Monografias.com > Computación > Software
Descargar Imprimir Comentar Ver trabajos relacionados

Estudio sobre virus informáticos




Enviado por manson



    1. Uno de los cambios más sorprendentes del
      mundo de hoy es la rapidez de las comunicaciones. Modernos sistemas
      permiten que el flujo de conocimientos sea independiente del
      lugar físico en que nos encontremos. Ya no nos
      sorprende la transferencia de información en tiempo real o
      instantáneo. Se dice que el
      conocimiento es poder;
      para adquirirlo, las empresas se
      han unido en grandes redes internacionales
      para transferir datos,
      sonidos e imágenes, y realizan el comercio
      en forma electrónica, para ser más
      eficientes. Pero al unirse en forma pública, se han
      vuelto vulnerables, pues cada sistema de
      computadoras involucrado en la red es un blanco
      potencial y apetecible para obtener información.

      El escenario electrónico actual es que las
      organizaciones están uniendo sus
      redes
      internas a la Internet, la
      que crece a razón de más de un 10% mensual. Al
      unir una red a la Internet se
      tiene acceso a las redes de otras organizaciones también unidas. De la
      misma forma en que accedemos la oficina del
      frente de nuestra empresa, se
      puede recibir información de un servidor en
      Australia, conectarnos a una supercomputadora en Washington o
      revisar la literatura
      disponible desde Alemania.
      Del universo de
      varias decenas de millones de computadoras interconectadas, no es
      difícil pensar que puede haber más de una
      persona con
      perversas intenciones respecto de una organización. Por eso, se debe tener la
      red protegida
      adecuadamente.

      Cada vez es más frecuente encontrar noticias
      referentes a que redes de importantes
      organizaciones han sido violadas por
      criminales informáticos desconocidos. A pesar de que
      la prensa ha
      publicitado que tales intrusiones son solamente obra de
      adolescentes con propósitos de
      entretenerse o de jugar, ya no se trata de un incidente
      aislado de una desafortunada institución. A diario se
      reciben reportes los ataques a redes
      informáticas, los que se han vuelto cada vez
      más siniestros: los archivos son
      alterados subrepticiamente, las computadoras se vuelven inoperativas, se ha
      copiado información confidencial sin
      autorización, se ha reemplazado el software para
      agregar "puertas traseras" de entrada, y miles de
      contraseñas han sido capturadas a usuarios
      inocentes.

      Los administradores de sistemas
      deben gastar horas y a veces días enteros volviendo a
      cargar o reconfigurando sistemas
      comprometidos, con el objeto de recuperar la confianza en la
      integridad del sistema.
      No hay manera de saber los motivos que tuvo el intruso, y
      debe suponerse que sus intenciones son lo peor. Aquella gente
      que irrumpe en los sistemas
      sin autorización, aunque sea solamente para mirar su
      estructura, causa mucho daño, incluso
      sin que hubieran leído la correspondencia confidencial
      y sin borrar ningún archivo.

      Uno de los cambios más sorprendentes del
      mundo de hoy es la rapidez de las comunicaciones. Modernos sistemas
      permiten que el flujo de conocimientos sea independiente del
      lugar físico en que nos encontremos. Ya no nos
      sorprende la transferencia de información en tiempo real o
      instantáneo. Se dice que el
      conocimiento es poder;
      para adquirirlo, las empresas se
      han unido en grandes redes internacionales para transferir
      datos,
      sonidos e imágenes, y realizan el comercio
      en forma electrónica, para ser más
      eficientes. Pero al unirse en forma pública, se han
      vuelto vulnerables, pues cada sistema de
      computadoras involucrado en la red es un blanco
      potencial y apetecible para obtener
      información.

      El escenario electrónico actual es que las
      organizaciones están uniendo sus redes
      internas a la Internet, la
      que crece a razón de más de un 10%
      mensual.

      Al unir una red a la Internet se
      tiene acceso a las redes de otras organizaciones también unidas. De la
      misma forma en que accedemos la oficina del
      frente de nuestra empresa, se
      puede recibir información de un servidor en
      Australia, conectarnos a una supercomputadora en Washington o
      revisar la literatura
      disponible desde Alemania.
      Del universo de
      varias decenas de millones de computadoras interconectadas, no es
      difícil pensar que puede haber más de una
      persona con
      perversas intenciones respecto de una organización. Por eso, se debe tener
      nuestra red protegida adecuadamente.

      Cada vez es más frecuente encontrar noticias
      referentes a que redes de importantes organizaciones han sido
      violadas por criminales informáticos desconocidos. A
      pesar de que la prensa ha
      publicitado que tales intrusiones son solamente obra de
      adolescentes con propósitos de
      entretenerse o de jugar, ya no se trata de un incidente
      aislado de una desafortunada institución. A diario se
      reciben reportes los ataques a redes informáticas, los
      que se han vuelto cada vez más siniestros: los
      archivos
      son alterados subrepticiamente, las computadoras se vuelven
      inoperativas, se ha copiado información confidencial
      sin autorización, se ha reemplazado el software para
      agregar "puertas traseras" de entrada, y miles de
      contraseñas han sido capturadas a usuarios
      inocentes.

      Los administradores de sistemas deben gastar horas y
      a veces días enteros volviendo a cargar o
      reconfigurando sistemas comprometidos, con el objeto de
      recuperar la confianza en la integridad del sistema.
      No hay manera de saber los motivos que tuvo el intruso, y
      debe suponerse que sus intenciones son lo peor. Aquella gente
      que irrumpe en los sistemas sin autorización, aunque
      sea solamente para mirar su estructura, causa mucho daño, incluso
      sin que hubieran leído la correspondencia confidencial
      y sin borrar ningún archivo.

      De acuerdo a un estudio de la Consultora "Ernst and
      Young" abarcando más de mil empresas, un
      20% reporta pérdidas financieras como consecuencia de
      intrusiones en sus computadoras (Technology Review, Abril 95,
      pg.33). Ya pasaron los tiempos en que la seguridad
      de las computadoras era sólo un juego o
      diversión.

    2. EL NUEVO ESCENARIO
      INFORMATICO.
    3. ¿CÓMO NACIERON LOS VIRUS?.

    Hacia finales de los años 60, Douglas McIlory,
    Victor Vysottsky y Robert Morris idearon un juego al que
    llamaron Core War (Guerra en lo
    Central, aludiendo a la memoria
    de la
    computadora), que se convirtió en el pasatiempo de
    algunos de los programadores de los laboratorios Bell de
    AT&T.

    El juego
    consistía en que dos jugadores escribieran cada uno un
    programa
    llamado organismo, cuyo hábitat fuera la memoria
    de la
    computadora. A partir de una señal, cada programa
    intentaba forzar al otro a efectuar una instrucción
    inválida, ganando el primero que lo
    consiguiera.

    Al término del juego, se
    borraba de la memoria
    todo rastro de la batalla, ya que estas actividades eran
    severamente sancionadas por los jefes por ser un gran riesgo dejar un
    organismo suelto que pudiera acabar con las aplicaciones
    del día siguiente. De esta manera surgieron los programas
    destinados a dañar en la escena de la computación.

    Uno de los primeros registros que
    se tienen de una infección data del año 1987,
    cuando en la Universidad
    estadounidense de Delaware notaron que tenían un
    virus porque
    comenzaron a ver "© Brain" como etiqueta de los
    disquetes.

    La causa de ello era Brain Computer Services, una casa
    de computación paquistaní que, desde
    1986, vendía copias ilegales de software
    comercial infectadas para, según los responsables de la
    firma, dar una lección a los piratas.

    Ellos habían notado que el sector de booteo de
    un disquete contenía código ejecutable, y que
    dicho código se ejecutaba cada vez que la máquina
    se inicializaba desde un disquete.

    Lograron reemplazar ese código por su propio
    programa,
    residente, y que este instalara una réplica de sí
    mismo en cada disquete que fuera utilizado de ahí en
    más.

    También en 1986, un programador llamado Ralf
    Burger se dio cuenta de que un archivo
    podía ser creado para copiarse a sí mismo,
    adosando una copia de él a otros archivos.
    Escribió una demostración de este efecto a la que
    llamó VIRDEM, que podía infectar cualquier
    archivo con
    extensión .COM.

    Esto atrajo tanto interés
    que se le pidió que escribiera un libro, pero,
    puesto que él desconocía lo que estaba ocurriendo
    en Paquistán, no mencionó a los virus de sector
    de arranque (boot sector). Para ese entonces, ya se
    había empezado a diseminar el virus
    Vienna.

    Actualmente, los virus son producidos en cantidades
    extraordinarias por muchisima gente alrededor del planeta.
    Algunos de ellos dicen hacerlo por divertimento, otros
    quizás para probar sus habilidades. De cualquier manera,
    hasta se ha llegado a notar un cierto grado de competitividad entre los autores de estos
    programas.

    Con relación a la
    motivación de los autores de virus para llevar a
    cabo su obra, existe en Internet un
    documento escrito por un escritor freelance Markus Salo, en el
    cual, entre otros, se exponen los siguientes
    conceptos:

    • Algunos de los programadores de virus, especialmente
      los mejores, sostienen que su interés
      por el tema es puramente científico, que desean
      averiguar todo lo que se pueda sobre virus y sus
      usos.
    • A diferencia de las compañías de
      software, que
      son organizaciones relativamente aisladas unas de otras (todas
      tienen secretos que no querrían que sus competidores
      averiguaran) y cuentan entre sus filas con mayoría de
      estudiantes graduados, las agrupaciones de programadores de
      virus están abiertas a cualquiera que se interese en
      ellas, ofrecen consejos, camaradería y pocas
      limitaciones. Además, son libres de seguir cualquier
      objetivo que
      les parezca, sin temer por la pérdida de respaldo
      económico.
    • El hecho de escribir programas
      vírales da al programador cierta fuerza
      coercitiva, lo pone fuera de las reglas convencionales de
      comportamiento. Este factor es uno de los
      más importantes, pues el sentimiento de pertenencia es
      algo necesario para todo ser humano, y es probado que dicho
      sentimiento pareciera verse reforzado en situaciones
      marginales.
    • Por otro lado, ciertos programadores parecen intentar
      legalizar sus actos poniendo sus creaciones al alcance de mucha
      gente, (vía Internet, BBS especializadas, etc.) haciendo
      la salvedad de que el material es peligroso, por lo cual el
      usuario debería tomar las precauciones del
      caso.
    • Existen programadores, de los cuales, generalmente,
      provienen los virus más destructivos, que alegan que sus
      programas
      son creados para hacer notoria la falta de protección de
      que sufren la mayoría de los usuarios de
      computadoras.
    • La gran mayoría de estos individuos son del
      mismo tipo de gente que es reclutada por los grupos
      terroristas: hombres, adolescentes, inteligentes.

    En definitiva, sea cual fuere el motivo por el cual se
    siguen produciendo virus, se debe destacar que su existencia no
    ha sido sólo perjuicios: gracias a ellos, mucha gente a
    tomado conciencia
    de qué es lo que tiene y cómo
    protegerlo.

    1. ¿QUÉ ES UN VIRUS?.

    Es un pequeño programa
    escrito intencionalmente para instalarse en la
    computadora de un usuario sin el
    conocimiento o el permiso de este. Decimos que es un
    programa
    parásito porque el programa ataca a los archivos o
    sector es de "booteo" y se replica a sí mismo para
    continuar su esparcimiento.

    Algunos se limitan solamente a replicarse, mientras
    que otros pueden producir serios daños que pueden
    afectar a los sistemas. Se ha llegado a un punto tal, que un
    nuevo virus llamado W95/CIH-10xx. o también como
    CIH.Spacefiller (puede aparecer el 26 de cada mes,
    especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la
    PC huésped y cambiar su configuración de tal
    forma que se requiere cambiarlo. Nunca se puede asumir que un
    virus es inofensivo y dejarlo "flotando" en el sistema.

    Existen ciertas analogías entre los virus
    biológicos y los informáticos: mientras los
    primeros son agentes externos que invaden células
    para alterar su información genética y reproducirse, los segundos son
    programas-rutinas, en un sentido más
    estricto, capaces de infectar archivos de
    computadoras, reproduciéndose una y otra vez cuando se
    accede a dichos archivos, dañando la información
    existente en la memoria o
    alguno de los dispositivos de
    almacenamiento del ordenador.

    Tienen diferentes finalidades: Algunos sólo
    'infectan', otros alteran datos, otros
    los eliminan, algunos sólo muestran mensajes. Pero el
    fin último de todos ellos es el mismo:
    PROPAGARSE.

    Es importante destacar que el potencial de
    daño de un virus
    informático no depende de su complejidad sino del
    entorno donde actúa
    .

    La definición más simple y completa que
    hay de los virus corresponde al modelo D. A.
    S., y se fundamenta en tres características, que se refuerzan y
    dependen mutuamente. Según ella, un virus es un programa
    que cumple las siguientes pautas:

    • Es dañino
    • Es autorreproductor
    • Es subrepticio

    El hecho de que la definición imponga que los
    virus son programas no admite ningún tipo de observación; está extremadamente
    claro que son programas, realizados por personas. Además
    de ser programas tienen el fin ineludible de causar daño
    en cualquiera de sus formas.

    Asimismo, se pueden distinguir tres módulos
    principales de un virus
    informático:

    • Módulo de Reproducción
    • Módulo de Ataque
    • Módulo de Defensa

    El módulo de reproducción se
    encarga de manejar las rutinas de "parasitación" de
    entidades ejecutables (o archivos de datos, en el
    caso de los virus macro) a fin de que el virus pueda ejecutarse
    subrepticiamente. Pudiendo, de esta manera, tomar control del
    sistema e infectar otras entidades permitiendo se traslade de
    una computadora
    a otra a través de algunos de estos archivos.

    El módulo de ataque es optativo. En caso
    de estar presente es el encargado de manejar las rutinas de
    daño adicional del virus. Por ejemplo, el conocido virus
    Michelangelo, además de producir los daños
    que se detallarán más adelante, tiene un
    módulo de ataque que se activa cuando el reloj de
    la
    computadora indica 6 de Marzo. En estas condiciones la
    rutina actúa sobre la información del disco
    rígido volviéndola inutilizable.

    El módulo de defensa tiene, obviamente,
    la misión
    de proteger al virus y, como el de ataque, puede estar o no
    presente en la estructura.
    Sus rutinas apuntan a evitar todo aquello que provoque la
    remoción del virus y retardar, en todo lo posible, su
    detección.

    1. TIPOS DE VIRUS.

    Los virus se clasifican por el modo en que actúan
    infectando la
    computadora:

    • Programa: Infectan archivos ejecutables tales como
      .com / .exe / .ovl / .drv / .sys / .bin
    • Boot: Infectan los sectores Boot Record, Master Boot,
      FAT y la Tabla de Partición.
    • Múltiples: Infectan programas y sectores de
      "booteo".
    • Bios: Atacan al Bios para
      desde allí reescribir los discos
      duros.
    • Hoax: Se distribuyen por e-mail y la única
      forma de eliminarlos es el uso del sentido
      común.

    Al respecto, se trata de virus que no existe y que se
    utiliza para aterrar a los novatos especialmente en la Internet
    a pesar que los rumores lo muestran como algo muy serio y a
    veces la información es tomada por la prensa
    especializada.

    Por lo general, como ya se expresó, la
    difusión se hace por cadenas de e-mail con terribles e
    inopinadas advertencias. En realidad el único virus es
    el mensaje. A continuación se dan una serie de supuestos
    "virus", por lo que es aconsejable ignorar los mensajes que
    aparecen y no ayudar a replicarlos continuando con la
    cadena:

    • 3b Trojan (alias PKZIP Virus).
    • AOL4Free Virus Hoax.
    • Baby New Year Virus Hoax.
    • BUDDYLST.ZIP
    • BUDSAVER.EXE
    • Budweiser Hoax
    • Death69
    • Deeyenda
    • E-Flu
    • FatCat Virus Hoax
    • Free Money
    • Get More Money Hoax
    • Ghost
    • Good Times
    • Hacky Birthday Virus Hoax
    • Hairy Palms Virus Hoax
    • Irina
    • Join the Crew
    • Londhouse Virus Hoax
    • Microsoft Virus Hoax
    • Millenium Time Bomb
    • Penpal Greetings
    • Red Alert
    • Returned or Unable to Deliver
    • Teletubbies
    • Time Bomb
    • Very Cool
    • Win a Holiday
    • World Domination Hoax
    • Yellow Teletubbies
    • A.I.D.S. hoax email virus
    • AltaVista virus scare
    • AOL riot hoax email
    • ASP virus hoax
    • Back Orifice Trojan horse
    • Bill Gates hoax
    • Bloat, see MPEG virus hoax
    • Budweiser frogs screen-saver scare
    • Good Times hoax email virus
    • Irina hoax virus
    • Java virus scare
    • Join the Crew hoax email virus
    • 'Millennium' virus misunderstanding
    • MPEG virus hoax
    • 'My clock says 2097/2098' virus
      misunderstanding
    • New virus debug device hoax email virus with attached
      Trojan horse
    • Open: Very Cool, see A.I.D.S. hoax email
      virus
    • Penpal Greetings, see Good Times hoax email
      virus
    • PKZ300 Trojan virus scare
    • Returned or Unable to Deliver hoax email
      virus
    • Walt Disney greeting, see Bill Gates
      hoax
    • Win a Holiday hoax email virus
    • Windows ’98 MS Warning.

    Por último, cabe destacar que los HOAX
    están diseñados únicamente para asustar a
    los novatos (y a los que no lo son tanto). Otros como el
    mensaje del carcinoma cerebral de Jessica, Jessica
    Mydek
    , Anabelle, Ana, Billy y otros
    personajes imaginarios tampoco son reales como tampoco lo es la
    dirección ,
    ya que fueron creados para producir congestionamiento en la
    Internet.

    1. CARACTERÍSTICAS DE LOS
      VIRUS.

    El virus es un pequeño software
    (cuanto más pequeño más fácil de
    esparcir y más difícil de detectar), que
    permanece inactivo hasta que un hecho externo hace que el
    programa sea ejecutado o el sector de "booteo" sea
    leído. De esa forma el programa del virus es activado y
    se carga en la memoria
    de la computadora,
    desde donde puede esperar un evento que dispare su sistema de
    destrucción o se replique a sí mismo.

    Los más comunes son los residentes en la
    memoria que
    pueden replicarse fácilmente en los programas del sector
    de "booteo", menos comunes son los no-residentes que no
    permanecen en la memoria
    después que el programa-huesped es cerrado.

    Los virus pueden llegar a "camuflarse" y esconderse
    para evitar la detección y reparación. Como lo
    hacen:

    1. El virus re-orienta la lectura
      del disco para evitar ser detectado;
    2. Los datos sobre el
      tamaño del directorio infectado son modificados en la
      FAT, para evitar que se descubran bytes extra que aporta el
      virus;
    3. encriptamiento: el virus se encripta en
      símbolos sin sentido para no ser detectado, pero para
      destruir o replicarse DEBE desencriptarse siendo
      entonces detectable;
    4. polimorfismo: mutan cambiando segmentos del
      código para parecer distintos en cada "nueva
      generación", lo que los hace muy difíciles de
      detectar y destruir;
    5. Gatillables: se relaciona con un evento que puede ser
      el cambio de
      fecha, una determinada combinación de tecleo; un macro o
      la apertura de un programa asociado al virus
      (Troyanos).

    Los virus se transportan a través de programas
    tomados de BBS (Bulletin Boards) o copias de software no
    original, infectadas a propósito o accidentalmente.
    También cualquier archivo que
    contenga "ejecutables" o "macros" puede
    ser portador de un virus: downloads de programas de lugares
    inseguros; e-mail con "attachments", archivos de MS-Word y
    MS-Excel con
    macros.
    Inclusive ya existen virus que se distribuyen con MS-Power Point.
    Los archivos de datos, texto o
    Html NO
    PUEDEN
    contener virus, aunque pueden ser dañados por
    estos.

    Los virus de sectores de "booteo" se instalan en esos
    sectores y desde allí van saltando a los sectores
    equivalentes de cada uno de los drivers de la PC. Pueden
    dañar el sector o sobreescribirlo. Lamentablemente
    obligan al formateo del disco del drive infectado. Incluyendo
    discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M.
    (No crean vamos a caer en el chiste fácil de decir que
    el más extendido de los virus de este tipo se llama
    MS

    Windows 98).

    En cambio los
    virus de programa, se manifiestan cuando la aplicación
    infectada es ejecutada, el virus se activa y se carga en la
    memoria,
    infectando a cualquier programa que se ejecute a
    continuación. Puede solaparse infecciones de diversos
    virus que pueden ser destructivos o permanecer inactivos por
    largos periodos de tiempo.

    1. DAÑOS DE LOS VIRUS.

    Definiremos daño como acción una
    indeseada, y los clasificaremos según la cantidad de
    tiempo
    necesaria para reparar dichos daños. Existen seis
    categorías de daños hechos por los virus, de
    acuerdo a la gravedad.

    1. Sirva como ejemplo la forma de trabajo del virus
      FORM (el más común): En el día 18
      de cada mes cualquier tecla que presionemos hace sonar el
      beep. Deshacerse del virus implica, generalmente, segundos o
      minutos.

    2. DAÑOS TRIVIALES.

      Un buen ejemplo de este tipo de daño es el
      JERUSALEM. Este virus borra, los viernes 13, todos los
      programas que uno trate de usar después de que el
      virus haya infectado la memoria
      residente. En el peor de los casos, tendremos que reinstalar
      los programas perdidos. Esto nos llevará alrededor de
      30 minutos.

    3. DAÑOS MENORES.

      Cuando un virus formatea el disco rígido,
      mezcla los componentes de la FAT (File Allocation
      Table, Tabla de Ubicación de Archivos), o sobreescribe
      el disco rígido. En este caso, sabremos inmediatamente
      qué es lo que está sucediendo, y podremos
      reinstalar el sistema
      operativo y utilizar el último backup. Esto
      quizás nos lleve una hora.

    4. DAÑOS MODERADOS.

      Algunos virus, dada su lenta velocidad
      de infección y su alta capacidad de pasar
      desapercibidos, pueden lograr que ni aún restaurando
      un backup volvamos al último estado de
      los datos. Un ejemplo de esto es el virus DARK
      AVENGER
      , que infecta archivos y acumula la cantidad de
      infecciones que realizó. Cuando este contador llega a
      16, elige un sector del disco al azar y en él escribe
      la frase: "Eddie lives … somewhere in time"
      (Eddie vive … en algún lugar del tiempo).

      Esto puede haber estado
      pasando por un largo tiempo sin que lo notemos, pero el
      día en que detectemos la presencia del virus y
      queramos restaurar el último backup notaremos que
      también él contiene sectores con la frase, y
      también los backups anteriores a ese.

      Puede que lleguemos a encontrar un backup limpio,
      pero será tan viejo que muy probablemente hayamos
      perdido una gran cantidad de archivos que fueron creados con
      posterioridad a ese backup.

    5. DAÑOS MAYORES.

      Los daños severos son hechos cuando un virus
      realiza cambios mínimos, graduales y progresivos. No
      sabemos cuándo los datos son correctos o han cambiado,
      pues no hay pistas obvias como en el caso del DARK
      AVENGER
      (es decir, no podemos buscar la frase Eddie
      lives …
      ).

    6. DAÑOS SEVEROS.
    7. DAÑOS ILIMITADOS.

    Algunos programas como CHEEBA,
    VACSINA.44.LOGIN y GP1 entre otros, obtienen la
    clave del administrador
    del sistema y la pasan a un tercero. Cabe aclarar que estos no
    son virus sino troyanos. En el caso de CHEEBA, crea un
    nuevo usuario con los privilegios máximos, fijando el
    nombre del usuario y la clave. El daño es entonces
    realizado por la tercera persona, quien
    ingresará al sistema y haría lo que
    quisiera.

    1. SÍNTOMAS TÍPICOS DE UNA
      INFECCIÓN.
    • El sistema
      operativo o un programa toma mucho tiempo en cargar sin
      razón aparente.
    • El tamaño del programa cambia sin razón
      aparente.
    • El disco duro
      se queda sin espacio o reporta falta de espacio sin que esto
      sea necesariamente así.
    • Si se corre el CHKDSK no muestra "655360
      bytes available".
    • En Windows
      aparece "32 bit error".
    • La luz del
      disco duro
      en la CPU continua
      parpadeando aunque no se este trabajando ni haya protectores de
      pantalla activados. (Se debe tomar este síntoma con
      mucho cuidado, porque no siempre es así).
    • No se puede "bootear" desde el Drive A, ni siquiera
      con los discos de rescate.
    • Aparecen archivos de la nada o con nombres y
      extensiones extrañas.
    • Suena "clicks" en el teclado
      (este sonido es
      particularmente aterrador para quien no esta
      advertido).
    • Los caracteres de texto se
      caen literalmente a la parte inferior de la pantalla
      (especialmente en DOS).
    • En la pantalla del monitor
      pueden aparecen mensajes absurdos tales como "Tengo hambre.
      Introduce un Big Mac en el Drive A".
    • En el monitor
      aparece una pantalla con un fondo de cielo celeste, unas nubes
      blancas difuminadas, una ventana de vidrios repartidos de
      colores y una
      leyenda en negro que dice Windows
      ’98 (No puedo evitarlo, es mas fuerte que
      yo…!!).

    Una infección se soluciona con las llamadas
    "vacunas"
    (que impiden la infección) o con los remedios que
    desactivan y eliminan, (o tratan de hacerlo) a los virus de los
    archivos infectados. Hay cierto tipo de virus que no son
    desactivables ni removibles, por lo que se debe destruir el
    archivo infectado.

    1. VIRUS INFORMÁTICOS
      ARGENTINOS.

    Al igual que todos los países informatizados,
    la Argentina
    cuenta con una producción local de virus
    informáticos.

    Si bien estos no son de los más complejos (en
    su mayoría, buenas copias y variaciones de virus
    conocidos) representan un problema, ya que muchos de ellos no
    están incluidos en las bases de datos
    de los programas antivirus.

    Veamos algunos ejemplos:

    • PING PONG:

    Este virus fue el primero en hacer explosión en
    Argentina. Fue
    descubierto en marzo de 1988 y en poco tiempo estuvo en nuestro
    país, en donde se convirtió rápidamente en
    epidemia.

    La falta de conocimiento
    sobre los virus ayudó a que se diseminara ampliamente y
    fuera incontrolable en un principio. En centros universitarios
    como la Facultad de Ciencias
    Exactas de la UBA o la Facultad de Informática de la Universidad
    de Morón era difícil encontrar un disco sin
    infectar.

    Ese mismo desconocimiento llevó a que pasara
    bastante tiempo hasta que se empezaran a tomar medidas.
    Sólo después de algunos meses, en revistas
    especializadas en informática, empezaron a publicarse
    formas de desinfectar los discos, y como consecuencia de ello
    se aplicaron políticas de seguridad en
    las universidades.

    Lo positivo de esto fue que la gente comenzara a
    conocer el D.O.S. más profundamente, por ejemplo el boot
    sector: qué es y para qué sirve, ya que las
    máquinas eran utilizadas pero pocos sabían
    cómo funcionaban realmente.

    Como tenía un síntoma muy evidente (una
    pelotita que rebotaba), se pensó que todos los virus
    debían ser visibles, pero los siguientes fueron
    más subrepticios, y se limitaban a reproducirse o
    destruir sin avisar al usuario.

    El Ping Pong original no podía infectar discos
    rígidos, pero la versión que se popularizó
    en el país fue la B, que sí podía hacerlo.
    Se creó una variante en Argentina, que
    probablemente fue la primera variante de virus originada en el
    país, el Ping Pong C, que no mostraba la pelotita en la
    pantalla. Este virus está extinto en este momento ya que
    sólo podía funcionar en máquinas con
    procesador 8088
    ó 8086, porque ejecutaba una instrucción no
    documentada en estos e incorrecta en los modelos
    siguientes.

    • AVISPA:

    Escrito en Noviembre de 1993 que en muy poco tiempo se
    convirtió en epidemia. Infecta archivos .EXE

    Al ejecutarse, si no se encontraba ya residente en
    memoria,
    intenta infectar los archivos XCOPY, MEM, SETVER y EMM386 para
    maximizar sus posibilidades de reproducción, ya que
    estos archivos son de los más frecuentemente
    utilizados.

    Este virus está encriptado siempre con una
    clave distinta (polimórfico), para dificultar su
    detección por medio de antivirus
    heurísticos.

    • MENEM TOCOTO:

    Esta adaptación del virus Michelangelo
    apareció en 1994. En los disquetes se aloja en el boot
    sector, y en los discos rígidos en la tabla de
    particiones. Es extremadamente sencillo y, por ende,
    fácil de detectar.

    • CAMOUFLAGE II:

    Aparecido por primera vez en 1993. Infecta el boot
    sector de los disquetes ubicados en la unidad A y la tabla de
    partición de los discos rígidos. Es bastante
    simple y fácil de ser detectado.

    • LEPROSO:

    Creado en 1993, en Rosario, provincia de Santa
    Fé. Se activa el día 12 de Enero
    (cumpleaños del autor), y hace aparecer un mensaje que
    dice: "Felicitaciones, su máquina está
    infectada por el virus leproso creado por J. P.. Hoy es mi
    cumpleaños y lo voy a festejar formateando su
    rígido. Bye… (Vamos Newell's que con Diego somos
    campeones)."

    • PINDONGA:

    Virus polimórfico residente en memoria que se
    activa los días 25 de febrero, 21 de marzo, 27 de agosto
    y 16 de septiembre, cuando ataca, borra toda la
    información contenida en el disco
    rígido.

    • TEDY:

    Es el primer virus argentino interactivo.
    Apareció hace poco tiempo. Infecta archivos con
    extensión .EXE, y se caracteriza por hacer una serie de
    preguntas al usuario.

    Una vez activado, una pantalla muestra:

    ¡TEDY, el primer virus interactivo de la
    computación!

    Responda el siguiente cuestionario:

    1. ¿Los programas que Ud. utiliza son
      originales? (s/n)
    2. ¿Los de Microsoft
      son unos ladrones? (s/n)

    Si se responde afirmativamente a la primer
    pregunta, el virus contestará: 5 archivos menos por
    mentiroso

    En caso contrario:

    2 archivos menos por
    ladrón

    En cuanto a la segunda pregunta, el único
    mensaje que se ha visto es:

    Te doy otra oportunidad para responder
    bien.

    Con este virus, los archivos infectados aumentan su
    tamaño en 4310 bytes.

    1. ¿QUÉ NO ES UN
      VIRUS?.

    Existen algunos programas que, sin llegar a ser virus,
    ocasionan problemas al
    usuario. Estos no-virus carecen de por lo menos
    una de las tres características identificatorias de un
    virus (dañino, autorreproductor y subrepticio). Veamos
    un ejemplo de estos no – virus: "Hace algunos
    años, la red de I. B. M., encargada de conectar
    más de 130 países, fue virtualmente paralizada
    por haberse saturado con un correo
    electrónico que contenía un mensaje de
    salutación navideña que, una vez leído por
    el destinatario, se enviaba a sí mismo a cada integrante
    de las listas de distribución de correo del usuario. Al
    cabo de un tiempo, fueron tantos los mensajes que esperaban ser
    leídos por sus destinatarios que el tráfico se
    volvió demasiado alto, lo que ocasionó la
    caída de la red".

    Asimismo, es necesario aclarar que no todo lo que
    altere el normal funcionamiento de una computadora
    es necesariamente un virus.

    Por ello, daré algunas de las pautas
    principales para diferenciar entre qué debe preocuparnos
    y qué no:

    BUGS (Errores en programas).

    Los bugs no son virus, y los virus no son bugs. Todos
    usamos programas que tienen graves errores (bugs). Si se
    trabaja por un tiempo largo con un archivo muy extenso,
    eventualmente algo puede comenzar a ir mal dentro del programa,
    y este a negarse a grabar el archivo en el disco. Se pierde
    entonces todo lo hecho desde la última grabación.
    Esto, en muchos casos, se debe a ERRORES del programa. Todos
    los programas lo suficientemente complejos tienen
    bugs.

    FALSA ALARMA.

    Algunas veces tenemos problemas
    con nuestro hardware o
    software y, luego de una serie de verificaciones, llegamos a la
    conclusión de que se trata de un virus, pero nos
    encontramos con una FALSA ALARMA luego de correr nuestro
    programa antivirus.

    Desafortunadamente no hay una regla estricta por la
    cual guiarse, pero contestarse las siguientes preguntas puede
    ser de ayuda:

    • ¿Es sólo un archivo el que reporta la
      falsa alarma (o quizás varios, pero copias del
      mismo)?.
    • ¿Solamente un producto
      antivirus
      reporta la alarma? (Otros productos
      dicen que el sistema está limpio).
    • ¿Se indica una falsa alarma después de
      correr múltiples productos,
      pero no después de bootear, sin ejecutar ningún
      programa?.

    Si al menos una de nuestras respuestas fue afirmativa,
    es muy factible que efectivamente se trate de una falsa
    alarma.

    PROGRAMAS CORRUPTOS.

    A veces algunos archivos son accidentalmente
    dañados, quizás por problemas de
    hardware. Esto
    quiere decir que no siempre que encontremos daños en
    archivos deberemos estar seguros de
    estar infectados.

    1. ¿QUÉ ES UN ANTIVIRUS?.

    No para toda enfermedad existe cura, como tampoco
    existe una forma de erradicar todos y cada uno de los virus
    existentes.

    Es importante aclarar que todo antivirus es un
    programa y que, como todo programa, sólo
    funcionará correctamente si es adecuado y está
    bien configurado. Además, un antivirus es una
    herramienta para el usuario y no sólo no será
    eficaz para el 100% de los casos
    , sino que nunca
    será una protección total ni
    definitiva
    .

    La función de un programa antivirus es
    detectar, de alguna manera, la presencia o el accionar de un
    virus
    informático en una computadora.
    Este es el aspecto más importante de un antivirus,
    independientemente de las prestaciones
    adicionales que pueda ofrecer, puesto que el hecho de detectar
    la posible presencia de un virus
    informático, detener el trabajo y
    tomar las medidas necesarias, es suficiente para acotar un buen
    porcentaje de los daños posibles. Adicionalmente, un
    antivirus puede dar la opción de erradicar un virus
    informático de una entidad infectada.

    El modelo
    más primario de las funciones de un
    programa antivirus es la detección de su presencia y, en
    lo posible, su identificación. La primera técnica
    que se popularizó para la detección de virus
    informáticos, y que todavía se sigue
    utilizando (aunque cada vez con menos eficiencia), es
    la técnica de scanning. Esta técnica
    consiste en revisar el código de todos los archivos
    contenidos en la unidad de almacenamiento -fundamentalmente los archivos
    ejecutables- en busca de pequeñas porciones de
    código que puedan pertenecer a un virus
    informático. Este procedimiento,
    denominado escaneo, se realiza a partir de una base de datos
    que contiene trozos de código representativos de cada
    virus conocido, agregando el empleo de
    determinados algoritmos
    que agilizan los procesos de
    búsqueda.

    La técnica de scanning fue bastante
    eficaz en los primeros tiempos de los virus
    informáticos, cuando había pocos y su
    producción era pequeña. Este
    relativamente pequeño volumen de
    virus
    informáticos permitía que los desarrolladores
    de antivirus escaneadores tuvieran tiempo de analizar el virus,
    extraer el pequeño trozo de código que lo iba a
    identificar y agregarlo a la base de datos
    del programa para lanzar una nueva versión. Sin embargo,
    la obsolescencia de este mecanismo de identificación
    como una solución antivirus completa se encontró
    en su mismo modelo.

    El primer punto grave de este sistema radica en que
    siempre brinda una solución a posteriori: es
    necesario que un virus informático alcance un grado de
    dispersión considerable para que sea enviado (por
    usuarios capacitados, especialistas o distribuidores del
    producto) a
    los desarrolladores de antivirus. Estos lo analizarán,
    extraerán el trozo de código que lo
    identificará, y lo incluirán en la próxima
    versión de su programa antivirus. Este proceso
    puede demorar meses a partir del momento en que el virus
    comienza a tener una dispersión considerable, lapso en
    el cual puede causar graves daños sin que pueda ser
    identificado.

    Además, este modelo
    consiste en una sucesión infinita de soluciones
    parciales y momentáneas (cuya sumatoria jamás
    constituirá una solución definitiva)
    , que
    deben actualizarse periódicamente debido a la
    aparición de nuevos virus.

    En síntesis, la técnica de scanning es
    altamente ineficiente, pero se sigue utilizando debido a que
    permite identificar rápidamente la presencia de los
    virus más conocidos y, como son estos los de mayor
    dispersión, permite una importante gama de
    posibilidades.

    Un ejemplo típico de un antivirus de esta clase
    es el Viruscan de McAfee, que se verá más
    adelante.

    En virtud del pronto agotamiento técnico de la
    técnica de scanning, los desarrolladores de programas
    antivirus han dotado a sus creaciones de métodos
    para búsquedas de virus
    informáticos (y de sus actividades), que no
    identifican específicamente al virus sino a algunas de
    sus características generales y
    comportamientos universalizados.

    Este tipo de método
    rastrea rutinas de alteración de información que
    no puedan ser controladas por el usuario, modificación
    de sectores críticos de las unidades de
    almacenamiento (master boot record, boot sector, FAT, entre
    otras), etc.

    Un ejemplo de este tipo de métodos
    es el que utiliza algoritmos
    heurísticos.

    De hecho, esta naturaleza de
    procedimientos
    busca, de manera bastante eficiente, códigos de
    instrucciones potencialmente pertenecientes a un virus
    informático. Resulta eficaz para la detección de
    virus conocidos y es una de las soluciones
    utilizadas por los antivirus para la detección de nuevos
    virus. El inconveniente que presenta este tipo de algoritmo
    radica en que puede llegar a sospecharse de muchisimas cosas
    que no son virus
    . Esto hace necesario que el usuario que lo
    utiliza conozca un poco acerca de la estructura
    del sistema
    operativo, a fin de poseer herramientas
    que le faciliten una discriminación de cualquier falsa alarma
    generada por un método
    heurístico.

    Algunos de los antivirus de esta clase son F-Prot,
    Norton Anti Virus y Dr. Solomon's Toolkit.

    Ahora bien, otra forma de detectar la presencia de un
    virus informático en un sistema consiste en monitorear
    las actividades de la PC señalando si algún
    proceso
    intenta modificar los sectores críticos de los dispositivos de
    almacenamiento o los archivos ejecutables. Los programas
    que realizan esta tarea se denominan chequeadores de
    integridad
    .

    Sobre la base de estas consideraciones, podemos
    consignar que un buen sistema antivirus debe estar
    compuesto por un programa detector de virus -que siempre
    esté residente en memoria- y un programa que
    verifique la integridad
    de los sectores críticos del
    disco rígido y sus archivos ejecutables. Existen
    productos
    antivirus que cubren los dos aspectos, o bien pueden combinarse
    productos
    diferentes configurados de forma que no se produzcan conflictos
    entre ellos.

    MODELO ANTIVIRUS:

    La estructura
    de un programa antivirus, está compuesta por dos
    módulos principales: el primero denominado de
    control
    y el segundo denominado de respuesta. A su
    vez, cada uno de ellos se divide en varias partes:

    1. Módulo de control:
      posee la técnica verificación de
      integridad
      que posibilita el registro de
      cambios en los archivos ejecutables y las zonas críticas
      de un disco rígido. Se trata, en definitiva, de una
      herramienta preventiva para mantener y controlar los
      componentes de información de un disco rígido que
      no son modificados a menos que el usuario lo
      requiera.

    Otra opción dentro de este módulo es la
    identificación de virus, que incluye diversas
    técnicas para la detección de virus
    informáticos. Las formas más comunes de
    detección son el scanning y los algoritmos,
    como por ejemplo, los heurísticos.

    Asimismo, la identificación de código
    dañino
    es otra de las herramientas
    de detección que, en este caso, busca instrucciones
    peligrosas incluidas en programas, para la integridad de la
    información del disco rígido.

    Esto implica descompilar (o desensamblar) en forma
    automática los archivos almacenados y ubicar sentencias
    o grupos de
    instrucciones peligrosas.

    Finalmente, el módulo de control
    también posee una administración de
    recursos
    para efectuar un monitoreo de las rutinas a
    través de las cuales se accede al hardware de la
    computadora
    (acceso a disco, etc.). De esta manera puede limitarse la
    acción de un programa restringiéndole el uso de
    estos recursos, como
    por ejemplo impedir el acceso a la escritura de
    zonas críticas del disco o evitar que se ejecuten
    funciones de
    formato del mismo.

    1. Módulo de respuesta: la función
      alarma se encuentra incluida en todos los programas
      antivirus y consiste en detener la acción del sistema
      ante la sospecha de la presencia de un virus
      informático, e informar la situación a
      través de un aviso en pantalla.

    Algunos programas antivirus ofrecen, una vez detectado
    un virus informático, la posibilidad de erradicarlo. Por
    consiguiente, la función reparar se utiliza como
    una solución momentánea para mantener la
    operatividad del sistema hasta que pueda instrumentarse una
    solución adecuada. Por otra parte, existen dos
    técnicas para evitar el contagio de entidades
    ejecutables
    : evitar que se contagie todo el programa o
    prevenir que la infección se expanda más
    allá de un ámbito fijo.

    Aunque la primera opción es la más
    adecuada, plantea grandes problemas de
    implementación.

    DETECCIÓN Y
    PREVENCIÓN
    .

    Debido a que los virus informáticos son cada
    vez más sofisticados, hoy en día es
    difícil sospechar su presencia a través de
    síntomas como la pérdida de performance. De todas
    maneras la siguiente es una lista de síntomas que pueden
    observarse en una computadora de la que se sospeche esté
    infectada por alguno de los virus más
    comunes:

    • Operaciones de procesamiento más
      lentas.
    • Los programas tardan más tiempo en
      cargarse.
    • Los programas comienzan a acceder por momentos a las
      disqueteras y/o al disco rígido.
    • Disminución no justificada del espacio
      disponible en el disco rígido y de la memoria RAM
      disponible, en forma constante o repentina.
    • Aparición de programas residentes en memoria
      desconocidos.

    La primera medida de prevención a ser tenida en
    cuenta es, como se dijo anteriormente, contar con un sistema
    antivirus y utilizarlo correctamente. Por lo tanto, la
    única forma de que se constituya un bloqueo eficaz para
    un virus es que se utilice con determinadas normas y
    procedimientos.
    Estas normas tienden
    a controlar la entrada de archivos al disco rígido de la
    computadora, lo cual se logra revisando con el antivirus todos
    los disquetes o medios de
    almacenamiento en general y, por supuesto,
    disminuyendo al mínimo posible todo tipo de
    tráfico.

    Además de utilizar un sistema antivirus y
    controlar el tráfico de archivos al disco rígido,
    una forma bastante eficaz de proteger los archivos
    ejecutables
    es utilizar un programa chequeador de
    integridad
    que verifique que estos archivos no sean
    modificados, es decir, que mantengan su estructura. De esta
    manera, antes que puedan ser parasitados por un virus
    convencional, se impediría su accionar.

    Para prevenir la infección con un virus de
    sector de arranque
    , lo más indicado es no dejar
    disquetes olvidados en la disquetera de arranque y contar con
    un antivirus. Pero, además, puede aprovecharse una
    característica que incorpora el setup de
    las computadoras más modernas: variar la secuencia de
    arranque de la PC a "primero disco rígido y luego
    disquetera
    " (C, A). De esta manera, la computadora no
    intentará leer la disquetera en el arranque aunque tenga
    cargado un disquete.

    Algunos distribuidores o representantes de programas
    antivirus envían muestras de los nuevos virus argentinos
    a los desarrolladores del producto
    para que los estudien o incluyan en sus nuevas versiones o
    upgrades, con la demora que esto implica.

    En consecuencia, la detección alternativa a la
    de scanning y las de chequeo de actividad e integridad resultan
    importantes, ya que pueden detectar la presencia de un virus
    informático sin la necesidad de identificarlo. Y esta es
    la única forma disponible para el usuario de detectar
    virus nuevos, sean nacionales o extranjeros.

    De todas maneras, existe una forma de actualizar la
    técnica de scanning
    . La misma consiste en
    incorporarle al antivirus un archivo conteniendo cadenas de
    caracteres ASCII que
    sean trozos de código (strings) significativos del
    sector vital de cada nuevo virus que todavía no
    esté incorporado en la base de datos
    del programa.

    De todas formas, esta solución será
    parcial: la nueva cadena introducida sólo
    identificará al virus, pero no será capaz
    de erradicarlo.

    Es muy importante que los "strings" que se vayan a
    incorporar al antivirus provengan de una fuente confiable ya
    que, de lo contrario, pueden producirse falsas alarmas o ser
    ineficaces.

    Algunos de los antivirus que soportan esta cualidad de
    agregar strings son Viruscan, F-Prot y
    Thunderbyte.

    La NCSA (National Computer Security Association,
    Asociación Nacional de Seguridad de
    Computadoras) es la encargada de certificar productor
    antivirus.

    Para obtener dicha certificación los productos
    deben pasar una serie de rigurosas pruebas
    diseñadas para asegurar la adecuada protección
    del usuario.

    Antiguamente el esquema de certificación
    requería que se detectara (incluyendo el número
    de versión) el 90 % de la librería de virus del
    NCSA, y fue diseñado para asegurar óptimas
    capacidades de detección. Pero esta metodología no era completamente
    eficiente.

    Actualmente, el esquema de certificación enfoca
    la amenaza a las computadoras empresariales. Para ser
    certificado, el producto
    debe pasar las siguientes pruebas: 

    1. Debe detectar el 100% de los virus encontrados
      comúnmente. La lista de virus comunes es actualizada
      periódicamente, a medida que nuevos virus son
      descubiertos.
    2. Deben detectar, como mínimo, el 90% de la
      librería de virus del NCSA (más de 6.000
      virus)

    Estas pruebas son
    realizadas con el producto
    ejecutándose con su configuración "por
    defecto".

    Una vez que un producto ha sido certificado, la NCSA
    tratará de recertificar el producto un mínimo de
    cuatro veces. Cada intento es realizado sin previo aviso al
    desarrollador del programa. Esta es una buena manera de
    asegurar que el producto satisface el criterio de
    certificación.

    Si un producto no pasa la primera o segunda prueba, su
    distribuidor tendrá siete días para proveer de la
    corrección. Si este límite de tiempo es excedido,
    el producto será eliminado de la lista de productos
    certificados.

    Una vez que se ha retirado la certificación a
    un producto la única forma de recuperarla es que el
    distribuidor envíe una nueva versión completa y
    certificable (no se aceptará sólo una
    reparación de la falla.

    Acerca de la lista de virus de la NCSA, aclaremos que
    ningún desarrollador de antivirus puede obtener una
    copia. Cuando un antivirus falla en la detección de
    algún virus incluido en la lista, una cadena
    identificatoria del virus le es enviada al productor del
    antivirus para su inclusión en futuras
    versiones.

    En el caso de los virus polimórficos, se
    incluyen múltiples copias del virus para asegurar que el
    producto testeado lo detecta perfectamente. Para pasar esta
    prueba el antivirus debe detectar cada mutación del
    virus.

    La A. V. P. D. (Antivirus Product Developers,
    Desarrolladores de Productos Antivirus) es una
    asociación formada por las principales empresas
    informáticas del sector, entre las que se
    cuentan:

    • Cheyenne Software
    • I. B. M.
    • Intel
    • McAfee Associates
    • ON Tecnology
    • Stiller Research Inc.
    • S&S International
    • Symantec Corp.
    • ThunderByte
    1. ALGUNOS ANTIVIRUS.
    • DR. SOLOMON'S ANTIVIRUS TOOLKIT.

    Certificado por la NCSA. Detecta más de 6.500
    virus gracias a su propio lenguaje de
    detección llamado VirTran, con una velocidad de
    detección entre 3 y 5 veces mayor que los antivirus
    tradicionales.

    Uno de los últimos desarrollos de S&S es la
    tecnología G. D. E. (Generic Decription
    Engine, Motor de
    Desencriptación Genérica) que permite detectar
    virus polimórficos sin importar el algoritmo de
    encriptación utilizado.

    Permite detectar modificaciones producidas tanto en
    archivos como en la tabla de partición del disco
    rígido. Para ello utiliza Checksumms
    Criptográficos lo cual, sumado a una clave personal de
    cada usuario, hace casi imposible que el virus pueda descubrir
    la clave de encriptación.

    Elimina virus en archivos en forma sencilla y efectiva
    con pocas falsas alarmas, y en sectores de buteo y tablas de
    partición la protección es genérica, es
    decir, independiente del virus encontrado.

    Otras características que presenta este
    antivirus, son:

    • Ocupa 9K de memoria extendida o
      expandida.
    • Documentación amplia y detallada en
      español y una enciclopedia sobre los virus más
      importantes.
    • Actualizaciones mensuales o trimestrales de software
      y manuales.
    • Trabaja como residente bajo Windows.
    • A. H. A. (Advanced Heuristic Analysis, Análisis Heurístico
      Avanzado).
    • NORTON ANTIVIRUS.

    Certificado por la NCSA. Posee una protección
    automática en segundo plano. Detiene
    prácticamente todos los virus conocidos y desconocidos
    (a través de una tecnología propia denominada NOVI,
    que implica control de
    las actividades típicas de un virus, protegiendo la
    integridad del sistema), antes de que causen algún
    daño o pérdida de información, con una
    amplia línea de defensa, que combina búsqueda,
    detección de virus e inoculación (se
    denomina 'inoculación' al método
    por el cual este antivirus toma las características
    principales de los sectores de booteo y archivos para luego
    chequear su integridad. Cada vez que se detecta un cambio en
    dichas áreas, NAV avisa al usuario y provee las opciones
    de Reparar – Volver a usar la imagen guardada
    – Continuar – No realiza cambios – Inocular – Actualizar la
    imagen.

    Utiliza diagnósticos propios para prevenir
    infecciones de sus propios archivos y de archivos
    comprimidos.

    El escaneo puede ser lanzado manualmente o
    automáticamente a través de la planificación de fecha y hora.
    También permite reparar los archivos infectados por
    virus desconocidos. Incluye información sobre muchos de
    los virus que detecta y permite establecer una
    contraseña para aumentar así la seguridad.

    La lista de virus conocidos puede ser actualizada
    periódicamente (sin cargo) a través de servicios en
    línea como Internet, América On Line, Compuserve, The Microsoft
    Network o el BBS propio de Symantec, entre otros.

    • VIRUSSCAN.

    Este antivirus de McAfee Associates es uno de
    los más famosos. Trabaja por el sistema de scanning
    descripto anteriormente, y es el mejor en su estilo.

    Para escanear, hace uso de dos técnicas
    propias: CMS (Code Matrix Scanning, Escaneo de Matriz de
    Código) y CTS (Code Trace Scanning, Escaneo de
    Seguimiento de Código).

    Una de las principales ventajas de este antivirus es
    que la actualización de los archivos de bases de datos
    de strings es muy fácil de realizar, lo cual, sumado a
    su condición de programa shareware, lo pone al alcance
    de cualquier usuario. Es bastante flexible en cuanto a la
    configuración de cómo detectar, reportar y
    eliminar virus.

    1. CONCLUSIONES.

    En razón de lo expresado pueden extraerse
    algunos conceptos que pueden considerarse necesarios para tener
    en cuenta en materia de
    virus informáticos:

    • No todo lo que afecte el normal funcionamiento de una
      computadora es un virus.
    • TODO virus es un programa y, como tal, debe
      ser ejecutado para activarse.
    • Es imprescindible contar con herramientas
      de detección y desinfección.
    • NINGÚN sistema de seguridad es
      100% seguro. Por eso
      todo usuario de computadoras debería tratar de
      implementar estrategias de
      seguridad antivirus, no sólo para proteger su propia
      información sino para no convertirse en un agente de
      dispersión de algo que puede producir daños
      graves e indiscriminados.

    Para implementar tales estrategias
    deberían tenerse a mano los siguientes
    elementos:

    • UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y
      LIBRE DE VIRUS:
      Un disco que contenga el sistema
      operativo ejecutable (es decir, que la máquina pueda
      ser arrancada desde este disco) con protección contra
      escritura y
      que contenga, por lo menos, los siguientes comandos:
      FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes
      del MS-DOS).
    • POR LO MENOS UN PROGRAMA ANTIVIRUS
      ACTUALIZADO:
      Se puede considerar actualizado a un antivirus
      que no tiene más de tres meses desde su fecha de
      creación (o de actualización del archivo de
      strings). Es muy recomendable tener por lo menos dos
      antivirus.
    • UNA FUENTE DE INFORMACIÓN SOBRE VIRUS
      ESPECÍFICOS:
      Es decir, algún programa,
      libro o
      archivo de texto que
      contenga la descripción, síntomas y
      características de por lo menos los cien virus
      más comunes.
    • UN PROGRAMA DE RESPALDO DE ÁREAS
      CRÍTICAS:
      Algún programa que obtenga respaldo
      (backup) de los sectores de arranque de los disquetes y
      sectores de arranque maestro (MBR, Master Boot Record) de los
      discos rígidos. Muchos programas antivirus incluyen
      funciones de
      este tipo.
    • LISTA DE LUGARES DÓNDE ACUDIR: Una
      buena precaución es no esperar a necesitar ayuda para
      comenzar a buscar quién puede ofrecerla, sino ir
      elaborando una agenda de direcciones, teléfonos y
      direcciones electrónicas de las personas y lugares que
      puedan servirnos más adelante. Si se cuenta con un
      antivirus comercial o registrado, deberán tenerse
      siempre a mano los teléfonos de soporte
      técnico.
    • UN SISTEMA DE PROTECCIÓN RESIDENTE:
      Muchos antivirus incluyen programas residentes que previenen
      (en cierta medida), la intrusión de virus y programas
      desconocidos a la computadora.
    • TENER RESPALDOS: Se deben tener respaldados en
      disco los archivos de datos más importantes,
      además, se recomienda respaldar todos los archivos
      ejecutables. Para archivos muy importantes, es bueno tener un
      respaldo doble, por si uno de los discos de respaldo se
      daña. Los respaldos también pueden hacerse en
      cinta (tape backup), aunque para el usuario normal es
      preferible hacerlo en discos, por el costo que
      las unidades de cinta representan.
    • REVISAR TODOS LOS DISCOS NUEVOS ANTES DE
      UTILIZARLOS:
      Cualquier disco que no haya sido previamente
      utilizado debe ser revisado, inclusive los programas originales
      (pocas veces sucede que se distribuyan discos de programas
      originales infectados, pero es factible) y los que se
      distribuyen junto con revistas de computación.
    • REVISAR TODOS LOS DISCOS QUE SE HAYAN
      PRESTADO:
      Cualquier disco que se haya prestado a
      algún amigo o compañero de trabajo, aún
      aquellos que sólo contengan archivos de datos, deben ser
      revisados antes de usarse nuevamente.
    • REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR
      MÓDEM O REDES:
      Una de las grandes vías de
      contagio la constituyen Internet y los BBS, sistemas en los
      cuales es común la transferencia de archivos, pero no
      siempre se sabe desde dónde se está recibiendo
      información.
    • REVISAR PERIÓDICAMENTE LA COMPUTADORA:
      Se puede considerar que una buena frecuencia de análisis es, por lo menos,
      mensual.

    Finalmente, es importante tener en cuenta estas
    sugerencias referentes al comportamiento a tener en cuenta frente a
    diferentes situaciones:

    • Cuando se va a revisar o desinfectar una computadora,
      es conveniente apagarla por más de 5 segundos y arrancar
      desde un disco con sistema, libre de virus y protegido contra
      escritura,
      para eliminar virus residentes en memoria. No se deberá
      ejecutar ningún programa del disco rígido, sino
      que el antivirus deberá estar en el disquete. De esta
      manera, existe la posibilidad de detectar virus
      stealth.
    • Cuando un sector de arranque (boot sector) o de
      arranque maestro (MBR) ha sido infectado, es preferible
      restaurar el sector desde algún respaldo, puesto que en
      ocasiones, los sectores de arranque genéricos utilizados
      por los antivirus no son perfectamente compatibles con el
      sistema
      operativo instalado. Además, los virus no siempre
      dejan un respaldo del sector original donde el antivirus espera
      encontrarlo.
    • Antes de restaurar los respaldos es importante no
      olvidar apagar la computadora por más de cinco segundos
      y arrancar desde el disco libre de virus.
    • Cuando se encuentran archivos infectados, es
      preferible borrarlos y restaurarlos desde respaldos, aún
      cuando el programa antivirus que usemos pueda desinfectar los
      archivos. Esto es porque no existe seguridad sobre si el virus
      detectado es el mismo para el cual fueron diseñadas las
      rutinas de desinfección del antivirus, o es una
      mutación del original.
    • Cuando se va a formatear un disco rígido para
      eliminar algún virus, debe recordarse apagar la
      máquina por más de cinco segundos y
      posteriormente arrancar el sistema desde nuestro disquete
      limpio, donde también debe encontrarse el programa que
      se utilizará para dar formato al disco.
    • Cuando, por alguna causa, no se puede erradicar un
      virus, deberá buscarse la asesoría de un experto
      directamente pues, si se pidiera ayuda a cualquier aficionado,
      se correrá el riesgo de
      perder definitivamente datos si el procedimiento
      sugerido no es correcto.
    • Cuando se ha detectado y erradicado un virus es
      conveniente reportar la infección a algún
      experto, grupo de
      investigadores de virus, soporte técnico de programas
      antivirus, etc. Esto que en principio parecería
      innecesario, ayuda a mantener estadísticas, rastrear focos de
      infección e identificar nuevos virus, lo cual en
      definitiva, termina beneficiando al usuario mismo.

    Trabajo realizado por:

    Lic. Marcelo Manson

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter