domingo, 25 de noviembre de 2012


LOS VIRUSDefinición de VirusLos Virus informáticos son programas de ordenador que se reproducen a sí mismos e interfieren con el hardware de una computadora o con susistema operativo (el software básico que controla la computadora). Los virus están diseñados para reproducirse y evitar su detección. Como cualquier otro programa informático, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informáticos nocivos similares a los virus, pero que no cumplen ambos requisitos de reproducirse y eludir su detección. Estos programas se dividen en tres categorías: Caballos de Troya, bombas lógicas y gusanos. Un caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos. Una bomba lógica libera su carga activa cuando se cumple una condición determinada, como cuando se alcanza una fecha u hora determinada o cuando se teclea una combinación de letras. Un gusano se limita a reproducirse, pero puede ocupar memoria de la computadora y hacer que sus procesos vayan más lentos.
Algunas de las características de estos agentes víricos:
  • Son programas de computadora: En informática programa es sinónimo de Software, es decir el conjunto de instrucciones que ejecuta un ordenador o computadora.
  • Es dañino: Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador.
  • Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Imaginemos que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más.
  • Es subrepticio: Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.
Las acciones de los virus son diversas, y en su mayoría inofensivas, aunque algunas pueden provocar efectos molestos y, en ciertos, casos un grave daño sobre la información, incluyendo pérdidas de datos. Hay virus que ni siquiera están diseñados para activarse, por lo que sólo ocupan espacio en disco, o en la memoria. Sin embargo, es recomendable y posible evitarlos.
Generalidades sobre los virus de computadorasLa primer aclaración que cabe es que los virus de computadoras, son simplemente programas, y como tales, hechos por programadores. Son programas que debido a sus características particulares, son especiales. Para hacer un virus de computadora, no se requiere capacitación especial, ni una genialidad significativa, sino conocimientos de lenguajes de programación, de algunos temas no difundidos para público en general y algunos conocimientos puntuales sobre el ambiente de programación y arquitectura de las computadoras.
En la vida diaria, más allá de las especificaciones técnicas, cuando un programa invade inadvertidamente el sistema, se replica sin conocimiento del usuario y produce daños, pérdida de información o fallas del sistema. Para el usuario se comportan como tales y funcionalmente lo son en realidad.
Los virus actúan enmascarados por "debajo" del sistema operativo, como regla general, y para actuar sobre los periféricos del sistema, tales como disco rígido, disqueteras, ZIP’s CD’s, hacen uso de sus propias rutinas aunque no exclusivamente. Un programa "normal" por llamarlo así, usa las rutinas del sistema operativo para acceder al control de los periféricos del sistema, y eso hace que el usuario sepa exactamente las operaciones que realiza, teniendo control sobre ellas. Los virus, por el contrario, para ocultarse a los ojos del usuario, tienen sus propias rutinas para conectarse con los periféricos de la computadora, lo que les garantiza cierto grado de inmunidad a los ojos del usuario, que no advierte su presencia, ya que el sistema operativo no refleja su actividad en la computadora. Esto no es una "regla", ya que ciertos virus, especialmente los que operan bajo Windows, usan rutinas y funciones operativas que se conocen como API’s. Windows, desarrollado con una arquitectura muy particular, debe su gran éxito a las rutinas y funciones que pone a disposición de los programadores y por cierto, también disponibles para los desarrolladores de virus. Una de las bases del poder destructivo de este tipo de programas radica en el uso de funciones de manera "sigilosa", se oculta a los ojos del usuario común.
La clave de los virus radica justamente en que son programas. Un virus para ser activado debe ser ejecutado y funcionar dentro del sistema al menos una vez. Demás está decir que los virus no "surgen" de las computadoras espontáneamente, sino que ingresan al sistema inadvertidamente para el usuario, y al ser ejecutados, se activan y actúan con la computadora huésped.
Los nuevos virus e InternetHasta la aparición del programa Microsoft Outlook, era imposible adquirir virus mediante el correo electrónico. Los e-mails no podían de ninguna manera infectar una computadora. Solamente si se adjuntaba un archivo susceptible de infección, se bajaba a la computadora, y se ejecutaba, podía ingresar un archivo infectado a la máquina. Esta paradisíaca condición cambió de pronto con las declaraciones de Padgett Peterson, miembro de Computer Antivirus Research Organization, el cual afirmó la posibilidad de introducir un virus en el disco duro del usuario de Windows 98 mediante elcorreo electrónico. Esto fue posible porque el gestor de correo Microsoft Outlook 97 es capaz de ejecutar programas escritos en Visual Basic para Aplicaciones (antes conocido como Visual Languaje, propiedad de Microsoft), algo que no sucedía en Windows 95. Esto fue negado por el gigante del software y se intentó ridiculizar a Peterson de diversas maneras a través de campañas de marketing, pero como sucede a veces, la verdad no siempre tiene que ser probada. A los pocos meses del anuncio, hizo su aparición un nuevo virus, llamado BubbleBoy, que infectaba computadoras a través del e-mail, aprovechándose del agujero anunciado por Peterson. Una nueva variedad de virus había nacido.
Para ser infectado por el BubbleBoy, sólo es necesario que el usuario reciba un mail infectado y tenga instalados Windows 98 y el programa gestor de correo Microsoft Outlook. La innovación tecnológica implementada por Microsoft y que permitiría mejoras en la gestión del correo, resultó una vez más en agujeros de seguridad que vulneraron las computadoras de desprevenidos usuarios.
Las mejoras que provienen de los lenguajes de macros de la familia Microsoft facilitan la presencia de "huecos" en los sistemas que permiten la creación de técnicas y herramientas aptas para la violación nuestros sistemas. La gran corriente de creación de virus de Word y Excel, conocidos como Macro-Virus, nació como consecuencia de la introducción del Lenguaje de Macros WordBasic (y su actual sucesor Visual Basic para Aplicaciones), en los paquetes de Microsoft Office. Actualmente los Macrovirus representan el 80 % del total de los virus que circulan por el mundo.
Hoy en día también existen archivos de páginas Web que pueden infectar una computadora. El boom de Internet ha permitido la propagación instantánea de virus a todas las fronteras, haciendo susceptible de ataques a cualquier usuario conectado. La red mundial de Internet debe ser considerada como una red insegura, susceptible de esparcir programas creados para aprovechar los huecos de seguridad de Windows y que faciliten el "implante" de los mismos en nuestros sistemas. Los virus pueden ser programados para analizar y enviar nuestra información a lugares remotos, y lo que es peor, de manera inadvertida. El protocolo TCP/IP, desarrollado por los creadores del concepto de Internet, es la herramienta más flexible creada hasta el momento; permite la conexión de cualquier computadora con cualquier sistema operativo. Este maravilloso protocolo, que controla la transferencia de la información, al mismo tiempo, vuelve sumamente vulnerable de violación a toda la red. Cualquier computadora conectada a la red, puede ser localizada y accedida remotamente si se siguen algunos caminos que no analizaremos por razones de seguridad. Lo cierto es que cualquierpersona con conocimientos de acceso al hardware por bajo nivel, pueden monitorear una computadora conectada a Internet. Durante la conexión es el momento en el que el sistema se vuelve vulnerable y puede ser "hackeado". Sólo es necesario introducir en el sistema un programa que permita "abrir la puerta" de la conexión para permitir el acceso del intruso o directamente el envío de la información contenida en nuestro disco. En realidad, hackear un sistema Windows es ridículamente fácil. La clave de todo es la introducción de tal programa, que puede enviarse en un archivo adjunto a un e-mail que ejecutamos, un disquete que recibimos y que contiene un programa con el virus, o quizá un simple e-mail. El concepto de virus debería ser ampliado a todos aquellos programas que de alguna manera crean nuevas puertas en nuestros sistemas que se activan durante la conexión a Internet para facilitar el acceso del intruso o enviar directamente nuestra información privada a usuarios en sitios remotos.
Entre los virus que más fuerte han azotado a la sociedad en los últimos dos años se pueden mencionar:
  • Sircam
  • Code Red
  • Nimda
  • Magistr
  • Melissa
  • Klez
  • LoveLetter
¿Cómo se producen las infecciones?Los virus informáticos se difunden cuando las instrucciones o código ejecutable que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través deredes informáticas. Estas infecciones son mucho más frecuentes en las computadoras que en sistemas profesionales de grandes ordenadores, porque los programas de las computadoras se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, ocurre lo mismo con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.
La propagación de los virus informáticos a las computadoras personales, servidores o equipo de computación se logra mediante distintas formas, como por ejemplo: a través de disquetes, cintas magnéticas, CD o cualquier otro medio de entrada de información. El método en que más ha proliferado la infección con virus es en las redes de comunicación y más tarde la Internet. Es con la Internet y especialmente el correo electrónico que millones de computadoras han sido afectadas creando pérdidas económicas incalculables.
Hay personas que piensan que con tan sólo estar navegando en la Internet no se van a contagiar porque no están bajando archivos a sus ordenadores, pero la verdad es que están muy equivocados. Hay algunas páginas en Internet que utilizan objetos ActiveX que son archivos ejecutables que el navegador de Internet va ejecutar en nuestras computadoras, si en el ActiveX se le codifica algún tipo de virus este va a pasar a nuestra computadoras con tan solo estar observando esa página.
Cuando uno esta recibiendo correos electrónicos, debe ser selectivo en los archivos que uno baja en nuestras computadoras. Es más seguro bajarlos directamente a nuestra computadora para luego revisarlos con un antivirus antes que ejecutarlos directamente de donde están. Un virus informáticopuede estar oculto en cualquier sitio, cuando un usuario ejecuta algún archivo con extensión .exe que es portador de un algún virus todas las instrucciones son leídas por la computadora y procesadas por ésta hasta que el virus es alojado en algún punto del disco duro o en la memoria del sistema. Luego ésta va pasando de archivo en archivo infectando todo a su alcance añadiéndole bytes adicionales a los demás archivos y contaminándolos con el virus. Los archivos que son infectados mayormente por los virus son tales cuyas extensiones son: .exe, .com, .bat, .sys, .pif, .dll y .drv.
ESTRATEGIAS DE INFECCIÓN USADAS POR LOS VIRUSAñadidura o empalmeEl código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.
InserciónEl código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.
ReorientaciónEs una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
PolimorfismoEste es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.
SustituciónEs el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.
ESPECIES DE VIRUSExisten seis categorías de virus: parásitos, del sector de arranque inicial, multipartitos, acompañantes, de vínculo y de fichero de datos. Los virus parásitos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren al huésped de tal forma que el código del virus se ejecuta en primer lugar. Estos virus pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria del ordenador e infecta un programa determinado cuando se ejecuta dicho programa. Los virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles. Los virus multipartitos combinan las capacidades de los virus parásitos y de sector de arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.
Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al sistema operativo para que lo ejecute. Los virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus. Otros virus infectan programas que contienen lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus, llamados virus de ficheros de datos, están escritos en lenguajes de macros y se ejecutan automáticamente cuando se abre el programa legítimo. Son independientes de la máquina y del sistema operativo.
Los virus se pueden clasificar de dos formas: Por su destino de infección y pos sus acciones o modo de activación.
VIRUS POR SU DESTINO DE INFECCIÓNInfectores de archivos ejecutables:Estos también residen en la memoria de la computadora e infectan archivos ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez, comparten con los virus de área de boot el estar en vías de extinción desde la llegada de sistemas operativos que reemplazan al viejo DOS. Los virus de infección de archivos se replican en la memoria toda vez que un archivo infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de haber sido activados, en ese caso se dice que son virus residentes, o pueden ser virus de acción directa, que evitan quedar residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado el programa infectado. Se dice que estos virus son virus de sobre escritura, ya que corrompen al fichero donde se ubican.
Virus multipartitos (Multi-partite):Una suma de los virus de área de boot y de los virus de infección de archivos, infectan archivos ejecutables y el área de booteo de discos.
Infectores directos:El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas).
Infectores residentes en memoria:El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción.
Infectores del sector de arranque:Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk" o "Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que parecen esconder estos virus, son de unaclase que está tendiendo a desaparecer, sobre todo desde la explosión de Internet, las redes y los sistemas operativos posteriores al DOS. Algunos virus de boot sector no infectan el sector de arranque del disco duro (conocido como MBR). Usualmente infectan sólo disquetes como se menciona anteriormente, pero pueden afectar también al Disco Rígido, CD, unidades ZIP, etc. Para erradicarlos, es necesario inicializar la Computadora desde un disquete sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector infectado con el sector de arranque original.
Macrovirus:Son los virus más populares de la actualidad. No se transmiten a través de archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros. Por ende, son específicos de cada aplicación, y no pueden afectar archivos de otro programa o archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete Office (Microsoft Word, Microsoft Excel, Microsoft PowerPoint, MicrosoftAccess) y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos (llamada en el Word normal.dot), de forma que sean infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-mails, etc. Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran variedad de acciones, con diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así:
  1. Se abre el archivo infectado, con lo cual se activa en memoria.
  1. Infecta sin que el usuario se dé cuenta al normal.dot, con eso se asegura que el usuario sea un reproductor del virus sin sospecharlo.
  1. Si está programado para eso, busca dentro de la Computadora los archivos de Word, Excel, etc., que puedan ser infectados y los infecta.
  1. Si está programado, verifica un evento de activación, que puede ser una fecha, y genera el problema dentro de la computadora (borrar archivos, destruir información, etc.)
De Actives Agents y Java AppletsEn 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página Web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión WWW de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio Web, etc.
De HTMLUn mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una página Web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Windows 98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.
Troyanos/WormsLos troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de auto reproducción, sino que generalmente son diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusión del virus. (Generalmente son enviados por e-mail). Los troyanos suelen ser promocionados desde alguna página Web poco confiable, por eso hay que tomar la precaución de bajar archivos ejecutables sólo de sitios conocidos y revisarlos con un antivirus antes de correrlos. Pueden ser programados de tal forma que una vez logre su objetivo se autodestruya dejando todo como si nunca nada hubiese ocurrido.
VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIÓNBombas:Se denomina así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso, etc.
Retro VirusSon los virus que atacan directamente al antivirus que está en la computadora. Generalmente lo que hace es que busca las tablas de las definiciones de virus del antivirus y las destruye.
Virus lentos:Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el sistema operativo, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .exe y .com cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.
Virus voracesAlteran el contenido de los archivos indiscriminadamente. Este tipo de virus lo que hace es que cambia el archivo ejecutable por su propio archivo. Se dedican a destruir completamente los datos que estén a su alcance.
Sigilosos o StealthEste virus cuenta con un módulo de defensa sofisticado. Trabaja a la par con el sistema operativo viendo como este hace las cosas y tapando y ocultando todo lo que va editando a su paso. Trabaja en el sector de arranque de la computadora y engaña al sistema operativo haciéndole creer que los archivos infectados que se le verifica el tamaño de bytes no han sufrido ningún aumento en tamaño.
Polimorfos o MutantesEncripta todas sus instrucciones para que no pueda ser detectado fácilmente. Solamente deja sin encriptar aquellas instrucciones necesarias para ejecutar el virus. Este virus cada vez que contagia algo cambia de forma para hacer de las suyas libremente. Los antivirus normales hay veces que no detectan este tipo de virus y hay que crear programas específicamente (como son las vacunas) para erradicar dichos virus.
Camaleones:
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.
Reproductores:Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms):Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de computadora en computadora, sin dañar necesariamente el hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Más allá de los problemas de espacio o tiempo que puedan generar, los gusanos no están diseñados para perpetrar daños graves.
Backdoors:
Son también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente la computadora infectada. Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo ve en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la computadora infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.
"Virus" Bug-Ware:Son programas que en realidad no fueron pensados para ser virus, sino para realizar funciones concretas dentro del sistema, pero debido a una deficiente comprobación de errores por parte del programador, o por una programación confusa que ha tornado desordenado al código final, provocan daños al hardware o al software del sistema. Los usuarios finales, tienden a creer que los daños producidos en sus sistemas son producto de la actividad de algún virus, cuando en realidad son producidos por estos programas defectuosos. Los programas bug-ware no son en absoluto virus informáticos, sino fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador. En realidad son programas con errores, pero funcionalmente el resultado es semejante al de los virus.
Virus de MIRC:Al igual que los bug-ware y los mail-bombers, no son considerados virus. Son una nueva generación de programas que infectan las computadoras, aprovechando las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobre escriba con el "script.ini" maligno. Los autores de ese script acceden de ese modo a información privada de la computadora, como el archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
Virus Falsos (Hoax):Un último grupo, que decididamente no puede ser considerado virus. Se trata de las cadenas de e-mails que generalmente anuncian la amenaza de algún virus "peligrosísimo" (que nunca existe, por supuesto) y que por temor, o con la intención de prevenir a otros, se envían y re-envían incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico de información innecesaria.
TÉCNICAS DE PROGRAMACIÓN DE VIRUSLos programadores de virus utilizan diversas técnicas de programación que tienen por fin ocultar a los ojos del usuario la presencia del virus, favorecer su reproducción y por ello a menudo también tienden a ocultarse de los antivirus. A continuación se citan las técnicas más conocidas:
  • Stealth: Técnica de ocultación utilizada para esconder los signos visibles de la infección que podrían delatar su presencia. Sus características son:
  • Mantienen la fecha original del archivo.
  • Evitan que se muestren los errores de escritura cuando el virus intenta escribir en discos protegidos.
  • Restar el tamaño del virus a los archivos infectados cuando se hace un DIR.
  • Modificar directamente la FAT.
  • Modifican la tabla de vectores de interrupción (IVT).
  • Se instalan en los buffers del DOS.
  • Se instalan por encima de los 640 KB normales del DOS.
  • Soportan la reinicializacion del sistema por teclado.
  • Encriptación o auto encriptación: Técnica de ocultación que permite la encriptación del código del virus y que tiene por fin enmascarar su código viral y sus acciones en el sistema. Por este método los virus generan un código que dificulta la detección por los antivirus.
  • Anti-debuggers: Es una técnica de protección que tiende a evitar ser desensamblado para dificultar su análisis, paso necesario para generar una "vacuna" para el antivirus.
  • Polimorfismo: Es una técnica que impide su detección, por la cual varían el método de encriptación de copia en copia, obligando a los antivirus a usar técnicas heurísticas. Debido a que el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código, tal cual hace la técnica de escaneo. Esto se consigue utilizando un algoritmo de encriptación que de todos modos, no puede codificar todo el código del virus. Una parte del código del virus queda inmutable y es el que resulta vulnerable y propicio para ser detectado por los antivirus. La forma más utilizada para la codificación es la operación lógica XOR, debido a que es reversible: En cada operación se hace necesaria una clave, pero por lo general, usan una clave distinta en cada infección, por lo que se obtiene una codificación también distinta. Otra forma muy usada para generar un virus polimórfico consiste en sumar un número fijo a cada byte del código vírico.
  • Tunneling: Es una técnica de evasión que tiende a burlar los módulos residentes de los antivirus mediante punteros directos a los vectores de interrupción. Es altamente compleja, ya que requiere colocar al procesador en modo paso a paso, de tal manera que al ejecutarse cada instrucción, se produce la interrupción 1, para la cual el virus ha colocado una ISR (interrupt Service Routine), ejecutándose instrucciones y comprobándose si se ha llegado a donde se quería hasta recorrer toda la cadena de ISR’s que halla colocando el parche al final de la cadena.
  • Residentes en Memoria o TSR: Algunos virus permanecen en la memoria de las computadoras para mantener el control de todas las actividades del sistema y contaminar todos los archivos que puedan. A través de esta técnica permanecen en memoria mientras la computadora permanezca encendida. Para logra este fin, una de las primeras cosas que hacen estos virus, es contaminar los ficheros de arranque del sistema para asegurar su propia ejecución al ser encendido el equipo, permaneciendo siempre cargado en RAM.
¿CÓMO SABER SI TENEMOS UN VIRUS?La mejor forma de detectar un virus es, obviamente con un antivirus, pero en ocasiones los antivirus pueden fallar en la detección. Puede ser que no detectemos nada y aún seguir con problemas. En esos casos "difíciles", entramos en terreno delicado y ya es conveniente la presencia de un técnico programador. Muchas veces las fallas atribuidas a virus son en realidad fallas de hardware y es muy importante que la persona que verifique el equipo tenga profundos conocimientos de arquitectura de equipos, software, virus, placas de hardware, conflictos de hardware, conflictos de programas entre sí y bugs o fallas conocidas de los programas o por lo menos de los programas más importantes. Las modificaciones del Setup, cambios de configuración de Windows, actualización de drivers, fallas de RAM, instalaciones abortadas, rutinas de programas con errores y aún oscilaciones en la línea dealimentación del equipo pueden generar errores y algunos de estos síntomas. Todos esos aspectos deben ser analizados y descartados para llegar a la conclusión que la falla proviene de un virus no detectado o un virus nuevo aún no incluido en las bases de datos de los antivirus más importantes.
Aquí se mencionan algunos de los síntomas posibles:
  • Reducción del espacio libre en la memoria RAM: Un virus, al entrar al sistema, se sitúa en la memoria RAM, ocupando una porción de ella. El tamaño útil y operativo de la memoria se reduce en la misma cuantía que tiene el código del virus. Siempre en el análisis de una posible infección es muy valioso contar con parámetros de comparación antes y después de la posible infección. Por razones prácticas casi nadie analiza detalladamente su computadora en condiciones normales y por ello casi nunca se cuentan con patrones antes de una infección, pero sí es posible analizar estos patrones al arrancar una computadora con la posible infección y analizar la memoria arrancando el sistema desde un disco libre de infección.
  • Las operaciones rutinarias se realizan con más lentitud: Obviamente los virus son programas, y como tales requieren de recursos del sistema para funcionar y su ejecución, más al ser repetitiva, llevan a un enlentecimiento global en las operaciones.
  • Aparición de programas residentes en memoria desconocidos: El código viral, como ya dijimos, ocupa parte de la RAM y debe quedar "colgado" de la memoria para activarse cuando sea necesario. Esa porción de código que queda en RAM, se llama residente y con algún utilitario que analice la RAM puede ser descubierto. Aquí también es valioso comparar antes y después de la infección o arrancando desde un disco "limpio".
  • Tiempos de carga mayores: Corresponde al enlentecimiento global del sistema, en el cual todas las operaciones se demoran más de lo habitual.
  • Aparición de mensajes de error no comunes: En mayor o menor medida, todos los virus, al igual que programas residentes comunes, tienen una tendencia a "colisionar" con otras aplicaciones. Aplique aquí también el análisis pre / post-infección.
  • Fallos en la ejecución de los programas: Programas que normalmente funcionaban bien, comienzan a fallar y generar errores durante la sesión.
¿QUE MEDIDAS DE PROTECCIÓN RESULTAN EFECTIVAS?Obviamente, la mejor y más efectiva medida es adquirir un antivirus, mantenerlo actualizado y tratar de mantenerse informado sobre las nuevas técnicas de protección y programación de virus. Gracias a Internet es posible mantenerse al tanto a través de servicios gratuitos y pagos de información y seguridad. Hay innumerables boletines electrónicos de alerta y seguridad que advierten sobre posibles infecciones de mejor o menor calidad. Existen herramientas, puede decirse indispensables para aquellos que tienen conexiones prolongadas a Internet que tienden a proteger al usuario no sólo detectando posibles intrusiones dentro del sistema, sino chequeando constantemente el sistema, a modo de verdaderos escudos de protección. Hay herramientas especiales para ciertos tipos de virus, como por ejemplo protectores especiales contra el Back Oriffice, que certifican la limpieza del sistema o directamente remueven el virus del registro del sistema.
FORMAS DE PREVENCIÓN Y ELIMINACIÓN DEL VIRUSCopias de seguridadRealice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas.
Copias de programas originalesNo instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones.
No acepte copias de origen dudosoEvite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido.
Utilice contraseñasPonga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
AntivirusTenga siempre instalado un antivirus en su computadora, como medida general analice todos los discos que desee instalar. Si detecta algún virus elimine la instalación lo antes posible.
Actualice periódicamente su antivirusUn antivirus que no esté actualizado puede ser completamente inútil. Todos los antivirus existentes en el mercado permanecen residentes en la computadora para controlar todas las operaciones de ejecución y transferencia de ficheros analizando cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.

DEFINICIONES ANTIVIRUSLos archivos de definiciones antivirus son fundamentales para que el método de identificación sea efectivo. Los virus que alcanzaron una considerable dispersión pueden llegar a ser analizados por los ingenieros especialistas en virus de algunas de las compañías antivirus, que mantendrán actualizadas las definiciones permitiendo así que las medidas de protección avancen casi al mismo paso en que lo hacen los virus.
Un antivirus que no esté actualizado puede resultar poco útil en sistemas que corren el riesgo de recibir ataques de virus nuevos (como organismos gubernamentales o empresas de tecnología de punta), y están reduciendo en un porcentaje bastante alto la posibilidad de protección. La actualización también puede venir por dos lados: actualizar el programa completo o actualizar las definiciones antivirus. Si contamos con un antivirus que posea técnicas de detección avanzadas, posibilidad de análisis heurístico, protección residente en memoria de cualquiera de las partes sensibles de una unidad de almacenamiento, verificador de integridad, etc., estaremos bien protegidos para empezar. Una actualización del programa sería realmente justificable en caso de que incorpore algún nuevo método que realmente influye en la erradicación contra los virus. Sería importante también analizar el impacto económico que conllevará para nuestra empresa, ya que sería totalmente inútil tener el mejor antivirus y preocuparse por actualizar sus definiciones diarias por medio de Internet si nuestra red ni siquiera tiene acceso a la Web, tampoco acceso remoto de usuarios y el único intercambio de información es entre empleados que trabajan con un paquete de aplicaciones de oficina sin ningún contenido de macros o programación que de lugar a posibles infecciones.
ESTRATEGIA DE SEGURIDAD CONTRA LOS VIRUSEn la problemática que nos ocupa, poseer un antivirus y saber cómo utilizarlo es la primera medida que debería tomarse. Pero no será totalmente efectiva si no va acompañada por conductas que el usuario debe respetar. La educación y la información son el mejor método para protegerse.
El usuario debe saber que un virus informático es un programa de computadora que posee ciertas características que lo diferencian de un programa común, y se infiltra en las computadoras de forma furtiva y sin ninguna autorización. Como cualquier otro programa necesitará un medio físico para transmitirse, de ninguna manera puede volar por el aire como un virus biológico, por lo tanto lo que nosotros hagamos para el transporte de nuestra información debemos saber que resulta un excelente medio aprovechable por los virus. Cualquier puerta que nosotros utilicemos para comunicarnos es una posible vía de ingreso de virus, ya sea una disquetera, una lectora de CD-ROM, un módem con conexión a Internet, la placa que nos conecta a la red de la empresa, los nuevos puertos ultrarrápidos (USB y FireWire) que nos permiten conectar dispositivos de almacenamiento externos como unidades Zip, Jazz, HDDs, etc.
Viendo que un virus puede atacar nuestro sistema desde cualquier ángulo, no podríamos dejar de utilizar estos dispositivos solo porque sean una vía de entrada viral (ya que deberíamos dejar de utilizarlos a todos), cualquiera de las soluciones que planteemos no será cien por ciento efectiva pero contribuirá enormemente en la protección y estando bien informados evitaremos crear pánico en una situación de infección.
Una forma bastante buena de comprobar la infección en un archivo ejecutable es mediante la verificación de integridad. Con esta técnica estaremosseguros que cualquier intento de modificación del código de un archivo será evitado o, en última instancia, sabremos que fue modificado y podremos tomar alguna medida al respecto (como eliminar el archivo y restaurarlo desde la copia de respaldo). Es importante la frecuencia con la que se revise la integridad de los archivos. Para un sistema grande con acceso a redes externas sería conveniente una verificación semanal o tal vez menor por parte de cada uno de los usuarios en sus computadoras. Un ruteador no tiene manera de determinar si un virus está ingresando a la red de la empresa porque los paquetes individuales no son suficiente cómo para detectar a un virus. En el caso de un archivo que se baja de Internet, éste debería almacenarse en algún directorio de un servidor y verificarse con la técnica de scanning, recién entonces habría que determinar si es un archivo apto para enviar a una estación de trabajo.
La mayoría de los firewall que se venden en el mercado incorporan sistemas antivirus. También incluyen sistemas de monitorización de integridad que le permiten visualizar los cambios de los archivos y sistema todo en tiempo real. La información en tiempo real le puede ayudar a detener un virus que está intentando infectar el sistema.
En cuanto a los virus multipartitos estaremos cubiertos si tomamos especial cuidado del uso de los disquetes. Estos no deben dejarse jamás en la disquetera cuando no se los está usando y menos aún durante el arranque de la máquina. Una medida acertada es modificar la secuencia de booteo modificando el BIOS desde el programa Setup para que se intente arrancar primero desde la unidad de disco rígido y en su defecto desde la disquetera. Los discos de arranque del sistema deben crearse en máquinas en las que sabemos que están libres de virus y deben estar protegidos por la muesca de sólo lectura.
El sistema antivirus debe ser adecuado para el sistema. Debe poder escanear unidades de red si es que contamos con una, proveer análisis heurístico y debe tener la capacidad de chequear la integridad de sus propios archivos como método de defensa contra los retro-virus. Es muy importante cómo el antivirus guarda el archivo de definiciones de virus. Debe estar protegido contra sobreescrituras, encriptado para que no se conozca su contenido y oculto en el directorio (o en su defecto estar fragmentado y cambiar periódicamente su nombre). Esto es para que los virus no reconozcan con certeza cuál es el archivo de definiciones y dejen imposibilitado al programa antivirus de identificar con quien está tratando.
Regularmente deberemos iniciar la máquina con nuestro disquete limpio de arranque del sistema operativo y escanear las unidades de disco rígido con unos disquetes que contengan el programa antivirus. Si este programa es demasiado extenso podemos correrlo desde la lectora de CD-ROM, siempre y cuando la hayamos configurado previamente. Este último método puede complicar a más de una de las antiguas computadoras. Las nuevas máquinas de factor ATX incluso nos permiten bootear desde una lectora de CD-ROM, que no tendrán problemas en reconocer ya que la mayoría trae sus drivers en firmware. Si no se cuenta con alguna de estas nuevas tecnologías simplemente podemos utilizar un disco de inicio de Windows 98 (sistema bastante popular hoy en día) que nos da la posibilidad de habilitar la utilización de la lectora para luego poder utilizarla con una letra de unidad convencional.
El módulo residente en memoria del antivirus es fundamental para la protección de virus que están intentando entrar en nuestro sistema. Debe ser apto para nuestro tipo de sistema operativo y también debe estar correctamente configurado. Los antivirus actuales poseen muchas opciones configurables en las que deberá fijarse el residente. Cabe recordar que mientras más de estas seleccionemos la performance del sistema se verá mayormente afectada. Adoptar una política de seguridad no implica velocidad en los trabajos que realicemos.
El usuario hogareño debe acostumbrarse a realizar copias de respaldo de su sistema. Existen aplicaciones que nos permitirán con mucha facilidad realizar copias de seguridad de nuestros datos (también podemos optar por hacer sencillos archivos zipeados de nuestros datos y copiarlos en un disquete). Otras, como las utilidades para Windows 9x de Norton permiten crear disquetes de emergencia para arranque de MS-DOS y restauración de todos los archivos del sistema (totalmente seleccionables). Si contamos con una unidad de discos Zip podemos extender las posibilidades y lograr que todo el sistema Windows se restaure después de algún problema.
Estos discos Zip son igualmente útiles para las empresas, aunque quizás estas prefieran optar por una regrabadora de CD-R’s, que ofrece mayor capacidad de almacenamiento, velocidad de grabación, confiabilidad y los discos podrán ser leídos en cualquier lectora de CD-ROM actual.
Una persona responsable de la seguridad informática de la empresa debería documentar un plan de contingencia en el que se explique en pasos perfectamente entendibles para el usuario cómo debería actuar ante un problema de estos. Las normas que allí figuren pueden apuntar a mantener la operatividad del sistema y, en caso de que el problema pase a mayores, debería privilegiarse la recuperación de la información por un experto en el tema.
No se deberían instalar programas que no sean originales o que no cuenten con su correspondiente licencia de uso.
En el sistema de red de la empresa podría resultar adecuado quitar las disqueteras de las computadoras de los usuarios. Así se estaría removiendo una importante fuente de ingreso de virus. Los archivos con los que trabajen los empleados podrían entrar, por ejemplo, vía correo electrónico, indicándole a nuestro proveedor de correo electrónico que verifique todos los archivos en busca de virus mientras aún se encuentran en su servidor y los elimine si fuera necesario.
Los programas freeware, shareware, trial, o de cualquier otro tipo de distribución que sean bajados de Internet deberán ser escaneados antes de su ejecución. La descarga deberá ser sólo de sitios en los que se confía. La autorización de instalación de programas deberá determinarse por eladministrador siempre y cuando este quiera mantener un sistema libre de "entes extraños" sobre los que no tiene control. Es una medida adecuada para sistemas grandes en donde los administradores ni siquiera conocen la cara de los usuarios.
Cualquier programa de fuente desconocida que el usuario quiera instalar debe ser correctamente revisado. Si un grupo de usuarios trabaja con unautilidad que no está instalada en la oficina, el administrador deberá determinar si instala esa aplicación en el servidor y les da acceso a ese grupo de usuarios, siempre y cuando el programa no signifique un riesgo para la seguridad del sistema. Nunca debería priorizarse lo que el usuario quiere frente a lo que el sistema necesita para mantenerse seguro.
Ningún usuario no autorizado debería acercarse a las estaciones de trabajo. Esto puede significar que el intruso porte un disquete infectado que deje en cualquiera de las disqueteras de un usuario descuidado. Todas las computadoras deben tener el par ID de usuario y contraseña.
Nunca dejar disquetes en la disquetera durante el encendido de la computadora. Tampoco utilizar disquetes de fuentes no confiables o los que no haya creado uno mismo. Cada disquete que se vaya a utilizar debe pasar primero por un detector de virus.
Si el disquete no lo usaremos para grabar información, sino más que para leer, deberíamos protegerlo contra escritura activando la muesca de protección. La protección de escritura estará activada cuando al intentar ver el disco a tras luz veamos dos pequeños orificios cuadrados en la parte inferior.
TÁCTICAS ANTIVÍRICASPreparación y prevenciónLos usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobrescribir el disco. Las infecciones virales se pueden prevenir obteniendo los programas de fuentes legítimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible.
Detección de virusPara detectar la presencia de un virus se pueden emplear varios tipos de programas antivíricos. Los programas de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables.
Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca.
Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobre escritura de ficheros informáticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.
Contención y recuperaciónUna vez detectada una infección viral, ésta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios. Se obtienen resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de arranque inicial.
MEDIDAS ANTIVIRUSNadie que usa computadoras es inmune a los virus de computación. Un programa antivirus por muy bueno que sea se vuelve obsoleto muy rápidamente ante los nuevos virus que aparecen día a día.
Algunas medidas antivirus son:
  • Desactivar arranque desde disquete en el CETUR para que no se ejecuten virus de boot.
  • Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.
  • Actualizar el antivirus.
  • Activar la protección contra macro virus del Word y el Excel.
  • Ser cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio es seguro)
  • No envíe su información personal ni financiera a menos que sepa quien se la solicita y que sea necesaria para la transacción.
  • No comparta discos con otros usuarios.
  • No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otros.
  • Enseñe a sus niños las prácticas de seguridad, sobre todo la entrega de información.
  • Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL
  • Proteja contra escritura el archivo Normal.dot
  • Distribuya archivos RTF en vez de documentos.
  • Realice backups
¿CÓMO PUEDO ELABORAR UN PROTOCOLO DE SEGURIDAD ANTIVIRUS?La forma más segura, eficiente y efectiva de evitar virus, consiste en elaborar un protocolo de seguridad para sus computadoras. Un protocolo de seguridad consiste en una serie de pasos que el usuario debe seguir con el fin de crear un hábito al operar normalmente con programas y archivos en sus computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de conducta y le permite operar con seguridad su computadora aún cuando momentáneamente esté desactivado o desactualizado su antivirus.
Un protocolo de seguridad antivirus debe cumplir ciertos requisitos para que pueda ser cumplido por el operador en primer término, y efectivo en segundo lugar. Demás está decir que el protocolo puede ser muy efectivo pero sí es complicado, no será puesto en funcionamiento nunca por el operador. Este es un protocolo sencillo, que ayuda a mantener nuestra computadora libre de virus. No se incluyen medidas de protección en caso de un sistema de red, ya que se deberían cumplir otros requisitos que no son contemplados aquí:
  • Instalar el antivirus y asegurar cada 15 días su actualización.
  • Chequear los CD’s ingresados en nuestra computadora sólo una vez, al comprarlos o adquirirlos y diferenciarlos de los no analizados con un marcador para certificar el chequeo. Esto sólo es válido en el caso de que nuestros CD’s no sean procesados en otras computadora (préstamos a los amigos) y sean regrabables. En caso de que sean regrabables y los prestemos, deberemos revisarlos cada vez que regresen a nosotros.
  • Formatear todo disquete virgen que compremos, sin importar si son formateados de fábrica, ya que pueden "colarse" virus aún desde el proceso del fabricante. El formateo debe ser del tipo Formateo del DOS, no formateo rápido.
  • Chequear todo disquete que provenga del exterior, es decir que no haya estado bajo nuestro control, o que haya sido ingresado en la disquetera de otra computadora. Si ingresamos nuestros disquetes en otras computadoras, asegurarnos de que estén protegidos contra escritura.
  • Si nos entregan un disquete y nos dicen que está revisado, no confiar nunca en los procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos si esa persona sabe operar correctamente su antivirus. Puede haber chequeado sólo un tipo de virus y dejar otros sin controlar durante su escaneo, o puede tener un módulo residente que es menos efectivo que nuestro antivirus, o puede tener un antivirus viejo.
  • Para bajar páginas de Internet, archivos, ejecutables, etc., definir siempre en nuestra computadora una carpeta o directorio para recibir el material. De este modo sabemos que todo lo que bajemos de Internet siempre estará en una sola carpeta.
  • Nunca ejecutar o abrir antes del escaneo ningún fichero o programa que esté en esa carpeta. 
  • Nunca abrir un atachado a un e-mail sin antes chequearlo con nuestro antivirus. Si el atachado es de un desconocido que no nos avisó previamente del envío del material, directamente borrarlo sin abrir.
  • Al actualizar el antivirus, chequear nuestra computadora completamente. En caso de detectar un virus, proceder a chequear todos nuestros soportes (disquetes, CD’s, ZIP’s, etc.)
  • Si por nuestras actividades generamos grandes bibliotecas de disquetes conteniendo información, al guardar los disquetes en la biblioteca, chequearlos por última vez, protegerlos contra escritura y fecharlos para saber cuándo fue el último escaneo.
  • Haga el backup periódico de sus archivos. Una vez cada 15 días es lo mínimo recomendable para un usuario doméstico. Si usa con fines profesionales su computadora, debe hacer backup parcial de archivos cada 48 horas como mínimo.
  • Llamamos backup parcial de archivos a la copia en disquete de los documentos que graba, un documento de Word, por ejemplo. Al terminarlo, grábelo en su carpeta de archivos y cópielo a un disquete. Esa es una manera natural de hacer backup constantes. Si no hace eso, tendrá que hacer backups totales del disco rígido cada semana o cada 15 días, y eso sí realmente es un fastidio.
Este es el punto más conflictivo y que se debe mencionar a consecuencia de la proliferación de virus de e-mails. A pesar de las dificultades que puede significar aprender a usar nuevos programas, lo aconsejable es evitar el uso de programas de correo electrónico que operen con lenguajes de macros o programados con Visual Basic For Applications. Del mismo modo, considere el uso de navegadores alternativos, aunque esta apreciación no es tan contundente como con los programas de correo electrónico.
Si bien puede parecer algo complicado al principio, un protocolo de este tipo se hace natural cuando el usuario se acostumbra. El primer problema grave de los virus es el desconocimiento de su acción y alcances. Si el protocolo le parece complicado e impracticable, comprenda que al igual que una herramienta, la computadora puede manejarse sin el manual de instrucciones y sin protocolos, pero la mejor manera de aprovechar una herramienta es leer el manual (protocolo) y aprovechar todas las características que ella le ofrece. Si usted no sigue un protocolo de seguridad siempre estará a merced de los virus.
CONCLUSIONESUn virus es un programa pensado para poder reproducirse y replicarse por sí mismo, introduciéndose en otros programas ejecutables o en zonas reservadas del disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un daño importante en el ordenador donde actúan. Pueden permanecer inactivos sin causar daños tales como el formateo de los discos, la destrucción de ficheros, etc. Como vimos a lo largo del trabajo los virus informáticos no son un simple riesgo de seguridad. Existen miles de programadores en el mundo que se dedican a esta actividad con motivaciones propias y diversas e infunden millones de dólares al año en gastos de seguridad para las empresas. El verdadero peligro de los virus es su forma de ataque indiscriminado contra cualquier sistema informático, cosa que resulta realmente crítica en entornos dónde máquinas y humanos interactúan directamente.
Es muy difícil prever la propagación de los virus y que máquina intentarán infectar, de ahí la importancia de saber cómo funcionan típicamente y tener en cuenta los métodos de protección adecuados para evitarlos.
A medida que las tecnologías evolucionan van apareciendo nuevos estándares y acuerdos entre compañías que pretenden compatibilizar los distintos productos en el mercado. Como ejemplo podemos nombrar la incorporación de Visual Basic para Aplicaciones en el paquete Office y en muchos otros nuevos programas de empresas como AutoCAD, Corel, Adobe. Con el tiempo esto permitirá que con algunas modificaciones de código un virus pueda servir para cualquiera de los demás programas, incrementando aún más los potenciales focos de infección.
La mejor forma de controlar una infección es mediante la educación previa de los usuarios del sistema. Es importante saber qué hacer en el momento justo para frenar un avance que podría extenderse a mayores. Como toda otra instancia de educación será necesario mantenerse actualizado e informado de los últimos avances en el tema, leyendo noticias, suscribiéndose a foros de discusión, leyendo páginas Web especializadas, etc

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)