Monografias.com > Computación > General
Descargar Imprimir Comentar Ver trabajos relacionados

El nuevo escenario informático




Enviado por oscarritch



    1. ¿Cómo nacieron
      los virus?
    2. ¿Qué es un
      virus?
    3. Tipos de
      virus
    4. Características de los
      virus
    5. Daños de los
      virus
    6. Síntomas típicos
      de una infección
    7. Virus informáticos
      argentinos
    8. ¿Qué no es un
      virus?
    9. ¿Qué es un
      antivirus?
    10. Algunos
      antivirus
    11. Conclusiones

    Uno de los cambios más
    sorprendentes del mundo de hoy es la rapidez de las comunicaciones. Modernos sistemas permiten
    que el flujo de conocimientos sea independiente del lugar
    físico en que nos encontremos. Ya no nos sorprende la
    transferencia de información en tiempo real o
    instantáneo. Se dice que el
    conocimiento es poder; para
    adquirirlo, las empresas se han
    unido en grandes redes internacionales para
    transferir datos, sonidos e
    imágenes, y realizan el comercio en
    forma electrónica, para ser más
    eficientes. Pero al unirse en forma pública, se han vuelto
    vulnerables, pues cada sistema de
    computadoras
    involucrado en la red es un blanco potencial y
    apetecible para obtener información.

    El escenario electrónico actual es que las
    organizaciones
    están uniendo sus redes internas a la Internet, la que crece a
    razón de más de un 10% mensual. Al unir una red a la Internet se
    tiene acceso a las redes de otras organizaciones también
    unidas. De la misma forma en que accedemos la oficina del
    frente de nuestra empresa, se puede
    recibir información de un servidor en
    Australia, conectarnos a una supercomputadora en Washington o
    revisar la literatura disponible desde
    Alemania. Del
    universo de
    varias decenas de millones de computadoras interconectadas, no es
    difícil pensar que puede haber más de una persona con
    perversas intenciones respecto de una organización. Por eso, se debe tener la red
    protegida adecuadamente.

    Cada vez es más frecuente encontrar noticias
    referentes a que redes de importantes organizaciones han sido
    violadas por criminales informáticos desconocidos. A pesar
    de que la prensa ha
    publicitado que tales intrusiones son solamente obra de adolescentes
    con propósitos de entretenerse o de jugar, ya no se trata
    de un incidente aislado de una desafortunada institución.
    A diario se reciben reportes los ataques a redes
    informáticas, los que se han vuelto cada vez más
    siniestros: los archivos son
    alterados subrepticiamente, las computadoras se vuelven
    inoperativas, se ha copiado información confidencial sin
    autorización, se ha reemplazado el software para agregar
    "puertas traseras" de entrada, y miles de contraseñas han
    sido capturadas a usuarios inocentes.

    Los administradores de sistemas deben gastar horas y a
    veces días enteros volviendo a cargar o reconfigurando
    sistemas comprometidos, con el objeto de recuperar la confianza
    en la integridad del sistema. No hay manera de saber los motivos
    que tuvo el intruso, y debe suponerse que sus intenciones son lo
    peor. Aquella gente que irrumpe en los sistemas sin
    autorización, aunque sea solamente para mirar su estructura,
    causa mucho daño,
    incluso sin que hubieran leído la correspondencia
    confidencial y sin borrar ningún archivo.

    Uno de los cambios más sorprendentes del mundo de
    hoy es la rapidez de las comunicaciones. Modernos sistemas
    permiten que el flujo de conocimientos sea independiente del
    lugar físico en que nos encontremos. Ya no nos sorprende
    la transferencia de información en tiempo real o
    instantáneo. Se dice que el conocimiento
    es poder; para adquirirlo, las empresas se han unido en grandes
    redes internacionales para transferir datos, sonidos e
    imágenes, y realizan el comercio en forma
    electrónica, para ser más eficientes. Pero al
    unirse en forma pública, se han vuelto vulnerables, pues
    cada sistema de computadoras involucrado en la red es un blanco
    potencial y apetecible para obtener
    información.

    El escenario electrónico actual es que las
    organizaciones están uniendo sus redes internas a la
    Internet, la que crece a razón de más de un 10%
    mensual.

    Al unir una red a la Internet se tiene acceso a las
    redes de otras organizaciones también unidas. De la misma
    forma en que accedemos la oficina del frente de nuestra empresa,
    se puede recibir información de un servidor en Australia,
    conectarnos a una supercomputadora en Washington o revisar la
    literatura disponible desde Alemania. Del universo de varias
    decenas de millones de computadoras interconectadas, no es
    difícil pensar que puede haber más de una persona
    con perversas intenciones respecto de una organización.
    Por eso, se debe tener nuestra red protegida
    adecuadamente.

    Cada vez es más frecuente encontrar noticias
    referentes a que redes de importantes organizaciones han sido
    violadas por criminales informáticos desconocidos. A pesar
    de que la prensa ha publicitado que tales intrusiones son
    solamente obra de adolescentes con propósitos de
    entretenerse o de jugar, ya no se trata de un incidente aislado
    de una desafortunada institución. A diario se reciben
    reportes los ataques a redes informáticas, los que se han
    vuelto cada vez más siniestros: los archivos son alterados
    subrepticiamente, las computadoras se vuelven inoperativas, se ha
    copiado información confidencial sin autorización,
    se ha reemplazado el software para agregar "puertas traseras" de
    entrada, y miles de contraseñas han sido capturadas a
    usuarios inocentes.

    Los administradores de sistemas deben gastar horas y a
    veces días enteros volviendo a cargar o reconfigurando
    sistemas comprometidos, con el objeto de recuperar la confianza
    en la integridad del sistema. No hay manera de saber los motivos
    que tuvo el intruso, y debe suponerse que sus intenciones son lo
    peor. Aquella gente que irrumpe en los sistemas sin
    autorización, aunque sea solamente para mirar su
    estructura, causa mucho daño, incluso sin que hubieran
    leído la correspondencia confidencial y sin borrar
    ningún archivo.

    De acuerdo a un estudio de la Consultora "Ernst and
    Young" abarcando más de mil empresas, un 20% reporta
    pérdidas financieras como consecuencia de intrusiones en
    sus computadoras (Technology Review, Abril 95, pg.33). Ya pasaron
    los tiempos en que la seguridad de las
    computadoras era sólo un juego o
    diversión.

    ¿CÓMO NACIERON LOS VIRUS?

    Hacia finales de los años 60, Douglas McIlory,
    Victor Vysottsky y Robert Morris idearon un juego al que
    llamaron Core War (Guerra en lo
    Central, aludiendo a la memoria
    de la
    computadora), que se convirtió en el pasatiempo de
    algunos de los programadores de los laboratorios Bell de
    AT&T.

    El juego consistía en que dos jugadores
    escribieran cada uno un programa
    llamado organismo, cuyo hábitat fuera la memoria de la
    computadora.
    A partir de una señal, cada programa intentaba forzar al
    otro a efectuar una instrucción inválida, ganando
    el primero que lo consiguiera.

    Al término del juego, se borraba de la memoria
    todo rastro de la batalla, ya que estas actividades eran
    severamente sancionadas por los jefes por ser un gran riesgo dejar un
    organismo suelto que pudiera acabar con las aplicaciones
    del día siguiente. De esta manera surgieron los programas
    destinados a dañar en la escena de la computación.

    Uno de los primeros registros que
    se tienen de una infección data del año 1987,
    cuando en la Universidad
    estadounidense de Delaware notaron que tenían un virus
    porque comenzaron a ver "© Brain" como etiqueta de los
    disquetes.

    La causa de ello era Brain Computer Services, una casa
    de computación paquistaní que, desde 1986,
    vendía copias ilegales de software comercial infectadas
    para, según los responsables de la firma, dar una
    lección a los piratas.

    Ellos habían notado que el sector de booteo de
    un disquete contenía código ejecutable, y que dicho
    código se ejecutaba cada vez que la máquina se
    inicializaba desde un disquete.

    Lograron reemplazar ese código por su propio
    programa, residente, y que este instalara una réplica de
    sí mismo en cada disquete que fuera utilizado de
    ahí en más.

    También en 1986, un programador llamado Ralf
    Burger se dio cuenta de que un archivo podía ser creado
    para copiarse a sí mismo, adosando una copia de
    él a otros archivos. Escribió una
    demostración de este efecto a la que llamó
    VIRDEM, que podía infectar cualquier archivo con
    extensión .COM.

    Esto atrajo tanto interés
    que se le pidió que escribiera un libro, pero,
    puesto que él desconocía lo que estaba ocurriendo
    en Paquistán, no mencionó a los virus de sector
    de arranque (boot sector). Para ese entonces, ya se
    había empezado a diseminar el virus Vienna.

    Actualmente, los virus son producidos en cantidades
    extraordinarias por muchisima gente alrededor del planeta.
    Algunos de ellos dicen hacerlo por divertimento, otros
    quizás para probar sus habilidades. De cualquier manera,
    hasta se ha llegado a notar un cierto grado de competitividad entre los autores de estos
    programas.

    Con relación a la
    motivación de los autores de virus para llevar a
    cabo su obra, existe en Internet un documento escrito por un
    escritor freelance Markus Salo, en el cual, entre otros, se
    exponen los siguientes conceptos:

    • Algunos de los programadores de virus, especialmente
      los mejores, sostienen que su interés por el tema es
      puramente científico, que desean averiguar todo lo que
      se pueda sobre virus y sus usos.
    • A diferencia de las compañías de
      software, que son organizaciones relativamente aisladas unas de
      otras (todas tienen secretos que no querrían que sus
      competidores averiguaran) y cuentan entre sus filas con
      mayoría de estudiantes graduados, las agrupaciones de
      programadores de virus están abiertas a cualquiera que
      se interese en ellas, ofrecen consejos, camaradería y
      pocas limitaciones. Además, son libres de seguir
      cualquier objetivo que
      les parezca, sin temer por la pérdida de respaldo
      económico.
    • El hecho de escribir programas vírales da al
      programador cierta fuerza
      coercitiva, lo pone fuera de las reglas convencionales de
      comportamiento. Este factor es uno de los
      más importantes, pues el sentimiento de pertenencia es
      algo necesario para todo ser humano, y es probado que dicho
      sentimiento pareciera verse reforzado en situaciones
      marginales.
    • Por otro lado, ciertos programadores parecen intentar
      legalizar sus actos poniendo sus creaciones al alcance de mucha
      gente, (vía Internet, BBS especializadas, etc.) haciendo
      la salvedad de que el material es peligroso, por lo cual el
      usuario debería tomar las precauciones del
      caso.
    • Existen programadores, de los cuales, generalmente,
      provienen los virus más destructivos, que alegan que sus
      programas son creados para hacer notoria la falta de
      protección de que sufren la mayoría de los
      usuarios de computadoras.
    • La gran mayoría de estos individuos son del
      mismo tipo de gente que es reclutada por los grupos
      terroristas: hombres, adolescentes, inteligentes.

    En definitiva, sea cual fuere el motivo por el cual se
    siguen produciendo virus, se debe destacar que su existencia no
    ha sido sólo perjuicios: gracias a ellos, mucha gente a
    tomado conciencia
    de qué es lo que tiene y cómo
    protegerlo.

    ¿QUÉ ES
    UN VIRUS?.

    Es un pequeño programa escrito intencionalmente
    para instalarse en la computadora de un usuario sin el
    conocimiento o el permiso de este. Decimos que es un programa
    parásito porque el programa ataca a los archivos o
    sector es de "booteo" y se replica a sí mismo para
    continuar su esparcimiento.

    Algunos se limitan solamente a replicarse, mientras
    que otros pueden producir serios daños que pueden
    afectar a los sistemas. Se ha llegado a un punto tal, que un
    nuevo virus llamado W95/CIH-10xx. o también como
    CIH.Spacefiller (puede aparecer el 26 de cada mes,
    especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la
    PC huésped y cambiar su configuración de tal
    forma que se requiere cambiarlo. Nunca se puede asumir que un
    virus es inofensivo y dejarlo "flotando" en el
    sistema.

    Existen ciertas analogías entre los virus
    biológicos y los informáticos: mientras los
    primeros son agentes externos que invaden células
    para alterar su información genética y reproducirse, los segundos son
    programas-rutinas, en un sentido más estricto, capaces
    de infectar archivos de computadoras, reproduciéndose
    una y otra vez cuando se accede a dichos archivos,
    dañando la información existente en la memoria o
    alguno de los dispositivos de
    almacenamiento del ordenador.

    Tienen diferentes finalidades: Algunos sólo
    'infectan', otros alteran datos, otros los eliminan, algunos
    sólo muestran mensajes. Pero el fin último de
    todos ellos es el mismo: PROPAGARSE.

    Es importante destacar que el potencial de
    daño de un virus
    informático no depende de su complejidad sino del
    entorno donde actúa
    .

    La definición más simple y completa que
    hay de los virus corresponde al modelo D. A.
    S., y se fundamenta en tres características, que se
    refuerzan y dependen mutuamente. Según ella, un virus es
    un programa que cumple las siguientes pautas:

    • Es dañino
    • Es autorreproductor
    • Es subrepticio

    El hecho de que la definición imponga que los
    virus son programas no admite ningún tipo de observación; está extremadamente
    claro que son programas, realizados por personas. Además
    de ser programas tienen el fin ineludible de causar daño
    en cualquiera de sus formas.

    Asimismo, se pueden distinguir tres módulos
    principales de un virus informático:

    • Módulo de Reproducción
    • Módulo de Ataque
    • Módulo de Defensa

    El módulo de reproducción se
    encarga de manejar las rutinas de "parasitación" de
    entidades ejecutables (o archivos de datos, en el caso de los
    virus macro) a fin de que el virus pueda ejecutarse
    subrepticiamente. Pudiendo, de esta manera, tomar control del
    sistema e infectar otras entidades permitiendo se traslade de
    una computadora a otra a través de algunos de estos
    archivos.

    El módulo de ataque es optativo. En caso
    de estar presente es el encargado de manejar las rutinas de
    daño adicional del virus. Por ejemplo, el conocido virus
    Michelangelo, además de producir los daños
    que se detallarán más adelante, tiene un
    módulo de ataque que se activa cuando el reloj de la
    computadora indica 6 de Marzo. En estas condiciones la rutina
    actúa sobre la información del disco
    rígido volviéndola inutilizable.

    El módulo de defensa tiene, obviamente,
    la misión
    de proteger al virus y, como el de ataque, puede estar o no
    presente en la estructura. Sus rutinas apuntan a evitar todo
    aquello que provoque la remoción del virus y retardar,
    en todo lo posible, su detección.

    TIPOS DE
    VIRUS.

    Los virus se clasifican por el modo en que actúan
    infectando la computadora:

    • Programa: Infectan archivos ejecutables tales como
      .com / .exe / .ovl / .drv / .sys / .bin
    • Boot: Infectan los sectores Boot Record, Master Boot,
      FAT y la Tabla de Partición.
    • Múltiples: Infectan programas y sectores de
      "booteo".
    • Bios: Atacan al Bios para desde allí
      reescribir los discos
      duros.
    • Hoax: Se distribuyen por e-mail y la única
      forma de eliminarlos es el uso del sentido
      común.

    Al respecto, se trata de virus que no existe y que se
    utiliza para aterrar a los novatos especialmente en la Internet
    a pesar que los rumores lo muestran como algo muy serio y a
    veces la información es tomada por la prensa
    especializada.

    Por lo general, como ya se expresó, la
    difusión se hace por cadenas de e-mail con terribles e
    inopinadas advertencias. En realidad el único virus es
    el mensaje. A continuación se dan una serie de supuestos
    "virus", por lo que es aconsejable ignorar los mensajes que
    aparecen y no ayudar a replicarlos continuando con la
    cadena:

    • 3b Trojan (alias PKZIP Virus).
    • AOL4Free Virus Hoax.
    • Baby New Year Virus Hoax.
    • BUDDYLST.ZIP
    • BUDSAVER.EXE
    • Budweiser Hoax
    • Death69
    • Deeyenda
    • E-Flu
    • FatCat Virus Hoax
    • Free Money
    • Get More Money Hoax
    • Ghost
    • Good Times
    • Hacky Birthday Virus Hoax
    • Hairy Palms Virus Hoax
    • Irina
    • Join the Crew
    • Londhouse Virus Hoax
    • Microsoft Virus Hoax
    • Millenium Time Bomb
    • Penpal Greetings
    • Red Alert
    • Returned or Unable to Deliver
    • Teletubbies
    • Time Bomb
    • Very Cool
    • Win a Holiday
    • World Domination Hoax
    • Yellow Teletubbies
    • A.I.D.S. hoax email virus
    • AltaVista virus scare
    • AOL riot hoax email
    • ASP virus hoax
    • Back Orifice Trojan horse
    • Bill Gates hoax
    • Bloat, see MPEG virus
      hoax
    • Budweiser frogs screen-saver scare
    • Good Times hoax email virus
    • Irina hoax virus
    • Java virus scare
    • Join the Crew hoax email virus
    • 'Millennium' virus
      misunderstanding
    • MPEG virus hoax
    • 'My clock says 2097/2098' virus
      misunderstanding
    • New virus debug device hoax email virus with
      attached Trojan horse
    • Open: Very Cool, see A.I.D.S. hoax email
      virus
    • Penpal Greetings, see Good Times hoax email
      virus
    • PKZ300 Trojan virus scare
    • Returned or Unable to Deliver hoax email
      virus
    • Walt Disney greeting, see Bill Gates
      hoax
    • Win a Holiday hoax email virus
    • Windows ’98 MS Warning.

    Por último, cabe destacar que los HOAX
    están diseñados únicamente para asustar a
    los novatos (y a los que no lo son tanto). Otros como el
    mensaje del carcinoma cerebral de Jessica, Jessica
    Mydek
    , Anabelle, Ana, Billy y otros
    personajes imaginarios tampoco son reales como tampoco lo es la
    dirección ,
    ya que fueron creados para producir congestionamiento en la
    Internet.

    CARACTERÍSTICAS DE LOS
    VIRUS.

    El virus es un pequeño software (cuanto
    más pequeño más fácil de esparcir y
    más difícil de detectar), que permanece inactivo
    hasta que un hecho externo hace que el programa sea ejecutado o
    el sector de "booteo" sea leído. De esa forma el
    programa del virus es activado y se carga en la memoria de la
    computadora, desde donde puede esperar un evento que dispare su
    sistema de destrucción o se replique a sí
    mismo.

    Los más comunes son los residentes en la
    memoria que pueden replicarse fácilmente en los
    programas del sector de "booteo", menos comunes son los
    no-residentes que no permanecen en la memoria después
    que el programa-huesped es cerrado.

    Los virus pueden llegar a "camuflarse" y esconderse
    para evitar la detección y reparación. Como lo
    hacen:

    1. El virus re-orienta la lectura
      del disco para evitar ser detectado;
    2. Los datos sobre el tamaño del directorio
      infectado son modificados en la FAT, para evitar que se
      descubran bytes extra que aporta el virus;
    3. encriptamiento: el virus se encripta en símbolos sin sentido para no ser
      detectado, pero para destruir o replicarse DEBE desencriptarse
      siendo entonces detectable;
    4. polimorfismo: mutan cambiando segmentos del
      código para parecer distintos en cada "nueva
      generación", lo que los hace muy difíciles de
      detectar y destruir;
    5. Gatillables: se relaciona con un evento que puede
      ser el cambio de
      fecha, una determinada combinación de tecleo; un macro o
      la apertura de un programa asociado al virus
      (Troyanos).

    Los virus se transportan a través de programas
    tomados de BBS (Bulletin Boards) o copias de software no
    original, infectadas a propósito o accidentalmente.
    También cualquier archivo que contenga "ejecutables" o
    "macros" puede
    ser portador de un virus: downloads de programas de lugares
    inseguros; e-mail con "attachments", archivos de MS-Word y
    MS-Excel con
    macros. Inclusive ya existen virus que se distribuyen con
    MS-Power Point.
    Los archivos de datos, texto o
    Html NO
    PUEDEN
    contener virus, aunque pueden ser dañados por
    estos.

    Los virus de sectores de "booteo" se instalan en esos
    sectores y desde allí van saltando a los sectores
    equivalentes de cada uno de los drivers de la PC. Pueden
    dañar el sector o sobreescribirlo. Lamentablemente
    obligan al formateo del disco del drive infectado. Incluyendo
    discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M.
    (No crean vamos a caer en el chiste fácil de decir que
    el más extendido de los virus de este tipo se llama
    MS

    Windows 98).

    En cambio los virus de programa, se manifiestan cuando
    la aplicación infectada es ejecutada, el virus se activa
    y se carga en la memoria, infectando a cualquier programa que
    se ejecute a continuación. Puede solaparse infecciones
    de diversos virus que pueden ser destructivos o permanecer
    inactivos por largos periodos de tiempo.

    DAÑOS DE LOS
    VIRUS.

    Definiremos daño como acción una indeseada, y los
    clasificaremos según la cantidad de tiempo necesaria
    para reparar dichos daños. Existen seis
    categorías de daños hechos por los virus, de
    acuerdo a la gravedad.

    1. Sirva como ejemplo la forma de trabajo
      del virus FORM (el más común): En el
      día 18 de cada mes cualquier tecla que presionemos
      hace sonar el beep. Deshacerse del virus implica,
      generalmente, segundos o minutos.

    2. DAÑOS TRIVIALES.

      Un buen ejemplo de este tipo de daño es el
      JERUSALEM. Este virus borra, los viernes 13, todos los
      programas que uno trate de usar después de que el
      virus haya infectado la memoria residente. En el peor de
      los casos, tendremos que reinstalar los programas perdidos.
      Esto nos llevará alrededor de 30 minutos.

    3. DAÑOS MENORES.

      Cuando un virus formatea el disco rígido,
      mezcla los componentes de la FAT (File Allocation Table,
      Tabla de Ubicación de Archivos), o sobreescribe el
      disco rígido. En este caso, sabremos inmediatamente
      qué es lo que está sucediendo, y podremos
      reinstalar el sistema
      operativo y utilizar el último backup. Esto
      quizás nos lleve una hora.

    4. DAÑOS MODERADOS.

      Algunos virus, dada su lenta velocidad de infección y su alta
      capacidad de pasar desapercibidos, pueden lograr que ni
      aún restaurando un backup volvamos al último
      estado
      de los datos. Un ejemplo de esto es el virus DARK AVENGER,
      que infecta archivos y acumula la cantidad de infecciones
      que realizó. Cuando este contador llega a 16, elige
      un sector del disco al azar y en él escribe la
      frase: "Eddie lives … somewhere in time" (Eddie vive
      … en algún lugar del tiempo).

      Esto puede haber estado pasando por un largo
      tiempo sin que lo notemos, pero el día en que
      detectemos la presencia del virus y queramos restaurar el
      último backup notaremos que también él
      contiene sectores con la frase, y también los
      backups anteriores a ese.

      Puede que lleguemos a encontrar un backup limpio,
      pero será tan viejo que muy probablemente hayamos
      perdido una gran cantidad de archivos que fueron creados
      con posterioridad a ese backup.

    5. DAÑOS MAYORES.

      Los daños severos son hechos cuando un
      virus realiza cambios mínimos, graduales y
      progresivos. No sabemos cuándo los datos son
      correctos o han cambiado, pues no hay pistas obvias como en
      el caso del DARK AVENGER (es decir, no podemos buscar la
      frase Eddie lives …).

    6. DAÑOS SEVEROS.
    7. DAÑOS ILIMITADOS.

    Algunos programas como CHEEBA,
    VACSINA.44.LOGIN y GP1 entre otros, obtienen la
    clave del administrador del
    sistema y la pasan a un tercero. Cabe aclarar que estos no son
    virus sino troyanos. En el caso de CHEEBA, crea un nuevo
    usuario con los privilegios máximos, fijando el nombre del
    usuario y la clave. El daño es entonces realizado por la
    tercera persona, quien ingresará al sistema y haría
    lo que quisiera.

    SÍNTOMAS
    TÍPICOS DE UNA INFECCIÓN.

    El sistema operativo o un programa toma mucho tiempo en
    cargar sin razón aparente.

    • El tamaño del programa cambia sin razón
      aparente.
    • El disco duro
      se queda sin espacio o reporta falta de espacio sin que esto
      sea necesariamente así.
    • Si se corre el CHKDSK no muestra "655360
      bytes available".
    • En Windows
      aparece "32 bit error".
    • La luz del disco
      duro en la CPU continua
      parpadeando aunque no se este trabajando ni haya protectores de
      pantalla activados. (Se debe tomar este síntoma con
      mucho cuidado, porque no siempre es así).
    • No se puede "bootear" desde el Drive A, ni siquiera
      con los discos de rescate.
    • Aparecen archivos de la nada o con nombres y
      extensiones extrañas.
    • Suena "clicks" en el teclado
      (este sonido es
      particularmente aterrador para quien no esta
      advertido).
    • Los caracteres de texto se caen literalmente a la
      parte inferior de la pantalla (especialmente en
      DOS).
    • En la pantalla del monitor
      pueden aparecen mensajes absurdos tales como "Tengo hambre.
      Introduce un Big Mac en el Drive A".
    • En el monitor aparece una pantalla con un fondo de
      cielo celeste, unas nubes blancas difuminadas, una ventana de
      vidrios repartidos de colores y una
      leyenda en negro que dice Windows ’98 (No puedo evitarlo,
      es mas fuerte que yo…!!).
    • Una infección se soluciona con las llamadas
      "vacunas"
      (que impiden la infección) o con los remedios que
      desactivan y eliminan, (o tratan de hacerlo) a los virus de los
      archivos infectados. Hay cierto tipo de virus que no son
      desactivables ni removibles, por lo que se debe destruir el
      archivo infectado.

    VIRUS
    INFORMÁTICOS ARGENTINOS.

    Al igual que todos los países informatizados,
    la Argentina cuenta con una producción local de virus
    informáticos.

    Si bien estos no son de los más complejos (en
    su mayoría, buenas copias y variaciones de virus
    conocidos) representan un problema, ya que muchos de ellos no
    están incluidos en las bases de datos
    de los programas antivirus.

    Veamos algunos ejemplos:

    • PING PONG:

    Este virus fue el primero en hacer explosión en
    Argentina. Fue descubierto en marzo de 1988 y en poco tiempo
    estuvo en nuestro país, en donde se convirtió
    rápidamente en epidemia.

    La falta de conocimiento sobre los virus ayudó
    a que se diseminara ampliamente y fuera incontrolable en un
    principio. En centros universitarios como la Facultad de
    Ciencias
    Exactas de la UBA o la Facultad de Informática de la Universidad de
    Morón era difícil encontrar un disco sin
    infectar.

     Ese mismo desconocimiento llevó a que
    pasara bastante tiempo hasta que se empezaran a tomar medidas.
    Sólo después de algunos meses, en revistas
    especializadas en informática, empezaron a publicarse
    formas de desinfectar los discos, y como consecuencia de ello
    se aplicaron políticas de seguridad en las
    universidades.

    Lo positivo de esto fue que la gente comenzara a
    conocer el D.O.S. más profundamente, por ejemplo el boot
    sector: qué es y para qué sirve, ya que las
    máquinas eran utilizadas pero pocos
    sabían cómo funcionaban realmente.

    Como tenía un síntoma muy evidente (una
    pelotita que rebotaba), se pensó que todos los virus
    debían ser visibles, pero los siguientes fueron
    más subrepticios, y se limitaban a reproducirse o
    destruir sin avisar al usuario.

    El Ping Pong original no podía infectar discos
    rígidos, pero la versión que se popularizó
    en el país fue la B, que sí podía hacerlo.
    Se creó una variante en Argentina, que probablemente fue
    la primera variante de virus originada en el país, el
    Ping Pong C, que no mostraba la pelotita en la pantalla. Este
    virus está extinto en este momento ya que sólo
    podía funcionar en máquinas con procesador 8088
    ó 8086, porque ejecutaba una instrucción no
    documentada en estos e incorrecta en los modelos
    siguientes.

    • AVISPA:

    Escrito en Noviembre de 1993 que en muy poco tiempo se
    convirtió en epidemia. Infecta archivos .EXE

    Al ejecutarse, si no se encontraba ya residente en
    memoria, intenta infectar los archivos XCOPY, MEM, SETVER y
    EMM386 para maximizar sus posibilidades de reproducción,
    ya que estos archivos son de los más frecuentemente
    utilizados.

    Este virus está encriptado siempre con una
    clave distinta (polimórfico), para dificultar su
    detección por medio de antivirus
    heurísticos.

    • MENEM TOCOTO:

    Esta adaptación del virus Michelangelo
    apareció en 1994. En los disquetes se aloja en el boot
    sector, y en los discos rígidos en la tabla de
    particiones. Es extremadamente sencillo y, por ende,
    fácil de detectar.

    • CAMOUFLAGE II:

    Aparecido por primera vez en 1993. Infecta el boot
    sector de los disquetes ubicados en la unidad A y la tabla de
    partición de los discos rígidos. Es bastante
    simple y fácil de ser detectado.

    • LEPROSO:

    Creado en 1993, en Rosario, provincia de Santa
    Fé. Se activa el día 12 de Enero
    (cumpleaños del autor), y hace aparecer un mensaje que
    dice: "Felicitaciones, su máquina está
    infectada por el virus leproso creado por J. P.. Hoy es mi
    cumpleaños y lo voy a festejar formateando su
    rígido. Bye… (Vamos Newell's que con Diego somos
    campeones)."

    • PINDONGA:

    Virus polimórfico residente en memoria que se
    activa los días 25 de febrero, 21 de marzo, 27 de agosto
    y 16 de septiembre, cuando ataca, borra toda la
    información contenida en el disco
    rígido.

    • TEDY:

    Es el primer virus argentino interactivo.
    Apareció hace poco tiempo. Infecta archivos con
    extensión .EXE, y se caracteriza por hacer una serie de
    preguntas al usuario.

    Una vez activado, una pantalla muestra:

    ¡TEDY, el primer virus interactivo de la
    computación!

    Responda el siguiente cuestionario:

    1. ¿Los programas que Ud. utiliza son
      originales? (s/n)
    2. ¿Los de Microsoft
      son unos ladrones? (s/n)

    Si se responde afirmativamente a la primer
    pregunta, el virus contestará: 5 archivos menos por
    mentiroso

    En caso contrario:

    2 archivos menos por
    ladrón

    En cuanto a la segunda pregunta, el único
    mensaje que se ha visto es:

    Te doy otra oportunidad para responder
    bien.

    Con este virus, los archivos infectados aumentan su
    tamaño en 4310 bytes.

    ¿QUÉ
    NO ES UN VIRUS?.

    Existen algunos programas que, sin llegar a ser virus,
    ocasionan problemas al
    usuario. Estos no-virus carecen de por lo menos
    una de las tres características identificatorias de un
    virus (dañino, autorreproductor y subrepticio). Veamos
    un ejemplo de estos no – virus: "Hace algunos
    años, la red de I. B. M., encargada de conectar
    más de 130 países, fue virtualmente paralizada
    por haberse saturado con un correo
    electrónico que contenía un mensaje de
    salutación navideña que, una vez leído por
    el destinatario, se enviaba a sí mismo a cada integrante
    de las listas de distribución de correo del usuario. Al
    cabo de un tiempo, fueron tantos los mensajes que esperaban ser
    leídos por sus destinatarios que el tráfico se
    volvió demasiado alto, lo que ocasionó la
    caída de la red".

    Asimismo, es necesario aclarar que no todo lo que
    altere el normal funcionamiento de una computadora es
    necesariamente un virus.

    Por ello, daré algunas de las pautas
    principales para diferenciar entre qué debe preocuparnos
    y qué no:

    BUGS (Errores en programas).

    Los bugs no son virus, y los virus no son bugs. Todos
    usamos programas que tienen graves errores (bugs). Si se
    trabaja por un tiempo largo con un archivo muy extenso,
    eventualmente algo puede comenzar a ir mal dentro del programa,
    y este a negarse a grabar el archivo en el disco. Se pierde
    entonces todo lo hecho desde la última grabación.
    Esto, en muchos casos, se debe a ERRORES del programa. Todos
    los programas lo suficientemente complejos tienen
    bugs.

    FALSA ALARMA.

    Algunas veces tenemos problemas con nuestro hardware o
    software y, luego de una serie de verificaciones, llegamos a la
    conclusión de que se trata de un virus, pero nos
    encontramos con una FALSA ALARMA luego de correr nuestro
    programa antivirus.

    Desafortunadamente no hay una regla estricta por la
    cual guiarse, pero contestarse las siguientes preguntas puede
    ser de ayuda:

    • ¿Es sólo un archivo el que reporta
      la falsa alarma (o quizás varios, pero copias del
      mismo)?.
    • ¿Solamente un producto
      antivirus reporta la alarma? (Otros productos
      dicen que el sistema está limpio).
    • ¿Se indica una falsa alarma
      después de correr múltiples productos, pero no
      después de bootear, sin ejecutar ningún
      programa?.

    Si al menos una de nuestras respuestas fue afirmativa,
    es muy factible que efectivamente se trate de una falsa
    alarma.

    PROGRAMAS CORRUPTOS.

    A veces algunos archivos son accidentalmente
    dañados, quizás por problemas de hardware. Esto
    quiere decir que no siempre que encontremos daños en
    archivos deberemos estar seguros de
    estar infectados.

    ¿QUÉ ES UN
    ANTIVIRUS?.

    No para toda enfermedad existe cura, como tampoco
    existe una forma de erradicar todos y cada uno de los virus
    existentes.

    Es importante aclarar que todo antivirus es un
    programa y que, como todo programa, sólo
    funcionará correctamente si es adecuado y está
    bien configurado. Además, un antivirus es una
    herramienta para el usuario y no sólo no será
    eficaz para el 100% de los casos
    , sino que nunca
    será una protección total ni
    definitiva
    .

    La función
    de un programa antivirus es detectar, de alguna manera, la
    presencia o el accionar de un virus informático en una
    computadora. Este es el aspecto más importante de un
    antivirus, independientemente de las prestaciones
    adicionales que pueda ofrecer, puesto que el hecho de detectar
    la posible presencia de un virus informático, detener
    el trabajo y
    tomar las medidas necesarias, es suficiente para acotar un buen
    porcentaje de los daños posibles. Adicionalmente, un
    antivirus puede dar la opción de erradicar un virus
    informático de una entidad infectada.

    El modelo más primario de las funciones de un
    programa antivirus es la detección de su presencia y, en
    lo posible, su identificación. La primera técnica
    que se popularizó para la detección de virus
    informáticos, y que todavía se sigue utilizando
    (aunque cada vez con menos eficiencia), es
    la técnica de scanning. Esta técnica
    consiste en revisar el código de todos los archivos
    contenidos en la unidad de almacenamiento -fundamentalmente los archivos
    ejecutables- en busca de pequeñas porciones de
    código que puedan pertenecer a un virus
    informático. Este procedimiento,
    denominado escaneo, se realiza a partir de una base de
    datos que contiene trozos de código representativos
    de cada virus conocido, agregando el empleo de
    determinados algoritmos
    que agilizan los procesos de
    búsqueda.

    La técnica de scanning fue bastante
    eficaz en los primeros tiempos de los virus
    informáticos, cuando había pocos y su
    producción era pequeña. Este relativamente
    pequeño volumen de
    virus informáticos permitía que los
    desarrolladores de antivirus escaneadores tuvieran tiempo de
    analizar el virus, extraer el pequeño trozo de
    código que lo iba a identificar y agregarlo a la base de
    datos del programa para lanzar una nueva versión. Sin
    embargo, la obsolescencia de este mecanismo de
    identificación como una solución antivirus
    completa se encontró en su mismo modelo.

    El primer punto grave de este sistema radica en que
    siempre brinda una solución a posteriori: es
    necesario que un virus informático alcance un grado de
    dispersión considerable para que sea enviado (por
    usuarios capacitados, especialistas o distribuidores del
    producto) a los desarrolladores de antivirus. Estos lo
    analizarán, extraerán el trozo de código
    que lo identificará, y lo incluirán en la
    próxima versión de su programa antivirus. Este
    proceso
    puede demorar meses a partir del momento en que el virus
    comienza a tener una dispersión considerable, lapso en
    el cual puede causar graves daños sin que pueda ser
    identificado.

    Además, este modelo consiste en una
    sucesión infinita de soluciones
    parciales y momentáneas (cuya sumatoria jamás
    constituirá una solución definitiva)
    , que
    deben actualizarse periódicamente debido a la
    aparición de nuevos virus.

    En síntesis, la técnica de scanning
    es altamente ineficiente, pero se sigue utilizando debido a que
    permite identificar rápidamente la presencia de los
    virus más conocidos y, como son estos los de mayor
    dispersión, permite una importante gama de
    posibilidades.

    Un ejemplo típico de un antivirus de esta
    clase es el
    Viruscan de McAfee, que se verá más
    adelante.

    En virtud del pronto agotamiento técnico de la
    técnica de scanning, los desarrolladores de programas
    antivirus han dotado a sus creaciones de métodos
    para búsquedas de virus informáticos (y de sus
    actividades), que no identifican específicamente al
    virus sino a algunas de sus características generales y
    comportamientos universalizados.

    Este tipo de método
    rastrea rutinas de alteración de información que
    no puedan ser controladas por el usuario, modificación
    de sectores críticos de las unidades de
    almacenamiento (master boot record, boot sector, FAT, entre
    otras), etc.

    Un ejemplo de este tipo de métodos es el que
    utiliza algoritmos heurísticos.

    De hecho, esta naturaleza
    de procedimientos
    busca, de manera bastante eficiente, códigos de
    instrucciones potencialmente pertenecientes a un virus
    informático. Resulta eficaz para la detección de
    virus conocidos y es una de las soluciones utilizadas por los
    antivirus para la detección de nuevos virus. El
    inconveniente que presenta este tipo de algoritmo
    radica en que puede llegar a sospecharse de muchisimas cosas
    que no son virus
    . Esto hace necesario que el usuario que lo
    utiliza conozca un poco acerca de la estructura del sistema
    operativo, a fin de poseer herramientas
    que le faciliten una discriminación de cualquier falsa alarma
    generada por un método heurístico.

    Algunos de los antivirus de esta clase son F-Prot,
    Norton Anti Virus y Dr. Solomon's Toolkit.

    Ahora bien, otra forma de detectar la presencia de un
    virus informático en un sistema consiste en monitorear
    las actividades de la PC señalando si algún
    proceso intenta modificar los sectores críticos de los
    dispositivos de almacenamiento o los archivos ejecutables. Los
    programas que realizan esta tarea se denominan chequeadores
    de integridad
    .

    Sobre la base de estas consideraciones, podemos
    consignar que un buen sistema antivirus debe estar
    compuesto por un programa detector de virus -que siempre
    esté residente en memoria- y un programa que
    verifique la integridad
    de los sectores críticos del
    disco rígido y sus archivos ejecutables. Existen
    productos antivirus que cubren los dos aspectos, o bien pueden
    combinarse productos diferentes configurados de forma que no se
    produzcan conflictos
    entre ellos.

    MODELO ANTIVIRUS:

    La estructura de un programa antivirus, está
    compuesta por dos módulos principales: el primero
    denominado de control y el segundo denominado de
    respuesta
    . A su vez, cada uno de ellos se divide en varias
    partes:

    1. Módulo de control: posee la
      técnica verificación de integridad que
      posibilita el registro de
      cambios en los archivos ejecutables y las zonas críticas
      de un disco rígido. Se trata, en definitiva, de una
      herramienta preventiva para mantener y controlar los
      componentes de información de un disco rígido que
      no son modificados a menos que el usuario lo
      requiera.

    Otra opción dentro de este módulo es la
    identificación de virus, que incluye diversas
    técnicas para la detección de
    virus informáticos. Las formas más comunes de
    detección son el scanning y los algoritmos, como por
    ejemplo, los heurísticos.

    Asimismo, la identificación de código
    dañino
    es otra de las herramientas de
    detección que, en este caso, busca instrucciones
    peligrosas incluidas en programas, para la integridad de la
    información del disco rígido.

    Esto implica descompilar (o desensamblar) en forma
    automática los archivos almacenados y ubicar sentencias
    o grupos de instrucciones peligrosas.

    Finalmente, el módulo de control también
    posee una administración de recursos para
    efectuar un monitoreo de las rutinas a través de las
    cuales se accede al hardware de la computadora (acceso a disco,
    etc.). De esta manera puede limitarse la acción de un
    programa restringiéndole el uso de estos recursos, como
    por ejemplo impedir el acceso a la escritura de
    zonas críticas del disco o evitar que se ejecuten
    funciones de formato del mismo.

    1. Módulo de respuesta: la función
      alarma se encuentra incluida en todos los programas
      antivirus y consiste en detener la acción del sistema
      ante la sospecha de la presencia de un virus
      informático, e informar la situación a
      través de un aviso en pantalla.

    Algunos programas antivirus ofrecen, una vez detectado
    un virus informático, la posibilidad de erradicarlo. Por
    consiguiente, la función reparar se utiliza como
    una solución momentánea para mantener la
    operatividad del sistema hasta que pueda instrumentarse una
    solución adecuada. Por otra parte, existen dos
    técnicas para evitar el contagio de entidades
    ejecutables
    : evitar que se contagie todo el programa o
    prevenir que la infección se expanda más
    allá de un ámbito fijo.

    Aunque la primera opción es la más
    adecuada, plantea grandes problemas de
    implementación.

    DETECCIÓN Y
    PREVENCIÓN
    .

    Debido a que los virus informáticos son cada
    vez más sofisticados, hoy en día es
    difícil sospechar su presencia a través de
    síntomas como la pérdida de performance. De todas
    maneras la siguiente es una lista de síntomas que pueden
    observarse en una computadora de la que se sospeche esté
    infectada por alguno de los virus más
    comunes:

    • Operaciones de procesamiento más
      lentas.
    • Los programas tardan más tiempo en
      cargarse.
    • Los programas comienzan a acceder por momentos a
      las disqueteras y/o al disco
      rígido.
    • Disminución no justificada del espacio
      disponible en el disco rígido y de la memoria
      RAM disponible, en forma constante o
      repentina.
    • Aparición de programas residentes en
      memoria desconocidos.

    La primera medida de prevención a ser tenida en
    cuenta es, como se dijo anteriormente, contar con un sistema
    antivirus y utilizarlo correctamente. Por lo tanto, la
    única forma de que se constituya un bloqueo eficaz para
    un virus es que se utilice con determinadas normas y
    procedimientos. Estas normas tienden a controlar la entrada de
    archivos al disco rígido de la computadora, lo cual se
    logra revisando con el antivirus todos los disquetes o medios de
    almacenamiento en general y, por supuesto, disminuyendo al
    mínimo posible todo tipo de tráfico.

    Además de utilizar un sistema antivirus y
    controlar el tráfico de archivos al disco rígido,
    una forma bastante eficaz de proteger los archivos
    ejecutables
    es utilizar un programa chequeador de
    integridad
    que verifique que estos archivos no sean
    modificados, es decir, que mantengan su estructura. De esta
    manera, antes que puedan ser parasitados por un virus
    convencional, se impediría su accionar.

    Para prevenir la infección con un virus de
    sector de arranque
    , lo más indicado es no dejar
    disquetes olvidados en la disquetera de arranque y contar con
    un antivirus. Pero, además, puede aprovecharse una
    característica que incorpora el setup de las
    computadoras más modernas: variar la secuencia de
    arranque de la PC a "primero disco rígido y luego
    disquetera
    " (C, A). De esta manera, la computadora no
    intentará leer la disquetera en el arranque aunque tenga
    cargado un disquete.

    Algunos distribuidores o representantes de programas
    antivirus envían muestras de los nuevos virus argentinos
    a los desarrolladores del producto para que los estudien o
    incluyan en sus nuevas versiones o upgrades, con la demora que
    esto implica.

    En consecuencia, la detección alternativa a la
    de scanning y las de chequeo de actividad e integridad resultan
    importantes, ya que pueden detectar la presencia de un virus
    informático sin la necesidad de identificarlo. Y esta es
    la única forma disponible para el usuario de detectar
    virus nuevos, sean nacionales o extranjeros.

    De todas maneras, existe una forma de actualizar la
    técnica de scanning
    . La misma consiste en
    incorporarle al antivirus un archivo conteniendo cadenas de
    caracteres ASCII que
    sean trozos de código (strings) significativos del
    sector vital de cada nuevo virus que todavía no
    esté incorporado en la base de datos del
    programa.

    De todas formas, esta solución será
    parcial: la nueva cadena introducida sólo
    identificará al virus, pero no será capaz
    de erradicarlo.

    Es muy importante que los "strings" que se vayan a
    incorporar al antivirus provengan de una fuente confiable ya
    que, de lo contrario, pueden producirse falsas alarmas o ser
    ineficaces.

    Algunos de los antivirus que soportan esta cualidad de
    agregar strings son Viruscan, F-Prot y
    Thunderbyte.

    La NCSA (National Computer Security Association,
    Asociación Nacional de Seguridad de Computadoras) es la
    encargada de certificar productor antivirus.

    Para obtener dicha certificación los productos
    deben pasar una serie de rigurosas pruebas
    diseñadas para asegurar la adecuada protección
    del usuario.

    Antiguamente el esquema de certificación
    requería que se detectara (incluyendo el número
    de versión) el 90 % de la librería de virus del
    NCSA, y fue diseñado para asegurar óptimas
    capacidades de detección. Pero esta metodología no era completamente
    eficiente.

    Actualmente, el esquema de certificación enfoca
    la amenaza a las computadoras empresariales. Para ser
    certificado, el producto debe pasar las siguientes
    pruebas: 

    1. Debe detectar el 100% de los virus encontrados
      comúnmente. La lista de virus comunes es actualizada
      periódicamente, a medida que nuevos virus son
      descubiertos.
    2. Deben detectar, como mínimo, el 90% de la
      librería de virus del NCSA (más de 6.000
      virus)

    Estas pruebas son realizadas con el producto
    ejecutándose con su configuración "por
    defecto".

    Una vez que un producto ha sido certificado, la NCSA
    tratará de recertificar el producto un mínimo de
    cuatro veces. Cada intento es realizado sin previo aviso al
    desarrollador del programa. Esta es una buena manera de
    asegurar que el producto satisface el criterio de
    certificación.

    Si un producto no pasa la primera o segunda prueba, su
    distribuidor tendrá siete días para proveer de la
    corrección. Si este límite de tiempo es excedido,
    el producto será eliminado de la lista de productos
    certificados.

    Una vez que se ha retirado la certificación a
    un producto la única forma de recuperarla es que el
    distribuidor envíe una nueva versión completa y
    certificable (no se aceptará sólo una
    reparación de la falla.

    Acerca de la lista de virus de la NCSA, aclaremos que
    ningún desarrollador de antivirus puede obtener una
    copia. Cuando un antivirus falla en la detección de
    algún virus incluido en la lista, una cadena
    identificatoria del virus le es enviada al productor del
    antivirus para su inclusión en futuras
    versiones.

    En el caso de los virus polimórficos, se
    incluyen múltiples copias del virus para asegurar que el
    producto testeado lo detecta perfectamente. Para pasar esta
    prueba el antivirus debe detectar cada mutación del
    virus.

    La A. V. P. D. (Antivirus Product Developers,
    Desarrolladores de Productos Antivirus) es una
    asociación formada por las principales empresas
    informáticas del sector, entre las que se
    cuentan:

    • Cheyenne Software
    • B. M.
    • Intel
    • McAfee Associates
    • ON Tecnology
    • Stiller Research Inc.
    • S&S International
    • Symantec Corp.
    • ThunderByte

    ALGUNOS
    ANTIVIRUS.

    • DR. SOLOMON'S ANTIVIRUS TOOLKIT.

    Certificado por la NCSA. Detecta más de 6.500
    virus gracias a su propio lenguaje de
    detección llamado VirTran, con una velocidad de
    detección entre 3 y 5 veces mayor que los antivirus
    tradicionales.

    Uno de los últimos desarrollos de S&S es la
    tecnología G. D. E. (Generic Decription
    Engine, Motor de
    Desencriptación Genérica) que permite detectar
    virus polimórficos sin importar el algoritmo de
    encriptación utilizado.

    Permite detectar modificaciones producidas tanto en
    archivos como en la tabla de partición del disco
    rígido. Para ello utiliza Checksumms
    Criptográficos lo cual, sumado a una clave personal de
    cada usuario, hace casi imposible que el virus pueda descubrir
    la clave de encriptación.

    Elimina virus en archivos en forma sencilla y efectiva
    con pocas falsas alarmas, y en sectores de buteo y tablas de
    partición la protección es genérica, es
    decir, independiente del virus encontrado.

    Otras características que presenta este
    antivirus, son:

    • Ocupa 9K de memoria extendida o
      expandida.
    • Documentación amplia y detallada en
      español y una enciclopedia sobre los
      virus más importantes.
    • Actualizaciones mensuales o trimestrales de
      software y manuales.
    • Trabaja como residente bajo
      Windows.
    • H. A. (Advanced Heuristic Analysis, Análisis Heurístico
      Avanzado).
    • NORTON ANTIVIRUS.

    Certificado por la NCSA. Posee una protección
    automática en segundo plano. Detiene
    prácticamente todos los virus conocidos y desconocidos
    (a través de una tecnología propia denominada
    NOVI, que implica control de las actividades
    típicas de un virus, protegiendo la integridad del
    sistema), antes de que causen algún daño o
    pérdida de información, con una amplia
    línea de defensa, que combina búsqueda,
    detección de virus e inoculación (se
    denomina 'inoculación' al método por el cual este
    antivirus toma las características principales de los
    sectores de booteo y archivos para luego chequear su
    integridad. Cada vez que se detecta un cambio en dichas
    áreas, NAV avisa al usuario y provee las opciones de
    Reparar – Volver a usar la imagen guardada
    – Continuar – No realiza cambios – Inocular – Actualizar la
    imagen.

    Utiliza diagnósticos propios para prevenir
    infecciones de sus propios archivos y de archivos
    comprimidos.

    El escaneo puede ser lanzado manualmente o
    automáticamente a través de la planificación de fecha y hora.
    También permite reparar los archivos infectados por
    virus desconocidos. Incluye información sobre muchos de
    los virus que detecta y permite establecer una
    contraseña para aumentar así la
    seguridad.

    La lista de virus conocidos puede ser actualizada
    periódicamente (sin cargo) a través de servicios en
    línea como Internet, América On Line, Compuserve, The
    Microsoft Network o el BBS propio de Symantec, entre
    otros.

    • VIRUSSCAN.

    Este antivirus de McAfee Associates es uno de
    los más famosos. Trabaja por el sistema de scanning
    descripto anteriormente, y es el mejor en su estilo.

    Para escanear, hace uso de dos técnicas
    propias: CMS (Code Matrix
    Scanning, Escaneo de Matriz de
    Código) y CTS (Code Trace Scanning, Escaneo de
    Seguimiento de Código).

    Una de las principales ventajas de este antivirus es
    que la actualización de los archivos de bases de datos
    de strings es muy fácil de realizar, lo cual, sumado a
    su condición de programa shareware, lo pone al alcance
    de cualquier usuario. Es bastante flexible en cuanto a la
    configuración de cómo detectar, reportar y
    eliminar virus.

    CONCLUSIONES.

    En razón de lo expresado pueden extraerse
    algunos conceptos que pueden considerarse necesarios para tener
    en cuenta en materia de
    virus informáticos:

    • No todo lo que afecte el normal funcionamiento de
      una computadora es un virus.
    • TODO virus es un programa y, como tal, debe ser
      ejecutado para activarse.
    • Es imprescindible contar con herramientas de
      detección y desinfección.
    • NINGÚN sistema de seguridad es 100%
      seguro. Por
      eso todo usuario de computadoras debería tratar de
      implementar estrategias de
      seguridad antivirus, no sólo para proteger su propia
      información sino para no convertirse en un agente de
      dispersión de algo que puede producir daños
      graves e indiscriminados.

    Para implementar tales estrategias deberían
    tenerse a mano los siguientes elementos:

    • UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y
      LIBRE DE VIRUS: Un disco que contenga el sistema operativo
      ejecutable (es decir, que la máquina pueda ser arrancada
      desde este disco) con protección contra escritura y que
      contenga, por lo menos, los siguientes comandos:
      FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes
      del MS-DOS).
    • POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO: Se
      puede considerar actualizado a un antivirus que no tiene
      más de tres meses desde su fecha de creación (o
      de actualización del archivo de strings). Es muy
      recomendable tener por lo menos dos antivirus.
    • UNA FUENTE DE INFORMACIÓN SOBRE VIRUS
      ESPECÍFICOS: Es decir, algún programa, libro o
      archivo de texto que contenga la descripción, síntomas y
      características de por lo menos los cien virus
      más comunes.
    • UN PROGRAMA DE RESPALDO DE ÁREAS
      CRÍTICAS: Algún programa que obtenga respaldo
      (backup) de los sectores de arranque de los disquetes y
      sectores de arranque maestro (MBR, Master Boot Record) de los
      discos rígidos. Muchos programas antivirus incluyen
      funciones de este tipo.
    • LISTA DE LUGARES DÓNDE ACUDIR: Una buena
      precaución es no esperar a necesitar ayuda para comenzar
      a buscar quién puede ofrecerla, sino ir elaborando una
      agenda de direcciones, teléfonos y direcciones
      electrónicas de las personas y lugares que puedan
      servirnos más adelante. Si se cuenta con un antivirus
      comercial o registrado, deberán tenerse siempre a mano
      los teléfonos de soporte técnico.
    • UN SISTEMA DE PROTECCIÓN RESIDENTE: Muchos
      antivirus incluyen programas residentes que previenen (en
      cierta medida), la intrusión de virus y programas
      desconocidos a la computadora.
    • TENER RESPALDOS: Se deben tener respaldados en disco
      los archivos de datos más importantes, además, se
      recomienda respaldar todos los archivos ejecutables. Para
      archivos muy importantes, es bueno tener un respaldo doble, por
      si uno de los discos de respaldo se daña. Los respaldos
      también pueden hacerse en cinta (tape backup), aunque
      para el usuario normal es preferible hacerlo en discos, por el
      costo que
      las unidades de cinta representan.
    • REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS:
      Cualquier disco que no haya sido previamente utilizado debe ser
      revisado, inclusive los programas originales (pocas veces
      sucede que se distribuyan discos de programas originales
      infectados, pero es factible) y los que se distribuyen junto
      con revistas de computación.
    • REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO:
      Cualquier disco que se haya prestado a algún amigo o
      compañero de trabajo, aún aquellos que
      sólo contengan archivos de datos, deben ser revisados
      antes de usarse nuevamente.
    • REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR
      MÓDEM O REDES: Una de las grandes vías de
      contagio la constituyen Internet y los BBS, sistemas en los
      cuales es común la transferencia de archivos, pero no
      siempre se sabe desde dónde se está recibiendo
      información.
    • REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se
      puede considerar que una buena frecuencia de análisis
      es, por lo menos, mensual.
    • Finalmente, es importante tener en cuenta estas
      sugerencias referentes al comportamiento a tener en cuenta
      frente a diferentes situaciones:
    • Cuando se va a revisar o desinfectar una computadora,
      es conveniente apagarla por más de 5 segundos y arrancar
      desde un disco con sistema, libre de virus y protegido contra
      escritura, para eliminar virus residentes en memoria. No se
      deberá ejecutar ningún programa del disco
      rígido, sino que el antivirus deberá estar en el
      disquete. De esta manera, existe la posibilidad de detectar
      virus stealth.
    • Cuando un sector de arranque (boot sector) o de
      arranque maestro (MBR) ha sido infectado, es preferible
      restaurar el sector desde algún respaldo, puesto que en
      ocasiones, los sectores de arranque genéricos utilizados
      por los antivirus no son perfectamente compatibles con el
      sistema operativo instalado. Además, los virus no
      siempre dejan un respaldo del sector original donde el
      antivirus espera encontrarlo.
    • Antes de restaurar los respaldos es importante no
      olvidar apagar la computadora por más de cinco segundos
      y arrancar desde el disco libre de virus.
    • Cuando se encuentran archivos infectados, es
      preferible borrarlos y restaurarlos desde respaldos, aún
      cuando el programa antivirus que usemos pueda desinfectar los
      archivos. Esto es porque no existe seguridad sobre si el virus
      detectado es el mismo para el cual fueron diseñadas las
      rutinas de desinfección del antivirus, o es una
      mutación del original.
    • Cuando se va a formatear un disco rígido para
      eliminar algún virus, debe recordarse apagar la
      máquina por más de cinco segundos y
      posteriormente arrancar el sistema desde nuestro disquete
      limpio, donde también debe encontrarse el programa que
      se utilizará para dar formato al disco.
    • Cuando, por alguna causa, no se puede erradicar un
      virus, deberá buscarse la asesoría de un experto
      directamente pues, si se pidiera ayuda a cualquier aficionado,
      se correrá el riesgo de perder definitivamente datos si
      el procedimiento sugerido no es correcto.
    • Cuando se ha detectado y erradicado un virus es
      conveniente reportar la infección a algún
      experto, grupo de
      investigadores de virus, soporte técnico de programas
      antivirus, etc. Esto que en principio parecería
      innecesario, ayuda a mantener estadísticas, rastrear focos de
      infección e identificar nuevos virus, lo cual en
      definitiva, termina beneficiando al usuario mismo.

    Oscar Quintero

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter