virus

Virus

Troyano
Variantes de w32
Conficker
Caballo de Troya
Virus fantasma
Concet
Formatc
Infezione
Julimori
Irish
Cap
Wazzu
Npad
Dmv
Loroux
Cnn
Colors
Bomba lógica

POR FAVOR, HACER CIRCULAR ESTE AVISO
ENTRE AMIGOS, FAMILIA, Y CONTACTOS En los próximos días, deben estar atentos:
No abran ningún mensaje con un archivo anexo llamado “Ultimas de
Atenas” o “Invitation” , independientemente de quien se lo
envíe. Es un virus que “abre” una antorcha olímpica que
“quema” todo el disco duro C de la computadora. Este virus vendrá de
una persona conocida que te tenia en su lista de direcciones es por eso que
debes enviar este mail a todos tus contactos., es preferible recibir 25 veces
este mensaje que recibir el virus y abrirlo. Si recibes el correo llamado
“Ultimas de Atenas” o el de “Invitation” , aunque sea
enviado por un amigo, no lo abras y apaga tu maquina inmediatamente. El peor
virus anunciado por CNN. Un nuevo virus ha sido descubierto recientemente que
ha sido clasificado por Microsoft como el virus mas destructivo que haya
existido. Este virus fue descubierto ayer por la tarde por McAfee. Y no hay
arreglo aun para esta clase de virus. Este virus destruye simplemente el Sector
Zero del Disco Duro, donde la información vital de su función es guardada. Este
virus actúa de la siguiente manera: Se manda automáticamente a todas las
direcciones de tu lista con el titulo “A Cardfor You.” Al solo abrir
el supuesto mensaje ya mencionado, la computadora se congela para obligar al
usuario a apagar y encender la computadora nuevamente. Cuando las teclas
ctrl+alt+del son presionadas, el virus destruye el Sector Zero, destruyendo
permanentemente el disco duro. Ayer en unas cuantas horas este virus causo
pánico en Nueva York, según las noticias de CNN. Esta alerta fue recibida por
un empleado de Microsoft. Así que no abras ningún e-mail con el nombre de
*”A Card for You.”*. En cuanto recibas ese e-mail, BORRALO, aunque
conozcas a la persona que te lo envió!!! ENVIA ESTE E-MAIL A QUIENES CONOZCAS.
PROTEJAMONOS!! COPIA ESTE CORREO A UNO NUEVO Y MANDALO A TODOS TUS AMIGOS

Virus Puro

Un verdadero virus tiene como características más importantes
la capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba
originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma
transparente al usuario; a este proceso de autorréplica se le conoce como
“infección”, de ahí que en todo este tema se utilice la terminología
propia de la medicina: “vacuna”, “tiempo de incubación”,
etc. Como soporte entendemos el lugar donde el virus se oculta, ya sea fichero,
sector de arranque, partición, etc.

Un virus puro también debe modificar el código original del
programa o soporte objeto de la infección, para poder activarse durante la
ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele
quedar residente en memoria para poder infectar así de forma trasparente al
usuario.

Caballo de Troya

Al contrario que el virus puro, un Caballo de Troya es un
programa maligno que se oculta en otro programa legítimo, y que produce sus
efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de
infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es
suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.

Bomba Lógica

Se trata simplemente de un programa maligno que permanece
oculto en memoria y que solo se activa cuando se produce una acción concreta,
predeterminada por su creador: cuando se llega a una fecha en concreto (
Viernes 13 ), cuando se ejecuta cierto programa o cierta combinación de teclas,
etc.

Gusano o Worm

Por último, un gusano en un programa cuya única finalidad es
la de ir consumiendo la memoria del sistema, mediante la realización de copias
sucesivas de sí mismo, hasta desbordar la RAM, siendo ésta su única acción
maligna.

La barrera entre virus puros y el resto de programas malignos
es muy difusa, prácticamente invisible, puesto que ya casi todos los virus
incorporan características propias de uno o de varios de estos programas: por
ejemplo, los virus como el Viernes 13 son capaces de infectar otros archivos,
siendo así virus puro, pero también realizan su efecto destructivo cuando se da
una condición concreta, la fecha Viernes 13, característica propia de una bomba
lógica; por último, se oculta en programas ejecutables teniendo así una
cualidad de Caballo de Troya. De ahí la gran confusión existente a este
respecto.

Formas de Infección

Antes de nada, hay que recordar que un virus no puede
ejecutarse por si solo, necesita un programa portador para poder cargarse en
memoria e infectar; asimismo, para poder unirse a un programa portador necesita
modificar la estructura de este, para que durante su ejecución pueda realizar
una llamada al código del virus.

Las partes del sistema más susceptibles de ser infectadas son
el sector de arranque de los disquetes, la tabla de partición y el sector de
arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada
una de estas partes tenemos un tipo de virus, aunque muchos son capaces de
infectar por sí solos estos tres componentes del sistema.

En los disquetes, el sector de arranque es una zona situada
al principio del disco, que contiene datos relativos a la estructura del mismo
y un pequeño programa, que se ejecuta cada vez que arrancamos desde disquete.

En este caso, al arrancar con un disco contaminado, el virus
se queda residente en memoria RAM, y a partir de ahí, infectara el sector de
arranque de todos los disquetes a los que se accedan, ya sea al formatear o al
hacer un DIR en el disco, dependiendo de cómo esté programado el virus).

El proceso de infección consiste en sustituir el código de
arranque original del disco por una versión propia del virus, guardando el
original en otra parte del disco; a menudo el virus marca los sectores donde
guarda el boot original como en mal estado, protegiéndolos así de
posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no
crean una rutina propia de arranque, por lo que una vez residentes en memoria,
efectúan una llamada al código de arranque original, para iniciar el sistema y
así aparentar que se ha iniciado el sistema como siempre, con normalidad.
Segundo, este procedimiento puede ser usado como técnica de ocultamiento.

Normalmente un virus completo no cabe en los 512 bytes que
ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte
de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los
últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de
los virus no marquen estas zonas, por lo que al llenar el disco estos sectores
pueden ser sobrescritos y así dejar de funcionar el virus.

La tabla de partición esta situada en el primer sector del
disco duro, y contiene una serie de bytes de información de cómo se divide el
disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el
boot de los disquetes, un virus de partición suplanta el código de
arranque original por el suyo propio; así, al arrancar desde disco duro, el
virus se instala en memoria para efectuar sus acciones. También en este caso el
virus guarda la tabla de partición original en otra parte del disco, aunque
algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de
partición y a ellos mismos en los últimos sectores de disco, y para proteger
esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del
disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni
siquiera sabe que esta zona existe.

Casi todos los virus que afectan la partición también son
capaces de hacerlo en el boot de los disquetes y en los ficheros
ejecutables; un virus que actuara sobre particiones de disco duro tendría un
campo de trabajo limitado, por lo que suelen combinar sus habilidades.

Con todo, el tipo de virus que más abunda es el de fichero;
en este caso usan como vehículo de expansión los archivos de programa o
ejecutables, sobre todo .EXE y . COM, aunque también a veces .OVL, .BIN y .OVR.
AL ejecutarse un programa infectado, el virus se instala residente en memoria,
y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba
si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable,
añadiendo su código al principio y al final de éste, y modificando su
estructura de forma que al ejecutarse dicho programa primero llame al código
del virus devolviendo después el control al programa portador y permitiendo su
ejecución normal.

Este efecto de adherirse al fichero original se conoce
vulgarmente como “engordar” el archivo, ya que éste aumenta de tamaño
al tener que albergar en su interior al virus, siendo esta circunstancia muy
útil para su detección. De ahí que la inmensa mayoría de los virus sean
programados en lenguaje ensamblador, por ser el que genera el código más
compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si
fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud
de trabajo o por un aumento exagerado en el tamaño de los archivos infectados.
No todos los virus de fichero quedan residentes en memoria, si no que al
ejecutarse se portador, éstos infectan a otro archivo, elegido de forma
aleatoria de ese directorio o de otros.

Efectos
destructivos de los Virus

Los efectos perniciosos que causan los virus son variados;
entre éstos se encuentran el formateo completo del disco duro, eliminación de
la tabla de partición, eliminación de archivos, ralentización del sistema hasta
limites exagerados, enlaces de archivos destruidos, archivos de datos y de programas
corruptos, mensajes o efectos extraños en la pantalla, emisión de música o
sonidos.

Formas de Ocultamiento

Un virus puede considerarse efectivo si, además de extenderse
lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor
tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o
sigilo. Para que estas técnicas sean efectivas, el virus debe estar residente
en memoria, puesto que debe monitorizar el funcionamiento del sistema
operativo. La base principal del funcionamiento de los virus y de las técnicas
de ocultamiento, además de la condición de programas residentes, la
intercepción de interrupciones. El DOS y los programas de aplicación se
comunican entre sí mediante el servicio de interrupciones, que son como
subrutinas del sistema operativo que proporcionan una gran variedad de
funciones a los programas. Las interrupciones se utilizan, por ejemplo, para
leer o escribir sectores en el disco, abrir ficheros, fijar la hora del
sistema, etc. Y es aquí donde el virus entra en acción, ya que puede sustituir
alguna interrupción del DOS por una suya propia y así, cuando un programa
solicite un servicio de esa interrupción, recibirá el resultado que el virus determine.

Entre las técnicas más usuales cabe destacar el ocultamiento
o stealth, que esconde los posibles signos de infección del sistema. Los
síntomas más claros del ataque de un virus los encontramos en el cambio de
tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en
la disminución de la memoria disponible.

Estos problemas son indicadores de la posible presencia de un
virus, pero mediante la técnica stealth es muy fácil (siempre que se encuentre
residente el virus) devolver al sistema la información solicitada como si
realmente los ficheros no estuvieran infectados. Por este motivo es fundamental
que cuando vayamos a realizar un chequeo del disco duro arranquemos el
ordenador con un disco de sistema totalmente limpio.

La autoencriptación o self-encryption es una de las
técnicas víricas más extendidas. En la actualidad casi todos los nuevos
ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero,
ocultando de esta forma cualquier posible indicio que pueda facilitar su
búsqueda. No obstante, todo virus encriptado posee una rutina de
desencriptación, rutina que es aprovechada por los antivirus para remotoizar el
origen de la infección.

El mayor avance en técnicas de encriptación viene dado por el
polimorfismo. Gracias a él un virus no sólo es capaz de encriptarse sino
que además varía la rutina empleada cada vez que infecta un fichero. De esta
forma resulta imposible encontrar coincidencias entre distintos ejemplares del
mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas
características se muestra inútil.

Otra técnica básica de ocultamiento es la intercepción de
mensajes de error del sistema. Supongamos que un virus va a infectar un archivo
de un disco protegido contra escritura; al intentar escribir en el obtendríamos
el mensaje: “Error de protección contra escritura leyendo unidad A Anular,
Reintentar, Fallo?”, por lo que descubriríamos el anormal funcionamiento
de nuestro equipo. Por eso, al virus le basta con redireccionar la interrupción
a una rutina propia que evita la salida de estos mensajes, consiguiendo así
pasar desapercibido.

Prevención,
Detección Y Eliminación

Una buena política de prevención y detección nos puede
ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en
todo momento, del software ya introducido o que se va a introducir en nuestro
ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de
no aceptar software no original, ya que el pirateo es una de las principales
fuentes de contagio de un virus, siendo también una practica ilegal y que hace
mucho daño a la industria del software.

Por supuesto, el sistema operativo, que a fin de cuentas es
el elemento software más importante del ordenador, debe ser totalmente fiable;
si éste se encuentra infectado, cualquier programa que ejecutemos resultara
también contaminado. Por eso, es imprescindible contar con una copia en
disquetes del sistema operativo, protegidos éstos contra escritura; esto ultimo
es muy importante, no solo con el S.O. sino con el resto de disquetes que
poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no
puede escribir en un disco protegido de esta forma. Por último es también
imprescindible poseer un buen software antivirus, que detecte y elimine
cualquier tipo de intrusión en el sistema.

Windows 95

La existencia de un nuevo sistema operativo con bastantes
diferencias técnicas respecto a desarrollos anteriores merece un estudio
especial para comprobar cómo reacciona ante virus conocidos y el tipo de
protección que ofrece.

Ante la infección del sector de arranque (boot sector)
Windows 95 reacciona sorprendentemente bien, o al menos mucho mejor que sus
antecesores. De hecho, frente a cualquier modificación del sector de arranque
el sistema presenta un mensaje durante la inicialización. Nos anuncia que algo
se ha cambiado y que la causa de tal hecho puede ser un virus de boot,
aunque no necesariamente.

También debemos precisar que si hay un error remotoizado en
la tabla de particiones el sistema nos da el mismo aviso que en el caso
anterior, lo que sin duda puede ser motivo de confusión. En general siempre que
Windows 95 se dé cuenta de un fallo en el sistema de ficheros que le impida
trabajar con la VFAT a pleno rendimiento, se inicia con el «Sistema de archivos
en modo compatibilidad MS-DOS», sugiriendo como posible causa el ataque de un
virus.

Que Microsoft achaque estos fallos a la acción de un virus es
una solución un tanto drástica, ya que una falsa alarma puede ser tan peligrosa
como la presencia real de un ingenio vírico.

Problemas Con Windows 95

El nuevo sistema operativo de Microsoft ha creado más de un
problema a las empresas de seguridad, y no sólo por el trabajo adicional de
reprogramar sus desarrollos para adecuarse a las características el nuevo
entorno, sino también por algunos fallos de diseño propios de W95.

En MS-DOS (también en Windows 3.1) se podían solicitar
informes al sistema de todas las actividades realizadas, y todo ello en tiempo
real. Es decir, a través de un residente era factible conseguir información
sobre acciones como abrir, leer y escribir en ficheros, cambio de atributos,
etc. Cuando hablamos de tiempo real nos referimos al hecho de recibir la
información solicitada en el mismo momento en que se realiza la acción.

Desgraciadamente en W95 la cosa varía, ya que a pesar de
tratarse de un sistema operativo multitarea no se envían informes en tiempo
real, sino cada determinados intervalos de tiempo o cuando el procesador está
menos ocupado. Por este motivo la programación de un controlador capaz de
monitorizar el sistema con seguridad es muy difícil, ya que el antivirus recibe
la información de que se va a producir una infección cuando el fichero ya está
infectado.

A pesar de ello, gran parte de los antivirus para Windows 95
incluyen drivers virtuales o controladores VxD capaces de mantener bajo su
atenta mirada el sistema en todo momento. De todas formas, la realización de un
driver de este tipo para W95 no es una tarea sencilla y acarrea bastantes
problemas. Además, es importante que la protección se ofrezca en todo momento,
es decir, que se controle la interfaz gráfica, la versión previa del sistema
operativo, las sesiones DOS y el modo MS-DOS 7.0 (arrancando sin la interfaz o
al apagar el sistema). Desde luego todas estas acciones no son controlables por
un driver VxD exclusivamente.

Virus de Macros

Esta entre las novedades surgidas últimamente en el mundo de
los virus, aunque no son totalmente nuevos, parece que han esperado hasta 1995
para convertirse en una peligrosa realidad. Por desgracia, ya existe un número
importante de virus de este tipo catalogados, que han sido escritos en
WordBasic, el potente lenguaje incluido en Microsoft Word.

Estos virus sólo afectan a los usuarios de Word para Windows
y consisten en un conjunto de macros de este procesador de textos. Aunque el
peligro del virus se restringe a los usuarios de Word, tiene una importante
propagación ya que puede infectar cualquier texto, independientemente de la
plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W95 y
OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de documentos
en disquete o por red es mucho más común que el de ejecutables.

El primer virus de este tipo que salió a la luz se llamaba
«WordMacro/DMV» y era inofensivo, ya que sólo anunciaba su presencia y guardaba
un informe de sus acciones. Escrito por Joel McNamara para el estudio de los
virus de macros, fue desarrollado en 1994 pero su autor guardó el resultado
hasta que observó la aparición del virus conocido por «WordMacro/Concept». Tras
ello, McNamara decidió hacer público su desarrollo esperando que la experiencia
adquirida sirviera de enseñanza para todos los usuarios. Y aunque probablemente
tenga un efecto negativo, McNamara ha publicado también las pautas para crear
virus que afecten a los ficheros de Exel.

«WinMacro/Concept», también conocido como «WW6Infector»,
«WBMV-Word Basic Macro Virus» o «WWW6 Macro», no es demasiado molesto, ya que
al activarse infecta el fichero «normal.dot» y sólo muestra en pantalla un
cuadro de diálogo con el texto «1». Microsoft ya tiene disponible un antivirus
llamado «prank.exe» que distribuye gratuitamente entre sus usuarios
registrados, pero que también puede encontrarse en numerosas BBS, Internet o
Compuserve.

Sin embargo, la evolución de este tipo de virus sigue su
camino y ya se han detectado dos nuevas creaciones llamadas «WordMacro/Nuclear»
y «WordMacro/Colors». El primero de ellos puede llegar a introducir un virus
tradicional en el sistema o modificar la salida impresa o por fax en
determinados momentos. El «WordMacro/Colors», también conocido por Rainbow o
arco iris, cambia (cada 300 ejecuciones de la macro) la configuración de
colores de Windows.

De momento la macros conocidas para Word no son capaces de
infectar las versiones nacionales del programa, los usuarios españoles pueden
estar tranquilos ya que los comandos del lenguaje de macros han sido traducidos
al castellano y las macros creadas con versiones en inglés no funcionan. No obstante,
siempre es posible que alguien traduzca el virus o cree uno nuevo. Por último,
aclarar que aunque otros procesadores de texto como WordPerfect o AmiPro son
capaces de leer documentos escritos con Word, en estos casos el virus no entra
en acción por lo que no se corre ningún peligro.

Virus de nueva Hornada

Aunque la principal novedad vírica ha venido de la mano de
los virus de macros, se han remotoizado en España nuevas creaciones que merece
la pena conocer para luchar contra ellas de manera efectiva.

Se ha descubierto un virus que incrementa los ficheros en
1.376 bytes simplemente por abrirlos. Una vez que el virus está en memoria
basta con una orden COPY o TYPE para que infecte el fichero. Su acción pasa por
borrar los ficheros de validación de antivirus como CPAV o Microsoft.

Muchos usuarios españoles se han visto afectados por el virus
1.099
, que si bien no es nuevo, es la primera vez que aparece en nuestro
país. Este virus se queda residente en RAM e infecta los ficheros
“.EXE” aumentando su tamaño en 1.099 bytes. Ha llegado a España a
través de los discos de drivers que acompañaban a una pequeña partida de
tarjeta Cirrus Logic, y se puede identificar ya que en los ficheros VER se
señala como «BIN3, Ver1.2» con fecha 27-5-94.

Por su parte, el virus MiliKK infecta en primer lugar
la tabla de partición para desde ahí comenzar con su siniestro cometido. Emplea
técnicas stealth por lo que no podremos ver cómo se queda residente en la RAM,
aumenta los ficheros “.COM” en 1.020 bytes e incrementa la fecha de
los ficheros infectados en 100 años. Además, cada vez que se enciende el PC se
visualiza el mensaje “M I L I K K”.

Por último, en Sevilla se ha detectado el virus DelCMOS,
que como su nombre indica borra el contenido de la CMOS cuando se arranca desde
un disco duro con la partición afectada. Aunque borra la información sobre la
configuración de disqueteras, sólo es dañino con los datos de los discos duros
correspondientes al tipo 47.

Virus en Internet

En ocasiones se propagan rumores que dan por cierto noticias
de dudosa procedencia. Más o menos esto es lo que ha sucedido de un tiempo a
esta parte con el virus por correo electrónico de Internet conocido por Good
Times. Lógicamente las primeras noticias de esta maligna creación aparecieron
en la «red de redes», en un mensaje alarmante que decía que si algún usuario
recibía un mensaje con el tema «Good Times» no debía abrirlo o grabarlo si no
quería perder todos los datos de su disco duro. Posteriormente el mensaje
recomendaba que se informara a todo el mundo y se copiara el aviso en otros
lugares. En esta ocasión el rumor es totalmente falso, aunque todavía sigue
existiendo gente que se lo cree y no es raro encontrar en algún medio de
comunicación electrónica nuevo reenvíos del mensaje original. De hecho, es
totalmente inviable la posibilidad de una infección vía correo electrónico.

El riesgo de contraer un virus en la Internet es menor que de
cualquier otra manera, tanto los mensajes de correo, como las página WEB
transfieren datos. Sólo si se trae un software por la red y lo instala en su
máquina puede contraer un virus

Software Antivirus

Para combatir la avalancha de virus informáticos se creó el
software antivirus. Estos programas suelen incorporar mecanismos para prevenir,
detectar y eliminar virus. Para la prevención se suelen usar programas
residentes que alertan al usuario en todo momento de cualquier acceso no
autorizado o sospechoso a memoria o a disco, por lo que resultan sumamente
útiles al impedir la entrada del virus y hacerlo en el momento en que este
intenta la infección, facilitándonos enormemente la localización del programa
maligno. Sin embargo presentan ciertas desventajas, ya que al ser residentes
consumen memoria RAM, y pueden también resultar incompatibles con algunas
aplicaciones. Por otro lado, pueden llegar a resultar bastante molestos, puesto
que por lo general suelen interrumpir nuestro trabajo habitual con el ordenador
avisándonos de intentos de acceso a memoria o a disco que en muchos casos
provienen de programas legítimos. A pesar de todo, son una medida de protección
excelente y a ningún usuario debería faltarle un programa de este tipo.

A la hora de localizar virus, los programas usados sin los
detectores o scanners. Normalmente estos programas chequean primero la memoria
RAM, después las zonas criticas del disco como el boot o partición, y
por ultimo los ficheros almacenados en él.

Los productos antivirus han mejorado considerablemente sus
algoritmos de búsqueda, aunque en la actualidad la exploración de cadenas sigue
siendo la técnica más empleada. Pero el aumento imparable del número de virus y
las técnicas de camuflaje y automodificación que suelen emplear hacen que la
búsqueda a través de una cadena genérica sea una tarea cada vez más difícil.
Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas
heurísticas.

La detección heurística es una de las fórmulas más avanzadas
de remotoización de virus. La búsqueda de virus mediante esta técnica se basa
en el desensamblado del código del programa que se intenta analizar con el
objetivo de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin
duda, lo mejor es disponer de un antivirus que combine la búsqueda de cadenas
características y además cuente con técnicas heurísticas.

Gracias a la heurística se buscan programas que puedan
quedarse residentes o que sean capaces de capturar aplicaciones que se estén
ejecutando, código preparado para mover o sobreescribir un programa en memoria,
código capaz de automodificar ejecutables, rutinas de encriptación y
desencriptación, y otras actividades propias de los virus.

Aunque las técnicas heurísticas han representado un gran
avance en la detección de virus desconocidos, presentan un gran inconveniente:
es muy alta la posibilidad de obtener «falsos positivos y negativos». Se
produce un «falso positivo» cuando el antivirus anuncia la presencia de un
virus que no es tal, mientras que se llama «falso negativo» cuando piensa que
el PC esta limpio y en realidad se encuentra infectado.

¿Que
Debemos Buscar En Un Antivirus?

A la hora de decidirnos por un antivirus, no debemos dejarnos
seducir por la propaganda con mensajes como “detecta y elimina 56.432
virus”. Realmente existen miles de virus, pero en muchísmos casos son
mutaciones y familias de otros virus; esto está bien, pero hay que tener en
cuenta que una inmensa mayoría de virus no han llegado ni llegaran a nuestro
país.

Por lo que de poco nos sirve un antivirus que detecte y
elimine virus muy extendidos en América y que desconozca los más difundidos en
España. Por tanto, estaremos mejor protegidos por un software que, de alguna
forma, esté más “especializado” en virus que puedan detectarse en
nuestro país. Por ejemplo “Flip”, “Anti Tel”,
“Barrotes”, “Coruña”, etc. Por otro lado, hemos de buscar
un software que se actualice el mayor numero posible de veces al año; puesto
que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha
frecuencia, el estar al día es absolutamente vital.

Cómo Reaccionar
Ante Una Infección

La prevención y la compra de un buen antivirus son las
mejores armas con las que cuenta el usuario ante el ataque de los virus. Sin
embargo, siempre cabe la posibilidad de que en un descuido se introduzca un
inquilino no deseado en el PC. Ante esta situación lo primero que debemos hacer
es arrancar el ordenador con un disco de sistema totalmente libre de virus.
Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que
si es antiguo corremos el riesgo de que no remotoice mutaciones recientes o
nuevos virus.

En el disco de sistema limpio (que crearemos con la orden
«format a: /s») incluiremos utilidades como «mem.exe», «chkdsk.exe», «sys.com»,
«fdisk.exe» y todos los controladores para que el teclado funcione
correctamente. Si disponemos de dos o más antivirus es muy recomendable
pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC.

Si la infección se ha producido en el sector de arranque
podemos limpiar el virus con la orden «sys c:», siempre y cuando hayamos
arrancado con el disquete antes mencionado. Para recuperar la tabla de
particiones podemos ejecutar «fdisk /mbr».

Software AntiVirus Comercial

Análisis heurístico

Hay que señalar una marcada mejoría en las técnicas de
detección heurísticas, que aunque en determinadas condiciones siguen provocando
«falsos positivos», muestran una gran efectividad a la hora de remotoizar virus
desconocidos. En este apartado debemos destacar al ThunderByte, ya que la
técnica heurística de este antivirus le ha permitido detectar 42 de los virus
no remotoizados mediante el método adicional. De hecho, la mayoría de estos
virus son desarrollos nacionales de reciente aparición, por lo que o ha habido
tiempo de incluirlos en la última versión. Además, este producto destaca por
una relación de «falsos positivos» realmente baja.

Otros productos que permiten la detección heurística son
Artemis Profesional, Dr. Solomon´s y F-Prot 2.20. En todos los casos esta
técnica ha servido para aumentar el porcentaje de virus detectados, aunque de
esta forma no se identifica el virus, sino que sólo se sospecha de su
presencia. Por otra parte, el Dr. Solomon´s combina perfectamente una gran base
de datos de virus conocidos con su análisis heurístico.

Búsqueda específica

Aunque algunos antivirus engordan su porcentaje de
efectividad gracias a técnicas de remotoización genérica (heurísticamente),
muchos usuarios pueden preferir la seguridad aportada por un sistema específico
que identifique, e incluso elimine, sin problemas ni dudas el mayor número de
virus posible.

Los usuarios más inexpertos probablemente no sepan
enfrentarse a las alarmas producidas por el análisis heurístico, por lo que en
todos los antivirus es posible realizar la exploración de las unidades de disco
sin dicha posibilidad. En tal caso será necesario conocer cuál es la
efectividad del producto prescindiendo de tal análisis.

Por este motivo, si nos basamos en técnicas tradicionales
como la búsqueda de cadenas y dejamos a un lado métodos heurísticos tenemos que
reconocer que el producto dominante es el antivirus Artemis Profesional 4.0,.
tras él, el conocido Scan de McAfee demuestra el porqué de su prestigio,
seguido muy de cerca por el F-Prot.

Virus nacionales

En todos los casos han sido los virus de procedencia de
nacional y aquellos de aparición más reciente los que han planteado mayores
problemas de identificación. Por este motivo, los productos Artemis y Anyware
(desarrollados por empresas Argentinas) no han fallado en la detección de
ingenios patrios como los virus Raquel, Maripuri, Mendoza, Diálogos, RNE,
Currante y nuevas mutaciones de Barrotes.

Los productos internacionales muestran buenos índices
globales de detección, aunque todos fallan al encontrarse con virus Argentinos.
Esta carencia, sin embargo, se ve solventada en los antivirus con análisis
heurístico, que si bien no son capaces de identificar el virus sí logran
detectar su presencia.

Inseguridad Informática

El 5 de noviembre de 1988 quedó señalado para siempre en la
historia de la “inseguridad” informática. El personal que estaba
trabajando en los ordenadores de la Universidad de Cornell vieron sorprendidos
y asustados como sus computadoras, uno a uno e irremediablemente, quedaban
bloqueados. Estos eran los primeros síntomas de una terrible epidemia
“bloqueante” que atacó seguida y rápidamente a las Universidades de
Stanford, California, Princeton, al propio MIT, a la Rand Corporation, a la
NASA, hasta un total aproximado de 6.000 ordenadores, ¡6.000!, que
permanecieron inactivos durante dos o tres días, con un coste estimado de 96
millones de dólares (más de 10.000 millones de pesetas). Causa: un simple y
único gusano “worm“, activado sólo una vez, resultado de un
sencillo trabajo de autoprácticas de Robert T. Morris, “bienintencionado
einofensivo” estudiante de la Universidad de Cornell. Eficiencia
demostrada. Un solo Worm, 6.000 ordenadores inactivos, 96.000.000 de dólares de
pérdidas.

La epidemia vírica ha alcanzado en pocos años una magnitud
escalofriante. Según el experto virólogo Vesselin V. Bontchev, nacen cada día 2
o 3 virus.

Las amenazas a la informática no terminan con los virus. Los “hackers”
constituyen una potente fuerza de ataque a la seguridad informática. Personas
dotadas de probados conocimientos, utilizando tecnologías de alto nivel,
agrupados en clubes, celebrando Congresos Internacionales, con seminarios y
clases: su nivel de peligrosidad alcanza altísimos valores.

Fraudes, sabotajes, espionaje comercial e industrial,
vandalismo, terrorismo, desastres naturales como el fuego y el agua, amenazan
constantemente a nuestros sistemas de proceso de datos, convirtiendo a la
Seguridad Informática en un importantísimo objetivo a alcanzar en la empresa,
toda vez que está en peligro su más preciado tesoro: la información.

Por otra parte, las empresas han cambiado su estilo de
trabajo, apoyándose en y dependiendo fuertemente del sistema informático y de
las telecomunicaciones. La ofimática, las Bases de Datos corporativas o
distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de sistemas y
comunicaciones “trusted”, los sistemas distribuidos, etc., colocan a
la Seguridad Informática en la cúspide de los objetivos a alcanzar en la
empresa.

Si no existe seguridad no hay calidad en la Información, si
ésta no es segura, exacta, precisa y rabiosamente actual, es decir, si no es de
calidad, las operaciones y decisiones serán equivocadas y si éstas son erróneas
la empresa muere.

Que es espía

Virus Puro

Un verdadero virus tiene como características más importantes
la capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba
originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma
transparente al usuario; a este proceso de autorréplica se le conoce como
“infección”, de ahí que en todo este tema se utilice la terminología
propia de la medicina: “vacuna”, “tiempo de incubación”,
etc. Como soporte entendemos el lugar donde el virus se oculta, ya sea fichero,
sector de arranque, partición, etc.

Un virus puro también debe modificar el código original del
programa o soporte objeto de la infección, para poder activarse durante la
ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele
quedar residente en memoria para poder infectar así de forma trasparente al
usuario.

Caballo de Troya

Al contrario que el virus puro, un Caballo de Troya es un
programa maligno que se oculta en otro programa legítimo, y que produce sus
efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de
infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es
suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.

Bomba Lógica

Se trata simplemente de un programa maligno que permanece
oculto en memoria y que solo se activa cuando se produce una acción concreta,
predeterminada por su creador: cuando se llega a una fecha en concreto (
Viernes 13 ), cuando se ejecuta cierto programa o cierta combinación de teclas,
etc.

Gusano o Worm

Por último, un gusano en un programa cuya única finalidad es
la de ir consumiendo la memoria del sistema, mediante la realización de copias
sucesivas de sí mismo, hasta desbordar la RAM, siendo ésta su única acción
maligna.

La barrera entre virus puros y el resto de programas malignos
es muy difusa, prácticamente invisible, puesto que ya casi todos los virus
incorporan características propias de uno o de varios de estos programas: por
ejemplo, los virus como el Viernes 13 son capaces de infectar otros archivos,
siendo así virus puro, pero también realizan su efecto destructivo cuando se da
una condición concreta, la fecha Viernes 13, característica propia de una bomba
lógica; por último, se oculta en programas ejecutables teniendo así una cualidad
de Caballo de Troya. De ahí la gran confusión existente a este respecto.

Formas de
Infección

Antes de nada, hay que recordar que un virus no puede
ejecutarse por si solo, necesita un programa portador para poder cargarse en
memoria e infectar; asimismo, para poder unirse a un programa portador necesita
modificar la estructura de este, para que durante su ejecución pueda realizar
una llamada al código del virus.

Las partes del sistema más susceptibles de ser infectadas son
el sector de arranque de los disquetes, la tabla de partición y el sector de
arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada
una de estas partes tenemos un tipo de virus, aunque muchos son capaces de
infectar por sí solos estos tres componentes del sistema.

En los disquetes, el sector de arranque es una zona situada
al principio del disco, que contiene datos relativos a la estructura del mismo
y un pequeño programa, que se ejecuta cada vez que arrancamos desde disquete.

En este caso, al arrancar con un disco contaminado, el virus
se queda residente en memoria RAM, y a partir de ahí, infectara el sector de
arranque de todos los disquetes a los que se accedan, ya sea al formatear o al
hacer un DIR en el disco, dependiendo de cómo esté programado el virus).

El proceso de infección consiste en sustituir el código de
arranque original del disco por una versión propia del virus, guardando el
original en otra parte del disco; a menudo el virus marca los sectores donde
guarda el boot original como en mal estado, protegiéndolos así de
posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no
crean una rutina propia de arranque, por lo que una vez residentes en memoria,
efectúan una llamada al código de arranque original, para iniciar el sistema y
así aparentar que se ha iniciado el sistema como siempre, con normalidad.
Segundo, este procedimiento puede ser usado como técnica de ocultamiento.

Normalmente un virus completo no cabe en los 512 bytes que
ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte
de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los
últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de
los virus no marquen estas zonas, por lo que al llenar el disco estos sectores
pueden ser sobrescritos y así dejar de funcionar el virus.

La tabla de partición esta situada en el primer sector del
disco duro, y contiene una serie de bytes de información de cómo se divide el
disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el
boot de los disquetes, un virus de partición suplanta el código de
arranque original por el suyo propio; así, al arrancar desde disco duro, el
virus se instala en memoria para efectuar sus acciones. También en este caso el
virus guarda la tabla de partición original en otra parte del disco, aunque
algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de
partición y a ellos mismos en los últimos sectores de disco, y para proteger
esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del
disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni
siquiera sabe que esta zona existe.

Casi todos los virus que afectan la partición también son
capaces de hacerlo en el boot de los disquetes y en los ficheros
ejecutables; un virus que actuara sobre particiones de disco duro tendría un
campo de trabajo limitado, por lo que suelen combinar sus habilidades.

Con todo, el tipo de virus que más abunda es el de fichero;
en este caso usan como vehículo de expansión los archivos de programa o
ejecutables, sobre todo .EXE y . COM, aunque también a veces .OVL, .BIN y .OVR.
AL ejecutarse un programa infectado, el virus se instala residente en memoria,
y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba
si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable,
añadiendo su código al principio y al final de éste, y modificando su
estructura de forma que al ejecutarse dicho programa primero llame al código
del virus devolviendo después el control al programa portador y permitiendo su
ejecución normal.

Este efecto de adherirse al fichero original se conoce
vulgarmente como “engordar” el archivo, ya que éste aumenta de tamaño
al tener que albergar en su interior al virus, siendo esta circunstancia muy
útil para su detección. De ahí que la inmensa mayoría de los virus sean programados
en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y
de menor consumo de memoria; un virus no seria efectivo si fuera fácilmente
detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por
un aumento exagerado en el tamaño de los archivos infectados. No todos los
virus de fichero quedan residentes en memoria, si no que al ejecutarse se
portador, éstos infectan a otro archivo, elegido de forma aleatoria de ese
directorio o de otros.

Efectos
destructivos de los Virus

Los efectos perniciosos que causan los virus son variados;
entre éstos se encuentran el formateo completo del disco duro, eliminación de
la tabla de partición, eliminación de archivos, ralentización del sistema hasta
limites exagerados, enlaces de archivos destruidos, archivos de datos y de
programas corruptos, mensajes o efectos extraños en la pantalla, emisión de
música o sonidos.

Formas de
Ocultamiento

Un virus puede considerarse efectivo si, además de extenderse
lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor
tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o
sigilo. Para que estas técnicas sean efectivas, el virus debe estar residente
en memoria, puesto que debe monitorizar el funcionamiento del sistema
operativo. La base principal del funcionamiento de los virus y de las técnicas
de ocultamiento, además de la condición de programas residentes, la
intercepción de interrupciones. El DOS y los programas de aplicación se
comunican entre sí mediante el servicio de interrupciones, que son como
subrutinas del sistema operativo que proporcionan una gran variedad de
funciones a los programas. Las interrupciones se utilizan, por ejemplo, para
leer o escribir sectores en el disco, abrir ficheros, fijar la hora del
sistema, etc. Y es aquí donde el virus entra en acción, ya que puede sustituir
alguna interrupción del DOS por una suya propia y así, cuando un programa
solicite un servicio de esa interrupción, recibirá el resultado que el virus
determine.

Entre las técnicas más usuales cabe destacar el ocultamiento
o stealth, que esconde los posibles signos de infección del sistema. Los
síntomas más claros del ataque de un virus los encontramos en el cambio de
tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en
la disminución de la memoria disponible.

Estos problemas son indicadores de la posible presencia de un
virus, pero mediante la técnica stealth es muy fácil (siempre que se encuentre
residente el virus) devolver al sistema la información solicitada como si
realmente los ficheros no estuvieran infectados. Por este motivo es fundamental
que cuando vayamos a realizar un chequeo del disco duro arranquemos el
ordenador con un disco de sistema totalmente limpio.

La autoencriptación o self-encryption es una de las
técnicas víricas más extendidas. En la actualidad casi todos los nuevos
ingenios destructivos son capaces de encriptarse cada vez que infectan un
fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar
su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación,
rutina que es aprovechada por los antivirus para remotoizar el origen de la
infección.

El mayor avance en técnicas de encriptación viene dado por el
polimorfismo. Gracias a él un virus no sólo es capaz de encriptarse sino
que además varía la rutina empleada cada vez que infecta un fichero. De esta
forma resulta imposible encontrar coincidencias entre distintos ejemplares del
mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas
características se muestra inútil.

Otra técnica básica de ocultamiento es la intercepción de
mensajes de error del sistema. Supongamos que un virus va a infectar un archivo
de un disco protegido contra escritura; al intentar escribir en el obtendríamos
el mensaje: “Error de protección contra escritura leyendo unidad A Anular,
Reintentar, Fallo?”, por lo que descubriríamos el anormal funcionamiento
de nuestro equipo. Por eso, al virus le basta con redireccionar la interrupción
a una rutina propia que evita la salida de estos mensajes, consiguiendo así
pasar desapercibido.

Prevención,
Detección Y Eliminación

Una buena política de prevención y detección nos puede
ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en
todo momento, del software ya introducido o que se va a introducir en nuestro
ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de
no aceptar software no original, ya que el pirateo es una de las principales
fuentes de contagio de un virus, siendo también una practica ilegal y que hace
mucho daño a la industria del software.

Por supuesto, el sistema operativo, que a fin de cuentas es
el elemento software más importante del ordenador, debe ser totalmente fiable;
si éste se encuentra infectado, cualquier programa que ejecutemos resultara
también contaminado. Por eso, es imprescindible contar con una copia en
disquetes del sistema operativo, protegidos éstos contra escritura; esto ultimo
es muy importante, no solo con el S.O. sino con el resto de disquetes que
poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no
puede escribir en un disco protegido de esta forma. Por último es también
imprescindible poseer un buen software antivirus, que detecte y elimine
cualquier tipo de intrusión en el sistema.

Windows 95

La existencia de un nuevo sistema operativo con bastantes
diferencias técnicas respecto a desarrollos anteriores merece un estudio
especial para comprobar cómo reacciona ante virus conocidos y el tipo de
protección que ofrece.

Ante la infección del sector de arranque (boot sector)
Windows 95 reacciona sorprendentemente bien, o al menos mucho mejor que sus
antecesores. De hecho, frente a cualquier modificación del sector de arranque
el sistema presenta un mensaje durante la inicialización. Nos anuncia que algo
se ha cambiado y que la causa de tal hecho puede ser un virus de boot,
aunque no necesariamente.

También debemos precisar que si hay un error remotoizado en
la tabla de particiones el sistema nos da el mismo aviso que en el caso
anterior, lo que sin duda puede ser motivo de confusión. En general siempre que
Windows 95 se dé cuenta de un fallo en el sistema de ficheros que le impida
trabajar con la VFAT a pleno rendimiento, se inicia con el «Sistema de archivos
en modo compatibilidad MS-DOS», sugiriendo como posible causa el ataque de un
virus.

Que Microsoft achaque estos fallos a la acción de un virus es
una solución un tanto drástica, ya que una falsa alarma puede ser tan peligrosa
como la presencia real de un ingenio vírico.

Problemas Con
Windows 95

El nuevo sistema operativo de Microsoft ha creado más de un
problema a las empresas de seguridad, y no sólo por el trabajo adicional de
reprogramar sus desarrollos para adecuarse a las características el nuevo
entorno, sino también por algunos fallos de diseño propios de W95.

En MS-DOS (también en Windows 3.1) se podían solicitar
informes al sistema de todas las actividades realizadas, y todo ello en tiempo
real. Es decir, a través de un residente era factible conseguir información
sobre acciones como abrir, leer y escribir en ficheros, cambio de atributos,
etc. Cuando hablamos de tiempo real nos referimos al hecho de recibir la
información solicitada en el mismo momento en que se realiza la acción.

Desgraciadamente en W95 la cosa varía, ya que a pesar de
tratarse de un sistema operativo multitarea no se envían informes en tiempo
real, sino cada determinados intervalos de tiempo o cuando el procesador está
menos ocupado. Por este motivo la programación de un controlador capaz de
monitorizar el sistema con seguridad es muy difícil, ya que el antivirus recibe
la información de que se va a producir una infección cuando el fichero ya está
infectado.

A pesar de ello, gran parte de los antivirus para Windows 95
incluyen drivers virtuales o controladores VxD capaces de mantener bajo su
atenta mirada el sistema en todo momento. De todas formas, la realización de un
driver de este tipo para W95 no es una tarea sencilla y acarrea bastantes
problemas. Además, es importante que la protección se ofrezca en todo momento,
es decir, que se controle la interfaz gráfica, la versión previa del sistema
operativo, las sesiones DOS y el modo MS-DOS 7.0 (arrancando sin la interfaz o
al apagar el sistema). Desde luego todas estas acciones no son controlables por
un driver VxD exclusivamente.

Virus de Macros

Esta entre las novedades surgidas últimamente en el mundo de
los virus, aunque no son totalmente nuevos, parece que han esperado hasta 1995
para convertirse en una peligrosa realidad. Por desgracia, ya existe un número
importante de virus de este tipo catalogados, que han sido escritos en
WordBasic, el potente lenguaje incluido en Microsoft Word.

Estos virus sólo afectan a los usuarios de Word para Windows
y consisten en un conjunto de macros de este procesador de textos. Aunque el
peligro del virus se restringe a los usuarios de Word, tiene una importante
propagación ya que puede infectar cualquier texto, independientemente de la
plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W95 y
OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de documentos
en disquete o por red es mucho más común que el de ejecutables.

El primer virus de este tipo que salió a la luz se llamaba
«WordMacro/DMV» y era inofensivo, ya que sólo anunciaba su presencia y guardaba
un informe de sus acciones. Escrito por Joel McNamara para el estudio de los
virus de macros, fue desarrollado en 1994 pero su autor guardó el resultado
hasta que observó la aparición del virus conocido por «WordMacro/Concept». Tras
ello, McNamara decidió hacer público su desarrollo esperando que la experiencia
adquirida sirviera de enseñanza para todos los usuarios. Y aunque probablemente
tenga un efecto negativo, McNamara ha publicado también las pautas para crear
virus que afecten a los ficheros de Exel.

«WinMacro/Concept», también conocido como «WW6Infector»,
«WBMV-Word Basic Macro Virus» o «WWW6 Macro», no es demasiado molesto, ya que
al activarse infecta el fichero «normal.dot» y sólo muestra en pantalla un
cuadro de diálogo con el texto «1». Microsoft ya tiene disponible un antivirus llamado
«prank.exe» que distribuye gratuitamente entre sus usuarios registrados, pero
que también puede encontrarse en numerosas BBS, Internet o Compuserve.

Sin embargo, la evolución de este tipo de virus sigue su
camino y ya se han detectado dos nuevas creaciones llamadas «WordMacro/Nuclear»
y «WordMacro/Colors». El primero de ellos puede llegar a introducir un virus
tradicional en el sistema o modificar la salida impresa o por fax en
determinados momentos. El «WordMacro/Colors», también conocido por Rainbow o
arco iris, cambia (cada 300 ejecuciones de la macro) la configuración de
colores de Windows.

De momento la macros conocidas para Word no son capaces de
infectar las versiones nacionales del programa, los usuarios españoles pueden
estar tranquilos ya que los comandos del lenguaje de macros han sido traducidos
al castellano y las macros creadas con versiones en inglés no funcionan. No
obstante, siempre es posible que alguien traduzca el virus o cree uno nuevo.
Por último, aclarar que aunque otros procesadores de texto como WordPerfect o
AmiPro son capaces de leer documentos escritos con Word, en estos casos el
virus no entra en acción por lo que no se corre ningún peligro.

Virus de nueva
Hornada

Aunque la principal novedad vírica ha venido de la mano de
los virus de macros, se han remotoizado en España nuevas creaciones que merece
la pena conocer para luchar contra ellas de manera efectiva.

Se ha descubierto un virus que incrementa los ficheros en
1.376 bytes simplemente por abrirlos. Una vez que el virus está en memoria
basta con una orden COPY o TYPE para que infecte el fichero. Su acción pasa por
borrar los ficheros de validación de antivirus como CPAV o Microsoft.

Muchos usuarios españoles se han visto afectados por el virus
1.099
, que si bien no es nuevo, es la primera vez que aparece en nuestro
país. Este virus se queda residente en RAM e infecta los ficheros
“.EXE” aumentando su tamaño en 1.099 bytes. Ha llegado a España a
través de los discos de drivers que acompañaban a una pequeña partida de
tarjeta Cirrus Logic, y se puede identificar ya que en los ficheros VER se
señala como «BIN3, Ver1.2» con fecha 27-5-94.

Por su parte, el virus MiliKK infecta en primer lugar
la tabla de partición para desde ahí comenzar con su siniestro cometido. Emplea
técnicas stealth por lo que no podremos ver cómo se queda residente en la RAM,
aumenta los ficheros “.COM” en 1.020 bytes e incrementa la fecha de
los ficheros infectados en 100 años. Además, cada vez que se enciende el PC se
visualiza el mensaje “M I L I K K”.

Por último, en Sevilla se ha detectado el virus DelCMOS,
que como su nombre indica borra el contenido de la CMOS cuando se arranca desde
un disco duro con la partición afectada. Aunque borra la información sobre la
configuración de disqueteras, sólo es dañino con los datos de los discos duros
correspondientes al tipo 47.

Virus en Internet

En ocasiones se propagan rumores que dan por cierto noticias
de dudosa procedencia. Más o menos esto es lo que ha sucedido de un tiempo a
esta parte con el virus por correo electrónico de Internet conocido por Good
Times. Lógicamente las primeras noticias de esta maligna creación aparecieron
en la «red de redes», en un mensaje alarmante que decía que si algún usuario
recibía un mensaje con el tema «Good Times» no debía abrirlo o grabarlo si no
quería perder todos los datos de su disco duro. Posteriormente el mensaje
recomendaba que se informara a todo el mundo y se copiara el aviso en otros
lugares. En esta ocasión el rumor es totalmente falso, aunque todavía sigue
existiendo gente que se lo cree y no es raro encontrar en algún medio de
comunicación electrónica nuevo reenvíos del mensaje original. De hecho, es
totalmente inviable la posibilidad de una infección vía correo electrónico.

El riesgo de contraer un virus en la Internet es menor que de
cualquier otra manera, tanto los mensajes de correo, como las página WEB
transfieren datos. Sólo si se trae un software por la red y lo instala en su
máquina puede contraer un virus

Software
Antivirus

Para combatir la avalancha de virus informáticos se creó el
software antivirus. Estos programas suelen incorporar mecanismos para prevenir,
detectar y eliminar virus. Para la prevención se suelen usar programas
residentes que alertan al usuario en todo momento de cualquier acceso no
autorizado o sospechoso a memoria o a disco, por lo que resultan sumamente
útiles al impedir la entrada del virus y hacerlo en el momento en que este
intenta la infección, facilitándonos enormemente la localización del programa maligno.
Sin embargo presentan ciertas desventajas, ya que al ser residentes consumen
memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones.
Por otro lado, pueden llegar a resultar bastante molestos, puesto que por lo
general suelen interrumpir nuestro trabajo habitual con el ordenador
avisándonos de intentos de acceso a memoria o a disco que en muchos casos
provienen de programas legítimos. A pesar de todo, son una medida de protección
excelente y a ningún usuario debería faltarle un programa de este tipo.

A la hora de localizar virus, los programas usados sin los
detectores o scanners. Normalmente estos programas chequean primero la memoria
RAM, después las zonas criticas del disco como el boot o partición, y
por ultimo los ficheros almacenados en él.

Los productos antivirus han mejorado considerablemente sus
algoritmos de búsqueda, aunque en la actualidad la exploración de cadenas sigue
siendo la técnica más empleada. Pero el aumento imparable del número de virus y
las técnicas de camuflaje y automodificación que suelen emplear hacen que la
búsqueda a través de una cadena genérica sea una tarea cada vez más difícil.
Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas
heurísticas.

La detección heurística es una de las fórmulas más avanzadas
de remotoización de virus. La búsqueda de virus mediante esta técnica se basa
en el desensamblado del código del programa que se intenta analizar con el
objetivo de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin
duda, lo mejor es disponer de un antivirus que combine la búsqueda de cadenas
características y además cuente con técnicas heurísticas.

Gracias a la heurística se buscan programas que puedan
quedarse residentes o que sean capaces de capturar aplicaciones que se estén
ejecutando, código preparado para mover o sobreescribir un programa en memoria,
código capaz de automodificar ejecutables, rutinas de encriptación y
desencriptación, y otras actividades propias de los virus.

Aunque las técnicas heurísticas han representado un gran
avance en la detección de virus desconocidos, presentan un gran inconveniente:
es muy alta la posibilidad de obtener «falsos positivos y negativos». Se
produce un «falso positivo» cuando el antivirus anuncia la presencia de un
virus que no es tal, mientras que se llama «falso negativo» cuando piensa que
el PC esta limpio y en realidad se encuentra infectado.

¿Que Debemos
Buscar En Un Antivirus?

A la hora de decidirnos por un antivirus, no debemos dejarnos
seducir por la propaganda con mensajes como “detecta y elimina 56.432
virus”. Realmente existen miles de virus, pero en muchísmos casos son
mutaciones y familias de otros virus; esto está bien, pero hay que tener en
cuenta que una inmensa mayoría de virus no han llegado ni llegaran a nuestro
país.

Por lo que de poco nos sirve un antivirus que detecte y
elimine virus muy extendidos en América y que desconozca los más difundidos en
España. Por tanto, estaremos mejor protegidos por un software que, de alguna
forma, esté más “especializado” en virus que puedan detectarse en
nuestro país. Por ejemplo “Flip”, “Anti Tel”,
“Barrotes”, “Coruña”, etc. Por otro lado, hemos de buscar
un software que se actualice el mayor numero posible de veces al año; puesto
que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha
frecuencia, el estar al día es absolutamente vital.

Cómo Reaccionar
Ante Una Infección

La prevención y la compra de un buen antivirus son las
mejores armas con las que cuenta el usuario ante el ataque de los virus. Sin
embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino
no deseado en el PC. Ante esta situación lo primero que debemos hacer es
arrancar el ordenador con un disco de sistema totalmente libre de virus.
Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que
si es antiguo corremos el riesgo de que no remotoice mutaciones recientes o
nuevos virus.

En el disco de sistema limpio (que crearemos con la orden
«format a: /s») incluiremos utilidades como «mem.exe», «chkdsk.exe», «sys.com»,
«fdisk.exe» y todos los controladores para que el teclado funcione
correctamente. Si disponemos de dos o más antivirus es muy recomendable
pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC.

Si la infección se ha producido en el sector de arranque
podemos limpiar el virus con la orden «sys c:», siempre y cuando hayamos
arrancado con el disquete antes mencionado. Para recuperar la tabla de
particiones podemos ejecutar «fdisk /mbr».

Software
AntiVirus Comercial

Análisis
heurístico

Hay que señalar una marcada mejoría en las técnicas de
detección heurísticas, que aunque en determinadas condiciones siguen provocando
«falsos positivos», muestran una gran efectividad a la hora de remotoizar virus
desconocidos. En este apartado debemos destacar al ThunderByte, ya que la
técnica heurística de este antivirus le ha permitido detectar 42 de los virus
no remotoizados mediante el método adicional. De hecho, la mayoría de estos
virus son desarrollos nacionales de reciente aparición, por lo que o ha habido
tiempo de incluirlos en la última versión. Además, este producto destaca por
una relación de «falsos positivos» realmente baja.

Otros productos que permiten la detección heurística son
Artemis Profesional, Dr. Solomon´s y F-Prot 2.20. En todos los casos esta
técnica ha servido para aumentar el porcentaje de virus detectados, aunque de
esta forma no se identifica el virus, sino que sólo se sospecha de su
presencia. Por otra parte, el Dr. Solomon´s combina perfectamente una gran base
de datos de virus conocidos con su análisis heurístico.

Búsqueda
específica

Aunque algunos antivirus engordan su porcentaje de
efectividad gracias a técnicas de remotoización genérica (heurísticamente),
muchos usuarios pueden preferir la seguridad aportada por un sistema específico
que identifique, e incluso elimine, sin problemas ni dudas el mayor número de
virus posible.

Los usuarios más inexpertos probablemente no sepan
enfrentarse a las alarmas producidas por el análisis heurístico, por lo que en
todos los antivirus es posible realizar la exploración de las unidades de disco
sin dicha posibilidad. En tal caso será necesario conocer cuál es la
efectividad del producto prescindiendo de tal análisis.

Por este motivo, si nos basamos en técnicas tradicionales
como la búsqueda de cadenas y dejamos a un lado métodos heurísticos tenemos que
reconocer que el producto dominante es el antivirus Artemis Profesional 4.0,.
tras él, el conocido Scan de McAfee demuestra el porqué de su prestigio,
seguido muy de cerca por el F-Prot.

Virus nacionales

En todos los casos han sido los virus de procedencia de
nacional y aquellos de aparición más reciente los que han planteado mayores
problemas de identificación. Por este motivo, los productos Artemis y Anyware
(desarrollados por empresas Argentinas) no han fallado en la detección de
ingenios patrios como los virus Raquel, Maripuri, Mendoza, Diálogos, RNE,
Currante y nuevas mutaciones de Barrotes.

Los productos internacionales muestran buenos índices
globales de detección, aunque todos fallan al encontrarse con virus Argentinos.
Esta carencia, sin embargo, se ve solventada en los antivirus con análisis
heurístico, que si bien no son capaces de identificar el virus sí logran
detectar su presencia.

Inseguridad
Informática

El 5 de noviembre de 1988 quedó señalado para siempre en la
historia de la “inseguridad” informática. El personal que estaba
trabajando en los ordenadores de la Universidad de Cornell vieron sorprendidos
y asustados como sus computadoras, uno a uno e irremediablemente, quedaban
bloqueados. Estos eran los primeros síntomas de una terrible epidemia
“bloqueante” que atacó seguida y rápidamente a las Universidades de
Stanford, California, Princeton, al propio MIT, a la Rand Corporation, a la
NASA, hasta un total aproximado de 6.000 ordenadores, ¡6.000!, que
permanecieron inactivos durante dos o tres días, con un coste estimado de 96
millones de dólares (más de 10.000 millones de pesetas). Causa: un simple y
único gusano “worm“, activado sólo una vez, resultado de un
sencillo trabajo de autoprácticas de Robert T. Morris, “bienintencionado
einofensivo” estudiante de la Universidad de Cornell. Eficiencia
demostrada. Un solo Worm, 6.000 ordenadores inactivos, 96.000.000 de dólares de
pérdidas.

La epidemia vírica ha alcanzado en pocos años una magnitud
escalofriante. Según el experto virólogo Vesselin V. Bontchev, nacen cada día 2
o 3 virus.

Las amenazas a la informática no terminan con los virus. Los “hackers”
constituyen una potente fuerza de ataque a la seguridad informática. Personas
dotadas de probados conocimientos, utilizando tecnologías de alto nivel,
agrupados en clubes, celebrando Congresos Internacionales, con seminarios y
clases: su nivel de peligrosidad alcanza altísimos valores.

Fraudes, sabotajes, espionaje comercial e industrial,
vandalismo, terrorismo, desastres naturales como el fuego y el agua, amenazan
constantemente a nuestros sistemas de proceso de datos, convirtiendo a la
Seguridad Informática en un importantísimo objetivo a alcanzar en la empresa,
toda vez que está en peligro su más preciado tesoro: la información.

Por otra parte, las empresas han cambiado su estilo de
trabajo, apoyándose en y dependiendo fuertemente del sistema informático y de
las telecomunicaciones. La ofimática, las Bases de Datos corporativas o
distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de sistemas y
comunicaciones “trusted”, los sistemas distribuidos, etc., colocan a
la Seguridad Informática en la cúspide de los objetivos a alcanzar en la
empresa.

Si no existe seguridad no hay calidad en la Información, si
ésta no es segura, exacta, precisa y rabiosamente actual, es decir, si no es de
calidad, las operaciones y decisiones serán equivocadas y si éstas son erróneas
la empresa muere.

Anuncios
Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s