EFECTOS DE
LOS VIRUS EN LAS
COMPUTADORAS
Cualquier virus es perjudicial para un sistema. Como
mínimo produce una reducción de la velocidad de
proceso al
ocupar parte de la memoria
principal. Estos efectos se pueden diferenciar en destructivos y
no destructivos.
- Emisión de mensajes en pantalla: Es uno
de los efectos más habituales de los virus. Simplemente
causan la aparición de pequeños mensajes en la
pantalla del sistema, en ocasiones se trata de mensajes
humorísticos, de Copyright, etc. - Borrado a cambio de la
pantalla: También es muy frecuente la
visualización en pantalla de algún efecto
generalmente para llamar la atención del usuario. Los efectos
usualmente se producen en modo texto. En
ocasiones la imagen se
acompaña de efectos de sonido.
Ejemplo: - Ambulance: Aparece una ambulancia
moviéndose por la parte inferior de la pantalla al
tiempo
que suena una sirena. - Walker: Aparece un muñeco
caminando de un lado a otro de la pantalla.
- Ambulance: Aparece una ambulancia
- Desaparición de ficheros: Ciertos
virus borran generalmente ficheros con extensión .exe
y .com, por ejemplo una variante del Jerusalem-B se dedica a
borrar todos los ficheros que se ejecutan. - Modificación de programas
para que dejen de funcionar: Algunos virus alteran el
contenido de los programas o los borran totalmente del
sistema logrando así que dejen de funcionar y cuando
el usuario los ejecuta el virus envía algún
tipo de mensaje de error. - Acabar con el espacio libre en el disco
rígido: Existen virus que cuyo propósito
único es multiplicarse hasta agotar el espacio libre
en disco, trayendo como consecuencia que el ordenador quede
inservible por falta de espacio en el disco. - Hacer que el sistema funcione mas
lentamente: Hay virus que ocupan un alto espacio en
memoria o también se ejecutan antes que el programa que
el usuario desea iniciar trayendo como consecuencia que la
apertura del programa y el procesamiento de información sea más
lento. - Robo de información confidencial:
Existen virus cuyo propósito único es el de
robar contraseñas e información confidencial y
enviarla a usuarios remotos. - Borrado del BIOS:
Sabemos que el BIOS es un conjunto de rutinas que trabajan
estrechamente con el hardware de
un ordenador o computadora para soportar la transferencia de
información entre los elementos del sistema, como
la
memoria, los discos, el monitor,
el reloj del sistema y las tarjetas de
expansión y si un virus borra la BIOS entonces no se
podrá llevar a cabo ninguna de las rutinas
anteriormente mencionados. - Quemado del procesador
por falsa información del censor de temperatura: Los virus pueden alterar la
información y por ello pueden modificar la
información del censor y la consecuencia de esto
sería que el procesador se queme, pues, puede hacerlo
pensar que la temperatura está muy baja cuando en
realidad está muy alta. - Modificación de programas para que
funcionen erróneamente: Los virus pueden modificar
el programa para que tenga fallas trayendo grandes
inconvenientes para el usuario. - Formateo de discos
duros: El efecto más destructivo de todos es
el formateo del disco
duro. Generalmente el formateo se realiza sobre los
primeros sectores del disco duro que es donde se encuentra la
información relativa a todo el resto del
disco.
En 1949, el matemático
estadounidense de origen húngaro John von Neumann,
en el Instituto de Estudios Avanzados de Princeton (Nueva
Jersey), planteó la posibilidad teórica de que un
programa informático se reprodujera. Esta teoría
se comprobó experimentalmente en la década de 1950
en los Bell Laboratories, donde se desarrolló un juego llamado
Core Wars en el que los jugadores creaban minúsculos
programas informáticos que atacaban y borraban el sistema
del oponente e intentaban propagarse a través de
él. En 1983, el ingeniero eléctrico estadounidense
Fred Cohen, que entonces era estudiante universitario,
acuñó el término "virus" para describir un
programa informático que se reproduce a sí mismo.
En 1985 aparecieron los primeros caballos de Troya, disfrazados
como un programa de mejora de gráficos llamado EGABTR y un juego llamado
NUKE-LA. Pronto les siguió un sinnúmero de virus
cada vez más complejos. El virus llamado Brain
apareció en 1986, y en 1987 se había extendido por
todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el
primer virus de sector de arranque inicial, y el gusano de
Internet, que
cruzó Estados Unidos de
un día para otro a través de una red informática. El virus Dark Avenger, el
primer infector rápido, apareció en 1989, seguido
por el primer virus polimórfico en 1990. En 1995 se
creó el primer virus de lenguaje de
macros,
WinWord Concept.
Actualmente el medio de
propagación de virus más extendido es Internet, en
concreto
mediante archivos adjuntos
al correo
electrónico, que se activan una vez que se abre el
mensaje o se ejecutan aplicaciones o se cargan documentos que lo
acompañan. Hoy por hoy los virus son creados en cantidades
extraordinarias por distintas personas alrededor del mundo.
Muchos son creados por diversión, otros para probar sus
habilidades de programación o para entrar en competencia con
otras personas.
1949: Se da el primer indicio de
definición de virus. John Von Neumann (considerado el
Julio Verne de la informática), expone su "Teoría
y organización de un autómata
complicado". Nadie podía sospechar de la
repercusión de dicho artículo.
1959:En los laboratorios AT&T Bell, se
inventa el juego "Guerra
Nuclear" (Core Wars) o guerra de núcleos.
Consistía en una batalla entre los códigos de dos
programadores, en la que cada jugador desarrollaba un programa
cuya misión
era la de acaparar la máxima memoria posible mediante la
reproducción de sí
mismo.
1970: Nace "Creeper" que es difundido por la
red ARPANET. El
virus mostraba el mensaje "SOY CREEPER…
¡ATRÁPAME SI PUEDES!". Ese mismo año es
creado su antídoto: El antivirus
Reaper cuya misión era buscar y destruir a
"Creeper".
1974: El virus Rabbit hacía una copia
de sí mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo
que causaba un bloqueo del sistema.
1980:La red ARPANET es infectada por un
"gusano" y queda 72 horas fuera de servicio. La
infección fue originada por Robert Tappan Morris, un
joven estudiante de informática de 23 años que
según él, todo se produjo por un
accidente.
1983:El juego Core Wars, con adeptos en el MIT,
salió a la luz
pública en un discurso de
Ken Thompson Dewdney que explica los términos de este
juego. Ese mismo año aparece el concepto virus
tal como lo entendemos hoy.
1985:Dewdney intenta enmendar su error
publicando otro artículo "Juegos de
Computadora virus, gusanos y otras plagas de la Guerra Nuclear
atentan contra la memoria de los ordenadores".
1987:Se da el primer caso de contagio masivo de
computadoras
a través del "MacMag" también llamado "Peace
Virus" sobre computadoras Macintosh. Este virus fue creado por
Richard Brandow y Drew Davison y lo incluyeron en un disco de
juegos que repartieron en una reunión de un club de
usuarios. Uno de los asistentes, Marc Canter, consultor de
Aldus Corporation, se llevó el disco a Chicago y
contaminó la
computadora en la que realizaba pruebas con
el nuevo software Aldus
Freehand. El virus contaminó el disco maestro que fue
enviado a la empresa
fabricante que comercializó su producto
infectado por el virus.
Se descubre la primera versión del virus
"Viernes 13" en los ordenadores de la Universidad
Hebrea de Jerusalén.
1988: El virus "Brain" creado por los hermanos
Basit y Alvi Amjad de Pakistán aparece en Estados
Unidos.
¿QUÉ NO
SE CONSIDERA UN VIRUS?
Hay muchos programas que sin llegar a ser virus
informáticos le pueden ocasionar efectos devastadores
a los usuarios de computadoras. No se consideran virus porque no
cuentan con las características comunes de los virus como
por ejemplo ser dañinos o auto reproductores. Un ejemplo
de esto ocurrió hace varios años cuando un correo
electrónico al ser enviado y ejecutado por un usuario se
auto enviaba a las personas que estaban guardados en la lista de
contactos de esa persona creando
una gran cantidad de trafico acaparando la banda ancha de
la RED IBM hasta que ocasionó la caída de esta.
Es importante tener claro que no todo lo que hace que funcione
mal un sistema de información no necesariamente es un
virus
informático. Hay que mencionar que un sistema de
información puede estar funcionando inestablemente por
varios factores entre los que se puede destacar: fallas en el
sistema eléctrico, deterioro por depreciación, incompatibilidad de
programas, errores de programación o "bugs", entre
otros.
Síntomas que indican la presencia de
Virus:
- Cambios en la longitud de los programas
- Cambios en la fecha y/u hora de los
archivos - Retardos al cargar un programa
- Operación más lenta del
sistema - Reducción de la capacidad en memoria y/o
disco rígido - Sectores defectuosos en los disquetes
- Mensajes de error inusuales
- Actividad extraña en la pantalla
- Fallas en la ejecución de los
programas - Fallas al bootear el equipo
- Escrituras fuera de tiempo en el disco
VIRUS MÁS AMENAZADOR EN AMÉRICA
LATINA
Según datos del 12 de
noviembre de 2004 es el Virus más amenazador en América
Latina. Fue descubierto el viernes 29 de octubre de
2004.
W32.Beagle.AV@mm es un gusano de envío
masivo de correos electrónicos que también se
dispersa a través de los recursos
compartidos de la red. El gusano también tiene una
funcionalidad de abrir un backdoor en el puerto TCP
81.
Symantec Security Response ha elevado a nivel 3 la
categoría de esta amenaza viral porque hubo un gran
número de envíos del mencionado gusano.
Principio del formulario
Final del formulario
También conocido como: | Win32.Bagle.AQ [Computer Associates] Bagle.BC [Panda] WORM_BAGLE.AT [Trend Micro] Bagle.AT [F-Secure] W32/Bagle.AQ@mm [Norman] W32/Bagle.bb@mm [McAfee] |
Tipo: | Worm |
Longitud de la infección: | Varios |
Sistemas afectados: | Windows Server 2003 Windows XP Windows 2000 Windows Me Windows 98 Windows 95 Windows NT |
- Envío de mensajes a gran
escala - Pone en peligro la configuración de
seguridad: Termina servicios
y procesos
de seguridad
- Línea de asunto del mensaje de correo
electrónico: Varios - Nombre del archivo
adjunto: Varios - Puertos: Puerto TCP 81
Cuando Beagle.AV@mm se ejecuta, lleva a
cabo las siguientes acciones
1. Crea uno de los siguientes
archivos:
- %System%wingo.exe
- %System%wingo.exeopen
- %System%wingo.exeopenopen
También se puede copiar a sí mismo
como:
- %System%wingo.exeopenopenopen
- %System%wingo.exeopenopenopenopen
2. Agrega el valor
"wingo" = "%System%wingo.exe"
A la clave de registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Con lo que el gusano se ejecutará cada vez que inicie
Windows.
3. Agrega el valor:
"Timekey" = "[Random variables]"
A la siguiente clave de registro:
HKEY_CURRENT_USERSoftwareMicrosoftParams
4. Finaliza los siguientes procesos, que normalmente
están relacionados con otros gusanos o con productos de
seguridad:
- mcagent.exe
- mcvsshld.exe
- mcshield.exe
- mcvsescn.exe
- mcvsrte.exe
- DefWatch.exe
- Rtvscan.exe
- ccEvtMgr.exe
- NISUM.EXE
- ccPxySvc.exe
- navapsvc.exe
- NPROTECT.EXE
- nopdb.exe
- ccApp.exe
- Avsynmgr.exe
- VsStat.exe
Para ver la lista completa seleccione la
opción "Descargar" del menú superior
6. Busca en el disco duro por carpetas que contienen
el valor "shar" y se copia así mismo dentro de ellas con
uno de los siguientes nombres:
- Microsoft Office 2003
Crack, Working!.exe - Microsoft Windows
XP, WinXP Crack, working Keygen.exe
Para ver la lista completa seleccione la
opción "Descargar" del menú superior
7. Trata de detener y deshabilitar los siguientes
servicios:
- "SharedAccess" – Conexión compartida de
Internet - "wscsvc" – MS security center
8. Abre un backdoor en el puerto TCP
81.
9. Elimina cualquier elemento que contenga los
siguientes valores:
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Para ver la lista completa seleccione la
opción "Descargar" del menú superior
10. Busca por direcciones de correo
electrónico dentro de los archivos con las siguientes
extensiones:
- .wab
- .txt
- .msg
Para ver la lista completa seleccione la
opción "Descargar" del menú superior
11. Utiliza su propio motor SMTP para
enviar mensajes de correo electrónicos a cualquiera de las
direcciones electrónicas encontradas.
El correo electrónico puede tener las siguientes
características:
De: <falsificado>
Asunto: (Uno de los siguientes)
- Re:
- Re: Hello
- Re: Hi
- Re: Thank you!
- Re: Thanks 🙂
Cuerpo del mensaje:
:))
Archivo adjunto: (Uno de los
siguientes) - Price
- price
- Joke
con una extensión de archivo .com, .cpl, .exe o
.scr.
El gusano evitará enviar copias a las direcciones
que contengan los siguientes valores:
- @hotmail
- @msn
- @microsoft
Para ver la lista completa seleccione la
opción "Descargar" del menú superior
Symantec Security Response invita a todos los usuarios y
administradores a adherirse a las siguientes "mejores
prácticas" básicas para su seguridad:
- Desconecte y elimine todos los servicios que no sean
necesarios. De forma predeterminada, muchos sistemas
operativos instalan servicios auxiliares que no son
imprescindibles, como clientes de
FTP,
telnet y
servidores
de Web. A
través de estos servicios penetran buena parte de los
ataques. Por lo tanto, si se eliminan, las amenazas combinadas
dispondrán de menos entradas para realizar ataques y
tendrá que mantener menos servicios actualizados con
parches. - Si una amenaza combinada explota uno o varios
servicios de red, deshabilite o bloquee el acceso a estos
servicios hasta que aplique el parche
correspondiente. - Mantenga siempre el parche actualizado, sobre todo en
equipos que ofrezcan servicios
públicos, a los que se puede acceder a través
de algún firewall
como, por ejemplo, servicios HTTP, FTP, de
correo y DNS. - Implemente una política de
contraseñas. Con contraseñas complejas, resulta
más difícil descifrar archivos de
contraseñas en equipos infectados. De este modo, ayuda a
evitar que se produzcan daños cuando un equipo es
atacado o, al menos, limita esta posibilidad. - Configure su servidor de
correo electrónico para que bloquee o elimine los
mensajes que contengan archivos adjuntos que se utilizan
comúnmente para extender virus, como archivos .vbs,
.bat, .exe, .pif y .scr. - Aísle rápidamente los equipos que
resulten infectados para evitar que pongan en peligro otros
equipos de su organización. Realice un análisis posterior y restaure los equipos
con medios que
sean de su confianza. - Instruya a sus empleados para que no abran archivos
adjuntos a menos que los esperen. El software descargado desde
Internet no debe ejecutarse, a menos que haya sido analizado
previamente en busca de virus. Basta únicamente con
visitar un sitio Web infectado para que pueda infectarse si las
vulnerabilidades del explorador de Web no han sido
correctamente corregidas con parches.
Como una alternativa a la herramienta de
eliminación, usted puede eliminar de forma manual esta
amenaza.
- Desactive Restaurar el sistema (Windows Me o
XP). - Actualice las definiciones de virus.
- Reinicie la computadora en modo a prueba de fallas o
modo VGA - Ejecute un análisis completo del sistema y
elimine todos los archivos que se detecten como
W32.Beagle.AV@mm. - Elimine el valor que se haya agregado al
registro.
NOTA: Estos datos fueron proporcionados por
Symantec el día 12 de noviembre de 2004.
En la siguiente lista aparecen los virus mas recientes
descubiertos por Symantec Security Response. Esta lista incluye
el nivel de riesgo que
Security Response le ha otorgado a cada virus.
Para ver la tabla seleccione la opción
"Descargar" del menú superior
LOS ANTIVIRUS
Un antivirus es un programa de
computadora cuyo propósito es combatir y erradicar los
virus informáticos. Para que el antivirus sea productivo y
efectivo hay que configurarlo cuidadosamente de tal forma que
aprovechemos todas las cualidades que ellos poseen. Hay que saber
cuales son sus fortalezas y debilidades y tenerlas en cuenta a la
hora de enfrentar a los virus.
Debemos tener claro que según en la vida humana
hay virus que no tienen cura, esto también sucede en el
mundo digital y hay que andar con mucha precaución. Un
antivirus es una solución para minimizar los riesgos y
nunca será una solución definitiva, lo principal es
mantenerlo actualizado. Para mantener el sistema estable y
seguro el
antivirus debe estar siempre actualizado, tomando siempre medidas
preventivas y correctivas y estar constantemente leyendo sobre
los virus y nuevas
tecnologías. Escanear
El antivirus normalmente escanea cada archivo en la
computadora y lo compara con las tablas de virus que guarda en
disco. Esto significa que la mayoría de los virus son
eliminados del sistema después que atacan a éste.
Por esto el antivirus siempre debe estar actualizado, es
recomendable que se actualice una vez por semana para que sea
capaz de combatir los virus que son creados cada día.
También, los antivirus utilizan la técnica
heurística que permite detectar virus que aun no
están en la base de datos
del antivirus. Es sumamente útil para las infecciones que
todavía no han sido actualizadas en las tablas porque
trata de localizar los virus de acuerdo a ciertos comportamientos
ya preestablecidos.
El aspecto más importante de un antivirus es detectar
virus en la computadora y tratar de alguna manera de sacarlo y
eliminarlo de nuestro sistema. Los antivirus, no del todo
facilitan las cosas, porque ellos al estar todo el tiempo
activos y
tratando de encontrar un virus, al instante esto hace que
consuman memoria de la computadora y tal vez la vuelvan un poco
lentas o de menos desempeño.
Un buen antivirus es uno que se ajuste a nuestras
necesidades. No debemos dejarnos seducir por tanta propaganda de
los antivirus que dicen que detectan y eliminan 56,432 virus o
algo por el estilo porque la mayoría de esos virus o son
familias derivadas o nunca
van a llegar al país donde nosotros estamos. Muchos virus
son solamente de alguna región o de algún
país en particular.
A la hora de comprar un buen antivirus debemos saber con
que frecuencia esa empresa saca
actualizaciones de las tablas de virus ya que estos son creados
diariamente para infectar los sistemas. El
antivirus debe constar de un programa detector de virus que
siempre este activo en la memoria y un programa que verifique la
integridad de los sectores críticos del disco duro y sus
archivos ejecutables. Hay antivirus que cubren esos dos procesos,
pero si no se puede obtener uno con esas características
hay que buscar dos programas por separado que hagan esa función
teniendo muy en cuenta que no se produzca ningún tipo de
conflictos
entre ellos.
Un antivirus además de protegernos el sistema
contra virus, debe permitirle al usuario hacer alguna copia del
archivo infectado por si acaso se corrompe en el proceso de
limpieza, también la copia es beneficiosa para intentar
una segunda limpieza con otro antivirus si la primera falla en
lograr su objetivo.
En la actualidad no es difícil suponer que cada
vez hay más gente que está consciente de la
necesidad de hacer uso de algún antivirus como medida de
protección básica. No obstante, en principio lo
deseable sería poder tener un
panorama de los distintos productos que existen y poder tener una
guía inicial para proceder a evaluarlos.
Algunos antivirus:
- Antivirus Expert (AVX)
- AVG Anti-Virus System
http://www.grisoft.com/html/us_downl.cfm
- Command Antivirus:
http://www.commandcom.com/try/download.cfm
http://web.itasa.com.mx/
Para ver la lista completa seleccione la
opción "Descargar" del menú superior
Los riesgos que infunden los
virus hoy en día obligaron a que empresas enteras
se dediquen a buscar la forma de crear programas con fines
comerciales que logren combatir con cierta eficacia los
virus que ataquen los sistemas informáticos. Este software
es conocido con el nombre de programas antivirus y posee algunas
características interesantes para poder cumplir su
trabajo.
Como ya dijimos una de las características
fundamentales de un virus es propagarse infectando determinados
objetos según fue programado. En el caso de los que
parasitan archivos, el virus debe poseer algún método
para no infectar los archivos con su propio código
para evitar autodestruirse, en otras palabras, así es que
dejan una marca o firma que
los identifica de los demás programas o virus.
Para la mayoría de los virus esta marca
representa una cadena de caracteres que "inyectan" en el archivo
infectado. Los virus más complejos como los polimorfos
poseen una firma algorítmica que modificará el
cuerpo del mismo con cada infección. Cada vez que estos
virus infecten un archivo, mutará su forma y
dificultará bastante más las cosas para el Software
de detección de virus.
El software antivirus es un programa más de
computadora y como tal debe ser adecuado para nuestro sistema y
debe estar correctamente configurado según los
dispositivos de hardware que tengamos. Si trabajamos en un lugar
que posee conexión a redes es necesario tener un
programa antivirus que tenga la capacidad de detectar virus de
redes. Los antivirus reducen sensiblemente los riesgos de
infección pero cabe reconocer que no serán eficaces
el cien por ciento de las veces y su utilización
debería estar acompañada con otras formas de
prevención.
La función primordial de un programa de estos es
detectar la presencia de un posible virus para luego poder tomar
las medidas necesarias. El hecho de poder erradicarlo
podría considerarse como una tarea secundaria ya que con
el primer paso habremos logrado frenar el avance del virus,
cometido suficiente para evitar mayores daños.
Antes de meternos un poco más adentro de lo que
es el software antivirus es importante que sepamos la diferencia
entre detectar un virus e identificar un virus. El detectar un
virus es reconocer la presencia de un accionar viral en el
sistema de acuerdo a las características de los tipos de
virus. Identificar un virus es poder reconocer qué
virus es de entre un montón de otros virus cargados en
nuestra base de datos. Al identificarlo sabremos exactamente
qué es lo que hace, haciendo inminente su
eliminación.
De estos dos métodos es
importante que un antivirus sea más fuerte en el tema de
la detección, ya que con este método podremos
encontrar virus todavía no conocidos (de reciente
aparición) y que seguramente no estarán registrados
en nuestra base de datos debido a que su tiempo de
dispersión no es suficiente como para que hayan sido
analizados por un grupo de
expertos de la empresa del antivirus.
Hoy en día la producción de virus se ve masificada en
Internet colabora enormemente en la dispersión de virus de
muchos tipos, incluyendo los "virus caseros". Muchos de estos
virus son creados por usuarios inexpertos con pocos conocimientos
de programación y, en muchos casos, por simples usuarios
que bajan de Internet programas que crean virus genéricos.
Ante tantos "desarrolladores" al servicio de la producción
de virus la técnica de scanning se ve altamente superada.
Las empresas antivirus están constantemente trabajando en
la búsqueda y documentación de cada nuevo virus que
aparece. Muchas de estas empresas actualizan sus bases de datos
todos los meses, otras lo hacen quincenalmente, y algunas pocas
llegan a hacerlo todas las semanas (cosa más que
importante para empresas que necesitan una alta protección
en este campo o para usuarios fanáticos de obtener lo
último en seguridad y protección).
La debilidad de la técnica de scanning es
inherente al modelo. Esto
es debido a que un virus debería alcanzar una
dispersión adecuada para que algún usuario lo
capture y lo envíe a un grupo de especialistas en virus
que luego se encargarán de determinar que parte del
código será representativa para ese virus y
finalmente lo incluirán en la base de datos del antivirus.
Todo este proceso puede llevar varias semanas, tiempo suficiente
para que un virus eficaz haga de las suyas. En la actualidad,
Internet proporciona el canal de bajada de las definiciones
antivirus que nos permitirán identificar decenas de miles
de virus que andan acechando. Estas decenas de miles de virus,
como dijimos, también influirán en el tamaño
de la base de datos. Como ejemplo concreto podemos mencionar que
la base de datos de Norton Antivirus de Symantec Corp. pesa
alrededor de 2Mb y es actualizada cada quince o veinte
días.
La técnica de scanning no resulta ser la
solución definitiva, ni tampoco la más eficiente,
pero continúa siendo la más utilizada debido a que
permite identificar con cierta rapidez los virus más
conocidos, que en definitiva son los que lograron adquirir mayor
dispersión.
Teniendo en cuenta los puntos débiles de la
técnica de scanning surgió la necesidad de
incorporar otros métodos que complementaran al primero.
Como ya se mencionó la detección consiste en
reconocer el accionar de un virus por los conocimientos sobre el
comportamiento
que se tiene sobre ellos, sin importar demasiado su
identificación exacta. Este otro método
buscará código que intente modificar la
información de áreas sensibles del sistema sobre
las cuales el usuario convencional no tiene control –y
a veces ni siquiera tiene conocimiento-,
como el master boot record, el boot sector, la FAT, entre las
más conocidas.
Otra forma de detección que podemos mencionar
adopta, más bien, una posición de vigilancia
constante y pasiva. Esta, monitorea cada una de las actividades
que se realizan intentando determinar cuándo una de
éstas intenta modificar sectores críticos de las
unidades de
almacenamiento, entre otros. A esta técnica se la
conoce como chequear la integridad.
La técnica de detección más
común es la de análisis heurístico. Consiste
en buscar en el código de cada uno de los archivos
cualquier instrucción que sea potencialmente
dañina, acción
típica de los virus informáticos. Es una
solución interesante tanto para virus conocidos como para
los que no los son. El inconveniente es que muchas veces se nos
presentarán falsas alarmas, cosas que el scanner
heurístico considera peligrosas y que en realidad no lo
son tanto. Por ejemplo: tal vez el programa revise el
código del comando DEL (usado para borrar archivos) de
MS-DOS y
determine que puede ser un virus, cosa que en la realidad resulta
bastante improbable. Este tipo de cosas hace que el usuario deba
tener algunos conocimientos precisos sobre su sistema, con el fin
de poder distinguir entre una falsa alarma y una detección
real.
La eliminación de un virus implica extraer el
código del archivo infectado y reparar de la mejor manera
el daño
causado en este. A pesar de que los programas antivirus pueden
detectar miles de virus, no siempre pueden erradicar la misma
cantidad, por lo general pueden quitar los virus conocidos y
más difundidos de los cuales pudo realizarse un
análisis profundo de su código y de su
comportamiento. Resulta lógico entonces que muchos
antivirus tengan problemas en
la detección y erradicación de virus de
comportamiento complejo, como el caso de los polimorfos, que
utilizan métodos de encriptación para mantenerse
indetectables. En muchos casos el procedimiento de
eliminación puede resultar peligroso para la integridad de
los archivos infectados, ya que si el virus no está
debidamente identificado las técnicas
de erradicación no serán las adecuadas para el tipo
de virus.
Hoy día los antivirus más populares
están muy avanzados pero cabe la posibilidad de que este
tipo de errores se de en programas más viejos. Para muchos
el procedimiento correcto sería eliminar completamente el
archivo y restaurarlo de la copia de respaldo. Si en vez de
archivos la infección se realizó en algún
sector crítico de la unidad de disco rígido la
solución es simple, aunque no menos riesgosa. Hay muchas
personas que recomiendan reparticionar la unidad y reformatearla
para asegurarse de la desaparición total del virus, cosa
que resultaría poco operativa y fatal para la
información del sistema. Como alternativa a esto existe
para el sistema operativo
MS-DOS / Windows una opción no documentada del comando
FDISK que resuelve todo en cuestión de segundos. El
parámetro /MBR se encarga de restaurar el registro maestro
de booteo (lugar donde suelen situarse los virus) impidiendo
así que este vuelva a cargarse en el inicio del sistema.
Vale aclarar que cualquier dato que haya en ese sector
será sobrescrito y puede afectar mucho a sistemas que
tengan la opción de bootear con diferentes sistemas
operativos. Muchos de estos programas que permiten hacer la
elección del sistema operativo se sitúan en esta
área y por consiguiente su código será
eliminado cuando se usa el parámetro
mencionado.
Para el caso de la eliminación de un virus es muy
importante que el antivirus cuente con soporte técnico
local, que sus definiciones sean actualizadas
periódicamente y que el servicio técnico sea apto
para poder responder a cualquier contingencia que nos surja en el
camino.
Como ya habíamos anticipado los comprobadores de
integridad verifican que algunos sectores sensibles del sistema
no sean alterados sin el consentimiento del usuario. Estas
comprobaciones pueden aplicarse tanto a archivos como al sector
de arranque de las unidades de almacenamiento.
Para poder realizar las comprobaciones el antivirus,
primero, debe tener una imagen del contenido de la unidad de
almacenamiento desinfectada con la cual poder hacer
después las comparaciones. Se crea entonces un registro
con las características de los archivos, como puede ser su
nombre, tamaño, fecha de creación o
modificación y, lo más importante para el caso, el
checksum, que es aplicar un algoritmo al
código del archivo para obtener un valor que será
único según su contenido (algo muy similar a lo que
hace la función hash en los mensajes). Si un virus
inyectara parte de su código en el archivo la nueva
comprobación del checksum sería distinta a la que
se guardó en el registro y el antivirus alertaría
de la modificación. En el caso del sector de booteo el
registro puede ser algo diferente. Como existe un MBR por unidad
física y
un BR por cada unidad lógica,
algunos antivirus pueden guardarse directamente una copia de cada
uno de ellos en un archivo y luego compararlos contra los que se
encuentran en las posiciones originales.
Una vez que el antivirus conforma un registro de cada
uno de los archivos en la unidad podrá realizar las
comprobaciones de integridad. Cuando el comprobador es puesto en
funcionamiento cada uno de los archivos serán escaneados.
Nuevamente se aplica la función checksum y se obtiene un
valor que es comparado contra el que se guardó en el
registro. Si ambos valores son iguales, el archivo no
sufrió modificaciones durante el período
comprendido entre el registro de cheksum antiguo y la
comprobación reciente. Por el otro lado, si los valores
checksum no concuerdan significa que el archivo fue alterado y en
ciertos casos el antivirus pregunta al usuario si quiere
restaurar las modificaciones. Lo más indicado en estos
casos sería que un usuario con conocimientos sobre su
sistema avale que se trata realmente de una modificación
no autorizada –y por lo tanto atribuible a un virus-,
elimine el archivo y lo restaure desde la copia de
respaldo.
La comprobación de integridad en los sectores de
booteo no es muy diferente. El comprobador verificará que
la copia que está en uso sea igual a la que fue guardada
con anterioridad. Si se detectara una modificación en
cualquiera de estos sectores, le preguntará al usuario por
la posibilidad de reconstruirlos utilizando las copias guardadas.
Teniendo en cuenta que este sector en especial es un punto muy
vulnerable a la entrada de los virus multipartitos, los antivirus
verifican constantemente que no se hagan modificaciones. Cuando
se detecta una operación de escritura en
uno de los sectores de arranque, el programa toma cartas en el
asunto mostrando en pantalla un mensaje para el usuario
indicándole sobre qué es lo que está por
suceder. Por lo general el programa antivirus ofrece algunas
opciones sobre como proceder, evitar la modificación,
dejarla continuar, congelar el sistema o no tomar ninguna medida
(cancelar).
Para que esta técnica sea efectiva cada uno de
los archivos deberá poseer su entrada correspondiente en
el registro de comprobaciones. Si nuevos programas se
están instalando o estamos bajando algunos archivos desde
Internet, o algún otro archivo ingresado por cualquier
otro dispositivo de entrada, después sería
razonable que registremos el checksum con el comprobador del
antivirus. Incluso, algunos de estos programas atienden con mucha
atención a lo que el comprobador de integridad determine y
no dejarán que ningún archivo que no esté
registrado corra en el sistema.
Muchos virus tienen la capacidad de "parasitar" archivos
ejecutables. Con esto se afirma que el virus localizará
los puntos de entrada de cualquier archivo que sea ejecutable
(los archivos de datos no se ejecutan por lo tanto son
inutilizables para los virus) y los desviará a su propio
código de ejecución. Así, el flujo de
ejecución correrá primero el código del
virus y luego el del programa y, como todos los virus poseen un
tamaño muy reducido para no llamar la atención, el
usuario seguramente no notará la diferencia. Este vistazo
general de cómo logra ejecutarse un virus le
permitirá situarse en memoria y empezar a ejecutar sus
instrucciones dañinas. A esta forma de comportamiento de
los virus se lo conoce como técnica subrepticia, en la
cual prima el arte de
permanecer indetectado.
Una vez que el virus se encuentra en memoria puede
replicarse a sí mismo en cualquier otro archivo
ejecutable. El archivo ejecutable por excelencia que atacan los
virus es el COMMAND.COM, uno de los archivos fundamentales para
el arranque en el sistema operativo MS-DOS. Este archivo es el
intérprete de comandos del
sistema, por lo tanto, se cargará cada vez que se necesite
la shell. La primera vez será en el inicio del sistema y,
durante el funcionamiento, se llamará al COMMAND.COM cada
vez que se salga de un programa y vuelva a necesitarse la
intervención de la shell. Con un usuario desatento, el
virus logrará replicarse varias veces antes de que
empiecen a notarse síntomas extraños en la
computadora.
El otro "ente" ejecutable capaz de ser infectado es el
sector de arranque de los discos magnéticos. Aunque este
sector no es un archivo en sí, contiene rutinas que el
sistema operativo ejecuta cada vez que arranca el sistema desde
esa unidad, resultando este un excelente medio para que el virus
se propague de una computadora a la otra. Como dijimos antes una
de las claves de un virus es lograr permanecer oculto dejando que
la entidad ejecutable que fue solicitada por el usuario corra
libremente después de que él mismo se halla
ejecutado. Cuando un virus intenta replicarse a un disquete,
primero deberá copiar el sector de arranque a otra
porción del disco y recién entonces copiar su
código en el lugar donde debería estar el sector de
arranque.
Durante el arranque de la computadora con el disquete
insertado en la disquetera, el sistema operativo MS-DOS
intentará ejecutar el código contenido en el sector
de booteo del disquete. El problema es que en esa posición
se encontrará el código del virus, que se ejecuta
primero y luego apuntará el hacia la ejecución a la
nueva posición en donde se encuentran los archivos para el
arranque. El virus no levanta sospechas de su existencia
más allá de que existan o no archivos de arranque
en el sector de booteo.
Nuestro virus se encuentra ahora en memoria y no
tendrá problemas en replicarse a la unidad de disco
rígido cuando se intente bootear desde esta. Hasta que su
módulo de ataque se ejecute según fue programado,
el virus intentará permanecer indetectado y
continuará replicándose en archivos y sectores de
booteo de otros disquetes que se vayan utilizando, aumentando
potencialmente la dispersión del virus cuando los
disquetes sean llevados a otras máquinas.
Estos programas residentes en memoria son módulos
del antivirus que se encargan de impedir la entrada del cualquier
virus y verifican constantemente operaciones que
intenten realizar modificaciones por métodos poco
frecuentes. Estos, se activan al arrancar el ordenador y por lo
general es importante que se carguen al comienzo y antes que
cualquier otro programa para darle poco tiempo de
ejecución a los virus y detectarlos antes que alteren
algún dato. Según como esté configurado el
antivirus, el demonio (como se los conoce en el ambiente
Unix) o TSR
(en la jerga MS-DOS / Windows), estará pendiente de cada
operación de copiado, pegado o cuando se abran archivos,
verificará cada archivo nuevo que es creado y todas las
descargas de Internet, también hará lo mismo con
las operaciones que intenten realizar un formateo de bajo nivel
en la unidad de disco rígido y, por supuesto,
protegerá los sectores de arranque de
modificaciones.
Las nuevas computadoras que aparecieron con formato ATX
poseen un tipo de memoria llamada Flash-ROM con una
tecnología
capaz de permitir la actualización del BIOS de la
computadora por medio de software sin la necesidad de
conocimientos técnicos por parte del usuario y sin tener
que tocar en ningún momento cualquiera de los dispositivos
de hardware. Esta nueva tecnología añade otro punto
a favor de los virus ya que ahora estos podrán copiarse a
esta zona de memoria dejando completamente indefensos a muchos
antivirus antiguos. Un virus programado con técnicas
avanzadas y que haga uso de esta nueva ventaja es muy probable
que sea inmune al reparticionado o reformateo de las unidades de
discos magnéticos.
Para ver el gráfico seleccione la
opción "Descargar" del menú superior
Es muy posible que un programa antivirus muchas veces
quede descolocado frente al ataque de virus nuevos. Para esto
incluye esta opción que no consiste en ningún
método de avanzada sino simplemente en aislar el archivo
infectado. Antes que esto el antivirus reconoce el accionar de un
posible virus y presenta un cuadro de diálogo
informándonos. Además de las opciones
clásicas de eliminar el virus, aparece ahora la
opción de ponerlo en cuarentena. Este procedimiento
encripta el archivo y lo almacena en un directorio hijo del
directorio donde se encuentra el antivirus.
De esta manera se está impidiendo que ese archivo
pueda volver a ser utilizado y que continúe la
dispersión del virus. Como acciones
adicionales el antivirus nos permitirá restaurar este
archivo a su posición original como si nada hubiese pasado
o nos permitirá enviarlo a un centro de investigación donde especialistas en el
tema podrán analizarlo y determinar si se trata de un
virus nuevo, en cuyo caso su código distintivo será
incluido en las definiciones de virus. En la figura vemos el
programa de cuarentena de Norton AntiVirus 2004 incluido en
NortonSystemWorks Professional 2004 y que nos permite enviar los
archivos infectados a Symantec Security Response para su
posterior análisis.
Los archivos de definiciones antivirus son fundamentales
para que el método de identificación sea efectivo.
Los virus que alcanzaron una considerable dispersión
pueden llegar a ser analizados por los ingenieros especialistas
en virus de algunas de las compañías antivirus, que
mantendrán actualizadas las definiciones permitiendo
así que las medidas de protección avancen casi al
mismo paso en que lo hacen los virus.
Un antivirus que no esté actualizado puede
resultar poco útil en sistemas que corren el riesgo de
recibir ataques de virus nuevos (como organismos gubernamentales
o empresas de tecnología de punta), y están
reduciendo en un porcentaje bastante alto la posibilidad de
protección. La actualización también puede
venir por dos lados: actualizar el programa completo o actualizar
las definiciones antivirus. Si contamos con un antivirus que
posea técnicas de detección avanzadas, posibilidad
de análisis heurístico, protección residente
en memoria de cualquiera de las partes sensibles de una unidad de
almacenamiento, verificador de integridad, etc., estaremos bien
protegidos para empezar. Una actualización del programa
sería realmente justificable en caso de que incorpore
algún nuevo método que realmente influye en la
erradicación contra los virus. Sería importante
también analizar el impacto económico que
conllevará para nuestra empresa, ya que sería
totalmente inútil tener el mejor antivirus y preocuparse
por actualizar sus definiciones diarias por medio de Internet si
nuestra red ni siquiera tiene acceso a la Web, tampoco acceso
remoto de usuarios y el único intercambio de
información es entre empleados que trabajan con un paquete
de aplicaciones de oficina sin
ningún contenido de macros o programación que de
lugar a posibles infecciones.
ESTRATEGIA DE SEGURIDAD CONTRA LOS
VIRUS
En la problemática que nos ocupa, poseer un
antivirus y saber cómo utilizarlo es la primera medida que
debería tomarse. Pero no será totalmente efectiva
si no va acompañada por conductas que el usuario debe
respetar. La educación y la
información son el mejor método para
protegerse.
El usuario debe saber que un virus informático es
un programa de computadora que posee ciertas
características que lo diferencian de un programa
común, y se infiltra en las computadoras de forma furtiva
y sin ninguna autorización. Como cualquier otro programa
necesitará un medio físico para transmitirse, de
ninguna manera puede volar por el aire como un
virus biológico, por lo tanto lo que nosotros hagamos para
el transporte de
nuestra información debemos saber que resulta un excelente
medio aprovechable por los virus. Cualquier puerta que nosotros
utilicemos para comunicarnos es una posible vía de ingreso
de virus, ya sea una disquetera, una lectora de CD-ROM, un
módem con conexión a Internet, la placa que nos
conecta a la red de la empresa, los nuevos puertos
ultrarrápidos (USB y
FireWire) que nos permiten conectar dispositivos de
almacenamiento externos como unidades Zip, Jazz, HDDs,
etc.
Viendo que un virus puede atacar nuestro sistema desde
cualquier ángulo, no podríamos dejar de utilizar
estos dispositivos solo porque sean una vía de entrada
viral (ya que deberíamos dejar de utilizarlos a todos),
cualquiera de las soluciones que
planteemos no será cien por ciento efectiva pero
contribuirá enormemente en la protección y estando
bien informados evitaremos crear pánico
en una situación de infección.
Una forma bastante buena de comprobar la
infección en un archivo ejecutable es mediante la
verificación de integridad. Con esta técnica
estaremos seguros que
cualquier intento de modificación del código de un
archivo será evitado o, en última instancia,
sabremos que fue modificado y podremos tomar alguna medida al
respecto (como eliminar el archivo y restaurarlo desde la copia
de respaldo). Es importante la frecuencia con la que se revise la
integridad de los archivos. Para un sistema grande con acceso a
redes externas sería conveniente una verificación
semanal o tal vez menor por parte de cada uno de los usuarios en
sus computadoras. Un ruteador no tiene manera de determinar si un
virus está ingresando a la red de la empresa porque los
paquetes individuales no son suficiente cómo para detectar
a un virus. En el caso de un archivo que se baja de Internet,
éste debería almacenarse en algún directorio
de un servidor y verificarse con la técnica de scanning,
recién entonces habría que determinar si es un
archivo apto para enviar a una estación de
trabajo.
La mayoría de los firewall que se venden en el
mercado
incorporan sistemas antivirus. También incluyen sistemas
de monitorización de integridad que le permiten visualizar
los cambios de los archivos y sistema todo en tiempo real. La
información en tiempo real le puede ayudar a detener un
virus que está intentando infectar el sistema.
En cuanto a los virus multipartitos estaremos cubiertos
si tomamos especial cuidado del uso de los disquetes. Estos no
deben dejarse jamás en la disquetera cuando no se los
está usando y menos aún durante el arranque de la
máquina. Una medida acertada es modificar la secuencia de
booteo modificando el BIOS desde el programa Setup para que se
intente arrancar primero desde la unidad de disco rígido y
en su defecto desde la disquetera. Los discos de arranque del
sistema deben crearse en máquinas en las que sabemos que
están libres de virus y deben estar protegidos por la
muesca de sólo lectura.
El sistema antivirus debe ser adecuado para el sistema.
Debe poder escanear unidades de red si es que contamos con una,
proveer análisis heurístico y debe tener la
capacidad de chequear la integridad de sus propios archivos como
método de defensa contra los retro-virus. Es muy
importante cómo el antivirus guarda el archivo de
definiciones de virus. Debe estar protegido contra
sobreescrituras, encriptado para que no se conozca su contenido y
oculto en el directorio (o en su defecto estar fragmentado y
cambiar periódicamente su nombre). Esto es para que los
virus no reconozcan con certeza cuál es el archivo de
definiciones y dejen imposibilitado al programa antivirus de
identificar con quien está tratando.
Regularmente deberemos iniciar la máquina con
nuestro disquete limpio de arranque del sistema operativo y
escanear las unidades de disco rígido con unos disquetes
que contengan el programa antivirus. Si este programa es
demasiado extenso podemos correrlo desde la lectora de CD-ROM,
siempre y cuando la hayamos configurado previamente. Este
último método puede complicar a más de una
de las antiguas computadoras. Las nuevas máquinas de
factor ATX incluso nos permiten bootear desde una lectora de
CD-ROM, que no tendrán problemas en reconocer ya que la
mayoría trae sus drivers en firmware. Si no se cuenta con
alguna de estas nuevas tecnologías simplemente podemos
utilizar un disco de inicio de Windows 98
(sistema bastante popular hoy en día) que nos da la
posibilidad de habilitar la utilización de la lectora para
luego poder utilizarla con una letra de unidad
convencional.
El módulo residente en memoria del antivirus es
fundamental para la protección de virus que están
intentando entrar en nuestro sistema. Debe ser apto para nuestro
tipo de sistema operativo y también debe estar
correctamente configurado. Los antivirus actuales poseen muchas
opciones configurables en las que deberá fijarse el
residente. Cabe recordar que mientras más de estas
seleccionemos la performance del sistema se verá
mayormente afectada. Adoptar una política de seguridad no
implica velocidad en los trabajos que realicemos.
El usuario hogareño debe acostumbrarse a realizar
copias de respaldo de su sistema. Existen aplicaciones que nos
permitirán con mucha facilidad realizar copias de
seguridad de nuestros datos (también podemos optar por
hacer sencillos archivos zipeados de nuestros datos y copiarlos
en un disquete). Otras, como las utilidades para Windows 9x de
Norton permiten crear disquetes de emergencia para arranque de
MS-DOS y restauración de todos los archivos del sistema
(totalmente seleccionables). Si contamos con una unidad de discos
Zip podemos extender las posibilidades y lograr que todo el
sistema Windows se restaure después de algún
problema.
Estos discos Zip son igualmente útiles para las
empresas, aunque quizás estas prefieran optar por una
regrabadora de CD-R’s, que ofrece mayor capacidad de
almacenamiento, velocidad de grabación, confiabilidad y
los discos podrán ser leídos en cualquier lectora
de CD-ROM actual.
Una persona responsable de la seguridad
informática de la empresa debería documentar un
plan de
contingencia en el que se explique en pasos perfectamente
entendibles para el usuario cómo debería actuar
ante un problema de estos. Las normas que
allí figuren pueden apuntar a mantener la operatividad del
sistema y, en caso de que el problema pase a mayores,
debería privilegiarse la recuperación de la
información por un experto en el tema.
No se deberían instalar programas que no sean
originales o que no cuenten con su correspondiente licencia de
uso.
En el sistema de red de la empresa podría
resultar adecuado quitar las disqueteras de
las computadoras de los usuarios. Así se estaría
removiendo una importante fuente de ingreso de virus. Los
archivos con los que trabajen los empleados podrían
entrar, por ejemplo, vía correo electrónico,
indicándole a nuestro proveedor de correo
electrónico que verifique todos los archivos en busca de
virus mientras aún se encuentran en su servidor y los
elimine si fuera necesario.
Los programas freeware, shareware, trial, o de cualquier
otro tipo de distribución que sean bajados de Internet
deberán ser escaneados antes de su ejecución. La
descarga deberá ser sólo de sitios en los que se
confía. La autorización de instalación de
programas deberá determinarse por el administrador
siempre y cuando este quiera mantener un sistema libre de "entes
extraños" sobre los que no tiene control. Es una medida
adecuada para sistemas grandes en donde los administradores ni
siquiera conocen la cara de los usuarios.
Cualquier programa de fuente desconocida que el usuario
quiera instalar debe ser correctamente revisado. Si un grupo de
usuarios trabaja con una utilidad que no
está instalada en la oficina, el administrador
deberá determinar si instala esa aplicación en el
servidor y les da acceso a ese grupo de usuarios, siempre y
cuando el programa no signifique un riesgo para la seguridad del
sistema. Nunca debería priorizarse lo que el usuario
quiere frente a lo que el sistema necesita para mantenerse
seguro.
Ningún usuario no autorizado debería
acercarse a las estaciones de trabajo. Esto puede significar que
el intruso porte un disquete infectado que deje en cualquiera de
las disqueteras de un usuario descuidado. Todas las computadoras
deben tener el par ID de usuario y contraseña.
Nunca dejar disquetes en la disquetera durante el
encendido de la computadora. Tampoco utilizar disquetes de
fuentes no
confiables o los que no haya creado uno mismo. Cada disquete que
se vaya a utilizar debe pasar primero por un detector de
virus.
Si el disquete no lo usaremos para grabar
información, sino más que para leer,
deberíamos protegerlo contra escritura activando la muesca
de protección. La protección de escritura
estará activada cuando al intentar ver el disco a tras luz
veamos dos pequeños orificios cuadrados en la parte
inferior.
Los usuarios pueden prepararse frente a
una infección viral creando regularmente copias de
seguridad del software original legítimo y de los ficheros
de datos, para poder recuperar el sistema informático en
caso necesario. Puede copiarse en un disco flexible el software
del sistema operativo y proteger el disco contra escritura, para
que ningún virus pueda sobrescribir el disco. Las
infecciones virales se pueden prevenir obteniendo los programas
de fuentes legítimas, empleando una computadora en
cuarentena para probar los nuevos programas y protegiendo contra
escritura los discos flexibles siempre que sea
posible.
Para detectar la presencia de un virus se
pueden emplear varios tipos de programas antivíricos. Los
programas de rastreo pueden reconocer las características
del código informático de un virus y buscar estas
características en los ficheros del ordenador. Como los
nuevos virus tienen que ser analizados cuando aparecen, los
programas de rastreo deben ser actualizados periódicamente
para resultar eficaces. Algunos programas de rastreo buscan
características habituales de los programas virales;
suelen ser menos fiables.
Los únicos programas que detectan
todos los virus son los de comprobación de suma, que
emplean cálculos matemáticos para comparar el estado de
los programas ejecutables antes y después de ejecutarse.
Si la suma de comprobación no cambia, el sistema no
está infectado. Los programas de comprobación de
suma, sin embargo, sólo pueden detectar una
infección después de que se produzca.
Los programas de vigilancia detectan
actividades potencialmente nocivas, como la sobre escritura de
ficheros informáticos o el formateo del disco duro de la
computadora. Los programas caparazones de integridad establecen
capas por las que debe pasar cualquier orden de ejecución
de un programa. Dentro del caparazón de integridad se
efectúa automáticamente una comprobación de
suma, y si se detectan programas infectados no se permite que se
ejecuten.
Una vez detectada una infección
viral, ésta puede contenerse aislando inmediatamente los
ordenadores de la red, deteniendo el intercambio de ficheros y
empleando sólo discos protegidos contra escritura. Para
que un sistema informático se recupere de una
infección viral, primero hay que eliminar el virus.
Algunos programas antivirus intentan eliminar los virus
detectados, pero a veces los resultados no son satisfactorios. Se
obtienen resultados más fiables desconectando la
computadora infectada, arrancándola de nuevo desde un
disco flexible protegido contra escritura, borrando los ficheros
infectados y sustituyéndolos por copias de seguridad de
ficheros legítimos y borrando los virus que pueda haber en
el sector de arranque inicial.
Nadie que usa computadoras es inmune a los virus de
computación. Un programa antivirus por muy
bueno que sea se vuelve obsoleto muy rápidamente ante los
nuevos virus que aparecen día a día.
Algunas medidas antivirus son:
- Desactivar arranque desde disquete en el CETUR para
que no se ejecuten virus de boot. - Desactivar compartir archivos e impresoras.
- Analizar con el antivirus todo archivo recibido por
e-mail antes de abrirlo. - Actualizar el antivirus.
- Activar la protección contra macro virus del
Word y el
Excel. - Ser cuidadoso al bajar archivos de Internet (Analice
si vale el riesgo y si el sitio es seguro) - No envíe su información personal ni
financiera a menos que sepa quien se la solicita y que sea
necesaria para la transacción. - No comparta discos con otros usuarios.
- No entregue a nadie sus claves, incluso si lo llaman
del servicio de Internet u otros. - Enseñe a sus niños
las prácticas de seguridad, sobre todo la entrega de
información. - Cuando realice una transacción
asegúrese de utilizar una conexión bajo
SSL - Proteja contra escritura el archivo
Normal.dot - Distribuya archivos RTF en vez de
documentos. - Realice backups
¿CÓMO PUEDO ELABORAR UN PROTOCOLO DE
SEGURIDAD ANTIVIRUS?
La forma más segura, eficiente y efectiva de
evitar virus, consiste en elaborar un protocolo de seguridad para
sus computadoras. Un protocolo de seguridad consiste en una serie
de pasos que el usuario debe seguir con el fin de crear un
hábito al operar normalmente con programas y archivos en
sus computadoras. Un buen protocolo es aquel que le inculca
buenos hábitos de conducta y le
permite operar con seguridad su computadora aún cuando
momentáneamente esté desactivado o desactualizado
su antivirus.
Un protocolo de seguridad antivirus debe cumplir ciertos
requisitos para que pueda ser cumplido por el operador en primer
término, y efectivo en segundo lugar. Demás
está decir que el protocolo puede ser muy efectivo pero
sí es complicado, no será puesto en funcionamiento
nunca por el operador. Este es un protocolo sencillo, que ayuda a
mantener nuestra computadora libre de virus. No se incluyen
medidas de protección en caso de un sistema de red, ya que
se deberían cumplir otros requisitos que no son
contemplados aquí:
- Instalar el antivirus y asegurar cada 15 días
su actualización. - Chequear los CD’s ingresados en nuestra
computadora sólo una vez, al comprarlos o adquirirlos y
diferenciarlos de los no analizados con un marcador para
certificar el chequeo. Esto sólo es válido en el
caso de que nuestros CD’s no sean procesados en otras
computadora (préstamos a los amigos) y sean regrabables.
En caso de que sean regrabables y los prestemos, deberemos
revisarlos cada vez que regresen a nosotros. - Formatear todo disquete virgen que compremos, sin
importar si son formateados de fábrica, ya que pueden
"colarse" virus aún desde el proceso del fabricante. El
formateo debe ser del tipo Formateo del DOS, no formateo
rápido. - Chequear todo disquete que provenga del exterior, es
decir que no haya estado bajo
nuestro control, o que haya sido ingresado en la disquetera de
otra computadora. Si ingresamos nuestros disquetes en otras
computadoras, asegurarnos de que estén protegidos contra
escritura. - Si nos entregan un disquete y nos dicen que
está revisado, no confiar nunca en los procedimientos
de otras personas que no seamos nosotros mismos. Nunca sabemos
si esa persona sabe operar correctamente su antivirus. Puede
haber chequeado sólo un tipo de virus y dejar otros sin
controlar durante su escaneo, o puede tener un módulo
residente que es menos efectivo que nuestro antivirus, o puede
tener un antivirus viejo. - Para bajar páginas de Internet, archivos,
ejecutables, etc., definir siempre en nuestra computadora una
carpeta o directorio para recibir el material. De este modo
sabemos que todo lo que bajemos de Internet siempre
estará en una sola carpeta. - Nunca ejecutar o abrir antes del escaneo
ningún fichero o programa que esté en esa
carpeta.
- Nunca abrir un atachado a un e-mail sin antes
chequearlo con nuestro antivirus. Si el atachado es de un
desconocido que no nos avisó previamente del
envío del material, directamente borrarlo sin
abrir. - Al actualizar el antivirus, chequear nuestra
computadora completamente. En caso de detectar un virus,
proceder a chequear todos nuestros soportes (disquetes,
CD’s, ZIP’s, etc.) - Si por nuestras actividades generamos grandes
bibliotecas
de disquetes conteniendo información, al guardar los
disquetes en la biblioteca,
chequearlos por última vez, protegerlos contra escritura
y fecharlos para saber cuándo fue el último
escaneo. - Haga el backup periódico de sus archivos. Una vez cada
15 días es lo mínimo recomendable para un usuario
doméstico. Si usa con fines profesionales su
computadora, debe hacer backup parcial de archivos cada 48
horas como mínimo. - Llamamos backup parcial de archivos a la copia en
disquete de los documentos que graba, un documento de Word, por
ejemplo. Al terminarlo, grábelo en su carpeta de
archivos y cópielo a un disquete. Esa es una manera
natural de hacer backup constantes. Si no hace eso,
tendrá que hacer backups totales del disco rígido
cada semana o cada 15 días, y eso sí realmente es
un fastidio.
Este es el punto más conflictivo y que se debe
mencionar a consecuencia de la proliferación de virus de
e-mails. A pesar de las dificultades que puede significar
aprender a usar nuevos programas, lo aconsejable es evitar el uso
de programas de correo electrónico que operen con
lenguajes de macros o programados con Visual Basic For
Applications. Del mismo modo, considere el uso de navegadores
alternativos, aunque esta apreciación no es tan
contundente como con los programas de correo
electrónico.
Si bien puede parecer algo complicado al principio, un
protocolo de este tipo se hace natural cuando el usuario se
acostumbra. El primer problema grave de los virus es el
desconocimiento de su acción y alcances. Si el protocolo
le parece complicado e impracticable, comprenda que al igual que
una herramienta, la computadora puede manejarse sin el manual de
instrucciones y sin protocolos, pero
la mejor manera de aprovechar una herramienta es leer el manual
(protocolo) y aprovechar todas las características que
ella le ofrece. Si usted no sigue un protocolo de seguridad
siempre estará a merced de los virus.
Un virus es un programa pensado para poder reproducirse
y replicarse por sí mismo, introduciéndose en otros
programas ejecutables o en zonas reservadas del disco o la
memoria. Sus efectos pueden no ser nocivos, pero en muchos casos
hacen un daño importante en el ordenador donde
actúan. Pueden permanecer inactivos sin causar
daños tales como el formateo de los discos, la
destrucción de ficheros, etc. Como vimos a lo largo del
trabajo los virus informáticos no son un simple riesgo de
seguridad. Existen miles de programadores en el mundo que se
dedican a esta actividad con motivaciones propias y diversas e
infunden millones de dólares al año en gastos de
seguridad para las empresas. El verdadero peligro de los virus es
su forma de ataque indiscriminado contra cualquier sistema
informático, cosa que resulta realmente crítica
en entornos dónde máquinas y humanos
interactúan directamente.
Es muy difícil prever la propagación de
los virus y que máquina intentarán infectar, de
ahí la importancia de saber cómo funcionan
típicamente y tener en cuenta los métodos de
protección adecuados para evitarlos.
A medida que las tecnologías evolucionan van
apareciendo nuevos estándares y acuerdos entre
compañías que pretenden compatibilizar los
distintos productos en el mercado. Como ejemplo podemos nombrar
la incorporación de Visual Basic para
Aplicaciones en el paquete Office y en muchos otros nuevos
programas de empresas como AutoCAD, Corel,
Adobe. Con el tiempo esto permitirá que con algunas
modificaciones de código un virus pueda servir para
cualquiera de los demás programas, incrementando
aún más los potenciales focos de
infección.
La mejor forma de controlar una infección es
mediante la educación previa de
los usuarios del sistema. Es importante saber qué hacer en
el momento justo para frenar un avance que podría
extenderse a mayores. Como toda otra instancia de
educación será necesario mantenerse actualizado e
informado de los últimos avances en el tema, leyendo
noticias,
suscribiéndose a foros de discusión, leyendo
páginas
Web especializadas, etc.
Biblioteca de Consulta Microsoft
Encarta 2004
http://www.ciudad.com.ar/ar/portales/tecnologia/nota/0,1357,5644,00.asp
http://www.monografias.com/trabajos11/
breverres/breverres.shtml – 69k –
http://www.monografias.com/trabajos12/virus/virus.shtml
/trabajos7/virin/virin.shtml
/trabajos12/virudos/virudos.shtml
/trabajos13/virin/virin.shtml
/trabajos10/viri/viri.shtml
/trabajos5/virusinf/virusinf2.shtml
/trabajos11/tecom/tecom.shtml#anti
/trabajos13/imcom/imcom.shtml#an
http://www.vsantivirus.com/am-conozcaav.htm
Alfredo Mendoza
Para sugerencias o comentarios envíeme un e-mail
a
Elaborado en Noviembre del 2004
 Página anterior | Volver al principio del trabajo | Página siguiente  |