Introduccion Virus

Published on June 2016 | Categories: Documents | Downloads: 51 | Comments: 0 | Views: 398
of 200
Download PDF   Embed   Report

Comments

Content

INTRODUCCION Actualmente los virus informáticos se han incrementado notablemente; desde la primera aparición su crecimiento ha sido sorprendente. En la actualidad se crean cinco virus diarios aproximadamente, los virus no solamente copian sus códigos en forma parcial a otros programas sino que además lo hacen en áreas importantes de un sistema (sector de arranque, tabla de partición, entre otros). Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en memoria y desde allí ataque a un determinado tipo de archivo o áreas del sistema y lo infecte. Con Internet se hace más fácil tener el total control de los virus informáticos, lo que resulta perjudicial a todos los usuarios. El crecimiento veloz de los virus, hace necesario un rápido tratamiento usando las técnicas de prevención, detección y eliminación de virus informáticos, teniéndose que llevar a cabo de forma rápida y eficiente . Como causa de éste crecimiento innumerable de los virus informáticos, aparece, paradójicamente la solución, mediante las actualizaciones de los antivirus. HISTORIA DE LOS VIRUS Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con el advenimiento y auge de Internet. A continuación, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras. 1939-1949 Los Precursores En 1939, el famoso científico matemático John Louis Von Neumann, de orígen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos", donde demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura. Cabe mencionar que Von Neuman, en 1944 contribuyó en forma directa con John Mauchly y J. Presper Eckert, asesorándolos en la fabricación de la ENIAC, una de las computadoras de Primera Generación, quienes construyeran además la famosa UNIVAC en 1950. John Louis von Neumann (1903-1957)

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939. Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros. Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), ya que por aquella época se desconocía el concepto de los softwares antivirus. En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América, precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días en desarrollar el programa antivirus correspondiente. Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados minutos. 1981 La IBM PC En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC. Un año antes, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar, viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul". Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS. El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs).

La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier programa con extensión EXE o COM. 1983 Keneth Thompson Este joven ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático. 1984 Fred Cohen Al año siguiente, el Dr. Fred Cohen al ser galardonado en una graduación, en su discurso de agradecimiento incluyó las pautas para el desarrollo de un virus. Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque hubo varios autores más que actuaron en el anonimato. El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y experimentos", donde además de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribió "El evangelio según Fred" (The Gospel according to Fred), desarrolló varias especies virales y experimentó con ellas en un computador VAX 11/750 de la Universidad de California del Sur. La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la revista BYTE reportaron la presencia y difusión de algunos programas que actuaban como "caballos de Troya", logrando infectar a otros programas. Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones. 1986 El comienzo de la gran epidemia En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massashussets). Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario. 1991 La fiebre de los virus En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo en el cual, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones. En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose terriblemente famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a tal punto que se han escrito muchos artículos y hasta más de un libro acerca de este virus, el mismo que posteriormente inspiró en su propio país la producción masiva de sistema generadores automáticos de virus, que permiten crearlos sin necesidad de programarlos. 1995 Los macro virus A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podían auto replicarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos. En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor información sírvanse revisar la opción Macro Virus, en este mismo módulo. 1999 Los virus anexados (atachados) A principios de 1999 se empezaron a propagar los virus anexados (atachados) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue

difundidos a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más. A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensión .SHS. Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresión cultural de "graffiti cibernético", así como los crackers jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha del bien y el mal ahora se ha extendido al ciber espacio. HISTORIA DE LOS VIRUS EN EL PERU En 1986 se detectan los primeros virus informáticos en el Perú: Stoned, Bouncing Ball y Brain Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron en el ámbito nacional. Continuando con la lógica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción. ¡¡virus!!  DEFINICION DE LOS VIRUS INFORMÁTICOS Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados por expertos programadores, los cuales tienen la capacidad de reproducirse por sí mismos, unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayoría de estas acciones son hechas con mala intención. Un virus informático, ataca en cualquier momento, destruyendo toda la información que no esté protegida con un antivirus actualizado. La mayoría de los virus suelen ser programas residentes en memoria, se van copiando dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras personas, también encontrarán en el interior archivos con virus. Un virus tiene la capacidad de dañar información, modificar los archivos y hasta borrar la información un disco duro, dependiendo de su programador o creador.

En la actualidad los virus informáticos no solo afectan a los archivos ejecutables de extensión .EXE y .COM, sino también a los procesadores de texto, como los documentos de Word y hojas de cálculo como Excel, esta nueva técnica de elaboración de virus informático se llama Macro Virus.  ¿POR QUÉ LLAMARLOS VIRUS? La gran similitud entre el funcionamiento de los virus computacionales y los virus biológicos, propició que a estos pequeños programas se les denominara virus. Los virus en informática son similares a los que atacan el organismo de los seres humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo objetivo es destruir o molestar el "huésped". Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de que causen la "muerte" del huésped... Los virus de las computadoras no son mas que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas. Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de información (diskette, disco duro, cinta), hasta daños al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al equipo.  CARACTERÍSTICAS: Estos programas tienen algunas características muy especiales:
 

Son muy pequeños. Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creación. Se reproducen a sí mismos. Toman el control o modifican otros programas.

 

 MOTIVOS PARA CREAR UN VIRUS: A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de computadora no ocurren en forma natural, cada uno debe ser programado. No existen virus benéficos. Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores.

Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificación.  FASES DE INFECCION DE UN VIRUS  Primera Fase (Infección) El virus pasa a la memoria del computador, tomando el control del mismo, después de intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de ejecutar un archivo infectado. El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente con normalidad, de esta forma el usuario no se da cuenta de que su sistema está siendo infectado.  Segunda Fase (Latencia) Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema

cuando son ejecutados o atacando el sector de arranque del disco duro. De esta forma el virus toma el control del sistema siempre que se encienda el computador, ya que intervendrá el sector de arranque del disco, y los archivos del sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura, dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar el sistema.  Tercera Fase (Activación) Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace presente. La activación del virus trae como consecuencia el despliegue de todo su potencial destructivo, y se puede producir por muchos motivos, dependiendo de como lo creó su autor y de la versión de virus que se trate, debido a que en estos tiempo encontramos diversas mutaciones de los virus. Algunos virus se activan después de un cierto número de ejecuciones de un programa infectado o de encender el sistema operativo; otros simplemente esperan a que se escriba el nombre de un archivo o de un programa. La mayoría de los virus se activan mediante el reloj del sistema para comprobar la fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna condición y por último atacan, el daño que causan depende de su autor.  CLASES DE VIRUS:

 VIRUS POLIMORFICOS
o

Muy difíciles de detectar y eliminar, debido a que cada copia del virus es diferente de otras copias. Sus instrucciones cambian cada vez que se autoencriptan. El virus produce varias copias diferentes de sí mismo. Cambian su forma (código) cada vez que infectan un sistema, de esta manera parece siempre un virus distinto y es más difícil que puedan ser detectados por un programa antivirus. Pero existe un fallo en está técnica, y es que un virus no puede codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la que buscan los antivirus para la detección del virus.

o o o

o

 VIRUS ESTATICOS
• • • •

Tipo de virus más antiguos y poco frecuentes. Su medio de propagación es a través de programas ejecutables. Su forma de actuar es sencilla. Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo que no este todavía infectado. Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos fijos como el COMMAND.COM del Sistema Operativo. No permanecen en memoria más que el tiempo necesario para infectar uno o varios archivos. Pueden ser virus destructivos en el caso de que sobrescriban la información del programa principal con su código de manera irreversible. A veces bloquean el control del sistema operativo, sobrescribiéndolo.









 VIRUS RESIDENTES


Virus que permanecen indefinidamente en memoria incluso después de haber finalizado el programa portador del virus. Una vez ejecutado el programa portador del virus, éste pasa a la memoria del computador y se queda allí hasta que apaguemos el ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que utilicemos.



 VIRUS DESTRUCTIVOS



Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros datos. Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro. Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestión de segundos inutilizan los datos del disco duro. VIRUS BIPARTIDOS
o o







Es un virus poco frecuente. Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su código (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus destructivo.



VIRUS COMPAÑEROS o Son los virus más sencillos de hacer.
o

Cuando en un mismo directorio existen dos programas ejecutables con el mismo nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS carga primero el archivo con extensión .COM. Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo .COM que contiene el virus. Después el virus llamaría al programa original. El archivo infectado no podría ser visto con un simple comando DIR en C :\, porque contiene el atributo de oculto. VIRUS DE BOOT (SECTOR DE ARRANQUE)


o

o

o

Como su nombre lo indica, infecta el sector de arranque del disco duro. Dicha infección se produce cuando se intenta cargar el sistema operativo desde un disco infectado. Infecta los diskettes o discos duros, alojándose en el boot sector. Cuando se enciende el computador, lo primero que hace la BIOS es inicializar todo (tarjetas de vídeo, unidades de disco, chequear memoria, entre otros).



 

Y entonces lee el primer sector del disco duro, colocándolo en la memoria.


Normalmente es un pequeño programa que se encarga de preparar al Sistema Operativo. Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el virus informático para que se cargue en el Sistema Operativo. Almacenando el boot sector original en otra parte del disco o simplemente lo reemplaza en su totalidad. También localiza un sitio en el Disco Duro para guardar la antigua rutina que había en el BOOT.







o

AUTOREPLICABLES



Realizan funciones parecidas a los virus biológicos. Ya que se autoreplican e infectan los programas ejecutables que se encuentren en el disco. Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir de su última ejecución o simplemente al sentir que se les trata de detectar.



o

ESQUEMA DE PROTECCIÓN
 

No son virus destructivos. Se activan cuando se intenta copiar un archivo que está protegido contra escritura. También se ejecutan cuando se intenta copiar softwares o programas.



o

VIRUS INFECTORES DE PROGRAMAS EJECUTABLES


La infección se produce al ejecutar el programa que contiene el virus, en ese momento busca todos los programas cuyas extensiones sean .COM o .EXE.



Cuando un programa infectado está ejecutándose, el virus puede permanecer residente en memoria e infectar cada programa que se ejecute. Los virus de este tipo tienen dos formas de alojarse en el ejecutable. Graban su código de inicio al principio del archivo, realizando un salto para ejecutar el programa básico y regresar al programa infectado. Sobrescribiendo en los sectores del disco, haciendo prácticamente imposible su recuperación, si no cuenta con los originales.







o

VIRUS INVISIBLES  Este tipo de virus intenta esconderse del Sistema Operativo mediante varias técnicas.


Pueden modificar el tamaño del archivo infectado, para que no se note que se le ha añadido un virus. Pueden utilizar varias técnicas para que no se les pueda encontrar en la memoria del ordenador engañando a los antivirus. Normalmente utilizan la técnica de Stealth o Tunneling.



 o

PROGRAMAS MALIGNOS Son programas que deliberadamente borran archivos o software indicados por sus autores eliminándose así mismo cuando terminan de destruir la información. Entre los principales programas malignos tenemos :
    

Bombas Lógicas Bombas de Tiempo Jokes Gusanos Caballos de Troya

Bombas Lógicas y de Tiempo


Son programas ocultos en la memoria del sistema o en el disco, o en los archivos de programas ejecutables con extensión .COM y .EXE. Una Bomba de Tiempo se activa en una fecha, hora o año determinado. Puede formatear el disco duro. El daño que las bombas de tiempo puedan causar depende de su autor. Una Bomba Lógica se activa al darse una condición específica. Tanto las bombas lógicas como las bombas de tiempo, aparentan el mal funcionamiento del computador, hasta causar la pérdida de la información.



 





Jokes


Son programas desarrollados con el objetivo de hacer bromas, de mal gusto, ocasionando distracción y molestias a los usuarios. Simulan el comportamiento de Virus, constituyen Bombas Lógicas o de Tiempo. Muestran en la pantalla mensajes extraños con la única intención de fastidiar al usuario.





Gusanos
 

Es un programa que se autoreproduce. No infecta otros programas como lo haría un virus, pero crea copias de él, las cuales crean más copias. Son más usados para atacar en grandes sistemas informáticos mediante una red de comunicaciones



como Intranet o Internet, donde el gusano creará más copias rápidamente, obstruyendo el sistema.
 

Se propagan rápidamente en las computadoras. Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad de éste.

Caballos de Troya


Son aquellos programas que se introducen en el sistema bajo una apariencia totalmente diferente a la de su objetivo final. Se presentan como información perdida o basura sin ningún sentido. Pero al cabo de un determinado tiempo y esperando la indicación del programa, se activan y comienzan a ejecutarse. Sus autores lo introducen en los programas más utilizados o softwares ilegales como por ejemplo :







Windows 95
 

No se autoreproducen. Su misión es destruir toda la información que se encuentra en los discos. TÉCNICAS DE VIRUS Las tecnologías de software han evolucionado asombrosamente en los últimos tiempos al igual que las arquitecturas de hardware y continúan haciéndolo día a día. De este avance no se podría dejar de mencionar la creación de los virus y sus programas antivirus, lo cual ha motivado que ahora se empleen nuevas técnicas y sofisticadas estrategias de programación, con el objeto de lograr especies más dañinas y menos detectables y por consiguiente los software antivirus tienen que ser más acuciosos y astutos. El lenguaje de programación por excelencia para desarrollar virus, es el Assembler pues los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de bases de datos, etc. han sido



diseñados para producir software aplicativos. Una excepción a la regla son los Macro Virus, tratados por separado y los virus desarrollados en Java Scripts, Visual Basic Scripts y de Controles Activex, a partir de 1999. Estos hechos demuestran fehacientemente que no existe ningún impedimento para que se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de ellos se podría generar las órdenes directas para tomar control de las interrupciones, o saltar de un programa anfitrión (host) o receptor, a otro en forma tan rápida y versátil. El autor de virus por lo general vive muy de prisa y tal pareciera que además de haber incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores programadores de virus que han permitido que sus especies virales sean fácilmente detectadas, y es por ello que sin dejar de lado las formas tradicionales de programación, ha creado además sofisticadas rutinas y nuevas metodologías. Han transcurrido más de 16 años desde que el Dr. Fred Cohen expusiese sus conceptos y teorías y los autores de virus no solamente se han convertido en más creativos e ingeniosos, sino que continuarán apareciendo nuevas Técnicas de Programación, aprovechando de la facilidad de propagación de sus especies virales, a causa del auge de Internet. Algunas técnicas y estrategias de programación de virus: INFECTOR RAPIDO Un virus infector rápido es aquel que cuando está activo en la memoria infecta no solamente a los programas cuando son ejecutados sino a aquellos que son simplemente abiertos para ser leídos. Como resultado de esto sucede que al ejecutar un explorador (scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar como resultado que todos o por lo menos gran parte de los programas sean infectados.

Esta técnica usa la función 3dh de la interrupción 21h para abrir un archivo ejecutable en forma muy rápida, empezando preferentemente con el COMMAND.COM y ubicándose en clusters vacios detrás de un comando interno, por ejemplo DIR, de tal modo que no solamente no incrementa el tamaño del archivo infectado sino que además su presencia es inadvertible. Puede darse el caso además, de que cuando se ejecuta un archivo EXE o COM éste no es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son alterados. Si bajo esta técnica se ha decidido atacar a las áreas del sistema el código viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra posición en el disco, pero a su vez emulará al verdadero, y al ser un "clon" de boot le le será muy fácil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones, imposibilitando el acceso al disco. INFECTOR LENTO El término de infector lento se refiere a un virus que solamente infecta a los archivos en la medida que éstos son ejecutados, modificados o creados, pero con una salvedad: puede emplear también parte de la técnica del infector rápido pero sin la instrucción de alteración o daño inmediato al abrirse un archivo. Con la interrupción 1Ch del TIMER su autor programa una fecha, la misma que puede ser específica o aleatoria (ramdom) para manifestarse. Mientras tanto el virus permanece inactivo y encriptado en el archivo o área afectada esperando su tiempo de activación. Los virus del tipo "infector lento" suelen emplear rutinas de antidetección sumamente eficientes, algunas de las cuales inhabilitan a las vacunas de los antivirus mas conocidos. Existen muchísimos software Utilitarios u otras herramientas Tools), que se obtienen en forma gratutita por Internet, que muestran las interrupciones que usan las vacunas al cargarse en memoria. Una vez conocidos estos IRQ's resultará muy fácil para un desarrollador de virus encontrar

la forma de deshabilitar o saltear el control de ciertas vacunas. ESTRATEGIA PARSE Esta técnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta únicamente a los archivos de menor extensión y al infectarlos en forma ocasional se minimiza la posibilidad de descubrirlo fácilmente. Por otro lado, el contador de ejecuciones de los archivos infectados con virus que emplea esta modalidad, tiene por lo general más de una rutina de auto encriptamiento. La técnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy lamentables. MODALIDAD COMPANION (acompañante) Modalidad Companion (acompañante) es aquella por la cual el virus en lugar de modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre, el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien recuerde el nombre de todos los archivos de los sub-directorios de su disco duro. Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, éste invoca al conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal modo que éste es ejecutado en primer lugar, por ser un archivo COM de una sóla imágen (máximo 64k) y puede arrastrar el código viral sin que el usuario se percate. Y así continuará haciéndolo. Mas aún, los verificadores de integridad (integrity checkers) fallarán en la acción de detectar este tipo de virus ya que éstos utilitarios solo buscan los archivos existentes. Debido a que ésta no es una técnica frecuentemente empleada, algunos investigadores de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro criterio no es su exacto concepto y clasificación. ESTILO ARMORED

También conocido como virus blindado, es una forma muy peculiar de programación, donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells), en el archivo que contiene el virus, para que éste no pueda ser fácilmente "rastreado" y mucho menos desensamblado. Pueden ser una o más rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les conoce también como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria en 1987 fué el primer virus que usó conjuntamente las tecnologías ARMORED y STEALTH. En Junio del 2000 se reportó el gusano VBS/Stages.SHS, el primer virus oculto propagado masivamente a través de mensajes de correo electrónico en Internet. TECNICA STEALTH Un virus "stealth" es aquel que cuando está activado esconde las modificaciones hechas a los archivos o al sector de arranque que están infectados. Esta técnica hace uso de todos los medios posibles para que la presencia del virus pase totalmente desapercibida, anulan efectos tales como el tamaño de los archivos, los cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O (entrada y salida) y redireccionando cualquier intento de leer este sector infectado. Cuando un virus "Stealth" está activo en memoria cualquiera de estos cambios pasarán desapercibidos al realizar un DIR, por ejemplo, ya que el virus habrá tomado control de todo el sistema. Para lograr este efecto, sus creadores usan la interrupción 21h función 57h. Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con la protección contra escritura, al efectuar la misma orden DIR se detectarán los cambios causados a los archivos infectados. Un virus de boot programado con esta técnica reemplaza perfectamente al verdadero sector de arranque, que

tiene apenas 512 bytes y al cual mueve hacia otro lugar del disco pero que con una instrucción de salto vuelve otra vez a utilizarlo. Hoy día es posible crear virus con la técnica Stealth, en cualquier lenguaje de programación, además del Assembler. VIRUS POLIMORFICOS (mutantes) Son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la programación van cambiando secuencialmente cada vez que se autoencriptan, de tal forma que sus cadenas no son las mismas. El virus polimórfico produce varias, pero diferentes copias de sí mismo, manteniendo operativo su microcódigo viral. Un fácil método de evadir a los detectores consiste en producir rutinas auto encriptadoras pero con una "llave variable". La técnica polimórfica o "mutante" es muy sofisticada y demanda mucho conocimiento, ingenio y trabajo de programación tal como se puede apreciar en el código fuente del virus DARK AVENGER. Sin embargo existe uno de los más ingeniosos generadores automáticos de virus, llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un polimorfismo en la forma de módulo objeto. Con este generador cualquier virus puede convertirse en polimórfico al agregarle ciertas llamadas a su código assembler y "enlazándolas" al Mutation Engine, por medio de un generador de números aleatorios. Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier área vital del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en su totalidad. Este estilo de programación también emplea el control de memoria dinámica así como algoritmos de compresión y descompresión de datos. FUNCION DESACTIVADORA o TUNNELING

Un virus que emplea la técnica del " túnel" intercepta los manipuladores de la interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse, habiéndose descubierto virus que usan originales artimañas para infectar a un sistema sin ser descubiertos. Mencionaremos el caso particular del búlgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno CPW Arica. Todos ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's ocupados por las vacunas logrando desactivarlas para acceder directamente a los servicios del DOS y del BIOS tomando absoluto control del sistema y sin restricción alguna. Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de Microsoft y otros antivirus son muy conocidas por los creadores de virus. Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus suelen utilizar esta técnica en su necesidad de "by-pasear" un virus nuevo y desconocido que podría estar activo cuando se está explorando un sistema. PROGRAMADORES DEL PPI La mayoría de virus "musicales" y los que afectan a los periféricos pertenecen a esta categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta de sonido, un módem o CD-ROM por ejemplo, el software instalador de cada uno de éstos se encarga de programar automáticamente el PPI (Interfase Programable de Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt request), los cuales son asignados para ser usados específicamente por cada periférico, para evitar que tengan conflictos con otros ya existentes.

Programar el PPI por medio del lenguaje assembler es relativamente fácil y si a esta programación se le incluye la función correspondiente al TIMER y caracteres de sonido, se estará creando un virus "musical". Del mismo modo, pero con otras instrucciones se podrá afectar a las impresoras, tarjetas de sonido, de redes o módems, provocando diferentes efectos o manifestaciones. Las técnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se pueden programar virus combinando cualquiera de las modalidades explicadas en este módulo. VIRUS ANEXADO El virus anexado (attached) no es una técnica de programación de virus, es una nueva modalidad de difundirlo. Con el incremento del intercambio de información por correo electrónico, a causa de la gran demanda de uso de los servicios de Internet, los desarrolladores de virus han hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un mesaje de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con consecuencias de daño inmediato a los sistemas de los usuarios, que por motivos de curiosidad cometan el error de abrir estos archivos. Para lograr este propósito de despertar la curiosidad innata en el ser humano, los autores de esta modalidad de difusión emplean argumentos en el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una información muy interesante que te va a convenir", etc., etc. Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP, ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o archivos con extensión .SHS y si además contienen instrucciones de autoenviarse a la Libreta de Direcciones del software de correo del usuario, su propagación tendrá un efecto multiplicador.

Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orígen totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo, asi como también el mensaje de orígen. El virus Melissa, difundido en Marzo de 1999, así como el virus Papa son muestras de esta modalidad de difusión y recientemente el ExploreZip, el LoveLetter y el VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo el mundo. VIRUS EN JAVA En 1991 Sun Microsystems, empezó a desarrollar un proyecto de lenguaje, con el código GREEN, bajo la dirección de James Goslin, inicialmente con el propósito de administrar y controlar interactivamente los dispositivos conectados a las redes. Surgieron algunas situaciones frustrantes, pero por suerte, en pocos años se empezó a popularizar Internet. Entonces el proyecto se convirtió en un intento de resolver simultáneamente, todos los problemas que se le planteaban a los desarrolladores de software por la diversidad de arquitecturas incompatibles, los sistemas operativos y lenguajes de programación y la dificultad de crear aplicaciones distribuidas en Internet. Java fué inicialemente desarrollado en C++, pero paulatinamente se fué independizando, escribiendo su propio lenguaje denominado Oak, que finalmente terminó convirtiéndose en Java. En 23 de Mayo de 1995 fué lanzado al mercado el HotJava Browser, y ese mismo año Netscape decidió habilitar a Java en su versión 2.0 de 1996. Es a partir de esa oportunidad que Java empezó a popularirase en todo el mundo. Las características mas importantes de Java son: 1. Es de arquitectura portable, neutral y robusta. 2. Es simple, orientada a objeto y muy versátil.

3. Es interpretado. El intérprete Java (system run-time) puede ejecutar código objeto.

Un Applet de Java es un programa dinámico e interactivo que puede ser ejecutado dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un programa Java puede ser ejecutado por sí mismo. En todos los casos, bajo una jerarquía de Clase, Sub-Clase o Super Clase. Con todas estas características de un poderoso lenguaje, los creadores de virus pensaron también en Java, como un medio para producir especies virales. Debido a ciertas restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos, así como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables: Java.Beanhive La tecnología empleada en este virus tiene varias ventajas. La forma multi-componente de infección permite al virus esconder su código en los archivos infectados: su longitud crece en muy pequeños valores y después de una ligera observación el código insertado pareciera no ser dañino. La combinación del llamado starter-main también le permite a su autor, "actualizar" el virus con nuevas versiones al reemplazar el código principal en su servidor. Cabe mencionar que este virus o cualquier virus de Java se puede propagar y reproducir en condiciones limitadas. La protección estándar de seguridad de los navegadores cancela cualquier intento de acceder a las unidades de disco o recoger (download) archivos como una aplicación Java, aún en modo remoto. Consecuentemente el virus puede ser propagado únicamente cuando es ejecutado en un archivo de disco, como una aplicación Java, al usar el Java machine. Detalles Técnicos El ejecutor del virus es un pequeño programa Java de apenas 40 líneas de código, que cuando toma el control de un sistema, se conecta al servidor WEB remoto, envía (download) el código del virus que es guardado en el archivo BeanHive.class y se ejecuta como una sub-rutina. El código viral está

dividido en 6 partes y es almacenado en 6 diferentes archivos Java: BeanHive.class : búsqueda de archivos en un árbol de directorio +--- e89a763c.class : analiza el formateo de archivo |--- a98b34f2.class : acceso a las funciones del archivo |--- be93a29f.class : preparación para la infección (parte 1) |--- c8f67b45.class : preparación para la infección (parte 2) +--- dc98e742.class : insertado del virus en el sistema infectado Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el código de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de códigos, la invocación para su sub-rutina loadClass "BeanHive". El parámetro enviado "BeanHive" apunta al nombre del archivo remoto en el servidor WEB y empieza la infección con su código viral.

VIRUS EN VBS Debido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000 este tipo de archivos dejó de ser empleado y fué reemplazado por los Visual Basic Scripts. Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente

para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada. Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc. Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS. Actualmente existen 2 medios de mayor difusión de virus en VBS: 1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas") El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat). Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales. Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicación entre 2 personas). Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea

comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable. Como atacan los gusanos (VBS/Worms) Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el código viral sobrescribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal. Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98. 2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook. Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de reenviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.

VIRUS EN .SHS La última modalidad de propagación masiva de virus, a través de Internet ha surgido a partir de la creación de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene algunas variantes, VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaña a los usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS), pero con la extensión .SHS Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura). Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la extensión .SHS. Los archivos Scrap fueron creados desde la primera versión de Windows 95, para permitir que los textos y gráficos puedan ser arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft Office. Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y ejecutará el programa que contiene en forma oculta, al hacerle un doble click. Cuando es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es grabado al disco duro, desaparecerá otra vez. Al tener estas características, puede ocultar archivos ejecutables, mayormente usados como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.

Con esta nueva modalidad de propagación se facilita e incrementa el factor de riesgo de infección de virus entre los usuarios de Internet, quienes a su vez infectarán a los que se conecten sus estaciones de trabajo, dentro de redes locales o Intranets.


¿QUE ES UNA MUTACION ? Se conoce con el nombre de mutación a la alteración intencional o accidental de un virus informático que ya fue creado con anterioridad.

Decimos que es una mutación accidentada cuando son ocasionadas por programadores que buscan la eliminación de estos virus, provocando en sus investigaciones variaciones en el código original del virus, dando lugar a nuevas versiones del mismo virus. Pero también hay mutaciones intencionales cuando los programadores solo buscan causar daños perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada vez más peligrosos.


SINTOMAS DE UN EQUIPO INFECTADO

 

Del procedimiento de Detección El Procedimiento de Detección de los virus informáticos debe garantizar que la posible existencia de un virus en un medio magnético u óptico no ingrese directamente al Sistema. Para ello, el programa de detección de virus debe ser instalado en la memoria, a fin de que permanentemente se controle cualquier medio de almacenamiento que sea utilizado con el equipo de cómputo.



Se consideran medios de infección por virus a los siguientes :


De un diskette infectado proveniente de una fuente exterior al equipo de cómputo. A través de la adquisición o movimiento de máquinas infectadas en el centro de cómputo. A través de los diferentes tipos de comunicació n entre equipos de cómputo. Cuando un Sistema Operativo está infectado, se presenta cualquiera de los siguientes síntomas :
o







El carga do de los progr amas toma más tiemp o de lo

norm al.
o

Dem ora exces iva en los acces os al disco, cuand o se efect úan opera cione s sencil las de escrit ura. Se produ cen inusu ales mens ajes de errore s. Se encie nden las luces de acces oa los dispo sitivo s, cuand o no son reque

o

o

ridos en ese mom ento.
o

Dispo sición de meno s mem oria de lo norm al. Desa parec en progr amas o archi vos miste riosa ment e. Se reduc e repen tinam ente el espac io del disco. Los archi vos ejecut ables camb ian de tama ño.

o

o

o

o

Apar ecen, inexp licabl emen te, algun os archi vos escon didos. Apar ece en la panta lla una serie de caract eres espec iales sin ningu na expli cació n lógic a. Algu nos coma ndos no puede n ser ejecut ados, princi palm ente los archi vos con

o

o

exten sión . COM y .EXE .
o

A veces infect an prime ro el COM MAN D.CO M, pero como su funci ón es la de segui r infect ando éste conti nuará opera ndo. La razón por la que cierto s ejecut ables no puede n ser activa dos se debe a que simpl

o

emen te el virus puede haber los borra do.
o

Al prend er el equip o no se puede acces ar al disco duro, esto es debid oa que el virus ya malo gró el coma ndo COM MAN D.CO My se muest ra el siguie nte mens aje :

<>"bad or missing command i o Los archi vos ejecut ables de los

gesto res de bases de datos como dBas e, Clipp er, FoxP ro, etc., están opera tivos, sin emba rgo la estruc tura de los archi vos DBF están averi ados o camb iados. Lo mism o puede ocurri r con las hojas de cálcul o como Lotus 1-2-3, QPro, Excel , etc.

o

El siste ma empi eza a ´colg arse´. Pued e ser un virus con la orden de provo car resete os aleato rios. Ciert o perifé ricos tales como : la impre sora, móde m, tarjet a de sonid o, entre otros no funci onan. El siste ma no carga norm alme nte o

o

o

se interr umpe en los proce sos.
o

Los archi vos ejecut ables segui rán existi endo pero como el códig o del virus está prese nte en la mayo ría de los casos aume ntará el tama ño de los archi vos infect ados. La panta lla muest ra símb olos ASCI I muy

o

raros comú nmen te conoc idos como basur a, se escuc han sonid os inter miten tes, se produ cen bloqu eos de cierta s teclas .
o

CO MO PRE VEN IR LOS VIR US INF OR MAT ICO S


C o nt r ol d e la I nf

o r m a ci ó n I n g re sa d a :


N o d e b e n u ti li z a rs e d is k et te s u s a d o s, p r o v e n ie n te

s d el e x te ri o r d e la I n st it u ci ó n.


U ti li z a r si e m p r e s o ft w a r e c o m e r ci al o ri g

i n al .


M a n te n e r la p r o te c ci ó n d e e s c ri t u r a e n t o d o s l o s d is c o s d e p r

o g r a m a s o ri g i n al e s y d e la s c o p ia s d e s e g u ri d a d En espec ial de los disco s del siste ma opera tivo y de las herra mient as

antivi rus.


S i p o r r a z o n e s d e tr a b aj o f u e r a n e c e s a ri o la u ti li z a ci ó n d e u n m e

d i o m a g n ét ic o u ó p ti c o v e n i d o d el e x te ri o r, é st e d e b e r á n e c e s a ri a m e n

te p a s a r p o r l o s c o n tr o le s si g u ie n te s :


Identificar el medio de almacenamien que contiene la información. Los medios magnéticos u ópticos de almacenamien (diskettes, cintas, cartuchos, discos u otros) que contienen archivos de información, deben estar debidamente etiquetados, tanto interna como externamente.



Chequear el medio magnético u óptico, median un procedimiento de detección d virus, establecido po el organismo competente de la Institución.



Registrar el medio magnético u óptico, su orig y la persona qu lo porta.

Los medi os de detec ción de virus deben ser actual izado s mens ualm ente, de acuer do a las nueva s versi ones de los detect ores de virus que adqui

era la Instit ución . Debe rá utiliz arse progr amas antivi rus origin ales.


D el P er so n al U s u a ri o d e la s C o m p ut a d o r as :


E l p e rs o

n al q u e ti e n e a c c e s o a la s c o m p u ta d o r a s e n f o r m a m o n o u s u a ri a, d e b e

r á e n c a r g a rs e d e d et e ct a r y el i m i n a r e n l o s m e d i o s m a g n ét ic o s u ó p ti

c o s, la i n f e c ci ó n o c o n ta g i o c o n v ir u s. A ta l e f e ct o, u ti li z a r á l o s p r o c e

d i m ie n t o s e st a b le ci d o s p o r el ó r g a n o c o m p et e n te d e la I n st it u ci ó n. Este perso nal es

respo nsabl e del contr ol de los medi os magn éticos u óptic os venid os del exteri or así como de la posib le introd ucció n de virus en el equip o de comp uto.


L a s c o m p u ta d o r a s c o n e ct

a d a s a u n a R e d, p r e f e r e n te m e n te , n o d e b e r á n te n e r u n i d a d e s d e d is

k et te s, a fi n d e p r e v e n ir la i n f e c ci ó n d e v ir u s i n f o r m át ic o s. E l u s o d e l o

s d is k et te s d e b e r á s e r e f e ct u a d o p o r el a d m i n is tr a d o r d e r e d.


O tr as M e

di d as d e P re v e n ci ó n C o nt r a V ir u s :


S e m a n al m e n te d e b e r á e f e ct u a rs e u n

r e s p al d o d e t o d a la i n f o r m a ci ó n ú ti l q u e s e e n c u e n tr a al m a c e n a d a e

n el d is c o d u r o. Dicha activi dad será realiz ada por el respo nsabl e desig nado para este fin.


E n c a s o d e q u e s e la b o r e e n r e d

o e n m o d o m u lt i u s u a ri o, el a d m i n is tr a d o r d e la r e d h a r á u n r e s p al d o d ia

ri o d e la i n f o r m a ci ó n ú ti l d el d is c o.


P o r n i n g ú n m o ti v o d e b e u s a rs e l o

s s e r v i d o r e s d e r e d c o m o e st a ci o n e s d e tr a b aj o.


S ó l o l o s a r c h i v o

s d e d at o s y n o l o s p r o g r a m a s ej e c u ta b le s d e b e r á n s e r c o p ia d o s d e u

n a c o m p u ta d o r a a o tr a.


T o d o d is k et te d e b e, n o r m al m e n te , e st a r p r o te g i

d o c o n tr a e s c ri t u r a p a r a e v it a r s u p o si b le i n f e c ci ó n al m o m e n t o d e la

le ct u r a.


E l S is te m a d e b e c a r g a rs e d e s d e u n d is k et te q u e s e a o ri g i n al , o

e n s u d e f e ct o d e s d e u n a c o p ia , e s p e ci al m e n te p r e p a r a d a y v e ri fi c a d

a p a r a q u e n o c o n te n g a v ir u s i n f o r m át ic o s.


N u n c a s e d e b e d e ej e c u ta

r p r o g r a m a s d e o ri g e n d e s c o n o ci d o s.


N o s e d e b e a ñ a d ir a r c h i v o s

d e d at o s o p r o g r a m a s a d is k et te s q u e c o n ti e n e n p r o g r a m a s o ri g i n al

e s.


E f e ct u a r p e ri ó d ic a m e n te la d e p u r a ci ó n d e a r c h i v o s e n l o s d is c o

s d u r o s d e la c o m p u ta d o r a. 11. DAÑ OS DE LOS VIR US. Defin iremo s daño como acció n una indes eada, y los clasif icare mos según la canti dad de tiemp o neces aria

para repar ar dicho s daños . Exist en seis categ orías de daños hecho s por los virus, de acuer do a la grave dad.
o

DAÑ OS TRI VIA LES. Sirva como ejem plo la forma de trabaj o del virus FOR M (el más comú n): En el día 18 de cada mes

cualq uier tecla que presi onem os hace sonar el beep. Desh acers e del virus impli ca, gener alme nte, segun dos o minut os.
o

DAÑ OS MEN ORE S. Un buen ejem plo de este tipo de daño es el JERU SAL EM. Este virus borra, los viern es 13,

todos los progr amas que uno trate de usar despu és de que el virus haya infect ado la mem oria reside nte. En el peor de los casos, tendr emos que reinst alar los progr amas perdi dos. Esto nos llevar á alred edor de 30 minut os.
o

DAÑ OS MO DER ADO S.

Cuan do un virus forma tea el disco rígido , mezcl a los comp onent es de la FAT (File Alloc ation Table , Tabla de Ubica ción de Archi vos), o sobre scribe el disco rígido . En este caso, sabre mos inme diata ment e qué es lo que está suced iendo ,y podre mos

reinst alar el siste ma opera tivo y utiliz ar el últim o backu p. Esto quizá s nos lleve una hora.
o

DAÑ OS MAY ORE S. Algu nos virus, dada su lenta veloc idad de infec ción y su alta capac idad de pasar desap ercibi dos, puede n lograr que

ni aún restau rando un backu p volva mos al últim o estad o de los datos. Un ejem plo de esto es el virus DAR K AVE NGE R, que infect a archi vos y acum ula la canti dad de infec cione s que realiz ó. Cuan do este conta dor llega a 16,

elige un sector del disco al azar y en él escrib e la frase: "Eddi e lives … some wher e in time" (Eddi e vive … en algún lugar del tiemp o). Esto puede haber estad o pasan do por un largo tiemp o sin que lo note mos, pero el día en que detect emos

la prese ncia del virus y quera mos restau rar el últim o backu p notar emos que tambi én él conti ene sector es con la frase, y tambi én los backu ps anteri ores a ese. Pued e que llegu emos a encon trar un backu p limpi o, pero será tan viejo

que muy proba blem ente haya mos perdi do una gran canti dad de archi vos que fuero n cread os con poste riorid ad a ese backu p.
o

DAÑ OS SEV ERO S. Los daños sever os son hecho s cuand o un virus realiz a camb ios míni

mos, gradu ales y progr esivo s. No sabe mos cuánd o los datos son corre ctos o han camb iado, pues no hay pistas obvia s como en el caso del DAR K AVE NGE R (es decir, no pode mos busca r la frase Eddie lives . ..).
o

DAÑ OS ILIM ITA DOS.

Algu nos progr amas como CHE EBA, VAC SINA .44.L OGI Ny GP1 entre otros, obtie nen la clave del admi nistra dor del siste ma y la pasan a un tercer o. Cabe aclara r que estos no son virus sino troya nos. En el caso de CHE EBA, crea un nuev o usuar

io con los privil egios máxi mos, fijand o el nomb re del usuar io y la clave. El daño es enton ces realiz ado por la tercer a perso na, quien ingre sará al siste ma y haría lo que quisie ra. LOS MAC RO VIR US los macr o virus, son

las espec ies virale s que rompi eron los esque mas de progr amaci ón y ejecu ción de los virus tradic ional es Los macr o virus son una nueva famili a de virus que infect an docu ment os y hojas de cálcul o. Fuero n report ados a partir de 1995,

camb iando el conce pto que los virus tan sólo podía n infect ar o propa garse a través de archi vos ejecut ables. Los daños que ocasi onan estos virus depen de de sus autor es siend o capaz desde camb iar la confi gurac ión del Wind ows, borra r

archi vos de nuest ro disco duro, envia r por corre o cualq uier archi vo que no nos demo s cuent a, mand ar a impri mir docu ment os inesp erada ment e, guard ar los docu ment os como planti llas, entre otros. Los Macr o Virus , son capac

es de tomar el contr ol de ambi ente en el que viven .
o

CAR ACT ERIS TIC AS DE LOS MAC RO VIR US : Los macr o virus tiene n2 carac teríst icas básic as :


I n f e ct a n ú n ic a m e n

te d o c u m e n t o s d e M S W o r d o A m i P r o y h o ja s d e c ál c u l o E x c el .


P o s e

e n la c a p a ci d a d d e i n f e ct a r y p r o p a g a rs e p o r sí m is m o s. Los macr o virus, no puede n graba r los docu

ment os infect ados en ningú n otro forma to que no sean las planti llas, el archi vo es conve rtido a planti lla y tiend e a no permi tir graba r el archi vo o docu ment o en ningú n otro direct orio, usand o el coma ndo SAV E AS. Estos son algun os de los

virus más conoc idos que afecta na las macr os :


C A P : E s u n c o nj u nt o d e di ez m ac ro s e n cr ip ta d os (e l us u ar io in fe ct a

d o n o p u e d e v er lo s ni e di ta rl os ), m u es tr a el si g ui e nt e te xt o e n la p a nt al la :

C.A.P : Un virus "j4cKy Qw3rTy Venezuela, Mar PD : Que haces

C u a n d o i n f e ct a el W o r d, el v ir u s m o d if ic a ci n c o m e n ú s e x is te n te s, r e d ir e c

ci o n á n d o l o s al c ó d i g o d el v ir u s. L o s p r o b le m a s q u e c r e a s o n d if e r e n

te s, d e p e n d ie n d o d el ti p o d e i n st al a ci ó n y el le n g u aj e d el W o r d q u e e st e e n u

s o. A l i n f e ct a r l o s d o c u m e n t o s, b o rr a t o d o s l o s m a c r o s p r e e x is te n

te s, p e r o n o ti e n e u n e f e ct o d e st r u ct i v o e n sí m is m o. O c u lt a e n el m e n ú d e H

e rr a m ie n ta s la o p ci ó n M a c r o s.


W M . C O N C E P T : E s u n m a c r o v ir u s M S W o

r d q u e u s a ci n c o m a c r o s p a r a i n f e ct a r, y p r o p a g a rs e. L o s m a c r o s s e

ll a m a n : A A A Z A O , A A A Z F S , A u t o O p e n, F il e S a v e s A s, P a y l o a d.


W A Z

Z U : E s u n m a c r o v ir u s q u e i n f e ct a d o c u m e n t o s d e M ic r o s o ft W o r d p a

r a W i n d o w s, s o l o c o n ti e n e la m a c r o A u t o o p e n. C u a n d o u n d o c u m e n t

o e s a b ie rt o el v ir u s g e n e r a u n n ú m e r o al e at o ri o m a y o r a 0 y m e n o r a 1. S i

e st e n ú m e r o e s m e n o r q u e 0. 2, el v ir u s m u e v e la p al a b r a a o tr o l u g a r al a z

a r, d e n tr o d el m is m o d o c u m e n t o, si el n ú m e r o e s m e n o r q u e 0. 2 5, el v ir u s i n

s e rt a r á la p al a b r a :



"wazzu" MDMA : Es un virus que borra archivos específic os de Window s 95, haciendo uso de la macro AutoClo se, o el FORMA T.C, el virus dentro de la macro AutoOpe n ordena formatea r el disco duro. XM.LA ROUX : Es el primer macro virus funciona l en EXCEL,



descubie rto en julio de 1996. El código del macro consiste de dos macros llamados : Auto_Op en y Check_F iles. Los macros son almacen ados en una hoja de datos escondid a, llamada ´Laroux ´.


XM.SO FA : Descubie rto en diciembr e de 1996, se propaga por medio de un archivo llamado BOOK. XLT. Este virus contiene cuatro macros :

Auto_Op en, Auto_Ra nge, Current_ Open y Auto_Cl ose. Cuando se abre un archivo infectado , el virus toma el control y cambia el título arriba de la ventana a ´Microso fa Excel´ en lugar de ´Microso ft Excel´.


M E T O D O D E I N F E C C I O N Y E

F E C T O S D E L O S M A C R O V I R U S INFEC CIÓN Cuando un documen to es abierto por primera vez, la aplicació n (Word, Excel, etc.) buscan la presenci a del macro AutoOpe n, si lo encuentr a y la variable global Disable AutoMa

cros no está seleccion ada, entonces Word o Excel automáti camente ejecutan el macro AutoOpe n (sin notificar nada al usuario). Al igual sucede cuando se cierra la aplicació n, se ejecuta la macro AutoClo se si está presente. En Word, los macros son guardado s en archivos denomin ados "plantilla s", así que durante una infección , los macro virus son capaces de

convertir los documen tos a plantillas y copiarse en ellos. Al moment o de ser infectado , los datos son mezclad os con código ejecutabl e, que normalm ente están escondid os a la vista del usuario. Entonces cuando se vea el documen to, este estará infectado , se podrá trabajar normalm ente pero la plantilla con virus seguirá infectand o documen tos y las macros que utilice.

Los macro Virus infectan la macro global Normal. dot y FileSave As, las cuales se graban automáti camente al final de cada sesión de trabajo. EFECT OS Una vez que se infecta un documen to u hoja de cálculo, los macro virus son capaces de adueñars e de las funcione s de la aplicació n, evitando por ejemplo, que el usuario guarde la informac ión que ha estado

escribien do por minutos u horas, no se puede mandar a imprimir , entre otros. En el caso de Word los macro virus se instalan en la plantilla Normal. dot, que es la que el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo guardem os, estaremo s infectand o los documen tos. En Excel ocurre algo similar con el archivo Personal. XLS. En

el menú de la Barra de Herrami entas desapare ce la opción Macros. Los macros virus más conocido s actualme nte son de documen tos de Microsof t Word. Los macros son un conjunto de instrucci ones y comando s. El lenguaje de macros, es una herramie nta poderosa , nos permite ejecutar tareas como por ejemplo : copiar archivos, ejecutar

program as, cambiar archivos, etc.


E L I M I N A C I O N D E U N M A C R O V I R U S M A N U A L M E N T E .



El documento en plantilla.



En el menú de oculta la opció

 

Para descubrir

Menú "Ver" se "Barra de Herr



Se pulsa el bot



Se escoge la o después "Men Macros"

 

Se pulsa el bot

Abrimos el me hacemos click luego la opció observaremos

  

Crear un nuev

Abrir el docum

Seleccionar el "Edición", dar



Abrir el Word menú "Edición "Pegar".



Guardar el doc previamente cr



Repetir todos l los documento



Eliminar todos infectados.



Borrar la plant

ANTIVI RUS ¿QUÉ ES UN ANTIVI RUS?.

No para toda enferme dad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existente s. Es importan te aclarar que todo antivirus es un program a y que, como todo program a, sólo funciona rá correcta mente si es adecuad o y está bien configur ado. Además, un antivirus es una herramie nta para el usuario y no sólo

no será eficaz para el 100% de los casos, sino que nunca será una protecció n total ni definitiv a. La función de un program a antivirus es detectar, de alguna manera, la presenci a o el accionar de un virus informáti co en una computa dora. Este es el aspecto más importan te de un antivirus, independ ientemen te de las prestacio nes adicional

es que pueda ofrecer, puesto que el hecho de detectar la posible presenci a de un virus informáti co, detener el trabajo y tomar las medidas necesaria s, es suficient e para acotar un buen porcentaj e de los daños posibles. Adiciona lmente, un antivirus puede dar la opción de erradicar un virus informáti co de una entidad infectada . LOS ANTIVI RUS INFOR

MATIC OS Un antivirus es cualquier metodol ogía, program ao sistema para prevenir la activació n de los virus, su propagac ión y contagio dentro de un sistema y su inmediat a eliminaci ón y la reconstru cción de archivos o de áreas afectadas por los virus informáti cos. Los antivirus permiten la detecció ny eliminaci ón de virus. Un virus es

identific ado mediante una cadena del antivirus que busca, encuentr ay elimina los distintos virus informáti cos. El software antivirus contrarre sta de varias maneras los efectos de los virus informáti cos para detectarl os. La mayoría de las solucion es se basan en tres compone ntes para la detecció n: exploraci ón de acceso, exploraci ón requerid

a, y suma de comprob ación. La exploraci ón de acceso : Inicia automáti camente una exploraci ón de virus, cuando se accede a un archivo, es decir al introduci r un disco, copiar archivos, ejecutar un program a, etc. La exploraci ón requerid a : El usuario inicia la exploraci ón de virus. Las exploraci ones se pueden ejecutar inmediat amente,

en un directori oo volumen determin ado. La suma de comprob ación o comprob ación de integrida d: Método por el que un producto antivirus determin a si se ha modifica do un archivo. Como el código vírico se une físicame nte a otro archivo, se puede determin ar tal modifica ción guardand o la informac ión del archivo antes de la infección .

La suma de comprob ación es generalm ente exacta y no necesita actualiza ciones. Sin embargo la suma de comprob ación no proporci ona ni el nombre, ni el tipo de virus. Los program as antivirus se compone n fundame ntalment e de dos partes : un program a que rastrea (SCAN), si en los dispositi vos de almacen amiento se encuentr a alojado algún virus, y otro

program a que desinfect a (CLEAN ) a la computa dora del virus detectad o. TIPOS DE ANTIVI RUS


Antivirus Detectores o Rastreadores Son aquellos antivirus que usan técnicas d búsqueda y detección explorando o rastreando tod el sistema en busca de un virus. Estos programas se utilizan para detectar virus que pueden es en la memoria en el sector de arranque del disco duro, en zona de partición del disco y en algunos programas. Dependiendo d la forma de analizar los archivos los podemos clasificar a su vez en antiviru

de patrón y heurístico.


Antivirus de Patrón : Realizan el análisis de los archivos por medio de la búsqueda en e archivo de una cualidad particular de lo virus. Existen antivirus específicos par un determinad virus, conociendo su forma de ataca y actuar.



Antivirus Heurístico : Este antivirus busca situaciones sospechosas en los programas, simulando la ejecución y observando el comportamien del programa.



Limpiadores Eliminadores Una vez desactivada la estructura del virus procede eliminar o erradicar el virus de un archivo, del sector de arranque de un disco, en la zo de partición de un disco y en

algunos programas. Estos antivirus deben tener una base de datos con informac ión de cada virus para saber que método de desinfec ción deben usar para eliminar el virus. Dependi endo de los efectos de la especie viral proceder áa reconstru ir las partes afectadas por el virus informáti co.


Protectores o Inmunizadore : Es un programa para prevenir la contaminación

de virus, estos programas no son muy usado porque utilizan mucha memor y disminuyen velocidad de la ejecución de algunos programas y hasta del computador.


Residentes: Permanecen en memoria para reconocimient de un virus desde que es ejecutado. Cad vez que cargamos un programa, el antivirus lo analiza para verificar si el archivo esta infectado o no con algún viru informático.

TECNI CAS DE LOS ANTIVI RUS


Escaneo de Firmas : La mayoría de los programas antivirus utiliz esta técnica. Revisan los programas par localizar una secuencia de instrucciones que son únicas de los virus.



Chequeo de Integridad: Utilizan el Chequeo de Redundancia Cíclica (CRC) es decir toman las instruccion de un program como si fuesen datos y se hace un cálculo, se graban en un archivo los resultados, y luego se revisa si el programa fué modificado o alterado.



Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas, por ejemplo cuand un programa pide cargarse e memoria y permanecer residente, alter el área de arranque o modificar un archivo de alg programa. Esta técnica funcion residente en memoria supervisando continuamente cuando se ejecuta un programa, entonces intercepta los llamados a funciones sospechosas.



Análisis Heurístico : Analiza cada programa sospechoso sin ejecutar sus instrucciones, que hace es desensamblar código de máquina para saber que haría el programa si se ejecuta. Avi al usuario si el programa tiene instrucciones para hacer algo raro en un programa normal, pero que es común los virus, pued revisar varios todos los programas de disco, e indica que puede suceder algo raro cuando se ejecute el programa.

ANTIVI RUS INTER NACIO NALES La primera generaci ón de antivirus eran vacunas TSR o eliminad

ores para cada especie de virus. Entre ellos estaban el BBSTO P para el Bouncin g Ball, BRSTO P para el Brain, MBSTO P para el Marihua na, los cuales debían instalars e en el Autoexe c.bat para poder proteger el sistema contra estos virus. Cuando la program ación de virus aumentó se volvió imposibl e ubicar las diferente s vacunas residente s en la memoria y ello

motivó la generaci ón de los software s antivirus. Uno de los primeros program as antivirus fueron : FLUSHOT, VPROT ECT y VIRUSC AN. Actualm ente existen muchos program as antivirus, con diversos estilos de program ación nombres como el Dr. SOLOM ON´S Toolkit de Alan Solomon , NORTO N ANTIVI RUS de Symante c, CPAV de

Central Point, FPROT de Fridrik Skulason , VIRUSS CAN de McAfee entre otros. A continua ción algunos antivirus extranjer os y sus caracterí sticas :


TBAV : THUND ERBYT E ANTIVI RUS

El Thunder byte Antiviru s provee : Detecció n por firmas (TbScan) , chequeo de integrida d por cálculo (TbSetup y TbScan), bloqueo de

instrucci ones sospecho sas (TbMem , TbFile y TbDisk).


F-PROT ANTIVI RUS

Brinda detecció n de virus por firmas y detecció n heurístic a de instrucci ones sospecho sas.


ANTIVI RUS ANYW ARE

Protecci ón permane nte, reconoce y elimina más de 11,400 virus, incluyen do los macro virus. Detecta virus no conocido s mediante

el método heurístic o, analiza los archivos comprim idos.


VIRUSS CAN DE MCAFE E

Fácil de instalar no ocupa mucha memoria , tiene una grande base de datos, incluyen do los virus macros, permane ce en memoria , se actualiza constant emente por Internet. Entre otros antivirus extranjer os tenemos :


Cheyenne Ant

   

Forefront Anti

IBM Antivirus Pc-Cillin II

Panda Softwar

ANTIVI RUS NACIO NALES


THE HACKE R

Hacksoft es una empresa peruana dedicada al desarroll o de software de segurida d de datos. La empresa tiene un prestigio ganado por su producto THE HACKE R, el cual protege, detecta y elimina a virus informáti cos, esta empresa también

brinda el servicio de asesoram iento y recupera ción de la informac ión. Las primeras investiga ciones en el área se inician a finales de 1,990 la primera versión del antivirus THE HACKE R es emitida en agosto de 1,992.


PER ANTIVI RUS

En 1,993 se crea

PER SYSTE M S.A., que tiene como principal servicio el desarroll o de software aplicativ o para PC´s, haciendo uso en primera instancia del Lenguaje BASIC, luego del Quick BASIC y posterior mente del Turbo Pascal. En 1,985, inicia sus investiga ciones sobre los virus informáti cos debido a la aparición en Lima y rápida propagac ión de los virus (c) Brain y Bouncin

g Ball (Bolita Saltarina ), concibie ndo así el antivirus PER cumplien do con las expectati vas de los usuarios de esa época, desarroll ando permane ntemente estudios de investiga ción como aporte empresar ial para la detecció n, eliminaci ón y prevenci ón de virus a las diferente s Instituci ones y Entidade s Públicas como a usuarios.

CONCL USION ES GENER ALES En razón de lo expresad o pueden extraerse algunos concepto s que pueden consider arse necesari os para tener en cuenta en materia de virus informáti cos:


No todo lo que afecte el normal funciona miento de una computa dora es un virus. TODO virus es un program a y, como tal, debe ser ejecutad o para activarse .





Es impresci ndible contar con herramie ntas de detecció ny desinfec ción. NINGÚ N sistema de segurida d es 100% seguro. Por eso todo usuario de computa doras debería tratar de impleme ntar estrategi as de segurida d antivirus, no sólo para proteger su propia informac ión sino para no convertir se en un agente de dispersió n de algo que puede



producir daños graves e indiscri minados. Para impleme ntar tales estrategi as deberían tenerse a mano los siguiente s elemento s:


U N D I S C O D E S I S T E M A P R O T E G I D O C O N T

R A E S C R I T U R A Y L I B R E D E V I R U S : U n d is c o q u e c o n te n g a el si st e m a o p e

r at i v o ej e c u ta b le ( e s d e ci r, q u e la m á q u i n a p u e d a s e r a rr a n c a d a d e s d

e e st e d is c o ) c o n p r o te c ci ó n c o n tr a e s c ri t u r a y q u e c o n te n g a, p o r l o m

e n o s, l o s si g u ie n te s c o m a n d o s: F O R M A T , F D I S K , M E M y C H K D S K ( o S C A

N D I S K e n v e rs i o n e s r e ci e n te s d el M S D O S ).


P O R L O M E N O S U N P R O G R

A M A A N T I V I R U S A C T U A L I Z A D O : S e p u e d e c o n si d e r a r a ct u al iz a d o a u

n a n ti v ir u s q u e n o ti e n e m á s d e tr e s m e s e s d e s d e s u f e c h a d e c r e a ci ó

n ( o d e a ct u al iz a ci ó n d el a r c h i v o d e st ri n g s) . E s m u y r e c o m e n d a b le te n e

r p o r l o m e n o s d o s a n ti v ir u s.


U N A F U E N T E D E I N F O R M A C I Ó N S O B R E V

I R U S E S P E C Í F I C O S : E s d e ci r, al g ú n p r o g r a m a, li b r o o a r c h i v o d e te x

t o q u e c o n te n g a la d e s c ri p ci ó n, sí n t o m a s y c a r a ct e rí st ic a s d e p o r l o m e

n o s l o s ci e n v ir u s m á s c o m u n e s.


U N P R O G R A M A D E R E S P A L D O D E Á R E

A S C R Í T I C A S : A l g ú n p r o g r a m a q u e o b te n g a r e s p al d o ( b a c k u p ) d e

l o s s e ct o r e s d e a rr a n q u e d e l o s d is q u et e s y s e ct o r e s d e a rr a n q u e m a

e st r o ( M B R , M a st e r B o o t R e c o r d ) d e l o s d is c o s rí g i d o s. M u c h o s p r o

g r a m a s a n ti v ir u s i n cl u y e n f u n ci o n e s d e e st e ti p o.


L I S T A D E L U G A R E

S D Ó N D E A C U D I R : U n a b u e n a p r e c a u ci ó n e s n o e s p e r a r a n e c e si ta r a

y u d a p a r a c o m e n z a r a b u s c a r q u ié n p u e d e o fr e c e rl a, si n o ir el a b o r a n

d o u n a a g e n d a d e d ir e c ci o n e s, te lé f o n o s y d ir e c ci o n e s el e ct r ó n ic a s d e

la s p e rs o n a s y l u g a r e s q u e p u e d a n s e r v ir n o s m á s a d el a n te . Si se cuenta con un antivirus comercia

lo registrad o, deberán tenerse siempre a mano los teléfonos de soporte técnico.


U N S I S T E M A D E P R O T E C C I Ó N R E S I D E N T E : M u c h o s

a n ti v ir u s i n cl u y e n p r o g r a m a s r e si d e n te s q u e p r e v ie n e n ( e n ci e rt a m

e d i d a ), la i n tr u si ó n d e v ir u s y p r o g r a m a s d e s c o n o ci d o s a la c o m p u ta d

o r a.


T E N E R R E S P A L D O S : S e d e b e n te n e r r e s p al d a d o s e n d is c o l o s a

r c h i v o s d e d at o s m á s i m p o rt a n te s, a d e m á s, s e r e c o m ie n d a r e s p al d a r

t o d o s l o s a r c h i v o s ej e c u ta b le s. P a r a a r c h i v o s m u y i m p o rt a n te s, e s

b u e n o te n e r u n r e s p al d o d o b le , p o r si u n o d e l o s d is c o s d e r e s p al d o s

e d a ñ a. L o s r e s p al d o s ta m b ié n p u e d e n h a c e rs e e n ci n ta (t a p e b a c k u p ), a

u n q u e p a r a el u s u a ri o n o r m al e s p r e f e ri b le h a c e rl o e n d is c o s, p o r el c o

st o q u e la s u n i d a d e s d e ci n ta r e p r e s e n ta n.


R E V I S A R T O D O S L O S D I S C

O S N U E V O S A N T E S D E U T I L I Z A R L O S : C u al q u ie r d is c o q u e n o h a y a si d o

p r e v ia m e n te u ti li z a d o d e b e s e r r e v is a d o, i n cl u si v e l o s p r o g r a m a s o

ri g i n al e s ( p o c a s v e c e s s u c e d e q u e s e d is tr i b u y a n d is c o s d e p r o g r

a m a s o ri g i n al e s i n f e ct a d o s, p e r o e s f a ct i b le ) y l o s q u e s e d is tr i b u y

e n j u n t o c o n r e v is ta s d e c o m p u ta ci ó n.


R E V I S A R T O D O S L O S D I S C O S Q

U E S E H A Y A N P R E S T A D O : C u al q u ie r d is c o q u e s e h a y a p r e st a d o a al g ú n

a m i g o o c o m p a ñ e r o d e tr a b aj o, a ú n a q u el l o s q u e s ó l o c o n te n g a n a r c

h i v o s d e d at o s, d e b e n s e r r e v is a d o s a n te s d e u s a rs e n u e v a m e n te .



R E V I S A R T O D O S L O S P R O G R A M A S Q U E S E O B T E N G A N P O R M Ó D E M O R E

D E S : U n a d e la s g r a n d e s v ía s d e c o n ta g i o la c o n st it u y e n I n te r n et y l o s

B B S , si st e m a s e n l o s c u al e s e s c o m ú n la tr a n sf e r e n ci a d e a r c h i v o s, p e

r o n o si e m p r e s e s a b e d e s d e d ó n d e s e e st á r e ci b ie n d o i n f o r m a ci ó n.



R E V I S A R P E R I Ó D I C A M E N T E L A C O M P U T A D O R A : S e p u e d e c o n si d e r a

r q u e u n a b u e n a fr e c u e n ci a d e a n ál is is e s, p o r l o m e n o s, m e n s u al . Finalme nte, es importan

te tener en cuenta estas sugerenc ias referente s al comport amiento a tener en cuenta frente a diferente s situacion es: Cuando se va a revisar o desinfect ar una computa dora, es convenie nte apagarla por más de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegid o contra escritura, para eliminar virus residente s en memoria



. No se deberá ejecutar ningún program a del disco rígido, sino que el antivirus deberá estar en el disquete. De esta manera, existe la posibilid ad de detectar virus stealth.


Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido infectado , es preferibl e restaurar el sector desde algún respaldo, puesto que en ocasione s, los sectores de

arranque genérico s utilizado s por los antivirus no son perfecta mente compatib les con el sistema operativ o instalado . Además, los virus no siempre dejan un respaldo del sector original donde el antivirus espera encontra rlo.


Antes de restaurar los respaldo s es importan te no olvidar apagar la computa dora por más de cinco segundos y arrancar desde el disco

libre de virus.


Cuando se encuentr an archivos infectado s, es preferibl e borrarlos y restaurar los desde respaldo s, aún cuando el program a antivirus que usemos pueda desinfect ar los archivos. Esto es porque no existe segurida d sobre si el virus detectad o es el mismo para el cual fueron diseñada s las rutinas de desinfec ción del antivirus, o es una

mutación del original.


Cuando se va a formatea r un disco rígido para eliminar algún virus, debe recordars e apagar la máquina por más de cinco segundos y posterior mente arrancar el sistema desde nuestro disquete limpio, donde también debe encontra rse el program a que se utilizará para dar formato al disco. Cuando, por alguna causa, no se puede erradicar



un virus, deberá buscarse la asesoría de un experto directam ente pues, si se pidiera ayuda a cualquier aficionad o, se correrá el riesgo de perder definitiv amente datos si el procedi miento sugerido no es correcto.


Cuando se ha detectad oy erradicad o un virus es convenie nte reportar la infección a algún experto, grupo de investiga dores de virus, soporte técnico de

program as antivirus, etc. Esto que en principio parecería innecesa rio, ayuda a mantener estadístic as, rastrear focos de infección e identific ar nuevos virus, lo cual en definitiv a, termina beneficia ndo al usuario mismo. Ranking de los más difundid os 1) VBS/Lo veLetter: Este virus se distribuy ea través del email, en un archivo llamado LOVE-

LETTER -FORYOU.TX T.vbs. El LoveLett er worm se activa so bresescri biendo archivos de imágene sy música en drives locales y de red, específic amente archivos con extensió n JPG, JPEG, MP3 y MP2 2) Win32/S KA: Este virus generalm ente es enviado con el nombre Happy9 9.exe. Este troyano se encarga de enviar una copia de si mismo a todas las personas

a las cuales se les envía un Email. 3) W97/Me lissa: El virus se propaga tomando las primeras 50 direccion es del Outlook Global Address Book del usuario 4) Win32/P retty Park: Este program a cuando corre se copia a si mismo al FILES 32.VXD, Y usa al VXD vía el entorno para ejecutar algunos archivos ejecutabl es. Esto hace que el virus se reenvía a si mismo

a toda la libreta de direccion es 5) W97M/E than.A: es un virus de macro de Word97, El virus se propaga a si mismo por la Normal. dot. Hay 3 de 10 chances que el virus modifiqu e las propieda des del documen to in fectado de archivos infectado s. ¡¡HACK ERS!!

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close