Virus informático (página 2)

Partes: 1, 2

HISTORIA DEL LOS VIRUS

Hasta los años 80, el término "virus" se
empleaba solo dentro del campo de las ciencias
médicas y biológicas para definir a microorganismos
capaces de penetrar en el ser humano y destruir o alterar el
contenido genético celular provocando cuadros
patológicos específicos. Por similitudes en su modo
de acción
y efectos, en informática se bautizó como virus a
ciertos programas que
pueden auto reproducirse, "transmitirse" de una ordenador a otra,
y desencadenar daños a la información contenida en ella (software) e incluso al mismo
equipo (hardware).

A continuación se mostrara lo orígenes
de los virus y de que tiempo
data.

1949: Se da el primer indicio de
definición de virus. John Von Neumann
(considerado el Julio Verne de la informática), expone su
"Teoría
y organización de un autómata
complicado". Nadie podía sospechar de la
repercusión de dicho artículo.

1959: En los laboratorios AT&T Bell,
se inventa el juego
"Guerra
Nuclear" (Core Wars) o guerra de núcleos de ferrita.
Consistía en una batalla entre los códigos de dos
programadores, en la que cada jugador desarrollaba un programa cuya
misión
era la de acaparar la máxima memoria posible
mediante la reproducción de si mismo.

1970: El Creeper es difundido por la
red ARPANET. El
virus mostraba el mensaje "SOY CREEPER…ATRAPAME SI PUEDES!".
Ese mismo año es creado su antídoto: el antivirus Reaper
cuya misión era buscar y destruir al Creeper.

1974: El virus Rabbit hacía una
copia de si mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo que
causaba un bloqueo del sistema.

1980: La red ARPANET es infectada por un
"gusano" y queda 72 horas fuera de servicio. La
infección fue originada por Robert Tappan Morris, un joven
estudiante de informática de 23 años aunque
según él fue un accidente.

1983: El juego Core Wars, con adeptos en
el MIT, salio a la luz publica en un
discurso de
Ken Thompson. Dewdney explica los términos de este juego.
Ese mismo año aparece el término virus tal como lo
entendemos hoy.

1985: Dewdney intenta enmendar su error
publicando otro artículo "Juegos de
Computadora
virus, gusanos y otras plagas de la Guerra Nuclear atentan contra
la memoria de
los ordenadores".

1987: Se da el primer caso de contagio
masivo de computadoras a
través del MacMag Virus también llamado Peace Virus
sobre computadoras Macintosh. Este virus fue creado por Richard
Brandow y Drew Davison y lo incluyeron en un disco de juegos que
repartieron en una reunión de un club de usuarios. Uno de
los asistentes, Marc Canter, consultor de Aldus Corporation, se
llevó el disco a Chicago y contaminó la computadora
en el que realizaba pruebas con el
nuevo software Aldus Freehand. El virus contaminó el disco
maestro que fue enviado a la empresa
fabricante que comercializó su producto
infectado por el virus.

Se descubre la primera versión del virus "Viernes
13" en los ordenadores de la Universidad
Hebrea de Jerusalén.

1988: El virus Brain creado por los
hermanos Basit y Alvi Amjad de Pakistan aparece en Estados
Unidos.

CLASIFICACIÓN DE LOS VIRUS

Los virus se clasifican según el
lugar de alojamiento, como se repliquen o dependiendo de la
plataforma en la cual trabajan, podemos diferenciar diferentes
tipos de
virus.

Utilizan el sector de arranque, el cual contiene
la información sobre el tipo de disco, es decir,
numero de pistas, sectores, caras, tamaño de la FAT,
sector de comienzo, etc. A todo esto hay que sumarle un
pequeño programa de arranque que verifica si el
disco puede arrancar el sistema
operativo. Los virus de Boot utilizan este sector de
arranque para ubicarse, guardando el sector original en
otra parte del disco. En muchas ocasiones el virus marca
los sectores donde guarda el Boot original como
defectuosos; de esta forma impiden que sean borrados. En el
caso de discos
duros pueden utilizar también la tabla de
particiones como ubicación. Suelen quedar residentes
en memoria al hacer cualquier operación en un disco
infectado, a la espera de replicarse. Como ejemplo
representativos esta el Brain.
VIRUS DE SECTOR DE ARRANQUE (BOOT).
Infectan archivos y tradicionalmente los tipos
ejecutables COM y EXE han sido los mas afectados, aunque es
estos momentos son los archivos (DOC, XLS, SAM) los que
están en boga gracias a los virus de macro
(descritos mas adelante). Normalmente insertan el código del virus al principio o al
final del archivo,
manteniendo intacto el programa infectado. Cuando se
ejecuta, el virus puede hacerse residente en memoria y
luego devuelve el control
al programa original para que se continué de modo
normal. El Viernes 13 es un ejemplar representativo de este
grupo.
Dentro de la categoría de virus de
archivos podemos encontrar más subdivisiones,
como los siguientes:
Virus de acción directa: Son
aquellos que no quedan residentes en memoria y que se
replican en el momento de ejecutarse un archivo
infectado.
Virus de sobre escritura: Corrompen el archivo
donde se ubican al sobrescribirlo.
Virus de compañía:
Aprovechan una característica del DOS, gracias a la
cual si llamamos un archivo para ejecutarlo sin indicar la
extensión el sistema operativo buscara en primer
lugar el tipo COM. Este tipo de virus no modifica ell
programa original, sino que cuando encuentra un archivo
tipo EXE crea otro de igual nombre conteniendo el virus con
extensión COM. De manera que cuando tecleamos el
nombre ejecutaremos en primer lugar el virus, y
posteriormente este pasara el control a la
aplicación original
VIRUS DE ARCHIVOS.
Es una familia de
virus de reciente aparición y gran expansión.
Estos están programados para usar el lenguaje
de macros
Word
Basic, gracias al cual pueden infectar y replicarse a
través de archivos MS-Word (DOC). En la actualidad
esta técnica se ha extendido a otras aplicaciones
como Excel y
a otros lenguajes de macros, como es el caso de los
archivos SAM del procesador
de textos de Lotus. Se ha de destacar, de este tipo de
virus, que son multiplataformas en cuanto a sistemas
operativos, ya que dependen únicamente de la
aplicación. Hoy en día son el tipo de virus
que están teniendo un mayor auge debido a que son
fáciles de programar y de distribuir a través
de Internet.
Aun no existe una concienciación del peligro que
puede representar un simple documento de texto.
VIRUS DE MACRO.
Este tipo de virus empleando ordenes DOS en
archivos de proceso
por lotes consiguen replicarse y efectuar efectos
dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes
son utilizados como lanzaderas para colocar en memoria
virus comunes. Para ello se copian a si mismo como archivos
COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM
traducidas a código maquina son
<<comodines>> y no producen ningún
efecto que altere el funcionamiento del virus.
VIRUS BAT.
Vienen a formar parte de la nueva
generación Internet y demuestra que la Red abre
nuevas forma de infección. Consiste en un script
para el cliente
de IRC Mirc. Cuando alguien accede a un canal de IRC, donde
se encuentre alguna persona
infectada, recibe por DCC un archivo llamado
"script.ini".
VIRUS DEL MIRC.
Son una combinación de virus de archivo y
virus de sector de arranque.
VIRUS MIXTOS BIMODALES O MULTIPARTITO
Cambian el contenido de archivos infestados al
transferirles su copia y permiten que los archivos sean
parcial o completamente utilizables. La copia del virus
puede ser agregada al inicio o final del fichero afectado o
insertada en el medio.
VIRUS PARÁSITO
Pueden ejecutarse o extenderse por ellos mismos.
Son los ficheros EXE y COM creados como resultado del
enlace de ese módulo o librería con otros,
los que lo diseminan, por lo que emergen como virus solo en
esa segunda etapa. En la infección del código
fuente de un programa, el virus agrega su código
fuente al del fichero "diana" original. El fichero
infestado es capaz de diseminar el virus después de
compilado e interconectado.
No graban las instrucciones de paso de control al
virus en el encabezamiento de los archivos .COM y no
cambian la dirección del punto de entrada en el
encabezamiento de los ficheros .EXE. La instrucción
para el salto al código viral lo graban en
algún punto del medio del archivo infestado, por lo
que no toman el control inmediatamente al ejecutarse el
fichero, si no después de una llamada a la rutina
que contiene la instrucción del salto, que puede ser
una rutina poco ejecutada como por ejemplo un mensaje de
error específico. Como resultado, el virus puede
permanecer "dormido" o "latente" por tiempo muy prolongado
y ser activado en condiciones limitadas o muy
específicas. Ejemplos: "Lucretia", "Zhengxi",
"CNTV", "MidInfector", "NexivDer", "Avatar.Positron",
"Markiz".
VIRUS SIN PUNTO DE ENTRADA O EPO VIRUS ( ENTRY
POINT OBSCURING)
VIRUS OBJ, LIB Y CÓDIGO
FUENTE

Virus que infestan compiladores de
librerías, módulos de objeto y código
fuente. Son más raros y están poco extendidos. Unen
su código viral a los módulos o librerías en
el formato del módulo de objeto o librería
infestada. No

FUNCIONAMIENTO DEL VIRUS

Hay que tener en cuenta que un virus es simplemente un
programa. Por lo tanto, debemos de dejar a un lado las histerias
y los miedos infundados y al mismos tiempo ser consientes del
daño
real que puede causarnos. Para ello, lo mejor es tener conocimiento
de como funcionan y las medidas que debemos tomar para
prevenirlos y hacerles frente.

PROCESO DE INFECCIÓN.

El virus puede estar en cualquier sitio. En ese disquete
que nos deja un amigo, en el último archivo descargado de
Internet, etc. Dependiendo del tipo de virus el proceso de
infección varía sensiblemente.

Puede que el disco contaminado tenga un virus de archivo
en el archivo FICHERO.EXE por ejemplo. El usuario introduce el
disco en la computadora (por supuesto no lo escanea con un
antivirus o si lo hace es con un antivirus desfasado) y mira el
contenido del disco… unos archivos de texto, unas .dll's, un
.ini … ah, ahí esta, un ejecutable. Vamos a ver que
tiene. El usuario ejecuta el programa. En ese preciso momento las
instrucciones del programa son leídas por el computadora y
procesadas, pero también procesa otras instrucciones que
no deberían estar ahí. El virus comprueba si ya se
ha instalado en la memoria. Si ve que todavía no
está contaminada pasa a esta y puede que se quede
residente en ella. A partir de ese momento todo programa que se
ejecute será contaminado.

El virus ejecutará todos los programas, pero
después se copiará a sí mismo y se
"pegará" al programa ejecutado "engordándolo" unos
cuantos bytes. Para evitar que usuarios avanzados se den cuenta
de la infección ocultan esos bytes de más para que
parezca que siguen teniendo el mismo tamaño. El virus
contaminará rápidamente los archivos de sistema,
aquellos que están en uso en ese momento y que son los
primeros en ejecutarse al arrancar la computadora. Así,
cuando el usuario vuelva a arrancar la computadora el virus se
volverá a cargar en la memoria cuando se ejecuten los
archivos de arranque del sistema contaminados y tomará
otra vez el control del mismo, contaminando todos los archivos
que se encuentre a su paso.

Puede que el virus sea también de "Sector de
arranque". En ese caso el código del virus se
copiará en el primer sector del disco duro que
la computadora lee al arrancar. Puede que sobrescriba el sector
original o que se quede una copia del mismo para evitar ser
detectado. Los virus de sector de arranque se aseguran de ser los
primeros en entrar en el sistema, pero tienen un claro defecto.
Si ell usuario arranca la computadora con un disquete "limpio" el
virus no podrá cargarse en memoria y no tendrá el
control.

Un caso menos probable es que el virus sea de "Tabla de
partición". El mecanismo es muy parecido al de los de
sector de arranque solo que el truco de arrancar con un disquete
limpio no funciona con estos. En el peor de los casos nos
encontraremos con un virus multipartita, que contaminará
todo lo que pueda, archivos, sector de arranque, etc.

QUÉ SON LOS VIRUS GUSANOS Y
TROYANOS

Los virus, gusanos y troyanos son programas
malintencionados que pueden provocar daños en el equipo y
en la información del mismo. También pueden hacer
más lento Internet e, incluso, pueden utilizar su equipo
para difundirse a amigos, familiares, colaboradores y el resto de
la Web. La buena
noticia es que con un poco de prevención y algo de sentido
común, es menos probable ser víctima de estas
amenazas.

Un gusano, al igual que un virus, está
diseñado para copiarse de un equipo a otro, pero lo hace
automáticamente. En primer lugar, toma el control de las
características del equipo que permiten transferir
archivos o información. Una vez que un gusano esté
en su sistema, puede viajar solo.

El gran peligro de los gusanos es su habilidad
para replicarse en grandes números. Por ejemplo, un gusano
podría enviar copias de sí mismo a todos los
usuarios de su libreta de direcciones de correo
electrónico, lo que provoca un efecto dominó de
intenso tráfico de red que puede hacer más lentas
las redes
empresariales e Internet en su totalidad. Cuando se lanzan nuevos
gusanos, se propagan muy rápidamente. Bloquean las redes y
posiblemente provocan esperas largas (a todos los usuarios) para
ver las páginas
Web en Internet.

Debido a que los gusanos no tienen que viajar
mediante un programa o archivo "host", también pueden
crear un túnel en el sistema y permitir que otro usuario
tome el control del equipo de forma remota. Entre los ejemplos
recientes de gusanos se incluyen: Sasser y Blaster.

Troyano Programa informático que parece
ser útil pero que realmente provoca
daños.

Los troyanos se difunden cuando a los usuarios se
les engaña para abrir un programa porque creen que procede
de un origen legítimo. Para proteger mejor a los usuarios,
Microsoft
suele enviar boletines de seguridad por
correo electrónico, pero nunca contienen archivos
adjuntos.

Los troyanos también se pueden incluir en
software que se descarga gratuitamente. Nunca descargue software
de un origen en el que no confíe. Descargue siempre las
actualizaciones y revisiones de Microsoft de los sitios
Microsoft Windows Update
o Microsoft Office
Update.

COMO SE
TRANSMITEN LOS GUSANOS Y LOS VIRUS

Prácticamente todos los virus y muchos gusanos no
se pueden transmitir a menos que se abra o se ejecute un programa
infectado.

Muchos de los virus más peligrosos se
difundían principalmente mediante archivos adjuntos de
correo electrónico, los archivos que se envían
junto con un mensaje de correo electrónico. Normalmente se
puede saber que el correo electrónico incluye un archivo
adjunto porque se muestra el icono
de un clip que representa el archivo adjunto e incluye su nombre.
Algunos tipos de archivos que se pueden recibir por correo
electrónico habitualmente son fotos, cartas escritas
en Microsoft Word
e, incluso, hojas de
cálculo de Excel. Un virus se inicia al abrir un
archivo adjunto infectado (normalmente se hace clic en el icono
de archivo adjunto para abrirlo)

Sugerencia: nunca abra nada que esté adjunto a un mensaje de
correo electrónico a menos que espere el archivo y
conozca el contenido exacto de dicho archivo.

Si recibe un correo electrónico con un archivo
adjunto de un desconocido, elimínelo inmediatamente. Por
desgracia, en ocasiones tampoco resulta seguro abrir
archivos adjuntos de personas que conoce. Los virus y los gusanos
tienen la capacidad de robar la información de los
programas de correo electrónico y enviarse a todos los
incluidos en la libreta de direcciones. Por lo tanto, si recibe
un correo electrónico de alguien con un mensaje que no
entiende o un archivo que no esperaba, póngase siempre en
contacto con la persona y confirme el contenido del archivo
adjunto antes de abrirlo.

Otros virus se pueden propagar mediante programas que se
descargan de Internet o de discos repletos de virus que dejan los
amigos o incluso que se compran en una tienda. Existen formas
menos habituales de contraer un virus. La mayoría de las
personas se contagian de virus si abren y ejecutan archivos
adjuntos de correo electrónico desconocidos.

Nada puede garantizar la seguridad del equipo de
forma absoluta. No obstante, puede reforzar la seguridad de su
equipo si mantiene el software actualizado y mantiene una
suscripción actualizada a un programa
antivirus.

RECOMENDACIONES PARA EVITAR LOS VIRUS

En la actualidad, la principal vía de
infección es la propia red: la Web, el correo
electrónico, los grupos de
noticias y el
IRC.

Algunos sitios en Internet resultan peligrosos, pero los
lugares virtuales con mayor densidad de virus
por byte son los grupos de noticias y el correo
electrónico. El antivirus mejor aplicado lo hace el
usuario, siguiendo las siguientes
recomendaciones;

1) No descargar «programas pirateados»,
sobre todo desde páginas web sospechosas, porque pueden
estar infectados.

2) Analizar («escanear») todas las
descargas, ya sean ficheros ejecutables o documentos. Es
conveniente realizar la operación antes y después
de ejecutar los programas o abrir los ficheros.

3) No descargar tampoco «software» pirata
desde grupos de noticias.

4) Evitar la lectura de
grupos de noticias «underground», que muchas veces
vienen mantenidas por maliciosos creadores o propagadores de
virus.

5) Desconfiar de las ofertas de «software»
desde grupos de noticias. Los mismos o mejores programas se
pueden obtener, en sus versiones de prueba, desde las
páginas oficiales de los fabricantes profesionales de
programas.

6) Rechazar los ficheros adjuntos no solicitados que nos
llegan desde los grupos de noticias o a través de nuestra
dirección de correo electrónico. Algunos virus
suplantan la identidad del
usuario infectado, y adjuntan archivos sin permiso a mensajes que
éste envía o incluso ellos mismos generan mensajes
nuevos, utilizando como destinatarios las direcciones de correo
que con las que el usuario infectado mantiene correspondencia.
Hay dos buenas medidas para evitar este tipo de contagio: por un
lado, cuando se quiere enviar un archivo adjunto, indicar en el
cuerpo del mensaje el archivo que se está adjuntando, de
forma que si no coincide, se debería eliminar y, por otro
lado, guardar, pero nunca abrir, el archivo sospechoso y
preguntar al remitente si realmente se trata de un archivo que
nos quiere enviar.

POSIBLES
SITUACIONES CUANDO TENEMOS LA VISITA DE VIRUS EN NUESTRO
ORDENADOR

1. Que no tengamos antivirus.

En este supuesto, estamos siempre expuestos al contagio
y es, absolutamente imprescindible, instalar uno. El problema es
qué antivirus elegir. A la hora elegir un antivirus hay
que fijarse en cinco parámetros
fundamentales:

– Que tenga un «escáner» de calidad. Se trata
del módulo principal de todo antivirus, que hace que el
programa se ejecute de manera periódica rastreando nuestro
disco duro en busca de virus. Lo indicado es que este análisis se realice semanalmente, como
mínimo, bien manualmente, o bien programándolo
previamente.

– Que contenga el módulo «monitor
residente», que, como su nombre indica, reside
permanentemente en la memoria y supervisa cualquier
operación sospechosa que tienen lugar en el ordenador,
avisando cuando se dispone a ejecutar una aplicación
potencialmente infectada.

– Que proporcione actualizaciones muy
frecuentes. Cada día aparecen nuevos virus, por lo
que los programas antivirus caducan con celeridad. Por esta
razón es decisivo que el producto se actualice con mucha
frecuencia, casi semanalmente. La mayor parte de los antivirus se
auto actualizan por Internet, tan pronto como sus programadores
crean vacunas para
neutralizar los nuevos virus. También se pueden actualizar
desde la Web del fabricante o por mensajes a nuestro correo
electrónico.

– Que tenga la llamada capacidad
«heurística» (interpretación). Su funcionamiento
está basado en la búsqueda genérica de
fragmentos de código que suelen ser característicos
de los virus. Gracias a esta capacidad es posible evitar
infecciones de virus recién distribuidos por sus
creadores, porque el antivirus localiza fragmentos
característicos de los virus en uno o más ficheros
y los interpreta como sospechas, avisando al usuario de una
posible infección.

– Que disponga de soporte técnico,
de forma que el usuario tenga la garantía de que todas sus
dudas serán resueltas. En la práctica hay tal
competencia, que
los equipos de programadores de antivirus resuelven los problemas con
prontitud y eficacia.

2. Que el virus no sea detectado por el
antivirus.

Si el virus no está identificado en la lista del
antivirus y la capacidad heurística de éste no ha
conseguido detectar el virus, el propio usuario descubrirá
la presencia del virus por alguna sintomatología: efecto
sonoro, efecto gráfico, mensaje en pantalla no solicitado
o por cualesquiera otras señales
anómalas. Pero no conviene perder la calma, puesto que
esta activación del virus (conocida como payload) no suele
acarrear consecuencias graves. En todo caso, hay que aplicar el
tratamiento correspondiente, como veremos a
continuación.

3.ª Que el virus sea detectado por el
antivirus.

En el caso de que el virus sea detectado por el
antivirus, puesto que está identificado en su lista,
desaparece el problema porque el programa se encarga de eliminar
la infección.

LOS
NUEVOS VIRUS

DOWNLOAD.TROJAN

Caballo de Troya, afecta a NT y 2K.
Se conecta con los sitios Web y de FTP de su
autor.
Trae desde allí troyanos, virus, gusanos y
los componentes de éstos hacia la máquina
infectada.
Cada vez que se trae archivos desde Internet, se
auto ejecuta.
SOLUCIÓN: Borrado manual.

FAKE SERVER TROJAN

Afecta sólo archivos .exe.
SOLUCIÓN: Borrado manual.

HACK V1.12.TROJAN

Afecta sólo archivos .exe.
SOLUCIÓN: Borrado manual.

JS.EXITW.TROJAN

No afecta NT ni 2K.
Hace que Windows arranque y se cierre
inmediatamente.
SOLUCIÓN: Borrado manual.

JS.FORTNIGHT

Afecta a NT y 2K. Híbrido de
gusano/troyano.
Modifica la configuración del programa
Outlook Express y envía un link al sitio del hacker,
escondido en la firma del usuario.
Configura una página pornográfica
como página de inicio del Internet
Explorer.
SOLUCIÓN: Borrado manual. Luego, corregir a
mano la registry.

JS.FORTNIGHT.B

Igual al anterior. Además, redirecciona toda
URL a la URL que el hacker desea y inhabilita la solapa
"Seguridad" del Internet Explorer.
SOLUCIÓN: Borrado manual. Luego, corregir a
mano la registry.

JS.FORTNIGHT.C

Igual a los anteriores, pero no inhabilita la
solapa del IE5.
SOLUCIÓN: Borrado manual. Luego, corregir a
mano la registry.

MMC.EXE

Es el Caballo de Troya del W32.Nimda.A@mm
(ver).
SOLUCIÓN: Borrado manual.

MSBLAST.EXE

Es el Caballo de Troya del W32.Blaster. Worm
(ver).
SOLUCIÓN: Borrado manual.

NETBUS.170.W95.TROJAN

Muy peligroso. Afecta NT y 2K.
Troyano backdoor. Le da a su creador acceso y
permisos FULL CONTROL para atacar el equipo infectado. Estas
capacidades incluyen enviar archivos del usuario al sitio del
hacker, ejecutar aplicaciones, robar documentos y borrar
archivos en forma remota.
SOLUCIÓN: Borrado manual. Luego, corregir a
mano la registry.

NETBUS.2.TROJAN

Este troyano es la aplicación cliente de la
herramienta de hackeo Netbus 2.0. Se conecta desde un sistema
remoto y gana control de acceso sobre la máquina
infectada.
SOLUCIÓN: Borrado manual.

PRETTYPARK.WORM

Conocido gusano de red.
Es parecido al Happy99. Dispara un troyano
(prettypark.exe) que a veces hace correr el salvapantallas de
las cañerías.
Se conecta solo a un servidor IRC,
a un canal específico y monitorea para recibir los
comandos que
el dueño le manda desde ese canal.
Le entrega al hacker las claves de discado para
conexión de la víctima, toda la
información del sistema y la configuración del
ICQ.
A su vez, el hacker (siempre vía IRC) tiene
acceso a recibir, crear, borrar y ejecutar cualquier
archivo.
SOLUCIÓN: Ejecutar el reparador. Luego,
corregir a mano la registry, si se encuentran daños en
ella.

TROJAN.ADCLICKER

Funciona en NT y 2K.
La función de este troyano es que la
máquina de la víctima haga clic permanentemente
en las publicidades de las páginas web de las que es
dueño su programador.
SOLUCIÓN: Borrado manual. Luego, corregir a
mano la registry

TROJAN.DOWNLOAD.CHECKIN

Este Caballo de Troya es, aparentemente, parte de
una aplicación de adware.
Se conecta a varios sitios e IPs diferentes y
chequea si hay nuevas versiones de sí mismo. Si la
respuesta es afirmativa, las baja en la máquina
infectada y las ejecuta. Como no hace chequeo de CRC ni
integridad antes de ejecutar, si el troyano bajó
corrupto los resultados son imprevisibles.
SOLUCIÓN: Borrado manual. Luego, corregir a
mano la registry.

VBS.HAPTIME.A@MM

Gusano de red, de peligrosidad Grado 3.
Infecta los archivos .htm, .html, .vbs,
.asp y .htt.
Se dispersa bajo la forma de objetos MAPI adjuntos.
Además, en todos los mensajes salientes se adjunta el
virus como Material de Papelería de Outlook
Express.
Utiliza una vulnerabilidad de Microsoft Outlook
Express para poderse autoejecutar sin necesidad de correr
ningún adjunto.
SOLUCIÓN: Ejecutar el reparador. A
continuación, instalar en todos los equipos el parche
de seguridad para el Outlook Express. Este parche no
desinfectará las máquinas víctimas, pero
sí impedirá que una máquina limpia
ejecute el troyano en forma automática. Verificar la
registry, comparando sus valores.

CÓMO
DETECTAR LA PRESENCIA DE UN VIRUS

Principales Síntomas:

Cambio de longitud en archivos.
Modificación de la fecha original de los
archivos.
Aparición de archivos o directorios
extraños.
Dificultad para arrancar el PC o no conseguir
inicializarlo.
El PC se "re-bootea" frecuentemente
Bloqueo del teclado.
El PC no reconoce el disco duro.
Ralentización en la velocidad
de ejecución de los programas.
Archivos que se ejecutan mal.
El PC no reconoce las disqueteras.
Se borran archivos inexplicablemente.
Aparecen nuevas macros en documentos de
Word.
La opción "ver macros" se
desactiva.
Pide passwords no configurados por el
usuario.
O, por supuesto, con un software anti-virus ADECUADO y ACTUALIZADO
que detecte su presencia.

ANTIVIRUS

Es un programa creado para prevenir o evitar la
activación de los virus, así como su
propagación y contagio. Cuenta además con rutinas
de detención, eliminación y reconstrucción
de los archivos y las áreas infectadas del
sistema.

PRINCIPALES FUNCIONES Y
COMPONENTES DE UN ANTIVIRUS

VACUNA es un programa que instalado residente en
la memoria, actúa como "filtro" de los programas que son
ejecutados, abiertos para ser leídos o copiados, en tiempo
real.

DETECTOR, que es el programa que examina todos
los archivos existentes en el disco o a los que se les indique en
una determinada ruta o PATH. Tiene instrucciones de control y
reconocimiento exacto de los códigos virales que permiten
capturar sus pares, debidamente registrados y en forma sumamente
rápida desarman su estructura.

ELIMINADOR es el programa que una vez desactivada
la estructura del virus procede a eliminarlo e inmediatamente
después a reparar o reconstruir los archivos y
áreas afectadas.

Es importante aclarar que todo antivirus es un
programa y que, como todo programa, sólo
funcionará correctamente si es adecuado y está bien
configurado. Además, un antivirus es una herramienta para
el usuario y no sólo no será eficaz para el 100% de
los casos, sino que nunca será una protección total
ni definitiva.

La Función De Un Programa Antivirus
es detectar, de alguna manera, la presencia o el accionar de un
virus
informático en una computadora. Este es el aspecto
más importante de un antivirus, independientemente de las
prestaciones
adicionales que pueda ofrecer, puesto que el hecho de detectar la
posible presencia de un virus informático, detener
el trabajo y
tomar las medidas necesarias, es suficiente para acotar un buen
porcentaje de los daños posibles. Adicionalmente, un
antivirus puede dar la opción de erradicar un virus
informático de una entidad infectada.

CARACTERÍSTICAS BÁSICAS DE UN
ANTIVIRUS

Con tantos software malignos dando vuelta por la gran
red de redes, se hace imperiosa la necesidad de tener disponible
un buen antivirus que nos proteja continuamente.

Un antivirus para ser calificado como tal debe ser
evaluado por distintas características como son, capacidad
de detección de software malignos conocidos y
desconocidos, actualización constante y efectiva,
velocidad de escaneo y monitorización, dar grandes
posibilidades a los expertos, y sencillez a los inexpertos,
efectiva limpieza de los virus y buena documentación de ayuda.

A continuación presentamos las
características básicas de los
mejores antivirus del mercado tanto
gratuitos como pagos.

AVG Anti-virus 7.x. Tiene una
versión totalmente gratuita y una de pago.

Sin dudar es el mejor antivirus gratuito que se puede
encontrar. Posee la versión gratuita y de paga; en su
versión gratis ofrece la misma seguridad que la paga, pero
con menos posibilidades de configuración. Es excelente
para uso personal y
especialmente para computadoras que no son potentes. Su monitor
para el escaneo de virus en tiempo real utiliza muy pocos
recursos.

Por ser la versión gratuita, hay muchas
características que desearían tener los expertos
que no están, desde consultas online las 24 horas y otras
herramientas
para mejor detección, pero para uso personal es altamente
recomendado.

Además,

Puede ser constantemente actualizado
online.
Se puede descargar http://free.grisoft.com/doc/2/lng/us/tpl/v5
Es necesario rellenar un simple formulario y se
enviará gratuitamente el serial a su e
mail.

Kaspersky Antivirus Personal 5.0.227. De pago,
con posibilidad de evaluarlo 30 días.

Es de los mejores antivirus existentes en el mercado.
Gran cantidad de opciones con la posibilidad de elegir entre modo
experto o inicial. Es el más completo en cuanto a software
maligno, ya que no sólo se encarga de virus, gusanos y
troyanos, sino que detecta dialers, espías, keyloggers,
entre otros malwares. También es de los más
actualizados que existen.

El punto en contra es su lentitud para analizar en
computadoras no tan modernas, pero esto se puede encontrar en
todos los grandes programas de antivirus. Igualmente Kaspersky
cuenta con una base de datos
interna que "memoriza" los archivos escaneados, para que el
segundo escaneado sea más rápido.

Posee,

Gran capacidad de detección de virus
desconocidos también.
Página oficial desde donde se puede
descargar una versión de prueba:

DETALLES DE OTROS ANTIVIRUS

McAfee: fue de los más usados
en su tiempo, rápido, potente, muy actualizado, alta
detección de virus, versión de prueba por 90
días.

Norton: uno de los más conocidos, muy
actualizado, muy pesado y lento, buena capacidad de
detección, grandes herramientas. Algunos usuarios se
quejan de problemas.

Panda: empresa
española dedicada de lleno a la seguridad
informática. El antivirus posee muchísimas
herramientas potentes, es pesado para máquinas no
modernas, muy actualizado. El mejor antivirus salido de España.
También hemos encontrados muchas quejas de este antivirus.
Versión de prueba por 30 días.

NOD32 Anti-Virus: muy rápido, eficiente,
excelente heurística y excelente en cuanto a servicio
técnico online. Versión prueba de 25
días.

BitDefender: liviano y efectivo, bien
actualizado, buena capacidad de detección.

Avast Home: liviano y gratuito. Hemos detectado
buenas críticas de este, pero no las
suficientes.

SIMBOLOGÍA DE LAS PRINCIPALES
CARACTERÍSTICAS DE CADA UNO

E-Rápido en
escaneo/monitor
A-Buena capacidad de
actualización
D-Buena capacidad de
detectar virus
R-Buena capacidad para
remover
S-Mínimo
consumo de
recursos al sistema
H-Muchas herramientas y
facilidades disponibles
G – Versión
gratuita personal (no para uso comercial)

LOS MEJORES EN ESTE
ORDEN

1 – KAV Personal (Kaspersky) –
E A D R H –
www.kaspersky.com
2 – NOD32 Anti-Virus – E A D R S H – www.nod32.com
3 – BitDefender
Prof.+ – A D R H –
www.bitdefender.com

4 – McAfee VirusScan – E A H – www.mcafee.com
5 – AVG
Professional – E A S H G – www.grisoft.com
6 – Norton Anti-Virus – A D R H – www.symantec.com
7 – Avast Home – E A D H
G
– www.avast.com
8 – Panda antivirus – E A R H – www.pandasoftware.es
9 – F-Prot Anti-Virus – E A S
H –
www.f-prot.com
10 – RAV Desktop – A H –
www.ravantivirus.com
11 – Dr. Web – A H – www.drwebArgentina.com.ar –
www.drweb.com

* Se toma en cuenta porcentaje de detección de
virus, capacidad para removerlos, velocidad de escaneo, recursos
del sistema consumidos, herramientas disponibles, capacidad para
estar actualizados.
La lista allí expuesta puede ser controversial o
cuestionable, muchos ubicarían a Norton más arriba,
por su gran capacidad, pero el consumo de recursos fue algo
fundamental a la hora de decidir su ubicación. Panda es
también un gran consumidor de
recursos sin una buena computadora. Igualmente estamos seguros que los
primeros son incuestionables y excelentes antivirus.
Además recuerde que es un mercado cambiante y depende
mucho del día a día, así que puede cambiar
en cualquier momento.

MÓDULO ANTIVIRUS

La estructura de un programa antivirus, está
compuesta por dos módulos principales: el primero
denominado de control y el segundo denominado de respuesta. A su
vez, cada uno de ellos se divide en varias partes:

1. Módulo de control: Posee la
técnica verificación de integridad que posibilita
el registro de
cambios en los archivos ejecutables y las zonas críticas
de un disco rígido. Se trata, en definitiva, de una
herramienta preventiva para mantener y controlar los componentes
de información de un disco rígido que no son
modificados a menos que el usuario lo requiera. Otra
opción dentro de este módulo es la
identificación de virus, que incluye diversas técnicas
para la detección de virus
informáticos.

Las formas más comunes de detección son el
scanning y los algoritmos,
como por ejemplo, los heurísticos. Asimismo, la
identificación de código dañino es otra de
las herramientas de detección que, en este caso, busca
instrucciones peligrosas incluidas en programas, para la
integridad de la información del disco rígido. Esto
implica descompilar (o desensamblar) en forma automática
los archivos almacenados y ubicar sentencias o grupos de
instrucciones peligrosas. Finalmente, el módulo de control
también posee una administración de recursos para efectuar un
monitoreo de las rutinas a través de las cuales se accede
al hardware de la computadora (acceso a disco, etc.). De esta
manera puede limitarse la acción de un programa
restringiéndole el uso de estos recursos, como por ejemplo
impedir el acceso a la escritura de zonas críticas del
disco o evitar que se ejecuten funciones de formato del
mismo.

2. Módulo de respuesta: La función
alarma se encuentra incluida en todos los programas antivirus y
consiste en detener la acción del sistema ante la sospecha
de la presencia de un virus informático, e informar la
situación a través de un aviso en pantalla. Algunos
programas antivirus ofrecen, una vez detectado un virus
informático, la posibilidad de erradicarlo. Por
consiguiente, la función reparar se utiliza como una
solución momentánea para mantener la operatividad
del sistema hasta que pueda instrumentarse una solución
adecuada. Por otra parte, existen dos técnicas para evitar
el contagio de entidades ejecutables: evitar que se contagie todo
el programa o prevenir que la infección se expanda
más allá de un ámbito fijo. Aunque la
primera opción es la más adecuada, plantea grandes
problemas de implementación.

TÉCNICAS DE PROGRAMACIÓN

Técnicas Stealth

Son técnicas "furtivas" que utilizan para pasar
desapercibidos al usuario y a los antivirus. Habitualmente los
virus ocultan el tamaño real de los archivos que han
contaminado, de forma que si hacemos un DIR la información
del tamaño de los archivos puede ser falsa. Los virus de
tabla de partición guardan una copia de la FAT original en
otro lugar del disco que marcan como sectores defectuosos para
mostrársela al usuario cuando haga por ejemplo un FDISK.
Incluso hay virus que detectan la ejecución de
determinados antivirus y descargan de la memoria partes de su
propio código "sospechoso" para cargarse de nuevo cuando
estos han finalizado su búsqueda.

Tunneling

Es una técnica usada por programadores de virus y
antivirus para evitar todas las rutinas al servicio de una
interrupción y tener así un control directo sobre
esta.

Requiere una programación compleja, hay que colocar el
procesador en
modo paso a paso. En este modo de funcionamiento, tras ejecutarse
cada instrucción se produce la interrupción 1. Se
coloca una ISR (Interrupt Service Routine) para dicha
interrupción y se ejecutan instrucciones comprobando cada
vez si se ha llegado a donde se quería hasta recorrer toda
la cadena de ISRs que halla colocando el parche al final de la
cadena.

Antidebuggers

Un debugger es un programa que permite decompilar
programas ejecutables y mostrar parte de su código en
lenguaje original. Los virus usan técnicas para evitar ser
desensamblados y así impedir su análisis para la
fabricación del antivirus correspondiente.

Polimorfismo o auto mutación

Es una técnica que consiste en variar el
código vírico en cada infección (más
o menos lo que hace el virus del SIDA en los
humanos con su capa proteica). Esto obliga a los antivirus a usar
técnicas heurísticas ya que como el virus cambia en
cada infección es imposible localizarlo buscándolo
por cadenas de código. Esto se consigue utilizando un
algoritmo de
encriptación que pone las cosas muy difíciles a los
antivirus. No obstante no se puede codificar todo el
código del virus, siempre debe quedar una parte sin mutar
que toma el control y esa es la parte más vulnerable al
antivirus.

La forma más utilizada para la codificación es la operación
lógica
XOR. Esto es debido que esta operación es
reversible:

7 XOR 9 = 2

2 XOR 9 = 7

En este caso la clave es el número 9, pero
utilizando una clave distinta en cada infección se obtiene
una codificación también distinta.

Otra forma también muy utilizada consiste en
sumar un número fijo a cada byte del código
vírico.

TSR

Los programas residentes en memoria (TSR) permanecen
alojados en esta durante toda su ejecución.

Los virus utilizan esta técnica para mantener el
control sobre todas las actividades del sistema y contaminar todo
lo que encuentren a su paso. El virus permanece en memoria
mientras la computadora permanezca encendido. Por eso una de las
primeras cosas que hace al llegar a la memoria es contaminar los
archivos de arranque del sistema para asegurarse de que cuando se
vuelva a arrancar la computadora volverá a ser cargado en
memoria.

Estos son algunos links a paginas oficiales de
antivirus:

CONCLUSIÓN

A pesar de que muchas organizaciones
han instalado programas antivirus en sus equipos, el software
malintencionado como virus, gusanos y troyanos continúa
infectando sistemas
informáticos en todo el mundo. No hay nada que explique
esta aparente contradicción, pero la situación
actual indica que el enfoque estándar consistente en
instalar software antivirus en cada equipo del entorno puede no
ser suficiente.

Nunca debemos olvidar que el virus es un programa y como
tal podemos encontrarlo en cualquier computadora, como cualquier
programa. Al llegar a este paso del trabajo tuvo
que haber leído todas las recomendaciones para
contrarrestar los virus, solo hay que seguirla y no perderle la
pista al tema para no solo mantener actualizado nuestro computador si
no, nuestros conocimientos en el tema.