Serie: Cómo combatir los virus en mi
propia computadora
El
"día después" del virus
Chernobyl
La
amenaza de un verdadero holocausto en nuestras computadoras,
apresuran a usuarios de todo el mundo a prevenirse y a enfrentar
al temido virus
"Chernobyl", mientras que las compañías de
anti-virus
están muy ocupadas y preocupadas en prevenir y detener a
un estimado de 300 nuevos viruses en cada
mes.
El
virus
CHERNOBYL o CIH, viene "pisándole los talones" al Melissa
E-mail virus desde hace un mes, promete descargar un poderoso
"techno-estrago" destruyendo archivos en la
unidad de disco rígido de nuestras computadoras y
escribiendo garabatos en el BIOS que
evitan que la máquina pueda
reiniciarse.
El
peligroso virus está programado para activarse el 26 de
abril de 1999, concidiendo con el décimo tercer
aniversario del desastre nuclear de Chernobyl en Ucrania. Ya se
han descubierto variantes en Asia y en otras
partes, donde en algunos casos se activa en los días 26 de
cada meses.
Mientras que los expertos estaban todavía
"haciendo" números, Turquía y Corea del Sur cada
una, informaron de 300.000 ordenadores dañados el lunes, y
aún había muchos más en Asia y Oriente
Medio. Fuentes
oficiales, de esos países, lanzaron mensajes de
advertencia, que no fueron obviamente tenidos en
cuenta.
En
la mayoría de las computadoras
personales ya están instalados programas
anti-virus. Pero se advierte todavía una gran cantidad
de usuarios que necesitan poner al día su software con anti-virus
actualizados. Para ello, los usuarios concurren a
determinados sitios oficiales –de la red Internet— de
compañías especializadas, principalmente Symantec
S.A., fabricantes del Norton Anti-virus como una de las
más populares. (…)
Introducción
Se
trata de un virus muy importante, no solo por sus
destructivos efectos –los peores hasta ahora conocidos–, sino
por la atención que le otorga la prensa mundial al
fenómeno, característico de la época en que
nos toca vivir. Por ejemplo, vea a continuación dos
noticias como marcadas "del día", ambas del primer mundo,
originadas tanto de un lado como del otro del
Atlántico.
Según la siguiente información originada en los EEUU y
documentación en línea recabada a partir de la
lista de correo vigente:
de España,
nos enteramos de:
EL VIRUS
"CHERNOBYL" DEMUESTRA SER DESTRUCTIVO
(por CHRIS ALLBRITTON, corresponsal de AP), traducido
al castellano
por Eduardo Javier Martínez Rey ()
NUEVA YORK (AP
Cyberespacio) – Demostrando ser más destructivo de lo
esperado, el virus "Chernobyl" causó cientos de miles de
"cuelgues" de ordenadores alrededor del mundo, aunque los
efectos fueron mucho peores fuera de los Estados Unidos.
(…)
"Posiblemente, éste es el virus
informático más malévolo"
afirmó Dan
Schrader, director de marketing de
productos de
Trend Micro Inc., compañía dedicada a la
fabricación de software
antivirus.
Otros expertos
discrepaban sobre si éste era el virus más
destructivo jamás creado. Pero muchos fueron tomados
con la guardia bajada por la cantidad de daño creado y
afirmaron que este era mucho peor que el causado por el virus
"Melliza" a comienzos de mes. Antes de que el virus "Chernobyl"
golpease, numerosos expertos habían afirmado, que no
esperaban que ese virus crease demasiados problemas:
- Los Estados
Unidos sufrieron mucho menos daño que otras
naciones, los expertos creyeron en los extensos avisos y
actualizaron programas
antivirus que
ayudaron a prevenir problemas
en el mundo corporativo. Los usuarios domésticos
fueron afectados más duramente. - Cerca de 100
ordenadores de estudiantes en la Universidad de Princeton fueron "noqueados"
dos semanas antes de que se entregasen los proyectos del
trimestre. "Los ordenadores fueron afectados hasta tal punto
que los discos
duros fueron hechos inservibles", afirmó el martes
Justin Harmon, portavoz de
Princenton. - En la Universidad de Boston, el virus afectó
sólo a aquellos estudiantes que no instalaron el
software
antivirus
distribuido por la universidad el otoño pasado,
afirmó Jack Dunn, portavoz de la Universidad de
Boston. - Bill
Pollak, portavoz del equipo de respuesta de emergencia
informática de la Universidad Carnegie Mellon de
Pittsburgh, afirmó que había noticias de
al menos 2328 ordenadores dañados en los Estados
Unidos. Pero las cifras podrían ser superiores
dado que ninguna compañía o usuario
doméstico está obligado a informar del ataque
de un virus, dijo Bill Pollack. - "Turquía fue tomada por sorpresa"
afirmó Mustafa Ucoklar, un ingeniero
electrónico en Turquía, donde el virus
infectó ordenadores en bancos, un
aeropuerto, una radio estatal
y varias estaciones de televisión, de acuerdo con el periódico turco "Radikal", dijo: "Los
avisos estaban ahí, pero nadie hizo caso de
ellos". - Fuentes
oficiales surcoreanas también informaron de que
unos 300.000 ordenadores fueron atacados en oficinas
gubernamentales, escuelas y negocios
–cerca de un 4% de todos los ordenadores del país- en
el peor ataque de esta clase, en este país. "Hemos
sido descuidados y carecimos de un conocimiento del virus", afirmó Ahn
Byung-Yop, viceministro de información y comunicaciones.
"Necesitamos fortalecer tanto nuestro sistema de
alarma como una educación pública sobre los
virus
informáticos". Schrader también
explicó que los países más duramente
golpeados, han generalizado el uso de software
pirateado y carecen de software
antivirus
actualizado. La existencia de "Chernobyl" es conocida desde
el verano pasado, y cada paquete importante de software
antivirus,
puede detectarlo y proteger contra éste
(???).
También el virus "Melissa" sirvió el mes
pasado como una "muy efectiva llamada de atención" en
los Estados Unidos,
afirmó Schrader. Muchos usuarios norteamericanos
actualizaron su software de un modo agresivo y comenzaron a
tomar muy en serio a los virus
informáticos. "En otras partes, no se tomo tan en
serio", dijo Schrader.
- En la
India, al menos 10.000 propietarios de ordenadores
informaron haber sido afectados. Negocios,
bancos y
empresas
editoriales de la India
fueron "apagados" y se perdió información por valor de
millones de dólares, informó el periódico "Indian
Express". - Medios locales
afirmaron que hasta un 10% de todos los ordenadores usados en
los Emiratos Arabes Unidos fueron afectados; al menos
10.000 ordenadores fueron golpeados en Bangladesh;
informes
en China varían entre 7600 y 100.000
ordenadores dañados. "Este fue el peor desastre
informático en este país", afirmó
Ahmed Hasan, secretario general de la "Sociedad
Informática" de
Bangladesh.
Y esta
otra noticia, originada en España,
como puede leerse claramente en el copete de "La Brujula.Net",
que dice textualmente…
El virus CIH/Chernobyl afectará el lunes
26 a miles de PCs. Más dañino que el Melissa,
actúa sobre Windows 95 y 98
pero no en Windows NT.
Los expertos recomiendan: antivirus y copias de seguridad.
ESTE LUNES
26/04/1999, UN NUEVO VIRUS AFECTARÁ A MILES DE
PCs
Expertos en
seguridad
informática de todo el mundo han advertido sobre los
notables perjuicios que puede causar en los PCs este lunes,
día 26 de abril, el virus denominado CIH/Chernobyl, que
reside desde hace meses en miles de ordenadores y se
activará en esa fecha, coincidiendo con el decimotercer
aniversario del desastre de la central nuclear ucraniana. El
virus actúa sobre máquinas con Windows 95 y
98, pero no Windows NT,
borrando la información contenida en el disco duro e
imposibilitando iniciar programas.
Desde que fuera
descubierto, en el verano de 1998, los fabricantes anti-virus
han desarrollado protectores, la mayoría de los cuales
se pueden descargar gratuitamente de Internet.
Network Associates y Symantec sugieren, por ejemplo, aplicar
las últimas versiones sus respectivos programas, el
popular McAfee y Norton, antes del lunes. Asimismo,
compañías y expertos recomiendan efectuar una
copia de seguridad
del disco
duro.
A diferencia del
"Melissa", el virus de más rápida
propagación y efecto mediático de la historia de
Internet, el "CIH/Chernobyl" puede causar daños
infinitamente más graves, sobre todo en redes
corporativas.
Pero el
pueblo de ucraniano de Chernobyl, nunca podrá imaginarse
que su "explosiva" fama trascendería largamente a sus
fronteras, en algo tan extrañamente ajeno a la consciencia
de su pueblo. Lo extraño es que las computadoras
deben de todo el mundo deben sufrir en un muy breve plazo,
otro descomunal desastre: "el problema del año
2000".
¿Cómo podrá explicársele
al sufrido pueblo de Chernobyl, que las centrales nucleares
de todo el mundo, serán las víctimas más
críticas de la problemática del año
2000, que involucra necesariamente a las computadoras
que funcionan en sus recintos, controlando al fatídico
reactor, cuando "estalle" la incertidumbre de
no saber en qué maldito
día se encuentren?, ¿Qué
tiene que ver el pueblo de Chernobyl, en toda esta masacre?,
¿Acaso se trata de un pueblo maldito…
?
A
propósito, vea por ejemplo lo que este mismo diario
electrónico, y en otra noticia aparentemente inconexa, nos
advierte:
EL EFECTO 2000:
EXPERTOS ADVIERTEN SOBRE EL RIESGO EN
PLANTAS
NUCLEARES
Expertos nucleares
han expresado su preocupación acerca del funcionamiento
de la central de Chernobyl y de otras plantas de
la antigua Unión Soviética el 1 de enero del
2000, cuando se compruebe el efecto del "bug del milenio".
Según un despacho de la agencia Reuters en Kiev, algunos
expertos estiman que el "Efecto 2000" incidirá en la
planta nuclear de Chernobyl, mientras otros técnicos
consideran que todavía hay tiempo para
solucionarlo.
Así, Yury
Nertin, el ingeniero jefe de la central, dijo esta semana
en una conferencia de
prensa:
"Estamos trabajando sobre el problema, y estamos seguros de que
estará solucionado antes del 2000". Este lunes se
cumplen trece años desde que estallara el núcleo
de Chernobyl, originando una nube radioactiva sobre Ucrania,
Bielorrusia, Rusia y parte de Europa
Occidental.
Monumento en
Slavutich, en memoria a los
empleados que murieron después de la catástrofe.
(El Reactor Número 4 explotó el 26 de abril de
1986). Se estima el número de víctimas en 125,000
personas. (fuente UNESCO)
Por su parte, Lola Espinosa <>,
colistera de una de las tantas listas de distribución de habla hispana, nos
comentaba en su mensaje:
"El pasado día 26 el ordenador de un
colega resultó tremendamente dañado por el nuevo
virus Chernobyl (ni siquiera reconoce su sistema
operativo). ¿Alguno sabe como se puede desactivar el
virus y recuperar todo lo dañado?"
Un nuevo virus
está causando estragos. Y eso mismo ocurrió este
lunes en las computadoras de una gran cantidad de empresas y
particulares.
El virus
Chernobyl
El
virus Chernobyl es una variante de W95.CIH virus. Fue creado en
Taiwán a mediados de 1998 y es el primer virus que ha
causado serios daños a las PC por modificación o
corrupción
de la programación del chip BIOS,
sobreescribiendo parte de este firmware . La
modificación se traduce en la incapacidad del reinicio de
la
computadora, tornándola completamente inútil.
Esta vez se trata de un daño físico (ataque sobre
el) ante la imposibilidad de corregir el programa
dañado.
Aunque
Ud. no lo crea, el virus CIH lleva 14 meses desde que fue
informada su existencia en la "WildList" mantenida por Joe
Wells de IBM. Esto muestra que el
virus está ahora en plena circulación
(¿cuántos más se estarán en esto
momentos "incubando"?) y que los usuarios están expuestos
al riesgo de una
infección, si es que sus antivirus todavía no
están actualizados. La propagación del CIH fue
originada a partir de un CD de la
revista ROM's
y desde varios sitios Web confiables.
Ésto da una idea cabal de la extremadamente alta velocidad de
propagación que posee.
Ficha
Técnica
Nombre: Chernobyl /
W95.CIH
Tipo: Virus
tradicional. Los virus de archivos
tradicionales infectan archivos
ejecutables (por ejemplo, los archivos
.exe y .com). Cuando se ejecuta un archivo o
programa
infectado, el virus se ejecuta primero y luego pasa el control al
programa
original. Cuando el virus tiene el control, lo
aprovecha para replicarse en otro archivo, y
así sucesivamente.
Activación:
Según sus diferentes variantes, el virus CIH se
activa en días diferentes. La variante más
común se activa el 26 de abril de 1999, mientras que
otras, pueden hacerlo otros días 26 de todos o
diferentes meses. En efecto, a tan corto tiempo de su
aparición inicial, se confirmaron tres variantes: la
versión1.2 se activa los días 26 de abril, la
v.1.3 los días 26 de junio, y la v.1.4 se activa en los
días 26 de cada mes.
Infección: El
CIH no infecta a archivos de
documentos,
solo a ejecutables. Infecta a los archivos ejecutables de 32
bits, en computadoras controladas por los sistemas
operativos Windows 95 y
Windows 98,
y a todos los ficheros de este tipo, que encuentre a su paso.
Si luego se ejecuta un fichero infectado, el virus queda
residente en memoria y desde
allí, infectará a cuantos archivos sean copiados
o abiertos en los sucesivo. Los archivos infectados
serán del mismo tamaño que los originales, debido
a las técnicas especiales que utiliza dicho virus, lo
cual hace mas difícil su detección. Éste
busca espacios vacíos dentro del fichero y los va
rellenando con el código viral, en pequeños
segmentos. Pero –en este caso afortunadamente– ¡nada es
perfecto!, el virus tiene algunos bugs (errores de programación) que ocasionan bloqueos de
la
computadora cuando se ejecutan los ficheros
infectados.
En
Windows NT y
Windows
3.XX, el CIH nunca podrá estar activo y por ello no
será capaz de dañar a computadoras controladas
por estos sistemas
operativos. Pero estas máquinas no podrán
impedir ser verdaderas "portadoras" del virus, con sus
consecuencias lógicas de permitir la difusión y
el contagio con sus congéneres, vinculadas en red.
Si es Ud. una persona con
conocimientos más avanzados, y desea conocer detalles
técnicos más profundos, vea el siguiente
comentario tomados de textos de ZDNet
y de Symantec http://www.symantec.com
traducidos por Lucas Morea; Información de los productores de F-PROT
y Command AntiVirus; notas aparecidas en el foro ALT.COMP.VIRUS de Internet y los
textos de ITASA http://www.itasa.com.mx
Cuando el virus
se dispone a infectar un archivo,
busca un hueco o "caverna" en el cuerpo del archivo.
Estos huecos son normales en la estructura
de los archivos PE (Portable Executable) en la que todas las
secciones del archivo se
alínean mediante un valor que
se define en el encabezado de ese tipo de archivos… y nunca
hay bloques de datos entre
el final de una sección y el principio de la siguiente
lo que significa "espacio disponible". En esos huecos escribe
el virus su código e incrementa el tamaño de
las secciones con los
valores necesarios con lo cual el tamaño del
archivo no aumenta.
Si se encuentra
un hueco del tamaño suficiente, el virus guarda su
código en una sola sección, de lo contrario se
segmenta en las piezas y secciones que sean necesarias hasta
completar todo el código.
El CIH busca
también un hueco en el encabezado del PE. Si localiza
un bloque libre de al menos 184 bytes, allí escribe su
rutina de arranque y modifica la dirección de entrada en el encabezado
del PE para que apunte al propio virus. Una vez que la rutina
de arranque toma control,
reserva memoria y se
copia allí, localiza cualesquiera otros bloques que
contengan fragmentos del virus y los agrega al bloque de
memoria que
reservó. A continuación el virus secuestra las
rutinas de control de
entrada salida (IFS API de Windows) y
devuelve el control al
programa
anfitrión.
Como ya se
mencionaba, lo más interesante desde el punto de vista
técnico, es que el virus emplea complejos trucos para
saltar del anillo 3, –que es la capa de software en la que
corren todas las aplicaciones del usuario ¡incluyendo
el antivirus!– al anillo 0 del procesador
(capas de software que determinan el nivel de
protección disponible a un programador) para
secuestrar las llamadas al sistema,
burlando así la posibilidad de ser detectado por los
productos
antivirus.
El manejador de
archivos del virus intercepta solo una función, la
apertura de archivos. Cuando un .EXE se abre, el virus lo
infecta, siempre que contenga huecos suficientes y en seguida
verifica la fecha del archivo para decidir si es tiempo de
activar sus rutinas destructivas. En este punto el virus hace
llamadas directas a los puertos del Flash
BIOS y de
acceso a discos para evadir el sistema
operativo.
Dado que
ningún virus había llegado hasta allí
con anterioridad, los antivirus simplemente no están
preparados para esa tecnología y se requiere de una
solución especialmente diseñada para ese virus,
que por otra parte ya han sido desarrolladas y puestas a
disposición del público en los modernos
AntiVirus.
Daño: El
daño que origina ete virus, puede ser analizado desde
tres ángulos diferentes:
- Sobreescribe, rellenando con ceros, la
información (nuestros documentos)
del disco
duro, usando llamadas de escritura
directa. Queda como única alternativa la
recuperación a partir de respaldos (o backups), si es
que se disponen. - Aunque únicamente infecta a archivos, al
momento de causar el daño no establece preferencias,
pues destruye tanto los archivos, como el MBR (Master Boot
Record) y el sector BOOT de arranque del sistema
operativo. Todas las variantes de este virus borran los
primeros 2048 sectores del disco rígido (casi 1 Mb),
esencialmente formateándolo, superando las
protecciones antivirus del BIOS y
dejando a la
computadora inutilizable ante la imposibilidad de su
reinicio. - La
mayor perversidad del CIH radica en una rutina de
activación única: el virus intenta
sobreescribir el BIOS de la
máquina con basura, no
con código viral como se ha corrido el rumor. Lo bueno
es que esto únicamente es posible en los llamados
Flash BIOS; la malo es que prácticamente todos
los BIOS en la actualidad son de este tipo. Si el CIH logra
sobreescribir el BIOS, la máquina nunca volverá
a arrancar, a menos que se cambie su placa madre
(motherboard) o se reprograme el Flash BIOS.
Pero esto es algo que muy pocos usuarios saben cómo
hacer y que no se trata de algo trivial, porque existen miles
de BIOS diferentes (incluso de un mismo
fabricante).
La
rutina del Flash BIOS opera en muchos modelos de
máquinas con procesadores
Pentium. En
algunas placas madres es posible activar su
protección mediante un puente (jumper), pero por
desgracia la mayoría de estas son configuradas de
fábrica, con dicha protección desactivada. Por lo
tanto, para recuperarse del desastre, en principio es
necesario el reemplazo físico del chip del BIOS
directamente en la placa madre, o en algunos casos más
graves la sustitución completa de la propia placa
madre.
Cómo combatir el virus Chernobyl
Si está leyendo estas líneas, siga
este procedimiento de
manera sistemática, paso a paso sin olvidar ninguno.
Pueden presentarse dos alternativas, pero en cualesquiera de
ellas, se impone la ejecución de los necesarios primeros
dos pasos:
- Hacer una copia
impresa (hard copy) en papel de
este documento ahora mismo (antes que ocurra algo
imprevisto). Esto le permitirá una segura referencia
para ejecutar el procedimiento
paso a paso, con la seguridad de
tenerlo escrito en sus manos. Si no hay peligro de momento,
guarde este impreso en lugar seguro, junto
al disquete que se cita en el paso siguiente. - Obtenga de
inmediato el disquete de inicio que Ud. mismo
preparó en oportunidad de la instalación de su
sistema
operativo, que por supuesto (doy por sentado que Ud. es una
persona
previsora) mantuvo guardado en un lugar "fresco y seco",
envuelto en papel
estaño (para protegerlo de los efluvios
magnéticos del ambiente) y
todo el paquete anterior, nuevamente envuelto en una bolsa de
polietileno (para protegerlo de la humedad ambiente).
Si no dispone de este disco, pídale a un amigo que le
permita realizar esta operación, sobre un disco virgen
confiable.
Si su computadora
PUEDE reiniciarse:
- Consiga un programa
antivirus actualizado, de los tantos que se
ofrecen en el mercado, la
mayoría de ellos muy efectivos, los que incluso permiten
su actualización "en línea", vía Internet. Tal
es el caso del Norton AntiVirus (por citar alguno,
quizás el más popular). Si le interesa, puede
bajar versiones "trial" (válidas por 30 días), de
este programa en español desde aquí:
Norton AntiVirus 5.0 para Windows 95 (12Mb)
y
Norton AntiVirus 5.0 para Windows 98 (12Mb)
(es necesario registrarse primero para hacer el
"download"). Alternativamente Ud. puede consultar nuestras
sugerencias, más adelante en el tema "Software
Detector". - Inicie su
computadora,
por ahora solo para entrar al "setup" de BIOS y habilitar
allí (opción enable) el arranque de su
computadora
a partir de un disquete de inicio. Esto es así,
porque supuestamente Ud. habría configurado el arranque
de su computadora
a partir únicamente del disco rígido C:
(justamente para evitar una infección a partir de
disquetes contaminados y "olvidados" en la unidad
A:) - Reinicie su
computadora con el disquete de inicio obtenido en el
punto 2. - Cuando aparezca el indicador C:>_
ejecute el archivo
kill_cih.exe Este programa desactiva el virus de
memoria,
deteniendo así sus acciones de
infección, para permitir la remoción por parte
del antivirus. Es importante tener en cuenta, que este
ejecutable no elimina el virus, sino que impide su
proceso de
infección, desactivándolo de memoria… hasta la
próxima vez que se inicia la
computadora. - Si su disco de inicio estuviese infectado,
es posible que
esta utilidad no
detecte la infección, pero de todas formas es
importante correrla antes de ejecutar el antivirus (o de
actualizarlo por Internet), ya
que si se intenta la desinfección antes, sólo se
estará infectando al resto de los archivos con el virus.
Entonces estará en condiciones de aplicar un potente
antivirus de reconocida eficacia, sin
prisa, configurándolo para que rastree todo tipo de
archivo: ejecutables o no, incluyendo a los
comprimidos.
SI su computadora NO PUEDE
reiniciarse:
- Encienda su computadora
e intente entrar al "setup" de BIOS. Pruebe el
auto-reconocimiento de su disco rígido. Verifique que
efectivamente la ROM BIOS reconozca a su disco rígido.
Si su disco rígido es reconocido, continúe con el
procedimiento
anterior en el punto a. - Si su rígido no es reconocido,
controle
cuidadosamente las conexiones físicas
(conectores y cables bien enchufados). Una buena manera de
hacerlo, es desenchufando y enchufando cada conector, uno por
uno… sin olvidar ninguno. - Reinicie su
computadora con el disquete de inicio obtenido en el
punto 2. - Cuando aparezca el indicador A:>_
escriba
fdisk /mbr y pulse ENTER. Si el daño estaba
localizado en una partición del disco rígido,
esta acción será suficiente para restaurarla y
corregirla. Se comprueba reiniciando exitosamente la
computadora. - Alternativamente, en el CD de
instalación de Windows
95/98 puede
recurrir a un programa llamado ERU
(Utilidad de
Recuperación de Emergencia) que es muy útil en
estos casos, sin embargo es necesario correrlo antes de que
llegue el problema, pues el ERU lo que hace es sacar una
copia muy completa de los archivos del registro y de
la configuración de sistema
operativo, para poder hacer
la restauración posteriormente. - Si las acciones
anteriores fallan, llega el momento de
intentar el formateo en bajo nivel del disco
rígido, operación muy delicada y
específica para técnicos especializados, que no
recomiendo la practique un usuario no calificado
técnicamente.
Software
detector
- El más grande impacto es localizado en las
computadoras personales, dice Viveros, quien agrega que
los usuarios pueden descargar programas
anti-virus libre desde su empresa ubicada
en el sitio http://www.nai.com/
El virus puede venir a través del e-mail o en
programas pirateados contaminados. - Si
es Ud. usuario de Norton AntiVirus recientemente actualizado,
de seguro
está cubierto, como lo afirman sus fabricantes. Si su
antivirus no posee el último archivo de definiciones,
debería correr el "LiveUpdate!". Symantec aconseja que
esa actualización se haga por lo menos con una
frecuencia mensual. Nuevas definiciones de virus están
disponible vía el LiveUpdate! en la publicaciones
semanales.
Si tiene grandes sospechas de estar infectado, puede
bajar una herramienta gratis para Windows 95/98
desde el sitio Symantec's web que
detectará y eliminará el CIH virus. Haga su
"download" desde http://www.symantec.com/nav/navc.html
- Usando el antivirus AVP (Antiviral Toolkit Pro), de
distribución gratuita como
demostración, se puede conseguir en la siguiente
dirección: www.avp.com - Otros antídotos para este virus los
encontrará en:
http://www.pandasoftware.es
http://www.symantec.com
http://www.nai.com
Ampliaciones
- La empresa
especialista Symantec, en su sitio web
http://www.symantec.com/region/uk/avcenter/chernobyl.html
brinda detalles más profundos. - La multinacional española Panda
Software, ofrece una rutina de desinfección gratuita
para todos los usuarios en http://www.pandasoftware.es
Sugerencias
finales
Con
demasiada frecuencia -desafortunadamente– se observa en los
mensajes de las listas de correo, pedidos de auxilio como el
citado al principio. Si a alguien más le sucedió
algo similar a que "se le desapareció" su disco
rígido, en una fecha alrededor del 26 de abril , lo
más probable es que se trate del virus
CIH.
Pero el
problema es más grave está en las empresas que usan
el correo
electrónico dentro de las aplicaciones de red, tanto a través
de un navegador WEB como con
Telnet y FTP. Se ha
convertido en parte importante para la vida de las empresas y los
corporativos, porque es una parte integral en sus comunicaciones.
Realmente resulta imposible imaginar una empresa que pueda
operar sin un sistema de
correo
electrónico eficaz, ya sea de tipo local o remoto.
Internet se ha convertido en un medio muy utilizado por las
empresas
grandes y medianas para el manejo de su correo
electrónico.
Por
medio del correo
electrónico se pueden enviar y recibir no sólo
mensajes, sino también archivos ejecutables, encriptados o
comprimidos. En el caso de los archivos comprimidos se persigue
disminuir el tráfico en la red. Desafortunadamente,
estos archivos pueden contener un virus, que se pueden diseminar
rápidamente, con los riesgos que ya
conocemos. La mayoría de los antivirus no pueden rastrear
en los correos buscando por virus, debido a que tienen un formato
especial además de que pueden estar en formato comprimido
y/o encriptados.
Los
virus que infectan archivos, pueden ser transmitidos a
través de éstos por medio del correo
electrónico como archivos anexados o
adjuntos.
Quizás ahora mismo Ud. esté
haciéndose estas preguntas:
¿Mi
computadora puede contraer una infección cuando navego por
internet?
Por
el simple echo de estar conectado a internet no se transfiere
ningun tipo de virus
informático. Existe quizá algún
peligro, examinando páginas
web o "bajando" archivos de la red.
Las
páginas
web que utilizan objetos ActiveX pueden contener
virus, puesto que ellos son realmente ficheros ejecutables,
recogidos por nuestro navegador y ejecutados en nuestras PC.
Podrían eventualmente ser utilizados inescrupulosamente
para propagar un virus.
La
"seguridad"
de los objetos ActiveX consiste simplemente en un
certificado digital de autenticidad, "firmado" por quien
ha creado el objeto. Pero un simple certificado de autenticidad
no puede garantizar que no esté un virus
presente.
También podemos recibir páginas que
utilizan Applets de Java. Estos
programas no llegan a ser descargados por nuestro navegador, se
ejecutan en un entorno muy restringido, y no hay acceso a la
PC, o al disco duro,
con lo que resulta prácticamente imposible infectarnos
con applets (al menos hoy por hoy).
Durante el proceso de
descarga de ficheros, también es muy difícil
recoger un virus, tenemos las mismas condiciones que con los
applets de java, pero una
vez que el fichero ha llegado completamente a nuestro PC,
debe ser chequeado antes de ejecutarse, ya que podria
contener un virus.
¿Qué hacer con
los virus del correo electrónico?
Con
estos podemos estar tranquilos, ya que un virus no puede
copiarse ni romper nuestro disco duro
tan solo por leer un correo electrónico, porque se trata
simplemente de un archivo de texto (no
ejecutable).
Una
cosa muy diferente, son los ficheros adjuntos (attachments), ya
que podemos recibir un fichero ejecutable que podria contener
un virus. Lo mejor es no ejecutar directamente los archivos
desde nuestro navegador, sino almacenarlos en nuestro disco
duro y antes de ejecutarlos, chequearlos con un anti-virus
confiable. Es recomendable por lo mismo, abstenerse en lo
posible de enviar archivos adjuntos, por idéntico
riesgo que
representa para nuestros corresponsales.
Si su
programa de correo electrónico esta configurado para
leer los mensajes automáticamente con Microsoft
Word, es posible recibir un virus-macro e infectar a
nuestro Ms-Word. Si
tiene esta opción activada; desactívala, y
chequea los ficheros recibidos antes de
ejecutarlos.
Finalmente, y por si quedara alguna duda, lo mejor es
tomar por norma eliminar los ficheros recibidos por
corresponsales desconocidos, aquellos que no hemos solicitado.
No exponga sus datos a un
riesgo
innecesario por abrir (o ejecutar) un archivo
desconocido.
Enciclopedias
de Virus en Internet
Si
necesita más información sobre un determinado
virus, muchos desarrolladores de programas antivirus
proporcionan una más amplia informacion. Vienen a modo
de ejemplo, los siguientes:
Antiviral
Toolkit Pro Incluye solamente los
principales detalles.
DataFellows
Organizados por nombre y pais. Muy
actualizado.
Dr.
Solomon Importantes detalles de los
principales virus.
Symantec
Mas de 10,000 virus, organizados por
nombre.
Trend
Micro Muchos virus organizados por nombre,
muchos detalles.
Cheyenne
Descripcion
tecnica de
virus informaticos.
IBM Listado de virus y alias.
Network Associates
(McAfee) Listado de virus, con varias
referencias.
Quarterdeck Amplio listado de virus
por nombre, muchos detalles.
Stiller
Research Listado de virus por nombre y
otras referencias.
Virus
Bulletin Algunos articulos sobre virus, con
muchos detalles.
El que a hierro
mata…
DETENIDO UN TAIWANÉS CREADOR DEL VIRUS
«CIH/CHERNOBYL»
Un
joven ingeniero de informática taiwanés de 24
años, Chen Ing-Hau, ha admitido ser el autor del virus
CIH/Chernobyl, que el lunes 26 afectó a miles de
ordenadores de todo el mundo, borrando la información
contenida en el disco duro y obligando a reinstalar todos los
programas incluido el sistema
operativo. Chen Ing-Hau, antiguo estudiante del Tatung
Institute of Technology de Taiwan, y actualmente en el servicio
militar de su país, bautizó el virus
utilizando las primeras letras de su nombre y apellidos:
CIH.
El
autor del virus fue localizado y detenido por la policía
de Taipei siguiendo pistas y basándose en testimonios
como el de su antiguo decano, Lee Chee-Chen, quien
desveló que ya antes, el joven había sido
sancionado por infectar una red local intercolegial con otra de
sus "creaciones".
Sin embargo, en el momento actual, Chen Ing Hau
está en libertad,
dado que, según los investigadores, una serie de lagunas
jurídicas en la legislación de Taiwan impiden
incriminarlo.
"No es un delincuente hasta que alguien no
presente una demanda
judicial", ha dicho a Reuters un portavoz de la policía
de Taipei. El virus de "Chen" causó gran efecto en
países con escasa protección en los programas
como Corea del Sur, Turquía, Corea, India y
países de Oriente Medio. Sin embargo, según la
policía nadie ha dado cuenta de problemas en
Taiwan.
Una vez detenido y puesto a continuación en
libertad,
Chen se mostró arrepentido y se ofreció a ayudar
a las víctimas a eliminar el
virus.
http://www.labrujula.net/semanal/
Trabajo realizado
por
Raúl
Vera