VIRUS INFORMATICOS Y MEDIOS PARA EVITARLOS

HISTORIA DE  LOS VIRUS

Hasta los años 80, el término "virus" se empleaba solo dentro del campo de las ciencias médicas y biológicas para definir a microorganismos capaces de penetrar en el ser humano y destruir o alterar el contenido genético celular provocando cuadros patológicos específicos. Por similitudes en su modo deacción y efectos, en informática se bautizó como virus a ciertos programas que pueden auto reproducirse, "transmitirse" de una ordenador a otra, y desencadenar daños a la información contenida en ella (software) e incluso al mismo equipo (hardware).

A continuación se mostrara lo orígenes de los virus y de que tiempo data.

1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su "Teoría yorganización de un autómata complicado". Nadie podía sospechar de la repercusión de dicho artículo.

1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misión era la de acaparar la máxima memoria posible mediante lareproducción de si mismo.

1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper.

1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema.

1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente.

1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el término virus tal como lo entendemos hoy.

1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores".

1987: Se da el primer caso de contagio masivo de computadoras a través del MacMag Virus también llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus.

Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén.

1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.

CLASIFICACIÓN DE LOS VIRUS

Los virus se clasifican según el lugar de alojamiento, como se repliquen o dependiendo de la plataforma en la cual trabajan, podemos diferenciar diferentes tipos de virus.

1.      Utilizan el sector de arranque, el cual contiene la información sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. A todo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar también la tabla de particiones como ubicación. Suelen quedar residentes en memoria al hacer cualquier operación en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.

2.      VIRUS DE SECTOR DE ARRANQUE (BOOT).

Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM) los que están en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el código del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continué de modo normal. El Viernes 13 es un ejemplar representativo de este grupo.

Dentro de la categoría de virus de archivos podemos encontrar más subdivisiones, como los siguientes:

Virus de acción directa: Son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado.

Virus de sobre escritura: Corrompen el archivo donde se ubican al sobrescribirlo.

Virus de compañía: Aprovechan una característica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extensión elsistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica ell programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensión COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicación original

3.      VIRUS DE ARCHIVOS.

Es una familia de virus de reciente aparición y gran expansión. Estos están programados para usar el lenguaje de macros Word Basic, gracias al cual pueden infectar y replicarse a través de archivos MS-Word (DOC). En la actualidad esta técnica se ha extendido a otras aplicaciones comoExcel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo un mayor auge debido a que son fáciles de programar y de distribuir a través de Internet. Aun no existe una concienciación del peligro que puede representar un simple documento de texto.

4.      VIRUS DE MACRO.

Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus.

En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a código maquina son <<comodines>> y no producen ningún efecto que altere el funcionamiento del virus.

5.      VIRUS BAT.

Vienen a formar parte de la nueva generación Internet y demuestra que la Red abre nuevas forma de infección. Consiste en un script para elcliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini".

6.      VIRUS DEL MIRC.

Son una combinación de virus de archivo y virus de sector de arranque.

7.      VIRUS MIXTOS BIMODALES O MULTIPARTITO

Cambian el contenido de archivos infestados al transferirles su copia y permiten que los archivos sean parcial o completamente utilizables. La copia del virus puede ser agregada al inicio o final del fichero afectado o insertada en el medio.

8.      VIRUS PARÁSITO

Pueden ejecutarse o extenderse por ellos mismos. Son los ficheros EXE y COM creados como resultado del enlace de ese módulo o librería con otros, los que lo diseminan, por lo que emergen como virus solo en esa segunda etapa. En la infección del código fuente de un programa, el virus agrega su código fuente al del fichero "diana" original. El fichero infestado es capaz de diseminar el virus después de compilado e interconectado.

No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los ficheros .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infestado, por lo que no toman el control inmediatamente al ejecutarse el fichero, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas. Ejemplos: "Lucretia", "Zhengxi", "CNTV", "MidInfector", "NexivDer", "Avatar.Positron", "Markiz".

9.      VIRUS SIN PUNTO DE ENTRADA O EPO VIRUS ( ENTRY POINT OBSCURING)

10.  VIRUS OBJ, LIB Y CÓDIGO FUENTE

Virus que infestan compiladores de librerías, módulos de objeto y código fuente. Son más raros y están poco extendidos. Unen su código viral a los módulos o librerías en el formato del módulo de objeto o librería infestada. No

FUNCIONAMIENTO DEL VIRUS

Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.

PROCESO DE INFECCIÓN.

El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet, etc. Dependiendo del tipo de virus el proceso de infección varía sensiblemente.

Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora (por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado.

El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso.

Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobrescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si ell usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control.

Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque, etc.

QUÉ SON LOS VIRUS GUSANOS Y TROYANOS

Los virus, gusanos y troyanos son programas malintencionados que pueden provocar daños en el equipo y en la información del mismo. También pueden hacer más lento Internet e, incluso, pueden utilizar su equipo para difundirse a amigos, familiares, colaboradores y el resto de la Web. La buena noticia es que con un poco de prevención y algo de sentido común, es menos probable ser víctima de estas amenazas.

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo.

El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas lasredes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.

Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host", también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Sasser y Blaster.

Troyano Programa informático que parece ser útil pero que realmente provoca daños.

Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo. Para proteger mejor a los usuarios, Microsoft suele enviar boletines de seguridad por correo electrónico, pero nunca contienen archivos adjuntos.

Los troyanos también se pueden incluir en software que se descarga gratuitamente. Nunca descargue software de un origen en el que no confíe. Descargue siempre las actualizaciones y revisiones de Microsoft de los sitios Microsoft Windows Update o Microsoft Office Update.

COMO SE TRANSMITEN LOS GUSANOS Y LOS VIRUS

Prácticamente todos los virus y muchos gusanos no se pueden transmitir a menos que se abra o se ejecute un programa infectado.

Muchos de los virus más peligrosos se difundían principalmente mediante archivos adjuntos de correo electrónico, los archivos que se envían junto con un mensaje de correo electrónico. Normalmente se puede saber que el correo electrónico incluye un archivo adjunto porque se muestra el icono de un clip que representa el archivo adjunto e incluye su nombre. Algunos tipos de archivos que se pueden recibir por correo electrónico habitualmente sonfotos, cartas escritas en Microsoft Word e, incluso, hojas de cálculo de Excel. Un virus se inicia al abrir un archivo adjunto infectado (normalmente se hace clic en el icono de archivo adjunto para abrirlo)

Sugerencia: nunca abra nada que esté adjunto a un mensaje de correo electrónico a menos que espere el archivo y conozca el contenido exacto de dicho archivo.

Si recibe un correo electrónico con un archivo adjunto de un desconocido, elimínelo inmediatamente. Por desgracia, en ocasiones tampoco resultaseguro abrir archivos adjuntos de personas que conoce. Los virus y los gusanos tienen la capacidad de robar la información de los programas de correo electrónico y enviarse a todos los incluidos en la libreta de direcciones. Por lo tanto, si recibe un correo electrónico de alguien con un mensaje que no entiende o un archivo que no esperaba, póngase siempre en contacto con la persona y confirme el contenido del archivo adjunto antes de abrirlo.

Otros virus se pueden propagar mediante programas que se descargan de Internet o de discos repletos de virus que dejan los amigos o incluso que se compran en una tienda. Existen formas menos habituales de contraer un virus. La mayoría de las personas se contagian de virus si abren y ejecutan archivos adjuntos de correo electrónico desconocidos.

Nada puede garantizar la seguridad del equipo de forma absoluta. No obstante, puede reforzar la seguridad de su equipo si mantiene el software actualizado y mantiene una suscripción actualizada a un programa antivirus.

RECOMENDACIONES PARA EVITAR LOS VIRUS

En la actualidad, la principal vía de infección es la propia red: la Web, el correo electrónico, los grupos de noticias y el IRC.

Algunos sitios en Internet resultan peligrosos, pero los lugares virtuales con mayor densidad de virus por byte son los grupos de noticias y el correo electrónico. El antivirus mejor aplicado lo hace el usuario, siguiendo las siguientes recomendaciones;

1) No descargar «programas pirateados», sobre todo desde páginas web sospechosas, porque pueden estar infectados.

2) Analizar («escanear») todas las descargas, ya sean ficheros ejecutables o documentos. Es conveniente realizar la operación antes y después de ejecutar los programas o abrir los ficheros.

3) No descargar tampoco «software» pirata desde grupos de noticias.

4) Evitar la lectura de grupos de noticias «underground», que muchas veces vienen mantenidas por maliciosos creadores o propagadores de virus.

5) Desconfiar de las ofertas de «software» desde grupos de noticias. Los mismos o mejores programas se pueden obtener, en sus versiones de prueba, desde las páginas oficiales de los fabricantes profesionales de programas.

6) Rechazar los ficheros adjuntos no solicitados que nos llegan desde los grupos de noticias o a través de nuestra dirección de correo electrónico. Algunos virus suplantan la identidad del usuario infectado, y adjuntan archivos sin permiso a mensajes que éste envía o incluso ellos mismos generan mensajes nuevos, utilizando como destinatarios las direcciones de correo que con las que el usuario infectado mantiene correspondencia. Hay dos buenas medidas para evitar este tipo de contagio: por un lado, cuando se quiere enviar un archivo adjunto, indicar en el cuerpo del mensaje el archivo que se está adjuntando, de forma que si no coincide, se debería eliminar y, por otro lado, guardar, pero nunca abrir, el archivo sospechoso y preguntar al remitente si realmente se trata de un archivo que nos quiere enviar.

Realizar periódicas copias de seguridad de nuestros datos .

-         No aceptar software no original o pre-instalado sin el soporte original.

-         Proteger los discos contra escritura, especialmente los de sistema.

-         Si es posible, seleccionar el disco duro como arranque por defecto en la BIOS para evitar virus de sector de arranque.

-         Analizar todos los nuevos discos que introduzcamos en nuestro sistema con un antivirus, incluso los discos vacíos (pues pueden contener virus en su sector de arranque).

-         Analizar periódicamente el disco duro arrancando desde el disco original del sistema, para evitar que algún virus se cargue en memoria previamente al análisis.

-         Actualizar los patrones de los antivirus cada uno o dos meses.

-         Intentar recibir los programas que necesitemos de Internet de los sitios oficiales.

-         Tener especial cuidado con los archivos que pueden estar incluidos en nuestro correo electrónico.

-         Analizar también archivos comprimidos y documentos.

Politicas eficaces anti virus.

Partiendo de la base de que no hay ningun metodo totalmente seguro para evitar el contagio del sistema con virus, es necesario considerar alguna estrategia o grupo de estrategias que en conjunto minimicen la posibilidad de entrada de algun tipo de agente viral al computador.
La idea clave es interponer en el camino de los virus la mayor cantidad de barreras posibles. Algunas reglas simples para seguir son las siguientes:

1.- Los programas antivirus, tanto de prevencion como de deteccion de virus, no son cien por ciento efectivos pero constituyen una fuerte barrera siempre que esten actualizados con las ultimas versiones provistas por los fabricantes. Es recomendable instalar un antivirus (de algun fabricante reconocido)en el computador.

2.- Proteger contra escritura todo diskette que se utilice en el sistema. Esto no evita que el sistema se contagie, pero previene el contagio de programas del diskette en caso de que el sistema tenga algun tipo de virus no detectado. Esta politica tiende a evitar que un equipo infectado transmita el virus a otros equipos.

3.- Antes de usar programas de diskettes es conveniente revisarlos con un antivirus para detectar la presencia de virus.

4.- Si se detecta alguna actividad viral en un sistema conectado a una red de datos es conveniente aislar el equipo fisicamente de la red desconectandolo hasta tanto se haya eliminado el virus del equipo infectado.

5.- Los equipos de computadoras nuevos poseen mecanismos de hardware (activables desde el "setup") para impedir escrituras en los sectores de arranque de los discos rigidos. Es recomendable que esta caracteristica este habilitada para impedir el contagio de algun tipo de virus de boot.

6.- Ante cualquier comportamiento anormal del sistema es conveniente apagarlo inmediatamente. Algunos sintomas que reflejan la posible existencia de virus son:

Hay actividad en los discos o diskettes cuando por las tareas que se estan realizando no debiera haberla.
- El sistema funciona mas lento que lo acostumbrado.
- Algunos programas ejecutables comienzan a funcionar de manera diferente o fallan sin motivo.
- Se reportan errores de cualquier tipo con cierta frecuencia, fuera de lo normal en el sistema.
- Las operaciones informaticas parecen lentas.
- Los programas tardan mas de lo normal en cargarse.
- Los programas hacen accesos a los discos en tiempos inusuales o con una frecuancia mayor.
- La memoria RAM disponible disminuye en forma abrupta o constantemente.
- Los programas mapeadores de memoria (MEM en DOS, PS en Unix) muestran nuevos procesos residentes de origen desconocido.
- Los programas generan mensajes no documentados.
- Desaparicion misteriosa de archivos.

7.- Si se sospechara la presencia de virus en un equipo se deben seguir (en la medida de lo posible) los pasos siguientes:

- Encender el equipo con un diskette de arranque "limpio", en el que se confia que no posee virus.
- Ejecutar sobre los discos rigidos algun programa de deteccion de virus. Es recomendable que el antivirus tambien sea ejecutado desde un diskette, ya que cualquier copia que haya en el disco rigido contagiado puede estar corrompida por el virus.

8.- De ser necesario usar algun programa de procedencia dudosa o que se sospecha que puede tener virus, es conveniente usarlo en algun computador aislado del resto de los equipos de importancia que pudiera haber.

9.- Siempre que sea posible, se deben setear los atributos de los archivos de manera que sean de solo-lectura y accesibles con privilegios. Existen virus que cambian los privilegios de un archivos antes de contagiarlo y luego lo restituyen, pero por lo general la mayoria no lo hace.

10.- Es conveniente mantener un control periodico de la distribucion de espacios en los discos rigidos. Cualquier utilitario confiable permite obtener datos utiles sobre el estado del disco: espacio usado por archivos normales, espacio de archivos del sistema y ocultos, espacio libre, cantidad de sectores defectuosos, etc.
Algun cambio, principalmente en los archivos ocultos o sectores defectuosos puede ser sintoma de presencia de un virus.

11.- En caso de dudas siempre es conveniente recurrir a un especialista.

POSIBLES SITUACIONES CUANDO TENEMOS LA VISITA DE VIRUS EN NUESTRO ORDENADOR

1. Que no tengamos antivirus.

En este supuesto, estamos siempre expuestos al contagio y es, absolutamente imprescindible, instalar uno. El problema es qué antivirus elegir. A la hora elegir un antivirus hay que fijarse en cinco parámetros fundamentales:

- Que tenga un «escáner» de calidad. Se trata del módulo principal de todo antivirus, que hace que el programa se ejecute de manera periódica rastreando nuestro disco duro en busca de virus. Lo indicado es que este análisis se realice semanalmente, como mínimo, bien manualmente, o bien programándolo previamente.

- Que contenga el módulo «monitor residente», que, como su nombre indica, reside permanentemente en la memoria y supervisa cualquier operación sospechosa que tienen lugar en el ordenador, avisando cuando se dispone a ejecutar una aplicación potencialmente infectada.

- Que proporcione actualizaciones muy frecuentes. Cada día aparecen nuevos virus, por lo que los programas antivirus caducan con celeridad. Por esta razón es decisivo que el producto se actualice con mucha frecuencia, casi semanalmente. La mayor parte de los antivirus se auto actualizan por Internet, tan pronto como sus programadores crean vacunas para neutralizar los nuevos virus. También se pueden actualizar desde la Web del fabricante o por mensajes a nuestro correo electrónico.

- Que tenga la llamada capacidad «heurística» (interpretación). Su funcionamiento está basado en la búsqueda genérica de fragmentos de código que suelen ser característicos de los virus. Gracias a esta capacidad es posible evitar infecciones de virus recién distribuidos por sus creadores, porque el antivirus localiza fragmentos característicos de los virus en uno o más ficheros y los interpreta como sospechas, avisando al usuario de una posible infección.

- Que disponga de soporte técnico, de forma que el usuario tenga la garantía de que todas sus dudas serán resueltas. En la práctica hay talcompetencia, que los equipos de programadores de antivirus resuelven los problemas con prontitud y eficacia.

2. Que el virus no sea detectado por el antivirus.

Si el virus no está identificado en la lista del antivirus y la capacidad heurística de éste no ha conseguido detectar el virus, el propio usuario descubrirá la presencia del virus por alguna sintomatología: efecto sonoro, efecto gráfico, mensaje en pantalla no solicitado o por cualesquiera otras señalesanómalas. Pero no conviene perder la calma, puesto que esta activación del virus (conocida como payload) no suele acarrear consecuencias graves. En todo caso, hay que aplicar el tratamiento correspondiente, como veremos a continuación.

3.ª Que el virus sea detectado por el antivirus.

En el caso de que el virus sea detectado por el antivirus, puesto que está identificado en su lista, desaparece el problema porque el programa se encarga de eliminar la infección.

LOS NUEVOS VIRUS

DOWNLOAD.TROJAN

·         Caballo de Troya, afecta a NT y 2K.

·         Se conecta con los sitios Web y de FTP de su autor.

·         Trae desde allí troyanos, virus, gusanos y los componentes de éstos hacia la máquina infectada.

·         Cada vez que se trae archivos desde Internet, se auto ejecuta.

·         SOLUCIÓN: Borrado manual.

FAKE SERVER TROJAN

·         Afecta sólo archivos .exe.

·         SOLUCIÓN: Borrado manual.

HACK V1.12.TROJAN

·         Afecta sólo archivos .exe.

·         SOLUCIÓN: Borrado manual.

JS.EXITW.TROJAN

·         No afecta NT ni 2K.

·         Hace que Windows arranque y se cierre inmediatamente.

·         SOLUCIÓN: Borrado manual.

JS.FORTNIGHT

·         Afecta a NT y 2K. Híbrido de gusano/troyano.

·         Modifica la configuración del programa Outlook Express y envía un link al sitio del hacker, escondido en la firma del usuario.

·         Configura una página pornográfica como página de inicio del Internet Explorer.

·         SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

JS.FORTNIGHT.B

·         Igual al anterior. Además, redirecciona toda URL a la URL que el hacker desea y inhabilita la solapa "Seguridad" del Internet Explorer.

·         SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

JS.FORTNIGHT.C

·         Igual a los anteriores, pero no inhabilita la solapa del IE5.

·         SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

MMC.EXE

·         Es el Caballo de Troya del W32.Nimda.A@mm (ver).

·         SOLUCIÓN: Borrado manual.

MSBLAST.EXE

·         Es el Caballo de Troya del W32.Blaster. Worm (ver).

·         SOLUCIÓN: Borrado manual.

NETBUS.170.W95.TROJAN

·         Muy peligroso. Afecta NT y 2K.

·         Troyano backdoor. Le da a su creador acceso y permisos FULL CONTROL para atacar el equipo infectado. Estas capacidades incluyen enviar archivos del usuario al sitio del hacker, ejecutar aplicaciones, robar documentos y borrar archivos en forma remota.

·         SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

NETBUS.2.TROJAN

·         Este troyano es la aplicación cliente de la herramienta de hackeo Netbus 2.0. Se conecta desde un sistema remoto y gana control de acceso sobre la máquina infectada.

·         SOLUCIÓN: Borrado manual.

PRETTYPARK.WORM

·         Conocido gusano de red.

·         Es parecido al Happy99. Dispara un troyano (prettypark.exe) que a veces hace correr el salvapantallas de las cañerías.

·         Se conecta solo a un servidor IRC, a un canal específico y monitorea para recibir los comandos que el dueño le manda desde ese canal.

·         Le entrega al hacker las claves de discado para conexión de la víctima, toda la información del sistema y la configuración del ICQ.

·         A su vez, el hacker (siempre vía IRC) tiene acceso a recibir, crear, borrar y ejecutar cualquier archivo.

·         SOLUCIÓN: Ejecutar el reparador. Luego, corregir a mano la registry, si se encuentran daños en ella.

TROJAN.ADCLICKER

·         Funciona en NT y 2K.

·         La función de este troyano es que la máquina de la víctima haga clic permanentemente en las publicidades de las páginas web de las que es dueño su programador.

·         SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry

TROJAN.DOWNLOAD.CHECKIN

·         Este Caballo de Troya es, aparentemente, parte de una aplicación de adware.

·         Se conecta a varios sitios e IPs diferentes y chequea si hay nuevas versiones de sí mismo. Si la respuesta es afirmativa, las baja en la máquina infectada y las ejecuta. Como no hace chequeo de CRC ni integridad antes de ejecutar, si el troyano bajó corrupto los resultados son imprevisibles.

·         SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

VBS.HAPTIME.A@MM

·         Gusano de red, de peligrosidad Grado 3.

·         Infecta los archivos .htm, .html, .vbs, .asp y .htt.

·         Se dispersa bajo la forma de objetos MAPI adjuntos. Además, en todos los mensajes salientes se adjunta el virus como Material de Papelería de Outlook Express.

·         Utiliza una vulnerabilidad de Microsoft Outlook Express para poderse autoejecutar sin necesidad de correr ningún adjunto.

·         SOLUCIÓN: Ejecutar el reparador. A continuación, instalar en todos los equipos el parche de seguridad para el Outlook Express. Este parche no desinfectará las máquinas víctimas, pero sí impedirá que una máquina limpia ejecute el troyano en forma automática. Verificar la registry, comparando sus valores.

CÓMO DETECTAR LA PRESENCIA DE UN VIRUS

Principales Síntomas:

·         Cambio de longitud en archivos.

·         Modificación de la fecha original de los archivos.

·         Aparición de archivos o directorios extraños.

·         Dificultad para arrancar el PC o no conseguir inicializarlo.

·         El PC se "re-bootea" frecuentemente

·         Bloqueo del teclado.

·         El PC no reconoce el disco duro.

·         Ralentización en la velocidad de ejecución de los programas.

·         Archivos que se ejecutan mal.

·         El PC no reconoce las disqueteras.

·         Se borran archivos inexplicablemente.

·         Aparecen nuevas macros en documentos de Word.

·         La opción "ver macros" se desactiva.

·         Pide passwords no configurados por el usuario.

·         O, por supuesto, con un software anti-virus ADECUADO y ACTUALIZADO que detecte su presencia.

ANTIVIRUS

Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema.

PRINCIPALES FUNCIONES Y COMPONENTES DE UN ANTIVIRUS

VACUNA es un programa que instalado residente en la memoria, actúa como "filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.

DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.

ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.

La Función De Un Programa Antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.

CARACTERÍSTICAS BÁSICAS DE UN ANTIVIRUS

Con tantos software malignos dando vuelta por la gran red de redes, se hace imperiosa la necesidad de tener disponible un buen antivirus que nos proteja continuamente.

Un antivirus para ser calificado como tal debe ser evaluado por distintas características como son, capacidad de detección de software malignos conocidos y desconocidos, actualización constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades a los expertos, y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentación de ayuda.

A continuación presentamos las características básicas de los mejores antivirus del mercado tanto gratuitos como pagos.

AVG Anti-virus 7.x. Tiene una versión totalmente gratuita y una de pago.

Sin dudar es el mejor antivirus gratuito que se puede encontrar. Posee la versión gratuita y de paga; en su versión gratis ofrece la misma seguridad que la paga, pero con menos posibilidades de configuración. Es excelente para uso personal y especialmente para computadoras que no son potentes. Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos.

Por ser la versión gratuita, hay muchas características que desearían tener los expertos que no están, desde consultas online las 24 horas y otrasherramientas para mejor detección, pero para uso personal es altamente recomendado.

Además,

·         Puede ser constantemente actualizado online.

·         Se puede descargar http://free.grisoft.com/doc/2/lng/us/tpl/v5

·         Es necesario rellenar un simple formulario y se enviará gratuitamente el serial a su e mail.

Kaspersky Antivirus Personal 5.0.227. De pago, con posibilidad de evaluarlo 30 días.

Es de los mejores antivirus existentes en el mercado. Gran cantidad de opciones con la posibilidad de elegir entre modo experto o inicial. Es el más completo en cuanto a software maligno, ya que no sólo se encarga de virus, gusanos y troyanos, sino que detecta dialers, espías, keyloggers, entre otros malwares. También es de los más actualizados que existen.

El punto en contra es su lentitud para analizar en computadoras no tan modernas, pero esto se puede encontrar en todos los grandes programas de antivirus. Igualmente Kaspersky cuenta con una base de datos interna que "memoriza" los archivos escaneados, para que el segundo escaneado sea más rápido.

Posee,

·         Gran capacidad de detección de virus desconocidos también.

·         Página oficial desde donde se puede descargar una versión de prueba:

DETALLES DE OTROS ANTIVIRUS

McAfee: fue de los más usados en su tiempo, rápido, potente, muy actualizado, alta detección de virus, versión de prueba por 90 días.

Norton: uno de los más conocidos, muy actualizado, muy pesado y lento, buena capacidad de detección, grandes herramientas. Algunos usuarios se quejan de problemas.

Panda: empresa española dedicada de lleno a la seguridad informática. El antivirus posee muchísimas herramientas potentes, es pesado para máquinas no modernas, muy actualizado. El mejor antivirus salido de España. También hemos encontrados muchas quejas de este antivirus. Versión de prueba por 30 días.

NOD32 Anti-Virus: muy rápido, eficiente, excelente heurística y excelente en cuanto a servicio técnico online. Versión prueba de 25 días.

BitDefender: liviano y efectivo, bien actualizado, buena capacidad de detección.

Avast Home: liviano y gratuito. Hemos detectado buenas críticas de este, pero no las suficientes.

SIMBOLOGÍA DE LAS PRINCIPALES CARACTERÍSTICAS DE CADA UNO

E-Rápido en escaneo/monitor
A-Buena capacidad de actualización
D-Buena capacidad de detectar virus
R-Buena capacidad para remover
S-Mínimo consumo de recursos al sistema
H-Muchas herramientas y facilidades disponibles
G - Versión gratuita personal (no para uso comercial)

LOS MEJORES EN ESTE ORDEN

1 - KAV Personal (Kaspersky) - E A D R H - www.kaspersky.com
2 - NOD32 Anti-Virus - E A D R S H - www.nod32.com
3 - BitDefender Prof.+ - A D R H - www.bitdefender.com
4 - McAfee VirusScan - E A H - www.mcafee.com
5 - AVG Professional - E A S H G - www.grisoft.com
6 - Norton Anti-Virus - A D R H - www.symantec.com
7 - Avast Home - E A D H G - www.avast.com 
8 - Panda antivirus - E A R H - www.pandasoftware.es
9 - F-Prot Anti-Virus - E A S H - www.f-prot.com
10 - RAV Desktop - A H - www.ravantivirus.com
11 - Dr. Web - A H - www.drwebArgentina.com.ar - www.drweb.com

* Se toma en cuenta porcentaje de detección de virus, capacidad para removerlos, velocidad de escaneo, recursos del sistema consumidos, herramientas disponibles, capacidad para estar actualizados.
La lista allí expuesta puede ser controversial o cuestionable, muchos ubicarían a Norton más arriba, por su gran capacidad, pero el consumo de recursos fue algo fundamental a la hora de decidir su ubicación. Panda es también un gran consumidor de recursos sin una buena computadora. Igualmente estamos seguros que los primeros son incuestionables y excelentes antivirus. Además recuerde que es un mercado cambiante y depende mucho del día a día, así que puede cambiar en cualquier momento.

MÓDULO ANTIVIRUS

La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:

1. Módulo de control: Posee la técnica verificación de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de información de un disco rígido que no son modificados a menos que el usuario lo requiera. Otra opción dentro de este módulo es la identificación de virus, que incluye diversastécnicas para la detección de virus informáticos.

Las formas más comunes de detección son el scanning y los algoritmos, como por ejemplo, los heurísticos. Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la información del disco rígido. Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la acción de un programa restringiéndole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o evitar que se ejecuten funciones de formato del mismo.

2. Módulo de respuesta: La función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para mantener la operatividad del sistema hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo. Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.

TÉCNICAS DE PROGRAMACIÓN

Técnicas Stealth

Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del tamaño de los archivos puede ser falsa. Los virus de tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrársela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.

Tunneling

Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta.

Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.

Antidebuggers

Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación del antivirus correspondiente.

Polimorfismo o auto mutación

Es una técnica que consiste en variar el código vírico en cada infección (más o menos lo que hace el virus del SIDA en los humanos con su capa proteica). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus.

La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible:

7 XOR 9 = 2

2 XOR 9 = 7

En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta.

Otra forma también muy utilizada consiste en sumar un número fijo a cada byte del código vírico.

TSR

Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución.

Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria

¿CREO QUE MI PC TIENE UN VIRUS, QUÉ PUEDO HACER?

- lo primero no perder la calma y hacer las cosas con tranquilidad no ponerte a eliminar o modificar carpetas o entradas en el registro a lo loco, puede ser peor el remedio que la enfermedad

- segundo pasar un escaneo con tu antivirus y antispyware correctamente actualizados

- en estos casos siempre es bueno tener una segunda opinión además de la de nuestro antivirus para ello podemos tirar de los antivirus online, luego pondré una lista con algunos de ellos.

Lo mas lógico es que el antivirus o antispyware nos detecte el virus y nos lo elimine , pero también se pueden dar otros casos:

MI ANTIVIRUS DETECTA UN VIRUS PERO NO PUEDE ELIMINARLO

Muchas veces nuestro antivirus nos detecta un archivo vírico pero no es capaz de eliminarlo, ya que el virus está en uso por lo tanto este no se dejará eliminar. En este caso hay que entrar en windows en modo seguro ya que ahí solo son usados los controladores minimos y procesos minimos para que windows arranque, asi podriamos eliminar sin problemas el virus ya que éste no está activo por lo tanto no está en uso.

COMO ARRANCAR WINDOWS EN MODO SEGURO (Consultar Cómo iniciar el PC en Modo a prueba de fallos)

Hay dos opciones:

a) reinicias el sistema operativo y tecleas continuamente cuando vaya arrancar windows f8 ahí te saldrá un menos y elijes entrar en modo seguro, también llamado a prueba de fallos.

b ) Cierras todos los programas.

Desde Inicio, Ejecutar, escribes MSCONFIG y pulsas Enter. Te aparecerá una ventana y vas a "Utilidad de configuración del sistema".

Cliqueas la pestaña "BOOT.INI".

En "Opciones de inicio", marcas la casilla "/SAFEBOOT"

Clic en aplicar y Aceptar , y reinicias el pc

Para entrar de nuevo en modo normal, repites los pasos 1 a 4, pero desmarcando la casilla "/SAFEBOOT". ,aceptar y aplicar y reinicias tu pc.

Está claro que es mas sencillo y rápido la primera opción, apretar continuamente f8 cuando va a arrancar el sistema operativo, pero ahí dejo las dos opciones.

EL ANTIVIRUS ELIMINA EL VIRUS PERO ESTE VUELVE A APARECER

Si os pasa esto es por que el virus ha creado una entrada en X:\System Volume Information\_Restore\ (X es cualquier letra de unidad)

Para eliminar un virus de restore hay que desactivar la casilla restaurar sistema, esto se hace para que después de eliminar el virus, o cualquier malware, no se vuelva a restaurar al reiniciar o al apagar el sistema, es decir para que no funcione la opción del virus, troyano o spyware auto-iniciarse.

Una vez eliminado después de desactivar restaurar el sistema el virus no volverá a aparecer más.

¿COMO DESHABILITAR RESTAURAR SISTEMA? (Consultar Apagar Restaurar Sistema)

1- En la barra de tareas de Windows, haga clic sobre el botón Inicio.

2- Haga clic con el botón derecho en el icono Mi PC y, a continuación, haga clic en Propiedades.

3- Haga clic en la pestaña Restaurar sistema. Marque la casilla Desactivar Restaurar sistema o la casilla Desactivar Restaurar sistema en todas las unidades.

Si no le es posible ver esta casilla, quiere decir que no inició la sesión como Administrador.

4- Clic en aceptar y Aplicar.

5- Clic en "si" para confirmar

6- Clic en aceptar y aplicar.

Después de pasar el antivirus o antispyware es conveniente volver a activar restaurar el sistema, es seguir los mismos pasos pero desmarcar la opción Desactivar Restaurar.

RESUMIENDO

MANERA CORRECTA DE PASAR UN ANTIVIRUS

La manera correcta de pasar tanto un antivirus como un antispyware es la siguiente:

1º Pasar el antivirus o antispyware, según el caso, en modo a prueba de fallos , y antes desactivar la casilla restaurar sistema (como antes hemos indicado)

2º Desactivar la casilla restaurar sistema para que no se restaure el virus o malware eliminado.

¿COMO ELIMINAR UN VIRUS QUE NO ES DETECTADO POR EL ANTIVIRUS?

La primera opción sería restaurar el sistema a una fecha anterior al problema.

¿COMO SE RESTAURA A UNA FECHA ANTERIOR?

Vamos a Inicio->Todos los programas->Accesorios->Herramientas del sistema->Restaurar sistema , sigues las indicaciones y te recomiendo restaurar una fecha 2 o 3 días anterior a cuando empezaste a tener los problemas.

Si la opción restaurar el sistema no funciona, tendremos que hacer una búsqueda por el sistema.

¿DÓNDE BUSCAR MANUALMENTE UN VIRUS? (Mostrar archivos Ocultos y protegidos consultar Ver archivos ocultos y extensiones de los ficheros)

Procesos: mirar los procesos que corren por el pc desde el administrador de tareas o recomiendo bajarse el programa proccess explorer o port explorer, con el controlareis los procesos que corren por vuestro pc, puertos y demás.

Bueno echais un vistazo si hay algún proceso extraño o algún proceso que consuma mas de lo habitual, si es asi lo consultais por si hay que eliminarlo.

Registro: Acto seguido nos vamos al registro Inicio/ejecutar/regedit y echamos un vistazo en estas entradas

Hkey_Current_User/software/Microsoft/Windows/Current Version/Run/

/Hkey_Current_User/software/Microsoft/Windows/police/explorer/Run/

Revisa las entradas y si ves algo que no debiera estar ahí se eliminará. Hay que tener cuidado con el Registro, ya que es la parte fundamental del funcionamiento de Windows. Consultar las entradas antes de eliminarlas.

Carpetas: Revisar las carpetas en busca de archivos sospechosos. Las carpetas en cuestión serán las siguientes:

X:\Windows\system32: mirar si hay algún .exe sospechoso. Si es asi, antes de eliminar nada, deberá consultarse en google o se preguntará a algún experto.

X:\Archivos de programa: Ver si hay alguna carpeta sospechosa o desconocida (recuerda que ahí solo deben aparecer los programas que tienes instalados)

Una vez realizada la limpieza deberá procederse a la instalación de los parches de Windows Update http://www.windowsupdate.com/ y también es imprescindible el uso de un Firewall (Cortafuegos).