un usuario desatento, el
virus logrará replicarse varias veces antes de que
empiecen a notarse síntomas extraños en la
computadora.

El otro "ente" ejecutable capaz de ser infectado es el sector
de arranque de los discos magnéticos. Aunque este sector
no es un archivo en sí, contiene rutinas que el sistema
operativo ejecuta cada vez que arranca el sistema desde esa
unidad, resultando este un excelente medio para que el virus se
propague de una computadora a la otra. Como dijimos antes una de
las claves de un virus es lograr permanecer oculto dejando que la
entidad ejecutable que fue solicitada por el usuario corra
libremente después de que él mismo se halla
ejecutado. Cuando un virus intenta replicarse a un disquete,
primero deberá copiar el sector de arranque a otra
porción del disco y recién entonces copiar su
código en el lugar donde debería estar el sector de
arranque.

Durante el arranque de la computadora con el disquete
insertado en la disquetera, el sistema operativo MS-DOS
intentará ejecutar el código contenido en el sector
de booteo del disquete. El problema es que en esa posición
se encontrará el código del virus, que se ejecuta
primero y luego apuntará el hacia la ejecución a la
nueva posición en donde se encuentran los archivos para el
arranque. El virus no levanta sospechas de su existencia
más allá de que existan o no archivos de arranque
en el sector de booteo.

Nuestro virus se encuentra ahora en memoria y no tendrá
problemas en replicarse a la unidad de disco rígido cuando
se intente bootear desde esta. Hasta que su módulo de
ataque se ejecute según fue programado, el virus
intentará permanecer indetectado y continuará
replicándose en archivos y sectores de booteo de otros
disquetes que se vayan utilizando, aumentando potencialmente la
dispersión del virus cuando los disquetes sean llevados a
otras máquinas.

LOS TSR

Estos programas residentes en memoria son módulos del
antivirus que se encargan de impedir la entrada del cualquier
virus y verifican constantemente operaciones que
intenten realizar modificaciones por métodos poco
frecuentes. Estos, se activan al arrancar el ordenador y por lo
general es importante que se carguen al comienzo y antes que
cualquier otro programa para darle poco tiempo de
ejecución a los virus y detectarlos antes que alteren
algún dato. Según como esté configurado el
antivirus, el demonio (como se los conoce en el ambiente Unix)
o TSR (en la jerga MS-DOS / Windows), estará pendiente de
cada operación de copiado, pegado o cuando se abran
archivos, verificará cada archivo nuevo que es creado y
todas las descargas de Internet, también hará lo
mismo con las operaciones que intenten realizar un formateo de
bajo nivel en la unidad de disco rígido y, por supuesto,
protegerá los sectores de arranque de modificaciones.

Las nuevas computadoras
que aparecieron con formato ATX poseen un tipo de memoria llamada
Flash-ROM con
una tecnología capaz de permitir la
actualización del BIOS de la
computadora por medio de software sin la necesidad de
conocimientos técnicos por parte del usuario y sin tener
que tocar en ningún momento cualquiera de los dispositivos
de hardware. Esta nueva tecnología añade otro punto
a favor de los virus ya que ahora estos podrán copiarse a
esta zona de memoria dejando completamente indefensos a muchos
antivirus antiguos. Un virus programado con técnicas
avanzadas y que haga uso de esta nueva ventaja es muy probable
que sea inmune al reparticionado o reformateo de las unidades de
discos magnéticos.

APLICAR
CUARENTENA

Es muy posible que un programa antivirus muchas veces quede
descolocado frente al ataque de virus nuevos. Para esto incluye
esta opción que no consiste en ningún método
de avanzada sino simplemente en aislar el archivo infectado.
Antes que esto el antivirus reconoce el accionar de un posible
virus y presenta un cuadro de diálogo
informándonos. Además de las opciones
clásicas de eliminar el virus, aparece ahora la
opción de ponerlo en cuarentena. Este procedimiento
encripta el archivo y lo almacena en un directorio hijo del
directorio donde se encuentra el antivirus.

De esta manera se está impidiendo que ese archivo pueda
volver a ser utilizado y que continúe la dispersión
del virus. Como acciones
adicionales el antivirus nos permitirá restaurar este
archivo a su posición original como si nada hubiese pasado
o nos permitirá enviarlo a un centro de investigación donde especialistas en el
tema podrán analizarlo y determinar si se trata de un
virus nuevo, en cuyo caso su código distintivo será
incluido en las definiciones de virus. En la figura vemos el
programa de cuarentena de Norton AntiVirus 2004 incluido en
NortonSystemWorks Professional 2004 y que nos permite enviar los
archivos infectados a Symantec Security Response para su
posterior análisis.

DEFINICIONES ANTIVIRUS

Los archivos de definiciones antivirus son fundamentales para
que el método de identificación sea efectivo. Los
virus que alcanzaron una considerable dispersión pueden
llegar a ser analizados por los ingenieros especialistas en virus
de algunas de las compañías antivirus, que
mantendrán actualizadas las definiciones permitiendo
así que las medidas de protección avancen casi al
mismo paso en que lo hacen los virus.

Un antivirus que no esté actualizado puede resultar
poco útil en sistemas que corren el riesgo de recibir
ataques de virus nuevos (como organismos gubernamentales o
empresas de tecnología de punta), y están
reduciendo en un porcentaje bastante alto la posibilidad de
protección. La actualización también puede
venir por dos lados: actualizar el programa completo o actualizar
las definiciones antivirus. Si contamos con un antivirus que
posea técnicas de detección avanzadas, posibilidad
de análisis heurístico, protección residente
en memoria de cualquiera de las partes sensibles de una unidad de
almacenamiento, verificador de integridad, etc., estaremos bien
protegidos para empezar. Una actualización del programa
sería realmente justificable en caso de que incorpore
algún nuevo método que realmente influye en la
erradicación contra los virus. Sería importante
también analizar el impacto económico que
conllevará para nuestra empresa, ya que sería
totalmente inútil tener el mejor antivirus y preocuparse
por actualizar sus definiciones diarias por medio de Internet si
nuestra red ni
siquiera tiene acceso a la Web, tampoco acceso remoto de usuarios
y el único intercambio de información es entre
empleados que trabajan con un paquete de aplicaciones de oficina sin
ningún contenido de macros o
programación que de lugar a posibles infecciones.

ESTRATEGIA DE
SEGURIDAD CONTRA LOS VIRUS

En la problemática que nos ocupa, poseer un antivirus y
saber cómo utilizarlo es la primera medida que
debería tomarse. Pero no será totalmente efectiva
si no va acompañada por conductas que el usuario debe
respetar. La educación y la
información son el mejor método para
protegerse.

El usuario debe saber que un virus
informático es un programa de computadora que posee
ciertas características que lo diferencian de un programa
común, y se infiltra en las computadoras de forma furtiva
y sin ninguna autorización. Como cualquier otro programa
necesitará un medio físico para transmitirse, de
ninguna manera puede volar por el aire como un
virus biológico, por lo tanto lo que nosotros hagamos para
el transporte de
nuestra información debemos saber que resulta un excelente
medio aprovechable por los virus. Cualquier puerta que nosotros
utilicemos para comunicarnos es una posible vía de ingreso
de virus, ya sea una disquetera, una lectora de CD-ROM, un
módem con conexión a Internet, la placa que nos
conecta a la red de la empresa, los nuevos puertos
ultrarrápidos (USB y
FireWire) que nos permiten conectar dispositivos de
almacenamiento externos como unidades Zip, Jazz, HDDs,
etc.

Viendo que un virus puede atacar nuestro sistema desde
cualquier ángulo, no podríamos dejar de utilizar
estos dispositivos solo porque sean una vía de entrada
viral (ya que deberíamos dejar de utilizarlos a todos),
cualquiera de las soluciones que
planteemos no será cien por ciento efectiva pero
contribuirá enormemente en la protección y estando
bien informados evitaremos crear pánico
en una situación de infección.

Una forma bastante buena de comprobar la infección en
un archivo ejecutable es mediante la verificación de
integridad. Con esta técnica estaremos seguros que
cualquier intento de modificación del código de un
archivo será evitado o, en última instancia,
sabremos que fue modificado y podremos tomar alguna medida al
respecto (como eliminar el archivo y restaurarlo desde la copia
de respaldo). Es importante la frecuencia con la que se revise la
integridad de los archivos. Para un sistema grande con acceso a
redes externas sería conveniente una verificación
semanal o tal vez menor por parte de cada uno de los usuarios en
sus computadoras. Un ruteador no tiene manera de determinar si un
virus está ingresando a la red de la empresa porque los
paquetes individuales no son suficiente cómo para detectar
a un virus. En el caso de un archivo que se baja de Internet,
éste debería almacenarse en algún directorio
de un servidor y
verificarse con la técnica de scanning, recién
entonces habría que determinar si es un archivo apto para
enviar a una estación de trabajo.

La mayoría de los firewall que
se venden en el mercado
incorporan sistemas antivirus. También incluyen sistemas
de monitorización de integridad que le permiten visualizar
los cambios de los archivos y sistema todo en tiempo real. La
información en tiempo real le puede ayudar a detener un
virus que está intentando infectar el sistema.

En cuanto a los virus multipartitos estaremos cubiertos si
tomamos especial cuidado del uso de los disquetes. Estos no deben
dejarse jamás en la disquetera cuando no se los
está usando y menos aún durante el arranque de la
máquina. Una medida acertada es modificar la secuencia de
booteo modificando el BIOS desde el programa Setup para que se
intente arrancar primero desde la unidad de disco rígido y
en su defecto desde la disquetera. Los discos de arranque del
sistema deben crearse en máquinas en las que sabemos que
están libres de virus y deben estar protegidos por la
muesca de sólo lectura.

El sistema antivirus debe ser adecuado para el sistema. Debe
poder escanear unidades de red si es que contamos con una,
proveer análisis heurístico y debe tener la
capacidad de chequear la integridad de sus propios archivos como
método de defensa contra los retro-virus. Es muy
importante cómo el antivirus guarda el archivo de
definiciones de virus. Debe estar protegido contra
sobreescrituras, encriptado para que no se conozca su contenido y
oculto en el directorio (o en su defecto estar fragmentado y
cambiar periódicamente su nombre). Esto es para que los
virus no reconozcan con certeza cuál es el archivo de
definiciones y dejen imposibilitado al programa antivirus de
identificar con quien está tratando.

Regularmente deberemos iniciar la máquina con nuestro
disquete limpio de arranque del sistema operativo y escanear las
unidades de disco rígido con unos disquetes que contengan
el programa antivirus. Si este programa es demasiado extenso
podemos correrlo desde la lectora de CD-ROM,
siempre y cuando la hayamos configurado previamente. Este
último método puede complicar a más de una
de las antiguas computadoras. Las nuevas máquinas de
factor ATX incluso nos permiten bootear desde una lectora de
CD-ROM, que no tendrán problemas en reconocer ya que la
mayoría trae sus drivers en firmware. Si no se cuenta con
alguna de estas nuevas tecnologías simplemente podemos
utilizar un disco de inicio de Windows 98
(sistema bastante popular hoy en día) que nos da la
posibilidad de habilitar la utilización de la lectora para
luego poder utilizarla con una letra de unidad convencional.

El módulo residente en memoria del antivirus es
fundamental para la protección de virus que están
intentando entrar en nuestro sistema. Debe ser apto para nuestro
tipo de sistema operativo y también debe estar
correctamente configurado. Los antivirus actuales poseen muchas
opciones configurables en las que deberá fijarse el
residente. Cabe recordar que mientras más de estas
seleccionemos la performance del sistema se verá
mayormente afectada. Adoptar una política de seguridad
no implica velocidad en
los trabajos que realicemos.

El usuario hogareño debe acostumbrarse a realizar
copias de respaldo de su sistema. Existen aplicaciones que nos
permitirán con mucha facilidad realizar copias de
seguridad de nuestros datos (también podemos optar por
hacer sencillos archivos zipeados de nuestros datos y copiarlos
en un disquete). Otras, como las utilidades para Windows 9x de
Norton permiten crear disquetes de emergencia para arranque de
MS-DOS y restauración de todos los archivos del sistema
(totalmente seleccionables). Si contamos con una unidad de discos
Zip podemos extender las posibilidades y lograr que todo el
sistema Windows se restaure después de algún
problema.

Estos discos Zip son igualmente útiles para las
empresas, aunque quizás estas prefieran optar por una
regrabadora de CD-R"s, que ofrece mayor capacidad de
almacenamiento, velocidad de grabación, confiabilidad y
los discos podrán ser leídos en cualquier lectora
de CD-ROM actual.

Una persona
responsable de la seguridad
informática de la empresa debería documentar un
plan de
contingencia en el que se explique en pasos perfectamente
entendibles para el usuario cómo debería actuar
ante un problema de estos. Las normas que
allí figuren pueden apuntar a mantener la operatividad del
sistema y, en caso de que el problema pase a mayores,
debería privilegiarse la recuperación de la
información por un experto en el tema.

No se deberían instalar programas que no sean
originales o que no cuenten con su correspondiente licencia de
uso.

En el sistema de red de la empresa podría resultar
adecuado quitar las disqueteras de
las computadoras de los usuarios. Así se estaría
removiendo una importante fuente de ingreso de virus. Los
archivos con los que trabajen los empleados podrían
entrar, por ejemplo, vía correo
electrónico, indicándole a nuestro proveedor de
correo electrónico que verifique todos los archivos en
busca de virus mientras aún se encuentran en su servidor y
los elimine si fuera necesario.

Los programas freeware, shareware, trial, o de cualquier otro
tipo de distribución que sean bajados de Internet
deberán ser escaneados antes de su ejecución. La
descarga deberá ser sólo de sitios en los que se
confía. La autorización de instalación de
programas deberá determinarse por el administrador
siempre y cuando este quiera mantener un sistema libre de "entes
extraños" sobre los que no tiene control. Es una medida
adecuada para sistemas grandes en donde los administradores ni
siquiera conocen la cara de los usuarios.

Cualquier programa de fuente desconocida que el usuario quiera
instalar debe ser correctamente revisado. Si un grupo de usuarios
trabaja con una utilidad que no
está instalada en la oficina, el administrador
deberá determinar si instala esa aplicación en el
servidor y les da acceso a ese grupo de usuarios, siempre y
cuando el programa no signifique un riesgo para la seguridad del
sistema. Nunca debería priorizarse lo que el usuario
quiere frente a lo que el sistema necesita para mantenerse
seguro.

Ningún usuario no autorizado debería acercarse a
las estaciones de trabajo. Esto puede significar que el intruso
porte un disquete infectado que deje en cualquiera de las
disqueteras de un usuario descuidado. Todas las computadoras
deben tener el par ID de usuario y contraseña.

Nunca dejar disquetes en la disquetera durante el encendido de
la computadora. Tampoco utilizar disquetes de fuentes no
confiables o los que no haya creado uno mismo. Cada disquete que
se vaya a utilizar debe pasar primero por un detector de
virus.

Si el disquete no lo usaremos para grabar información,
sino más que para leer, deberíamos protegerlo
contra escritura activando la muesca de protección. La
protección de escritura estará activada cuando al
intentar ver el disco a tras luz veamos dos
pequeños orificios cuadrados en la parte inferior.

TÁCTICAS
ANTIVÍRICAS

Preparación y prevención

Los usuarios pueden prepararse frente a una
infección viral creando regularmente copias de seguridad
del software original legítimo y de los ficheros de datos,
para poder recuperar el sistema informático en caso
necesario. Puede copiarse en un disco flexible el software del
sistema operativo y proteger el disco contra escritura, para que
ningún virus pueda sobrescribir el disco. Las infecciones
virales se pueden prevenir obteniendo los programas de fuentes
legítimas, empleando una computadora en cuarentena para
probar los nuevos programas y protegiendo contra escritura los
discos flexibles siempre que sea posible.

Detección de virus

Para detectar la presencia de un virus se
pueden emplear varios tipos de programas antivíricos. Los
programas de rastreo pueden reconocer las características
del código informático de un virus y buscar estas
características en los ficheros del ordenador. Como los
nuevos virus tienen que ser analizados cuando aparecen, los
programas de rastreo deben ser actualizados periódicamente
para resultar eficaces. Algunos programas de rastreo buscan
características habituales de los programas virales;
suelen ser menos fiables.

Los únicos programas que detectan todos
los virus son los de comprobación de suma, que emplean
cálculos matemáticos para comparar el estado de
los programas ejecutables antes y después de ejecutarse.
Si la suma de comprobación no cambia, el sistema no
está infectado. Los programas de comprobación de
suma, sin embargo, sólo pueden detectar una
infección después de que se produzca.

Los programas de vigilancia detectan
actividades potencialmente nocivas, como la sobre escritura de
ficheros informáticos o el formateo del disco duro de la
computadora. Los programas caparazones de integridad establecen
capas por las que debe pasar cualquier orden de ejecución
de un programa. Dentro del caparazón de integridad se
efectúa automáticamente una comprobación de
suma, y si se detectan programas infectados no se permite que se
ejecuten.

Contención y recuperación

Una vez detectada una infección viral,
ésta puede contenerse aislando inmediatamente los
ordenadores de la red, deteniendo el intercambio de ficheros y
empleando sólo discos protegidos contra escritura. Para
que un sistema informático se recupere de una
infección viral, primero hay que eliminar el virus.
Algunos programas antivirus intentan eliminar los virus
detectados, pero a veces los resultados no son satisfactorios. Se
obtienen resultados más fiables desconectando la
computadora infectada, arrancándola de nuevo desde un
disco flexible protegido contra escritura, borrando los ficheros
infectados y sustituyéndolos por copias de seguridad de
ficheros legítimos y borrando los virus que pueda haber en
el sector de arranque inicial.

MEDIDAS ANTIVIRUS

Nadie que usa computadoras es inmune a los virus de computación. Un programa antivirus por muy
bueno que sea se vuelve obsoleto muy rápidamente ante los
nuevos virus que aparecen día a día.

Algunas medidas antivirus son:

• Desactivar arranque desde disquete en el CETUR para que no
  se ejecuten virus de boot.

• Desactivar compartir archivos e impresoras.

• Analizar con el antivirus todo archivo recibido por e-mail
  antes de abrirlo.

• Actualizar el antivirus.

• Activar la protección contra macro virus del Word y
  el Excel.

• Ser cuidadoso al bajar archivos de Internet (Analice si
  vale el riesgo y si el sitio es seguro)

• No envíe su información personal ni
  financiera a menos que sepa quien se la solicita y que sea
  necesaria para la transacción.

• No comparta discos con otros usuarios.

• No entregue a nadie sus claves, incluso si lo llaman del
  servicio de Internet u otros.

• Enseñe a sus niños las prácticas de
  seguridad, sobre todo la entrega de información.

• Cuando realice una transacción asegúrese de
  utilizar una conexión bajo SSL

• Proteja contra escritura el archivo Normal.dot

• Distribuya archivos RTF en vez de documentos.

• Realice backups

¿CÓMO PUEDO ELABORAR UN PROTOCOLO DE
SEGURIDAD ANTIVIRUS?

La forma más segura, eficiente y efectiva de evitar
virus, consiste en elaborar un protocolo de seguridad para sus
computadoras. Un protocolo de seguridad consiste en una serie de
pasos que el usuario debe seguir con el fin de crear un
hábito al operar normalmente con programas y archivos en
sus computadoras. Un buen protocolo es aquel que le inculca
buenos hábitos de conducta y le
permite operar con seguridad su computadora aún cuando
momentáneamente esté desactivado o desactualizado
su antivirus.

Un protocolo de seguridad antivirus debe cumplir ciertos
requisitos para que pueda ser cumplido por el operador en primer
término, y efectivo en segundo lugar. Demás
está decir que el protocolo puede ser muy efectivo pero
sí es complicado, no será puesto en funcionamiento
nunca por el operador. Este es un protocolo sencillo, que ayuda a
mantener nuestra computadora libre de virus. No se incluyen
medidas de protección en caso de un sistema de red, ya que
se deberían cumplir otros requisitos que no son
contemplados aquí:

• Instalar el antivirus y asegurar cada 15 días su
  actualización.

• Chequear los CD"s ingresados en nuestra computadora
  sólo una vez, al comprarlos o adquirirlos y
  diferenciarlos de los no analizados con un marcador para
  certificar el chequeo. Esto sólo es válido en
  el caso de que nuestros CD"s no sean procesados en otras
  computadora (préstamos a los amigos) y sean
  regrabables. En caso de que sean regrabables y los prestemos,
  deberemos revisarlos cada vez que regresen a nosotros.

• Formatear todo disquete virgen que compremos, sin importar
  si son formateados de fábrica, ya que pueden "colarse"
  virus aún desde el proceso del fabricante. El formateo
  debe ser del tipo Formateo del DOS, no formateo
  rápido.

• Chequear todo disquete que provenga del exterior, es decir
  que no haya estado bajo nuestro control, o que haya sido
  ingresado en la disquetera de otra computadora. Si ingresamos
  nuestros disquetes en otras computadoras, asegurarnos de que
  estén protegidos contra escritura.

• Si nos entregan un disquete y nos dicen que está
  revisado, no confiar nunca en los procedimientos de otras
  personas que no seamos nosotros mismos. Nunca sabemos si esa
  persona sabe operar correctamente su antivirus. Puede haber
  chequeado sólo un tipo de virus y dejar otros sin
  controlar durante su escaneo, o puede tener un módulo
  residente que es menos efectivo que nuestro antivirus, o
  puede tener un antivirus viejo.

• Para bajar páginas de Internet, archivos,
  ejecutables, etc., definir siempre en nuestra computadora una
  carpeta o directorio para recibir el material. De este modo
  sabemos que todo lo que bajemos de Internet siempre
  estará en una sola carpeta.

• Nunca ejecutar o abrir antes del escaneo ningún
  fichero o programa que esté en esa carpeta.

• Nunca abrir un atachado a un e-mail sin antes chequearlo
  con nuestro antivirus. Si el atachado es de un desconocido
  que no nos avisó previamente del envío del
  material, directamente borrarlo sin abrir.

• Al actualizar el antivirus, chequear nuestra computadora
  completamente. En caso de detectar un virus, proceder a
  chequear todos nuestros soportes (disquetes, CD"s, ZIP"s,
  etc.)

• Si por nuestras actividades generamos grandes bibliotecas
  de disquetes conteniendo información, al guardar los
  disquetes en la biblioteca, chequearlos por última
  vez, protegerlos contra escritura y fecharlos para saber
  cuándo fue el último escaneo.

• Haga el backup periódico de sus archivos. Una vez
  cada 15 días es lo mínimo recomendable para un
  usuario doméstico. Si usa con fines profesionales su
  computadora, debe hacer backup parcial de archivos cada 48
  horas como mínimo.

• Llamamos backup parcial de archivos a la copia en disquete
  de los documentos que graba, un documento de Word, por
  ejemplo. Al terminarlo, grábelo en su carpeta de
  archivos y cópielo a un disquete. Esa es una manera
  natural de hacer backup constantes. Si no hace eso,
  tendrá que hacer backups totales del disco
  rígido cada semana o cada 15 días, y eso
  sí realmente es un fastidio.

Este es el punto más conflictivo y que se debe
mencionar a consecuencia de la proliferación de virus de
e-mails. A pesar de las dificultades que puede significar
aprender a usar nuevos programas, lo aconsejable es evitar el uso
de programas de correo electrónico que operen con
lenguajes de macros o programados con Visual Basic For
Applications. Del mismo modo, considere el uso de navegadores
alternativos, aunque esta apreciación no es tan
contundente como con los programas de correo
electrónico.

Si bien puede parecer algo complicado al principio, un
protocolo de este tipo se hace natural cuando el usuario se
acostumbra. El primer problema grave de los virus es el
desconocimiento de su acción y alcances. Si el protocolo
le parece complicado e impracticable, comprenda que al igual que
una herramienta, la computadora puede manejarse sin el manual de
instrucciones y sin protocolos, pero
la mejor manera de aprovechar una herramienta es leer el manual
(protocolo) y aprovechar todas las características que
ella le ofrece. Si usted no sigue un protocolo de seguridad
siempre estará a merced de los virus.

CONCLUSIONES

Un virus es un programa pensado para poder reproducirse y
replicarse por sí mismo, introduciéndose en otros
programas ejecutables o en zonas reservadas del disco o la
memoria. Sus efectos pueden no ser nocivos, pero en muchos casos
hacen un daño importante en el ordenador donde
actúan. Pueden permanecer inactivos sin causar
daños tales como el formateo de los discos, la
destrucción de ficheros, etc. Como vimos a lo largo del
trabajo los virus informáticos no son un simple riesgo de
seguridad. Existen miles de programadores en el mundo que se
dedican a esta actividad con motivaciones propias y diversas e
infunden millones de dólares al año en gastos de
seguridad para las empresas. El verdadero peligro de los virus es
su forma de ataque indiscriminado contra cualquier sistema
informático, cosa que resulta realmente crítica
en entornos dónde máquinas y humanos
interactúan directamente.

Es muy difícil prever la propagación de los
virus y que máquina intentarán infectar, de
ahí la importancia de saber cómo funcionan
típicamente y tener en cuenta los métodos de
protección adecuados para evitarlos.

A medida que las tecnologías evolucionan van
apareciendo nuevos estándares y acuerdos entre
compañías que pretenden compatibilizar los
distintos productos en el mercado. Como ejemplo podemos nombrar
la incorporación de Visual Basic para
Aplicaciones en el paquete Office y en
muchos otros nuevos programas de empresas como AutoCAD, Corel,
Adobe. Con el tiempo esto permitirá que con algunas
modificaciones de código un virus pueda servir para
cualquiera de los demás programas, incrementando
aún más los potenciales focos de
infección.

La mejor forma de controlar una infección es mediante
la educación
previa de los usuarios del sistema. Es importante saber
qué hacer en el momento justo para frenar un avance que
podría extenderse a mayores. Como toda otra instancia de
educación será necesario mantenerse actualizado e
informado de los últimos avances en el tema, leyendo
noticias,
suscribiéndose a foros de discusión, leyendo
páginas
Web especializadas, etc.

BIBLIOGRAFÍA

Biblioteca de Consulta Microsoft
Encarta 2004

http://www.ciudad.com.ar/ar/portales/tecnologia/nota/0,1357,5644,00.asp

http://www.monografias.com/trabajos11/breverres/breverres.shtml
– 69k –

http://www.monografias.com/trabajos12/virus/virus.shtml

/trabajos7/virin/virin.shtml

/trabajos12/virudos/virudos.shtml

/trabajos13/virin/virin.shtml

/trabajos10/viri/viri.shtml

/trabajos5/virusinf/virusinf2.shtml

http://www.symantec.com

/trabajos11/tecom/tecom.shtml#anti

/trabajos13/imcom/imcom.shtml#an

http://www.vsantivirus.com/am-conozcaav.htm

Autor:

Carlos Antonio Orantes Hernández

Metodólogo

Analista e Investigador Asociado

Oficina profesional de metodología de las ciencias
sociales

carlosorantes[arroba]carlosorantes.cjb.net

www.carlosorantes.cjb.net