DSpace de la Universidad Catolica de Cuenca

UNIVERSIDAD CATÓLICA DE CUENCA
UNIDAD ACADÉMICA DE INGENIERÍA DE SISTEMAS,
ELÉCTRICA Y ELECTRÓNICA
“Análisis de ataque de virus informáticos en las computadoras y en las
organizaciones y sus efectos colaterales”
Trabajo de investigación previa a la obtención del
Título de Ingeniero en Sistemas.
Aspirante:
Tngl. Rosa Margarita Loja Cajamarca
Director:
Ing. Isael Sañay.
Cuenca - Ecuador
2008
DEDICATORIA
A Dios por dirigirme por el mejor camino
de la vida, me diste salud, conocimiento y
sabiduría para así alcanzar una de mis
metas.
A mí querida familia especialmente a mi
madrecita que siempre me cuida y me
guía,
a
mis
hermanas
y
hermanos
quienes con su amor y apoyo
me
ayudaron a buscar el mejor camino de la
vida.
A mis amigos
y compañeros de clase
quienes con su amistad y apoyo ayudaron
a lograr una de mis metas.
AGRADECIMIENTO
Agradezco a Dios por la oportunidad que
he tenido de aprender.
Agradecimiento especial para el director
de monografía Ing. Isael Sañay, por su
amistad, paciencia y su constante apoyo
durante el desarrollo de esta monografía.
De
igual
forma
deseo
expresar
mi
agradecimiento al Comité Calificador de
esta monografía por su apoyo para la
culminación de esta monografía.
A los profesores titulares y asistentes de
la Universidad Católica de Cuenca, con
paciencia, han sabido enseñar y compartir
sus conocimientos y su amistad en el
tiempo que fueron mis maestros por todo
eso gracias.
Con Cariño y un Eterno Agradecimiento
Gracias.
Resumen
En el presente documento se exponen una breve historia de los virus
su evolución sus daños causados y algunos tipos de Virus Informáticos.
Se presentan conceptos y daños que causados por los virus a las
organizaciones, síntomas típicos de una infección, para lo cual se debe
conocer las medidas de protección como se debe proteger las áreas más
sensibles para lo cual utilizaremos algunas formas de protección como:
vacunas, detectores de los virus.
En este documento se estudia las bases teóricas y los antecedentes
que darán sustento al desarrollo de la aplicación, se realiza una descripción
de los virus, detallando sus daños que causan a las organizaciones y la
forma que se debe evitar los contagios.
Índice General
Introducción……………………………………………………………
xix
CAPITULO l: Antecedentes y Marco Teórico
1.1 Virus Informáticos……………………………………………………2
l.1.1.2 ¿Qué son los virus?.............................................................................13
I.1.1.1.1 Finalidades……………………………………….……………………..15
I.1.1.1.2
DAÑOS DE LOS VIRUS………….………………………………….15
l.1.1.3 ¿Quién los
hace?.................................................................................19
l.1.1.4 ¿Qué es un virus informático?........................................................ 24
I.1.1.1.3 Ciclo de vida de un Virus …………………….…………………….25
I.1.1.1.3.1 ETAPA 1: CREACIÓN………………………………………………25
I.1.1.1.3.2 ETAPA 2: REPRODUCCIÓN……………………………………….25
I.1.1.1.3.3
ETAPA 3: ACTIVACIÓN….……………………………………..25
I.1.1.1.3.4 ETAPA 4: DESCUBRIMIENTO………………………..…………..26
I.1.1.1.3.5 ETAPA 5: ASIMILACIÓN………..…………………………………..26
2
I.1.1.1.3.6 TAPA 6: ERRADICACIÓN… …………………….………26
I.1.1.5 Tipos de virus……...…………………………………….………….…….27
I.1.1.5.1 Caballos de Troya. ……...……………………….………………….….27
I.1.1.5.2Camaleones…….……...………………………………………………...27
I.1.1.5.3 Virus polimorfos o mutantes…………………………………….…...28
I.1.1.5.4 Virus sigiloso o stealth………………………………………..………30
I.1.1.5.5 Virus lentos……………………………………………………………..31
I.1.1.5.6 Retro-virus o Virus antivirus ………………………………….………32
I.1.1.5.7 Virus multipartitos……………………….…………………..………….33
I.1.1.5.8 Virus voraces…………………………………………………………….33
I.1.1.5.9 Bombas de tiempo ………………………………………….………..34
I.1.1.5.10 Conejo………………………………………………………………….34
I.1.1.5.11 Macro-virus……………………………………………...…………….35
I.1.1.5.12 Gusanos……………………………………………………….………40
I.1.1.5.13 Los Nuevos
Worm………………………………………………..…..43
I.1.1.5.14 Virus Falsos o Hoaxes………………………………………………44
I.1.1.5.15Virus Falsos conocidos………………………………..…………….44
I.1.16 Características……………………………………………………………45
CAPITULO II:Los Virus Informáticos en las Organizaciones
3
II.1.1.1
La Organización y los virus.……………………….48
II.1.1.2
Como Afectan los Virus Informáticos a Las Empresas y El
Comercio Mundial………………………………………………………………49
II.1.1.3
Virus amenazadores……………………………………………..53
II.1.1.4
Síntomas típicos de una infección……………………………57
II.1.1.4.1 Señales de infección por virus informáticos…………………...58
II.1.1.5
Como se producen las infecciones…………………………60
CAPITULO III:
Estrategias a seguir
III.1.1.1
Añadidura o empalme………………………….……………..62
III.1.1.2
Inserción…………………………………….…………………..62
III.1.1.3
Reorientación………………………………..…………………63
III.1.1.4
Polimorfismo……………………………………….…………..64
III.1.1.5
Sustitución…………………………………………………..….64
III.1.1.6
Efectos de los virus en los computadores……………….64
III.1.1.7
Como proceder ante una infección………………………..65
lll.1.1.7.1Preparación y prevención……………………………………..66
lll.1.1.7.2 Detección de virus…………………………………………….…66
lll.1.1.7.3 Contención y Recuperación……………………………………67
CAPITULO IV:
SEGURIDAD
4
IV.1.1.1
Incrementar Seguridad……………………..…………………..68
IV.1.1.2
Estrategia de seguridad contra los virus………………..…..69
IV.1.1.3
Riesgos en Internet…….………………………………………..73
IV.1.1.4
Técnicas de detección.…………………………………………74
IV.1.1.5
Medidas Curativas……………………………………………….77
IV.1.1.5.1
¿Qué se debe hacer?.............................................................77
CAPITULO V: ANTIVIRUS
V.1.1.1
¿Que son los antivirus?........................................................82
V.1.1.2
Aplicar cuarentena………………………………………………86
V.1.1.3
¿Qué medidas de protección resultan efectivas?...............86
V.1.1.3.1 ESTABLEZCA UNA POLÍTICA DE SEGURIDAD………………..88
V.1.1.3.2 CREE CONTRASEÑAS SEGURAS………………………………..89
V.1.1.3.3 PROTEJA LA INFORMACIÓN MÁS SENSIBLE………………….89
V.1.1.3.4 NO ABUSE DEL E-MAIL…………………………………………….90
V.1.1.3.5 BLOQUEE EL EQUIPO CUANDO NO LO USE…………………..91
V.1.1.3.6 ESTABLEZCA CRITERIOS PARA COMPARTIR LA
INFORMACIÓN………………………………………………………..91
V.1.1.3.7 NO DESCARGUE SOFTWARE GRATUITO……………………….92
V.1.1.3.8 TOME PRECAUCIONES PARA COMPRAR ON LINE…………..92
V.1.1.3.9 UTILICE ANTIVIRUS Y ANTISPAM………………………………..93
V.1.1.3.10
ACTUALICE CON PARCHES SU SISTEMA OPERAT……..94
V.1.1.3.11
HAGA COPIAS DE SEGURIDAD………………………………94
5
V.1.1.4
Proteger áreas sensibles……………………………………….96
V.1.1.5
Medidas
antivirus…………………………………………………98
V.1.1.5.1 Detección de virus…………………………………………………..100
CAPITULO VI:
VI.1.1.1.1
VI.1.1.1.2
HERRAMIENTAS
Vacunas………………………..………………………………..101
Consejos para proteger su información…………………..102
Vl.1.1.3 Eliminación……………………………………………..…….…….105
Vl.1.1.3.1 Rastreando y Eliminando Virus……………………………..….107
Vl.1.1.3.2 Procedimiento Recomendado………………………..………..109
Vl.1.1.4 Comprobación de integridad………………………..………….110
CAPITULO VII:
VII.1.1.1
Antivirus
Tipos de antivirus ………………………………………………120
VII.1.1.2
Utilización de
detectores……………………...……………….121
VII.1.1.3
CÓMO PUEDO ELABORAR UN PROTOCOLO DE
SEGURIDAD ANTIVIRUS……..................................................................123
CONCLUSIONES………………………………………………………………..128
RECOMENDACIONES………………………………………………………….129
BIBLIOGRAFÍA…………………………………………………………………..130
ABREVIATURAS
MIT
Massachussets Technology Institute (Instituto Tecnológico de
Massachussets).
PSP
Program Segment Prefix.
HTML
HyperText Markup Language (Lenguaje de Marcas de Hipertexto)
FAT
(File Allocation Table, Tabla de Ubicación de Archivos
SO
Sistema Operativo
FORMAT Es un Comando de MS-DOS cuya función es dar formato a una
partición de disco duro o disquete.
VBA
Visual Basic para Aplicaciones
MVP
Most Valuable Player (jugador más valioso) o Most Valuable
Professional (profesional más valioso).
2
DEBE
desencriptarse siendo entonces detectable
BBS
(Bulletin Boards) o copias de software no original
BIOS
Basic Input/Output System (sistema básico de entrada/salida).
BAT
compañía British American Tobacco
DLL
Dynamic Linking Library (Bibliotecas de Enlace Dinámico).
IBM
International Business Machines.
AES
Advanced
Encryption
Standard
(Algoritmo
de
encriptación
simétrica).
ANSI
American National Standard Institute.
ASCII:
Amsterdam Subversive Center for Information Interchange
(Centro Subversivo de Amsterdam para el Intercambio de
Información).
BSD
Berkeley
Software
Distribution
(Distribución
Berkeley).
GPL
General Public License o Licencia Pública General.
de
Software
3
HFS
Sistema de Archivos Jerárquicos o Hierarquical File System.
IDE
Integrated Drive Electronics (Electrónica Integrada de Unidad).
MAC
Macintosh, nombre de una computadora personal.
MFS
Macintosh File System.
MS
Memory Stick
NTFS
New Technology File System
RAID
Redundant Array of Inexpensive Disks o conjunto redundante de
discos baratos.
SCSI
Small
computer
systems
interface
(Interfaz
de
Sistemas
Pequeños de Computo).
UDF
Universal Disk Format.
UDP
User Datagram Protocol.
ENIAC
de Electronic Numerical Integrator And Computer (Computador e
4
Integrador Numérico Electrónico)
UNIVAC
Universal Automatic Computer computadora automática universal
AT&T
American Telephone and Telegraph
Arpanet
Advanced Research Projects Agency Network) fue creada por
encargo del Departamento de Defensa de los Estados Unidos.
CP/M
Control Program/ Monitor
DOS
Disk Operating System (sistema operativo de disco).
MS-DOS
Micro Soft Disk Operating System, Sistema operativo de disco de
Microsoft.
VAE
Virtual Address Extended PDP-11
MBR
MBR: es el primer sector ("sector cero") de un dispositivo de
almacenamiento de datos, como un disco duro.
CMOS
Complementary Metal Oxide Semiconductor, "Semiconductor
Complementario de Óxido Metálico"
ROM
read-only memory, que significa "memoria de sólo lectura
RAM
Random Access Memory
5
USENET
Users Net work (Red de usuarios
P2P.
Peer-to-peer-que se traduciría de par a par- o de punto a punto
BASIC
Es un lenguaje de programación
RSA
Es un algoritmo asimétrico cifrador de bloques.
Fdisk
es un programa de computadora disponible en varios sistemas
operativos, el cual permite dividir en forma lógica un disco duro
INTRODUCCIÓN
El desarrollo informático ha sido un paso de avance importante para la
sociedad humana, debido a ello se ha hecho posible que la información y por
consiguiente el conocimiento alcanza escalas insospechadas. Y para nadie
es un secretó que son la base de la creación y la innovación indispensables
6
para mantener y ampliar el desarrollo tecnológico alcanzado. Aparejado con
este desarrollo informático, y basándose en él se han manifestado acciones
negativas, que aprovechando la ventaja que ofrece para algunos los nuevos
medios, pretenden obtener beneficios personales en perjuicio de otros. Son
muchas las manifestaciones negativas en el ámbito informático, una de las
más conocidas por su repercusión son los llamados Malwares o programas
dañinos, que son utilizados para realizar daños lógicos o sea son daños
causados a la información y todos los medios lógicos de los cuales se vale
un sistema informático para funcionar adecuadamente. Los propósitos de
estos programas han evolucionado, actualmente se desarrollan verdaderas
guerras
en
internet
por
obtener
la
supremacía,
y así
ganancias
insospechadas.
El desarrollo de los códigos malignos ha venido evolucionando de
simples intentos de demostración de conocimiento informático, por parte de
programadores individuales; a verdaderos negocios, con muchas ganancias
llevados a cabo por mafias con objetivos precisos. Durante los últimos diez
años, se vieron cambiar notablemente los tipos y la velocidad de propagación
de los códigos malignos: desde los disquetes flexibles que se contagiaban
mediante la inserción manual del disco de una computadora a otra, hasta
técnicas más sofisticadas de códigos que crean réplicas fácilmente en las
redes y el mundo a través de internet. Actualmente existen más de 160000
tipos de programas malignos en internet y miles que no se han identificado.
Los defectos en los protocolos de correo electrónico, las debilidades de
7
seguridad en los software de exploración y una carencia de educación básica
sobre seguridad informática contribuyen al aumento de los ataques de
malwares o programas maliciosos, pues los programadores de los mismos
se aprovechan de esta situaciones.
Los virus informáticos son una de los principales riesgos de seguridad
para los sistemas, ya sea que estemos hablando de un usuario hogareño
que utiliza su máquina para trabajar y conectarse a Internet o una empresa
con un sistema informático importante que debe mantener
constante
vigilancia para evitar pérdidas causadas por los virus.
Un virus se valdrá de cualquier técnica conocida o poco conocida para
lograr su cometido. Así, encontraremos virus muy simples que sólo se
dedican a presentar mensajes en pantalla y algunos otros mucho más
complejos que intentan ocultar su presencia y atacar en el momento justo. A
lo largo de este trabajo haremos referencia a qué es exactamente un virus,
cómo trabaja, algunos tipos de virus y también cómo combatirlos. Nos
proponemos a dar una visión general de los tipos de virus existentes para
poder enfocarnos más en cómo proteger un sistema informático de estos
atacantes y cómo erradicarlos una vez que lograron penetrar.
Para lograr una investigación completa de la temática en el capitulo l
se establece una breve historia, conceptualización respectiva del tema, tipos
de virus, daños que causan, quien los hace, características, los distintos tipos
de virus como afectan a los usuarios.
8
En el capitulo ll habla sobre de las distintas formas de daños causados
a las organizaciones, los síntomas que se deben tomar en cuenta en una
infección. Cuáles son los virus que amenazan a la información y como se
producen las infecciones.
El capitulo lll se estudiara sobre las estrategias de infección, efectos y
los procedimientos adecuados ante una infección.
En el capitulo lV se realizará un resumen de
seguridades que se
deben tener en cuenta para proteger y cales son los riesgos que se deben
tener en cuenta cuando ingresamos a internet.
En el capitulo cinco habla sobre conceptualización de los antivirus,
medidas de protección como se debe proteger las áreas mas sensibles y las
medidas antivíricas.
En el capitulo Vl habla de algunos consejos para proteger su
información y como se debe proceder para la eliminación de los virus.
En el capitulo Vll habla sobre el concepto de antivirus, tipos de los
mismos, utilización de detectores y un resumen de cómo elaborar un
protocolo de seguridad.
Al
final
del
documento
se
establecen
las
conclusiones
y
recomendaciones pertinentes al estudio, en las que se busca destacar
situaciones relevantes, comentarios, análisis, etc.
CAPITULO I: MARCO REFERENCIAL Y TEÓRICO
1.1 Virus Informáticos
I.1.1.1
Historia
Desde la aparición de los virus informáticos en 1984 y tal como se les
concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos.
Esta situación se agravó con la aparición y auge de Internet. A continuación,
una breve historia de los virus que infectan los archivos y sistemas de las
computadoras.
1939-1949 Los Precursores.
En 1939, el famoso científico matemático John Louis Von Neumann,
de origen húngaro, escribió un artículo, publicado en una revista científica de
New York, exponiendo su "Teoría y organización de autómatas complejos",
10
donde demostraba la posibilidad de desarrollar pequeños programas que
pudiesen tomar el control de otros, de similar estructura.
Cabe mencionar que Von Neumann, en 1944 contribuyó en forma
directa con John Mauchly y J. Presper Eckert, asesorándolos en la
fabricación de la ENIAC, una de las computadoras de Primera Generación,
quienes construyeran además la famosa UNIVAC en 1950.
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la
AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y
Victor Vysottsky, a manera de entretenimiento crearon un juego al que
denominaron CoreWar, inspirados en la teoría de John Von Neumann,
escrita y publicada en 1939.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien
en 1988 introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la práctica, los contendores del CoreWar ejecutaban
programas
que
iban
paulatinamente
disminuyendo
la
memoria
del
computador y el ganador era el que finalmente conseguía eliminarlos
totalmente. Este juego fue motivo de concursos en importantes centros de
investigación como el de la Xerox en California y el Massachussets
Technology Institute (MIT), entre otros.
Sin embargo durante muchos años el CoreWar fue mantenido en el
anonimato, debido a que por aquellos años la computación era manejada por
una pequeña élite de intelectuales
11
A pesar de muchos años de clandestinidad, existen reportes acerca
del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a
las famosas IBM 360, Para eliminar este problema se creó el primer
programa antivirus denominado Reaper (segadora), ya que por aquella
época se desconocía el concepto de software antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados
Unidos de América, precursora de Internet, emitió extraños mensajes que
aparecían y desaparecían en forma aleatoria, asimismo algunos códigos
ejecutables de los programas usados sufrían una mutación.
1981 La IBM PC
En Agosto de 1981 la International Business Machine lanza al
mercado su primera computadora personal, simplemente llamada IBM PC, la
IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research,
para adquirirle los derechos de su sistema operativo CP/M.
Es cuando oportunamente aparece Bill Gates, de la Microsoft
Corporation y adquiere a la Seattle Computer Products, un sistema operativo
desarrollado por Tim Paterson, que realmente era un "clone" del CP/M.
Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo
vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho
sistema, bajo el nombre de MS-DOS.
El nombre del sistema operativo de Paterson era "Quick and Dirty
DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores
12
de programación (bugs). La enorme prisa con la cual se lanzó la IBM PC
impidió que se le dotase de un buen sistema operativo y como resultado de
esa imprevisión todas las versiones del llamado PC-DOS y posteriormente
del
MS-DOS
fueron
totalmente
vulnerables
a
los
virus,
ya
que
fundamentalmente heredaron muchos de los conceptos de programación del
antiguo sistema operativo CP/M.
1983 Keneth Thompson
Este ingeniero, quien en 1969 creó el sistema operativo UNIX,
resucitó las teorías de Von Neumann y la de los tres programadores de la
Bell y en 1983 siendo protagonista de una ceremonia pública presentó y
demostró la forma de desarrollar un virus informático.
1984 Fred Cohen
Al año siguiente, el Dr. Fred Cohen al ser homenajeado en una
graduación, en su discurso de agradecimiento incluyó las pautas para el
desarrollo de un virus.
Este y otros hechos posteriores lo convirtieron en el primer autor oficial
de los virus, aunque hubo varios autores más que actuaron en el anonimato.
El Dr. Cohen ese mismo año escribió su libro "Virus informáticos:
teoría y experimentos", donde además de definirlos los califica como un
grave problema relacionado con la Seguridad Nacional. Posteriormente este
investigador escribió "El evangelio según Fred" (The Gospel according to
13
Fred), desarrolló varias especies virales y experimentó con ellas en un
computador VAX 11/750 de la Universidad de California del Sur.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del
BIX BBS, un foro de debates de la ahora revista BYTE reportaron la
presencia y propagación de algunos programas que habían ingresado a sus
computadoras en forma subrepticia, actuando como "caballos de troya",
logrando infectar a otros programas y hasta el propio sistema operativo,
principalmente al Sector de Arranque.
Al año siguiente los mensajes y quejas se incrementaron y fue en
1986 que se reportaron los primeros virus conocidos que ocasionaron serios
daños en las IBM PC y sus clones.
1986 El comienzo de la gran epidemia
En ese año se difundieron los virus (c) Brain, Bouncing Ball y
Marihuana y que fueron las primeras especies representativas de difusión
masiva. Estas 3 especies virales infectaban el sector de arranque de los
diskettes. Posteriormente aparecieron los virus que infectaban los archivos
con extensión EXE y COM.
El 2 de Noviembre de 1988 Robert Tappan Morris difundió un virus a
través de ArpaNet, (precursora de Internet) logrando infectar 6,000
servidores conectados a la red. La propagación la realizó desde uno de los
terminales del MIT (Instituto Tecnológico de Massashussets).
14
Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado
en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago
de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y
condenado a cumplir 400 horas de trabajo comunitario.
Actualmente es un experto en Seguridad y ha escrito innumerables
obras sobre el tema.
1991 La fiebre de los virus
En Junio de 1991 el Dr. Vesselin Bontchev, se desempeñaba como
director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria,
escribió un interesante y polémico artículo, además de reconocer a su país
como el líder mundial en la producción de virus da a saber que la primera
especie viral búlgara, creada en 1988, fue el resultado de una mutación del
virus Vienna, originario de Austria, que fuera desensamblado y modificado
por estudiantes de la Universidad de Sofía.
En 1989 su connacional, el virus Dark Avenger o el "vengador de la
oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose
terriblemente famoso por su ingeniosa programación, peligrosa y rápida
técnica de infección, se han escrito muchos artículos y hasta más de un libro
acerca de este virus.
1991 Los virus peruanos
15
Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer
virus local, autodenominado Mensaje y que no era otra cosa que una simple
mutación del virus Jerusalem-B y al que su autor le agregó una ventana con
su nombre y número telefónico. Los virus con apellidos como Espejo,
Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se
difundieron a nivel nacional.
En 1993 empezaron a crearse y diseminarse especies nacionales
desarrolladas con creatividad propia, siendo alguno de ellos sumamente
originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II
y Please Wait (que formateaba el disco duro). La creación de los virus
locales ocurre en cualquier lugar.
1995 Los macro virus
A mediados de 1995 se reportaron en diversas ciudades del mundo la
aparición de una nueva familia de virus que no solamente infectaban
documentos, sino que a su vez, sin ser archivos ejecutables podían autocopiarse infectando a otros documentos. Los llamados macro virus
infectaban a los archivos de MS-Word, luego apareció
una especie que
atacaba ambos procesadores de textos. En 1997 se disemina a través de
Internet el primer macro virus que infecta hojas de cálculo de MS-Excel,
denominado Laroux, y en 1998 surge otra especie de esta misma familia de
virus que ataca a los archivos de bases de datos de MS-Access.
16
A principios de 1999 se empezaron a propagar masivamente en
Internet los virus anexados a mensajes de correo, como el Melisa o el
macro virus Melissa. Ese mismo año fue difundido a través de Internet el
peligroso CIH y el ExploreZip, entre otros muchos más.
A fines de Noviembre de este mismo año apareció el BubbleBoy,
primer virus que infecta los sistemas con tan sólo leer el mensaje de correo,
el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el
VBS/Stages.SHS, primer virus oculto dentro del Shell de la extensión .SHS.
2000 en adelante
Los verdaderos codificadores de virus, no los que simplemente los
modifican, han re-estructurado sus técnicas y empezado a demostrar una
enorme malévola creatividad.
El 18 de Septiembre del 2001 el virus Nimda amenazó a millones de
computadoras y servidores.
Los gusanos, troyanos o la combinación de ellos, de origen alemán
como MyDoom, Netsky revoluciono con su variada técnica.
No podemos dejar de mencionar la famosa "Ingeniería Social",
culpable de que millones de personas caigan en trampas, muchas veces
ingenuas. Los BOT de IRC y a finales del 2005 los temibles Rootkit.
Resultará imposible impedir que se sigan desarrollando virus en todo
el mundo, por ser esencialmente una expresión cultural de "graffiti
17
cibernético", así como los crackers jamás se detendrán en su intento de
"romper" los sistemas de seguridad de las redes e irrumpir en ellas con
diversas intencionalidades. Se puede afirmar que la eterna lucha entre el
bien y el mal ahora se ha extendido al ciberespacio.
I.1.1.2
¿Que son los virus?
Concepto
Un virus es simplemente un programa, elaborado accidental o
intencionadamente para instalarse en la computadora de un usuario sin el
conocimiento o el permiso de éste. Podríamos decir que es una secuencia de
instrucciones y rutinas creadas con el único objetivo de alterar el correcto
funcionamiento del sistema y, en la inmensa mayoría de los casos,
corromper o destruir parte o la totalidad de los datos almacenados en el
disco.
Todos estos programas tienen en común la creación de efectos
perjudiciales; sin embargo, no todos pueden ser considerados como virus
propiamente dichos. Decimos además que es un programa parásito porque
el programa ataca a los archivos o sector de booteo o arranque y se
reproduce a sí mismo para continuar su esparcimiento.
18
Algunos se limitan solamente a multiplicarse, mientras que otros
pueden producir serios daños que pueden afectar a los sistemas. Nunca se
puede asumir que un virus es inofensivo y dejarlo flotando en el sistema.
Existen
ciertas semejanzas entre
los
virus
biológicos
y los
informáticos. Mientras los primeros son agentes externos que invaden
células para alterar su información genética y reproducirse, los segundos son
programas-rutinas, en un sentido más estricto, capaces de infectar archivos
de computadoras.
Reproduciéndose una y otra vez cuando se accede a dichos archivos,
dañando la información existente en la memoria o alguno de los dispositivos
de almacenamiento del ordenador.
Según sus características un virus puede contener tres módulos
principales: el módulo de ataque, el módulo de reproducción, y el módulo de
defensa.
Módulo de reproducción. Es el encargado de manejar las rutinas para
infectar entidades ejecutables que asegurarán la subsistencia del virus.
Cuando toma el control del sistema puede infectar otras entidades
ejecutables. Cuando estas entidades sean trasladadas a otras computadoras
se asegura la dispersión del virus.
Módulo de ataque. Es el módulo que contiene las rutinas de daño
adicional o implícito. El módulo puede ser disparado por distintos eventos del
sistema:
una
fecha,
hora,
el
encontrar
un
archivo
específico
19
(COMMAND.COM),
el
encontrar
un
sector
específico
(MBR),
una
determinada cantidad de booteos desde que ingreso al sistema, o cualquier
otra cosa a la que el programador quisiera atacar.
Módulo de defensa. Su principal objetivo es proteger el cuerpo del
virus. Incluirá rutinas que disminuyan los síntomas que delaten su presencia
e intentarán que el virus permanezca invisible a los ojos del usuario y del
antivirus. Las técnicas incluidas hoy en día resultan ser muy sofisticadas
logrando dar información falsa al SO y en consecuencia al usuario y
localizándose en lugares poco comunes para el registro de los antivirus,
como la memoria Flash-Rom.
Finalidades
Algunos sólo infectan, otros alteran datos, otros los eliminan y algunos
sólo muestran mensajes. Pero el fin de todos ellos es el mismo: Propagarse.
Es importante destacar que el potencial de daño de un virus informático no
depende de su complejidad sino del entorno donde actúa.
I.1.1.3
DAÑOS DE LOS VIRUS
Definiremos daño como acción una indeseada, y los clasificaremos
según la cantidad de tiempo necesaria para reparar dichos daños. Existen
seis categorías de daños hechos por los virus, de acuerdo a la gravedad.
20
DAÑOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el más
común): En el día 18 de cada mes cualquier tecla que presionemos hace
sonar el beep. Deshacerse del virus implica, generalmente, segundos o
minutos.
DAÑOS MENORES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus
borra, los viernes 13, todos los programas que uno trate de usar después de
que el virus haya infectado la memoria residente. En el peor de los casos,
tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor
de 30 minutos.
DAÑOS MODERADOS.
Cuando un virus formatea el disco rígido, mezcla los componentes de
la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobre
escribe el disco rígido. En este caso, sabremos inmediatamente qué es lo
que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el
último backup. Esto quizás nos lleve una hora.
DAÑOS MAYORES.
Algunos virus, dada su lenta velocidad de infección y su alta
capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un
backup volvamos al último estado de los datos. Un ejemplo de esto es el
21
virus DARK AVENGER, que infecta archivos y acumula la cantidad de
infecciones que realizó. Cuando este contador llega a 16, elige un sector del
disco al azar y en él escribe la frase: "Eddie lives (…) somewhere in time"
(Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo
notemos, pero el día en que detectemos la presencia del virus y queramos
restaurar el último backup notaremos que también él contiene sectores con la
frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan
viejo que muy probablemente hayamos perdido una gran cantidad de
archivos que fueron creados con posterioridad a ese backup.
DAÑOS SEVEROS.
Los daños severos son hechos cuando un virus realiza cambios
mínimos, graduales y progresivos. No sabemos cuándo los datos son
correctos o han cambiado, pues no hay pistas obvias como en el caso del
DARK AVENGER (es decir, no podemos buscar la frase Eddie lives....).
DAÑOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre
otros, obtienen la clave del administrador del sistema y la pasan a un tercero.
Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA,
crea un nuevo usuario con los privilegios máximos, fijando el nombre del
22
usuario y la clave. El daño es entonces realizado por la tercera persona,
quien ingresará al sistema y haría lo que quisiera.
I.1.1.4
¿Quién los hace?
En primer lugar debemos decir que los virus informáticos están hechos
por personas con conocimientos de programación pero que no son
necesariamente genios de las computadoras. Tienen conocimientos de
lenguaje ensamblador y de cómo funciona internamente la computadora. De
hecho resulta bastante más difícil hacer un programa "en regla" como sería
un sistema de facturación en donde hay que tener muchísimas más cosas en
cuenta que en un simple virus que aunque esté mal programado sería
suficiente para molestar al usuario.
En un principio estos programas eran diseñados casi exclusivamente
por los hackers y crackers que tenían su auge en los Estados Unidos y que
hacían temblar a las compañías con solo pensar en sus actividades. Tal vez
esas personas lo hacían con la necesidad de demostrar su creatividad y su
dominio de las computadoras, por diversión o como una forma de manifestar
su repudio a la sociedad que los oprimía. Hoy en día, resultan un buen medio
para el sabotaje corporativo, espionaje industrial y daños a material de una
empresa en particular.
En que lenguaje de programación están hechos.
Los virus están hechos en un lenguaje de programación de bajo nivel.
Las instrucciones compiladas por Assembler trabajan directamente sobre el
23
hardware, esto significa que no es necesario ningún software intermedio
según el esquema de capas entre usuario y hardware para correr un
programa en Assembler (opuesto a la necesidad de Visual Basic de que
Windows 9x lo secunde). No solo vamos a poder realizar las cosas típicas de
un lenguaje de alto nivel, sino que también vamos a tener control de cómo se
hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el
sistema operativo Unix está programado en C y las rutinas que necesitan
tener mayor profundidad para el control del hardware están hechas en
Assembler. Por ejemplo: los drivers que se encargan de manejar los
dispositivos y algunas rutinas referidas al control de procesos en memoria.
Sabiendo esto, el virus puede tener control total de la máquina al igual
que lo hace el SO si logra cargarse antes que nadie. La necesidad de tener
que "asociarse" a una entidad ejecutable viene de que, como cualquier otro
programa de computadora, necesita ser ejecutado y teniendo en cuenta que
ningún usuario en su sano juicio lo hará, se vale de otros métodos furtivos.
Ahora que marcamos la importancia para un virus el ser ejecutado, podemos
decir que un virus puede encontrarse en una computadora sin haber
infectado realmente algo. Es el caso de personas que pueden coleccionar
virus en archivos comprimidos o encriptados.
Normalmente este tipo de programas se pega a alguna entidad
ejecutable que le facilitará la subida a memoria principal y la posterior
ejecución (métodos de infección). Como entidades ejecutables podemos
reconocer a los sectores de arranque de los discos de almacenamiento
24
magnético, óptico o magneto-ópticos (MBR, MBR) es el primer sector
("sector cero") de un dispositivo de almacenamiento de datos, como un disco
duro.), los archivos ejecutables de DOSs (.exe, .com, entre otros), las
librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de
arranque son fundamentales para garantizar que el virus será cargado cada
vez que se encienda la computadora.
Según la secuencia de booteo de las PCs, el microprocesador tiene
seteada de fábrica la dirección de donde puede obtener la primera
instrucción a ejecutar. Esta dirección apunta a una celda de la memoria ROM
donde se encuentra la subrutina POST (Power On Self Test), encargada de
varias verificaciones y de comparar el registro de la memoria CMOS con el
hardware instalado (función checksum). En este punto sería imposible que el
virus logre cargarse ya que la memoria ROM viene grabada de fábrica y no
puede modificarse.
Luego, el POST pasa el control a otra subrutina de la ROM BIOS
llamada "bootstrap ROM" que copia el MBR (Master Boot Record) en
memoria RAM. El MBR contiene la información de la tabla de particiones,
para conocer las delimitaciones de cada partición, su tamaño y cuál es la
partición activa desde donde se cargará el SO. Vemos que en este punto el
procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a
que un virus tome partida. Hasta acá el SO todavía no fue cargado y en
consecuencia tampoco el antivirus. El accionar típico del virus sería copiar el
MBR en un sector alternativo y tomar su posición. Así, cada vez que se inicie
25
el sistema el virus logrará cargarse antes que el SO y luego, respetando su
deseo por permanecer oculto hará ejecutar las instrucciones del MBR.
Con la información del MBR sabremos qué partición es la activa y en
que sector se encuentra su sector de booteo (boot record o BR). El BR
contiene una subrutina que se ocupará de cargar los archivos de arranque
del SO. Los demás pasos de la carga del SO son irrelevantes, pero es
importante recordar que el SO es el último en cargarse en la secuencia de
booteo antes de que el usuario pueda introducir comandos en la shell. El
antivirus es cargado por los archivos de configuración del SO personalizables
por el usuario.
Cuando un virus infecta un archivo ejecutable .EXE, por ejemplo,
intenta rastrear en el código los puntos de entrada y salida del programa. El
primer punto señalado es en donde, dentro del archivo, se iniciará la
ejecución de instrucciones. El segundo punto resulta ser lo opuesto. Cuando
un virus localiza ambos puntos escribe su propio código antes de cada uno.
Según el tipo de virus, este código cargará el virus en memoria si es que no
lo estaba y apuntará a esa zona infectada con el virus. Ha partir de ahí el
programa virósico determinará cuáles son las acciones a seguir: puede
continuar infectando archivos que sean cargados en memoria, ocultarse si es
que detecta la presencia de un antivirus o ejecutar el contenido de su módulo
de ataque. El virus puede infectar también las copias de los archivos
cargados en memoria que están en la unidad de almacenamiento. Así se
26
asegura que ante un eventual apagado de la computadora su código
igualmente se encuentra en los archivos de la unidad.
Es importante comprender que la computadora no estará infectada
hasta que ejecutemos algo parasitado previamente con el virus. Ejemplo
sencillo: nosotros bajamos de Internet un archivo comprimido (con la
extensión .ZIP según el uso popular) sabiendo que es un programa de
prueba que nos gustaría instalar. Lo que no sabemos es que uno de los
archivos dentro del .ZIP es un virus informático, y lo peor de todo es que
viene adosado al archivo Install.exe. Al momento de descomprimir el
contenido, el virus todavía no fue ejecutado (ya que la información dentro del
.ZIP no puede ser reconocida como instrucciones por el procesador). Luego
identificamos el archivo Install.exe como el necesario para instalar el
programa y lo ejecutamos. Recién en este momento el virus se cargará en
memoria y pasará a hacer las cosas para lo que fue programado.
El ejemplo anterior es un modo muy básico de infección. Pero existen
otros tantos tipos de virus que son mucho más sofisticados y no podrá ser
reconocida su presencia con mucha facilidad.
I.1.1.5
¿Qué es un virus informático?
Un virus informático es un pequeño programa creado para alterar la
forma en que funciona un equipo sin el permiso o el conocimiento del
usuario. Un virus debe presentar dos características:
27
Debe ser capaz de ejecutarse a sí mismo. A menudo coloca su propio
código en la ruta de ejecución de otro programa.
Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros
archivos ejecutables con una copia del archivo infectado. Los virus pueden
infectar
tanto
equipos
de
escritorio
como
servidores
de
red.
Algunos virus están programados para atacar el equipo dañando
programas, eliminando archivos o reformateando el disco duro. Otros no
están creados para causar daño alguno, sino para replicarse y dar a conocer
su presencia mediante la presentación de mensajes de texto, vídeo o sonido.
Incluso estos virus benignos pueden crear problemas al usuario informático.
Normalmente hacen uso de la memoria correspondiente a los programas
legítimos. Como resultado, pueden provocar a menudo un comportamiento
irregular en el equipo e incluso hacer que el sistema deje de responder.
Además, muchos virus contienen errores que pueden ocasionar pérdidas de
datos y bloqueos del sistema.
I.1.1.5.1 Ciclo de vida de un Virus
Se considera que se ha desatado un brote vírico en una red cuando se
ve infestada de virus o repleta de mensajes que los contienen: el resultado
es un servidor colapsado, cuya inactividad cuesta a la empresa mucho
dinero. El ciclo vital de los virus informáticos comienza con su creación y
termina con su completa erradicación.
ETAPA 1: CREACIÓN
28
Hasta hace pocos años, crear un virus exigía conocer en profundidad
un lenguaje de programación. En la actualidad cualquiera que sepa
programar un poco puede hacer un virus.
ETAPA 2: REPRODUCCIÓN
Los virus se reproducen a sí mismos: forma parte de su naturaleza. Un
virus bien diseñado está preparado para estar copiándose a sí mismo en
distintos ficheros durante bastante tiempo, el suficiente para llegar a
muchísimos usuarios.
ETAPA 3: ACTIVACIÓN
En los virus con rutinas de ataque, éstas se activan cuando se dan
determinadas condiciones, por ejemplo, una fecha concreta o que el usuario
realice una acción "x". Sin embargo, incluso los virus que están pensados
para causar un daño específico entorpecen el sistema al ocupar en él un
valioso espacioso de almacenamiento.
ETAPA 4: DESCUBRIMIENTO
Cuando se detecta un nuevo virus, se aísla y se envía a la Asociación
Internacional de Seguridad Informática, con sede en Washington, D.C.,
donde se toma nota de sus características para posteriormente distribuirlo a
los fabricantes de antivirus. En general, el descubrimiento tiene lugar por lo
menos un año antes de que el virus se convierta en una amenaza para la
comunidad informática.
29
ETAPA 5: ASIMILACIÓN
En este punto, los fabricantes de antivirus modifican su software para
que sea capaz de detectar el nuevo virus. Este proceso puede durar desde
un día hasta seis meses, dependiendo del desarrollador y del tipo de virus.
TAPA 6: ERRADICACIÓN
Cualquier virus puede ser erradicado si suficientes usuarios mantienen
al día su protección antivirus. Hasta el momento ningún virus ha
desaparecido por completo, pero algunos hace mucho que han dejado de
representar una amenaza importante.
I.1.1.6
Tipos de virus
La clasificación correcta de los virus siempre resulta variada según a
quien se le pregunte. Podemos agruparlos por la entidad que parasitan
(sectores de arranque o archivos ejecutables), por su grado de dispersión a
nivel mundial, por su comportamiento, por su agresividad, por sus técnicas
de ataque o por cómo se oculta, etc. Nuestra clasificación muestra cómo
actúa cada uno de los diferentes tipos según su comportamiento. En algunos
casos un virus puede incluirse en más de un tipo.
I.1.1.6.1 Caballos de Troya.
Los caballos de troya no llegan a ser realmente virus porque no tienen
la capacidad de autoreproducirse. Se esconden dentro del código de
archivos ejecutables y no ejecutables pasando inadvertidos por los controles
30
de muchos antivirus. Posee subrutinas que permitirán que se ejecute en el
momento oportuno. Existen diferentes caballos de troya que se centrarán en
distintos puntos de ataque. Su objetivo será el de robar las contraseñas que
el usuario tenga en sus archivos o las contraseñas para el acceso a redes,
incluyendo a Internet. Después de que el virus obtenga la contraseña que
deseaba, la enviará por correo electrónico a la dirección que tenga registrada
como la de la persona que lo envió a realizar esa tarea. Hoy en día se usan
estos métodos para el robo de contraseñas para el acceso a Internet de
usuarios hogareños. Un caballo de troya que infecta la red de una empresa
representa un gran riesgo para la seguridad, ya que está facilitando
enormemente el acceso de los intrusos. Muchos caballos de troya utilizados
para espionaje industrial están programados para autodestruirse una vez que
cumplan el objetivo para el que fueron programados, destruyendo toda la
evidencia.
I.1.1.6.2 Camaleones.
Son una variedad de similar a los Caballos de Troya, pero actúan
como otros programas comerciales, en los que el usuario confía, mientras
que en realidad están haciendo algún tipo de daño. Cuando están
correctamente programados, los camaleones pueden realizar todas las
funciones de los programas legítimos a los que sustituyen (actúan como
programas de demostración de productos, los cuales son simulaciones de
programas reales). Un software camaleón podría, por ejemplo, emular un
programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las
31
acciones que ellos realizan, pero como tarea adicional (y oculta a los
usuarios) va almacenando en algún archivo los diferentes logins y passwords
para que posteriormente puedan ser recuperados y utilizados ilegalmente por
el creador del virus camaleón.
Virus polimorfos o mutantes
Los virus polimorfos poseen la capacidad de encriptar el cuerpo del
virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja
disponibles unas cuantas rutinas que se encargaran de desencriptar el virus
para poder propagarse. Una vez desencriptado el virus intentará alojarse en
algún archivo de la computadora.
En este punto tenemos un virus que presenta otra forma distinta a la
primera, su modo desencriptado, en el que puede infectar y hacer de las
suyas libremente. Pero para que el virus presente su característica de
cambio de formas debe poseer algunas rutinas especiales. Si mantuviera
siempre su estructura, esté encriptado o no, cualquier antivirus podría
reconocer ese patrón.
Para eso incluye un generador de códigos al que se conoce como
engine o motor de mutación. Este engine utiliza un generador numérico
aleatorio que, combinado con un algoritmo matemático, modifica la firma del
virus. Gracias a este engine de mutación el virus podrá crear una rutina de
desencripción que será diferente cada vez que se ejecute.
32
Los métodos básicos de detección no pueden dar con este tipo de
virus. Muchas veces para virus polimorfos particulares existen programas
que se dedican especialmente a localizarlos y eliminarlos. Algunos softwares
que se pueden bajar gratuitamente de Internet se dedican solamente a
erradicar los últimos virus que han aparecido y que también son los más
peligrosos. No los fabrican empresas comerciales sino grupos de hackers
que quieren protegerse de otros grupos opuestos. En este ambiente el
presentar este tipo de soluciones es muchas veces una forma de demostrar
quién es superior o quien domina mejor las técnicas de programación.
Las últimas versiones de los programas antivirus ya cuentan con
detectores de este tipo de virus.
I.1.1.6.3 Virus sigiloso o stealth
El virus sigiloso posee un módulo de defensa bastante sofisticado.
Este intentará permanecer oculto tapando todas las modificaciones que haga
y observando cómo el sistema operativo trabaja con los archivos y con el
sector de booteo. Alterando algunas líneas de código el virus logra apuntar el
flujo de ejecución hacia donde se encuentra la zona que infectada.
Es difícil que un antivirus se dé cuenta de estas modificaciones por lo
que será imperativo que el virus se encuentre ejecutándose en memoria en
el momento justo en que el antivirus corre. Los antivirus de hoy en día
cuentan con la técnica de verificación de integridad para detectar los cambios
realizados en las entidades ejecutables.
33
El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja
en el sector de arranque de los disquetes e intercepta cualquier operación de
entrada / salida que se intente hacer a esa zona. Una vez hecho esto
redirigía la operación a otra zona del disquete donde había copiado
previamente el verdadero sector de booteo.
Este tipo de virus también tiene la capacidad de engañar al sistema
operativo. Un virus se adiciona a un archivo y en consecuencia, el tamaño de
este aumenta. Está es una clara señal de que un virus lo infectó. La técnica
stealth de ocultamiento de tamaño captura las interrupciones del sistema
operativo que solicitan ver los atributos del archivo y, el virus le devuelve la
información que poseía el archivo antes de ser infectado y no las reales. Algo
similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una
posición del archivo, el virus devuelve los valores que debería tener ahí y no
los que tiene actualmente.
Este tipo de virus es muy fácil de vencer. La mayoría de los programas
antivirus estándar los detectan y eliminan.
I.1.1.6.4 Virus lentos
Los virus de tipo lento hacen honor a su nombre infectando solamente
los archivos que el usuario hace ejecutar por el SO, simplemente siguen la
corriente y aprovechan cada una de las cosas que se ejecutan.
Por ejemplo, un virus lento únicamente podrá infectar el sector de
arranque de un disquete cuando se use el comando FORMAT o SYS para
34
escribir algo en dicho sector. De los archivos que pretende infectar realiza
una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de
integridad encuentra nuevos archivos avisa al usuario, que por lo general no
presta demasiada atención y decide agregarlo al registro del verificador. Así,
esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo
de virus son programas residentes en memoria que vigilan constantemente la
creación de cualquier archivo y validan cada uno de los pasos que se dan en
dicho proceso. Otro método es el que se conoce como Decoy launching. Se
crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los
ejecuta y revisa para ver si se han modificado sin su conocimiento.
Retro-virus o Virus antivirus
Un retro-virus intenta como método de defensa atacar directamente al
programa antivirus incluido en la computadora.
Para los programadores de virus esta no es una información difícil de
obtener ya que pueden conseguir cualquier copia de antivirus que hay en el
mercado. Con un poco de tiempo pueden descubrir cuáles son los puntos
débiles del programa y buscar una buena forma de aprovecharse de ello.
35
Generalmente los retro-virus buscan el archivo de definición de virus y
lo eliminan, imposibilitando al antivirus la identificación de sus enemigos.
Suelen hacer lo mismo con el registro del comprobador de integridad.
Otros retro-virus detectan al programa antivirus en memoria y tratan
de ocultarse o inician una rutina destructiva antes de que el antivirus logre
encontrarlos. Algunos incluso modifican el entorno de tal manera que termina
por afectar el funcionamiento del antivirus.
I.1.1.6.5 Virus multipartitos
Los virus multipartitos atacan a los sectores de arranque y a los
ficheros ejecutables. Su nombre está dado porque infectan las computadoras
de varias formas. No se limitan a infectar un tipo de archivo ni una zona de la
unidad de disco rígido. Cuando se ejecuta una aplicación infectada con uno
de estos virus, éste infecta el sector de arranque. La próxima vez que
arranque la computadora, el virus atacará a cualquier programa que se
ejecute.
I.1.1.6.6 Virus voraces
Estos virus alteran el contenido de los archivos de forma
indiscriminada. Generalmente uno de estos virus sustituirá el programa
ejecutable por su propio código. Son muy peligrosos porque se dedican a
destruir completamente los datos que puedan encontrar.
I.1.1.6.7 Bombas de tiempo
36
Son virus convencionales y pueden tener una o más de las
características de los demás tipos de virus pero la diferencia está dada por el
trigger de su módulo de ataque que se disparará en una fecha determinada.
No siempre pretenden crear un daño específico. Por lo general muestran
mensajes en la pantalla en alguna fecha que representa un evento
importante para el programador. El virus Michel Angelo sí causa un daño
grande eliminando toda la información de la tabla de particiones el día 6 de
marzo.
I.1.1.6.8 Conejo
Cuando
los
ordenadores
de
tipo
medio
estaban
extendidos
especialmente en ambientes universitarios, funcionaban como multiusuario,
múltiples usuarios se conectaban simultáneamente a ellos mediante
terminales con un nivel de prioridad. El ordenador ejecutaba los programas
de cada usuario dependiendo de su prioridad y tiempo de espera. Si se
estaba ejecutando un programa y llegaba otro de prioridad superior, atendía
al recién llegado y al acabar continuaba con lo que hacia con anterioridad.
Como por regla general, los estudiantes tenían prioridad mínima, a alguno de
ellos se le ocurrió la idea de crear este virus. El programa se colocaba en la
cola de espera y cuando llegaba su turno se ejecutaba haciendo una copia
de sí mismo, agregándola también en la cola de espera. Los procesos a ser
ejecutados iban multiplicándose hasta consumir toda la memoria de la
computadora central interrumpiendo todos los procesamientos.
37
I.1.1.6.9 Macro-virus
Los macro-virus representan una de las amenazas más importantes
para una red. Actualmente son los virus que más se están extendiendo a
través de Internet. Representan una amenaza tanto para las redes
informáticas como para los ordenadores independientes. Su máximo peligro
está en que son completamente independientes del sistema operativo o de la
plataforma, no son programas ejecutables.
Los macro-virus son pequeños programas escritos en el lenguaje
propio (conocido como lenguaje script o macro-lenguaje) propio de un
programa. Así nos podemos encontrar con macro-virus para editores de
texto, hojas de cálculo y utilidades especializadas en la manipulación de
imágenes.
En Octubre de 1996 había menos de 100 tipos de macro-virus. En
Mayo de 1997 el número había aumentado a 700.
Sus autores los escriben para que se extiendan dentro de los
documentos que crea el programa infectado. De esta forma se pueden
propagar a otros ordenadores siempre que los usuarios intercambien
documentos. Este tipo de virus alteran de tal forma la información de los
documentos infectados que su recuperación resulta imposible. Tan solo se
ejecutan en aquellas plataformas que tengan la aplicación para la que fueron
creados y que comprenda el lenguaje con el que fueron programados. Este
método hace que este tipo de virus no dependa de ningún sistema operativo.
38
El lenguaje de programación interno de ciertas aplicaciones se ha
convertido en una poderosa herramienta de trabajo. Pueden borrar archivos,
modificar sus nombres y modificar el contenido de los ficheros ya existentes.
Los macro-virus escritos en dichos lenguajes pueden efectuar las mismas
acciones.
La mayoría de virus conocidos se han escrito en WordBasic de
Microsoft, o incluso en la última versión de Visual Basic para Aplicaciones
(VBA), también de Microsoft. WordBasic es el lenguaje de programación
interno de Word para Windows (utilizado a partir de la versión 6.0) y Word
6.0 para Macintosh. Como VBA se ejecuta cada vez que un usuario utiliza
cualquier programa de Microsoft Office, los macro-virus escritos en dicho
lenguaje de programación representan un riesgo muy serio. En otras
palabras, un macro-virus escrito en VBA puede infectar un documento de
Excel, de Access o de PowerPoint. Como estas aplicaciones adquieren más
y más importancia cada día, la presencia de los macro-virus parece que está
asegurada.
Microsoft Word es una de las aplicaciones preferidas para los macrovirus.
Microsoft Word está muy difundido, por lo que un macro-virus para
esta aplicación tendrá un gran impacto. Además, Microsoft Word es un
producto pensado para plataformas cruzadas, disponible para DOS,
Windows 3. 1, Windows 95, Windows NT y Mac OS, con lo que se amplía
enormemente la posibilidad de infección.
39
La plantilla Normal de Word (en las versiones de Windows se llama
normal. dot) contiene todas las macros que se pueden utilizar con Word.
Para un macro-virus esta plantilla es suelo fértil en el cual puede incubar sus
virus y copiarlos luego a otros documentos de Word o incluso al resto de
aplicaciones de Microsoft.
Microsoft
Word
puede
ejecutar
automáticamente
macros
sin
necesidad del consentimiento humano. Esta habilidad hace que el escritor de
macro-virus asocie sus programas con algún tipo de macro legítima. Word
usa macros para abrir y cerrar documentos. E incluso para cerrar el propio
programa.
Comparado con lo complicado que resulta escribir macros en
ensamblador, escribir en el leguaje de programación de Word es un juego de
niños. Las principales ventajas de WordBasic y VBA son que son lenguajes
muy intuitivos.
Los usuarios suelen pegar sus documentos de Word a sus mensajes
de correo electrónico, publicarlos en sitios FTP o bien mandarlos a una lista
de mail. Como se puede figurar la cantidad de gente que se infectará con
este tipo de documentos es enorme. Debido a la novedad de estos sistemas
de transmisión, el creador de un macro-virus puede estar seguro de que su
virus llegará a mucha gente.
Un macro-virus para Word también es capaz de sobrescribir las
opciones Guardar, Guardar cómo y Nuevo del menú Archivo para asegurar
40
su permanencia. La verdad es que sobreescribir estas opciones no
representa ningún tipo de problema. Basta con copiar la macro al documento
y copiarla a otra macro con las modificaciones deseadas. La naturaleza
polimorfa de este tipo de virus es una de las razones por la que los
profesionales los consideran tan peligrosos.
Word 7.0 para Windows 95 y NT y Microsoft Word 97 avisan
automáticamente a sus usuarios cuando abren un documento y éste contiene
macros. Además, Microsoft proporciona una herramienta de protección
contra los virus llamada MVP válida para sus usuarios de Windows y
Macintosh. Dicha herramienta instala una serie de macros que detectan
cualquier macro sospechosa y avisa al usuario del peligro que conlleva abrir
un documento determinado. Conviene que escanee todos los documentos de
Word que reciba a través del correo electrónico antes de abrirlos por si están
infectados. En las últimas versiones de Microsoft Word (a partir de la 7.0) hay
un detalle que las hace menos susceptibles ante la infección de los macrovirus de Word. Y es que, al igual que las últimas versiones de programas
como Excel, Access y PowerPoint, se ha cambiado el lenguaje de
programación interno. Microsoft usa un lenguaje nuevo al que ha bautizado
como Visual Basic para Aplicaciones 5.0 (VBA). Además, las nuevas
versiones de Chamaleon (de NetManage), Photoshop (de Adobe) y AutoCAD
(de AutoDesk) utilizan VBA.
El cambio de lenguaje anulará la mayoría de los macro-virus de Word
(siempre que no se esté trabajando en un modo compatible con las antiguas
41
versiones de WordBasic). Sin embargo, la aparición de VBA 5.0 y su
aceptación entre las aplicaciones indica que nos encontramos ante una
nueva era de macro virus. Y como VBA es un lenguaje que utilizan muchas
aplicaciones será posible que un mismo macro-virus infecte a aplicaciones
muy distintas entre sí.
Los pasos que se deben seguir para eliminar macro-virus son los
siguientes:

Activar la protección antivirus si está desactivada.

Abrir el Word directamente, sin ningún documento.

Ir al menú Herramientas, y elegir Opciones.

En la pestaña General, activar la casilla donde dice Protección
antivirus en macro.

Abrir el documento infectado teniendo en cuenta que, cuando se
presente la ventana de Advertencia, se debe elegir la opción Abrir
sin Macros para no infectarse.

Una
vez
abierto
el
documento,
elegir,
dentro
del
menú
Herramientas, la opción Macro y dentro de ella, la que dice Editor
de Visual Basic, o directamente, presionar la combinación de teclas
ALT+F11. Donde, en la parte izquierda de la pantalla, se podrá
observar un cuadro que dice "Proyecto - ..." y el nombre del archivo
abierto, en este caso Normal.
42

Se debe desplegar cada uno de los ítems de ese cuadro para ver
el código de las macros. Al hacer doble clic sobre algunos de estos
elementos, se abrirá una nueva ventana con código.

Se debe marcar el texto que aparece en la nueva ventana, y
eliminarlo como se haría con cualquier texto. Al hacer esto, se
estarán eliminando las macros que contiene el documento, lo que
eliminará completamente el Macro virus.
Estos pasos deben repetirse por todos los elementos que se
encuentren en el cuadro Proyectos.
I.1.1.6.10
Gusanos.
Un gusano informático es un programa (o conjunto de programas) que
utilizan copias completas de sí mismos para infectar distintos equipos
informáticos, en los que dejan esa reproducción o un segmento suyo.
Normalmente se propagan a través de las conexiones de una red o de
ficheros adjuntos en mensajes de correo.
Hay dos tipos de Gusanos:
Host
Computer
Worm:
son
contenidos
totalmente
en
una
computadora, se ejecutan y se copian a si mismo vía conexión de una red.
Los Host Computer Worm, originalmente terminan cuando hicieron una copia
de ellos mismos en otro host. Entonces, solo hay una copia del gusano
corriendo en algún lugar de una red. También existen los Host Computer
43
Worm, que hacen una copia de ellos mismos e infectan otras redes, es decir,
que cada maquina guarda una copia de este Gusano.
Network Worms: consisten en un conjunto de partes (llamadas
"segmentos"), cada una corre en una maquina distinta (y seguramente cada
una realiza una tarea distinta) y usando la red para distintos propósitos de
comunicación.
Propagar un segmento de una maquina a otra es uno de los
propósitos. Los Network Worm tienen un segmento principal que coordina el
trabajo de los otros segmentos, llamados también "octopuses".
El Famoso Internet Worm creado por Morrison en 1988 y que tantas
máquinas infectó era del tipo Host Computer. Para conocer un Gusano,
veamos detalladamente como funcionaba el que hizo Morrison.
El objetivo de ese virus era obtener una "shell" en la otra maquina.
Para esto el gusano usaba tres técnicas distintas Sendmail, fingerd y
rsh/rexec.
The Sendmail Attack. En el ataque por Sendmail, el gusano abría una
conexión TCP con el sendmail de otra maquina (puerto SMTP). Mediante un
error del Sendmail, el Gusano creaba un programa C que se compilaba en la
máquina ya infectada y reemplazaba la shell común sh por una Worm.
The Fingerd Attack. En este ataque, intentaba infiltrarse por un bug en
el daemon del finger (fingerd). Aparentemente era con este bug que el
44
gusano se pudo desparramar con tanta libertad. Al parecer, los argumentos
del daemon de finger eran leídos sin tener controles preestablecidos de los
límites. El gusano, aprovechándose de eso, ejecutaba un comando y
reemplazaba la shell común sh con el gusano. Así, cada vez que un usuario
se logueara empezaba a funcionar el Gusano.
The Rsh/Rexec Attack. La tercera forma de entrar a un sistema por
una Red, era utilizando la confianza de host. Para esto, necesitaba tener un
nombre de usuario y contraseña. Por eso abría el /etc/passwd y probaba
contraseñas conocidas. Combinaba nombre de usuario, con la descripción,
etc. Cuando conseguía la password de algún usuario, buscaba el archivo
.rhosts y usando los comandos de confianza rsh/rexec para obtener una
cuenta en otra maquina de confianza y empezar el proceso de nuevo.
Cuando el gusano se conectaba a un host satisfactoriamente, creaba un
proceso (hijo) que continuaba con la infección, mientras que el primer
proceso (padre) sigue buscando host para seguir infectando. Para conseguir
un host para infectar, el gusano usa distintas técnicas, como por ejemplo el
netstat, o edita el /etc/hosts en busca de algún host, cada vez que encuentra
uno, intenta infectarlo.
I.1.1.6.11
Los Nuevos Worm
Happy99. Fue descubierto en Junio de 1999. La primera vez que es
ejecutado se ven fuegos artificiales y un cartel que dice "Happy 99". Este
cartel es una fachada, ya que mientras se encarga de reemplazar algunos
45
archivos. Cada mensaje que se manda por e-mail, crea un mensaje
alternativo que tiene adjunto el Happy99
Este gusano tiene una lista de cada e-mail al cual fue enviado una
copia del Happy99.
Melissa Virus. El virus Melissa es un virus de Macro en Word, que
infecta el sistema y manda 50 copias de sí mismo, utilizando el Microsoft
Outlook. Muestra un mensaje que dice "Important Message from <nombre>"
y manda un e-mail adjuntando el archivo .doc. Aún, si la máquina no tuviera
el Microsoft Outlook, este Troyano / Virus infecta la máquina.
Bubbleboy Worm. Este gusano nunca salió a la luz, sino que fue
creado por una persona que quiso demostrar las falencias que tiene el
sistema VBS Script. Lo importante de este virus es que es enviado por email, pero puede infectar a la máquina sin la necesidad de abrir ningún
archivo adjunto, ya que el gusano vienen incluido en el e-mail, por eso hace
de este gusano muy peligroso. Simplemente al hacerle un click en el
mensaje el virus se activa. Es por esto, que este virus solo infecta maquinas
Windows 98 / 2000, y Outlook / Outlook Express.
La propagación del Bubbleboy depende de dos controles ActiveX
particulares que fueron marcados como "seguros"
I.1.1.6.12
Virus Falsos o Hoaxes
46
Los virus falsos son simplemente mensajes que circulan por e-mail
que advierten sobre algún virus inexistente. Estos virus falsos no infectan el
sistema ni mucho menos, solo son advertencias, que se multiplican y se
mandan por Internet con una gran velocidad. No tienen ningún código oculto
ni instrucciones para ejecutar. Funciona de manera muy sencilla: un usuario
recibe un e-mail con la advertencia de algún virus raro, estos usuarios lo
reenvían a otros usuarios para advertirlos, entonces se genera un tráfico de
e-mail sobre una amenaza inexistente.
I.1.1.6.13
Virus Falsos conocidos:
Irina. El virus falso Irina empezó como un método de publicidad
electrónica creada por una compañía que creó un libro interactivo con el
mismo nombre. No pensaron tener tanta repercusión, y terminaron pidiendo
perdón por este hecho.
Good Time: Esta advertencia circuló y circula en Internet hace muchos
años. El mensaje creado en 1994, decía que un virus que rondaba por AOL
podía infectar su máquina y borrar el disco rígido con solo leer el mensaje y
que debía ser borrado inmediatamente si este llegaba a alguna casilla.
Penpal Greetings!. Esta advertencia decía que un virus del tipo
gusano se iniciaba a él mismo con solo leer un mensaje, borraba el disco
rígido y se reenviaba a todas las personas de nuestra Cuenta de correo.
47
I.1.1.7
Características
El virus es un pequeño software (cuanto más pequeño más fácil de
esparcir y más difícil de detectar), que permanece inactivo hasta que un
hecho externo hace que el programa sea ejecutado o el sector de "booteo"
sea leído. De esa forma el programa del virus es activado y se carga en la
memoria de la computadora, desde donde puede esperar un evento que
dispare su sistema de destrucción o se replique a sí mismo.
Los más comunes son los residentes en la memoria que pueden
replicarse fácilmente en los programas del sector de "booteo", menos
comunes son los no-residentes que no permanecen en la memoria después
que el programa-huesped es cerrado.
Los virus pueden llegar a "camuflarse" y esconderse para evitar la
detección y reparación.
El virus re-orienta la lectura del disco para evitar ser detectado;
Los datos sobre el tamaño del directorio infectado son modificados en
la FAT, para evitar que se descubran bytes extra que aporta el virus;
encriptamiento: el virus se encripta en símbolos sin sentido para no ser
detectado, pero para destruir o replicarse debe desencriptarse siendo
entonces detectable; polimorfismo: mutan cambiando segmentos del código
para parecer distintos en cada "nueva generación", lo que los hace muy
difíciles de detectar y destruir; Gatillables: se relaciona con un evento que
48
puede ser el cambio de fecha, una determinada combinación de tecleo; un
macro o la apertura de un programa asociado al virus (Troyanos).
Los virus se transportan a través de programas tomados de BBS
(Bulletin Boards) o copias de software no original, infectadas a propósito o
accidentalmente. También cualquier archivo que contenga "ejecutables" o
"macros" puede ser portador de un virus: downloads de programas de
lugares inseguros; e-mail con "attachments", archivos de MS-Word y MSExcel con macros. Inclusive ya existen virus que se distribuyen con MSPower Point. Los archivos de datos, texto o Html no pueden contener virus,
aunque pueden ser dañados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y
desde allí van saltando a los sectores equivalentes de cada uno de los
drivers de la PC. Pueden dañar el sector o sobreescribirlo. Lamentablemente
obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y
todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el
chiste fácil de decir que el más extendido de los virus de este tipo se llama
MS Windows 98).En cambio los virus de programa, se manifiestan cuando la
aplicación infectada es ejecutada, el virus se activa y se carga en la
memoria, infectando a cualquier programa que se ejecute a continuación.
Puede solaparse infecciones de diversos virus que pueden ser destructivos o
permanecer inactivos por largos periodos de tiempo.
CAPITULO II:Los Virus Informáticos en las
Organizaciones
II.1.1.1
La Organización y los virus
La secuencia de eventos, por medio de los cuales un virus puede
entrar en una organización y multiplicarse dentro de ella. Esto ocurre cuando
que en la organización trabaja temporalmente una persona, que como parte
de sus labores debe utilizar una de las computadoras personales de la
organización. Esta persona trae con ella, de la escuela donde estudia, un
programa para ayudarse en su trabajo, como por ejemplo, un procesador de
palabras, como WordStar.
Sin que esa persona se haya dado cuenta, el programa WordStar que
le dieron, está infectado con un virus. Al usarlo (esto es activar el programa)
en cualquier computadora de la organización, causará que el virus se
50
propague, a cualquier programa almacenado en el disco duro de la máquina
utilizada.
Puede ser que el virus se adhiera, por ejemplo, a un programa hoja de
trabajo electrónica, como Lotus. El virus ya se encuentra dentro de la
organización, sin que nadie lo haya percibido.
Aun cuando la persona deje la organización, el virus permanecerá
presente en la máquina infectada, adherido al programa Lotus. Cuando
cualquier persona use o active el programa Lotus, sea días o semanas
después, el virus se activará e infectará el primer programa ejecutable que
encuentre. Cada copia del virus, puede hacer múltiples copias de sí mismo, y
puede infectar tantos programas como pueda alcanzar. De este modo, vía
disquetes el virus puede propagarse con relativa rapidez, a muchos otros
sistemas.
II.1.1.2
Como Afectan los Virus Informáticos a Las Empresas y
El Comercio Mundial.
Los virus informáticos causan muchas pérdidas económicas muy altas
a nivel mundial. Las epidemias de virus informáticos siguen causando
estragos en la economía mundial, según un estudio de Computer Economics.
Durante el presente año, las epidemias provocadas por estos códigos
maliciosos aunque las compañías de seguridad informática cada vez
reaccionan con mayor severidad. El virus más devastador en términos
51
económicos ha sido el denominado 'Código Rojo', cuyos efectos han
supuesto pérdidas cercanas a los 2.950 millones de euros. A continuación
aparece el virus más propagado el 'Sircam', que ha provocado pérdidas por
valor de 1.298 millones de euros, mientras que el coste del 'Nimda' asciende
a 715 millones de euros.
Aunque las consecuencias de estos virus han sido muy elevadas,
todavía permanecen muy lejos del famoso 'I love you', que en 2000 provocó
por sí solo 9.856 millones de euros de pérdidas en la economía mundial, la
mitad del total contabilizado en todo el año.
No obstante, no hay que olvidar que la tendencia destructiva de los
códigos maliciosos proviene de 1999, cuando los virus 'Melissa' y 'Explorer'
tuvieron un impacto económico de 1.238 millones de euros y 1.147 millones
de euros, respectivamente.
En cualquier caso, del estudio se deduce que, a no ser que comience
una nueva epidemia devastadora, la tendencia alcista de los últimos seis
años parece haberse estancado en 2001.
Así, después de incrementarse ininterrumpidamente desde los 564
millones de euros de pérdidas de 1995 hasta los 19.232 millones de euros
del año pasado, por el momento el año se cerraría en torno a los 15.025
millones de euros de pérdidas.
También es reseñable el impacto que ha tenido el virus 'Goner' en el
tramo final de este año. Así, Computer Economics calcula que alrededor de
52
860.000 equipos resultaron infectados, pero su propagación no ha sido
masiva debido a que las compañías de seguridad han conseguido
contrarrestarlo con rapidez.
Hasta la fecha, este gusano ha provocado pérdidas por valor de 9,6
millones de euros, de los que más de 7,2 millones de euros fueron a cargo
de empresas que tuvieron que limpiar sus equipos, y algo menos de 3
millones en pérdidas de productividad.
Daños Originados
Los virus ocasionan pérdidas muy diversas que afectan la economía
de toda empresa: eliminación de información valiosa, daños al hardware,
costos relacionados con la reinstalación de software, descenso de la
velocidad en la infraestructura informática, entre otras.
En la actualidad no existe empresa o usuario que no se haya visto
afectado por este problema a pesar de que la mayoría tiene algún tipo de
protección antivirus.
Se estima que actualmente el tiempo de propagación de un virus vía
Internet a todo el mundo es de menos de tres horas (tiempos que
obviamente serán cada vez menores). Todas las compañías dedicadas al
desarrollo de antivirus pueden demorar incluso varios días en proporcionar
los antivirus correspondientes.
53
¡De esto se deriva que ningún programa antivirus pueda darnos la
solución definitiva a tan preocupante problema!
Como la opción de dejar de estar conectados al mundo nos
acarrearía más pérdidas que las ocasionadas por los propios virus, la
solución más racional pasa por la conciencia y conducta de todos los
usuarios, y por la seriedad global de la solución informática empleada en la
empresa.
Los virus son pequeños programas de computación que se
aprovechan de los agujeros de seguridad que sin saberlo o sin quererlo
dejan a disposición básicamente todos los programas y sistemas operativos
que usamos en nuestras computadoras. En particular, nuestros programas
de correo electrónico y navegadores son hoy día los más atacados, ya que
son los que permiten el contagio vía Internet. El éxito de un virus se mide por
la cantidad de daño que causa en el mundo informático, por ende los
programadores de virus eligen escribir dichos códigos para atacar los
programas que la gente más usa. Hoy día estos son Outlook, Outlook
Express, Internet Explorer, y los sistemas operativos Windows (todos ellos de
la empresa Microsoft).
Tanto Outlook como Outlook Express permiten, por su propia
concepción de diseño, que los virus se ejecuten con sólo ver el mensaje sin
necesidad de abrir archivo adjunto alguno.
54
Por lo tanto, sólo mediante una estrategia global que tome en cuenta
todos los temas mencionados se logrará proteger con éxito lo que es clave y
preciado en toda empresa: su información.
II.1.1.3
Virus amenazadores.
Estos son los virus más peligrosos de la historia:
"Pakistani Brain" (1986), diseñado para dar publicidad a su
compatibilidad de software y considerado como el primer virus de PC que
infectaba diskettes.
"Morris Worm" (1988), creado por el estudiante Robert Morris Jr. se
convirte el primer gusano de la Red, al aprovechar un agujero en los
sistemas Unix para distribuirse en alrededor del 5 o 10 por ciento de los
ordenadores que tengan una conexión a internet.
Happy 99 (1999) El primer gusano de E-Mail
Melissa (1999), ataca miles de usuarios y empresas el 26 de Marzo
de 1999, después de haber sido esparcido como un documento de MS-Word
infectado en un grupo de noticias de Usenet, que conformaban una lista de
internet sobre web porno.
"I Love you" (2000): Fue detectado el Jueves 4 de mayo de 2000
cuando infecto a miles de ordenadores en todo el mundo. Este como ha
sido considerado como uno de los más importantes de todos los tiempos en
propagarse e infectar ordenadores.
55
"BubbleBoy" (1999) aunque apenas causo impacto si que marco en un
futuro toda una tendencia al ser el primero que infectaba sistemas
simplemente con leer el mensaje de correo que se encuentra en formato
HTML.
Red worm (2001)
Sircam (2001): Llegaba oculto dentro del contenido de un mensaje de
correo electronico, fue considerado muy peligroso por el gran número de
infecciones que produjo. Combinaba características de troyano y gusano de
Internet y también fue conocido por la frase que encabeza el mensaje: ¿Hola
como estas?
Klez (2002), el más persistente. En su momento causo estragos por su
capacidad para aprovecharse de vulnerabilidades de aplicaciones como los
navegadores de Internet o el cliente de correo electrónico, con el fin de auto
ejecutarse simplemente con la vista previa del mensaje de email en el que
llegan. A pesar de su antigüedad sigue propagándose por internet.
"Blaster" (septiembre 2003): atacaba básicamente el sitio de Microsoft.
Este gusano se propaga rápidamente a través de computadoras con
Windows 2000 y XP.
"Sobig" (octubre de 2003): es un gusano que se extiende a través de
email y de unidades compartidas de red.
56
"MyDoom.A" (2004): gusano que se propaga a través
del correo
electrónico en un mensaje con características variables y a través del
programa de ficheros compartidos (P2P) KaZaA.
"Sasser" (2004): gusano que para propagarse a otros equipos,
aprovecha la vulnerabilidad en el proceso LSASS (Local Security Authority
Subsystem). Solo afecta a equipos Windows 2000/XP y Windows Server
2003 sin actualizar.
CIH.1106, un formateador de discos duros
Se destaca por su código malicioso, muy peligroso, que puede borrar
todo el contenido del disco duro e impide el arranque de los equipos a los
que infecta.
El CIH.1106 se activa todos los 2 de cada mes y para llevar a cabo su
infección procede a colocarse residente en la memoria del sistema al que
afecta. Además, en los ordenadores con Windows 95/98/ME averigua
cuándo se está utilizando un fichero con extensión "EXE". Posteriormente,
reparte su código en las secciones vacías de dichos archivos para que así al
infectarlos no aumente su tamaño y no levantar sospechas. En los sistemas
operativos Windows 2000, NT y XP sólo permanece residente, sin llegar a
infectar ficheros.
Bugbear, lleva intrusos a tu PC
Se destaca porque tanto el nombre del archivo como el asunto y
cuerpo del correo electrónico a través del cuál se difunden son muy
57
variables. Además, tiene la capacidad de abrir el puerto 36794 del ordenador
al que ataca y, al mismo tiempo, detener aplicaciones tales como antivirus y
firewalls personales.
El gusano logra abrir una puerta trasera que permitiría a un atacante
acceder a un ordenador o a una red de forma remota. Además, introduce una
entrada en el registro de Windows con el objetivo de ejecutarse cada vez que
se reinicie el equipo.
Perrun, virus que ataca a las imágenes
Aunque es de bajo riesgo, el Perrun es el primer virus con capacidad
para comunicarse con los archivos almacenados bajo el popular formato .jpg,
la extensión que llevan las fotos digitales y gran parte de las imágenes que
contienen los sitios web.
Estrictamente
hablando,
el
Perrun
no
tiene
capacidad
de
autorreproducirse; es decir, se trata de una curiosidad informática, aunque
los expertos aseguran que con modificaciones el virus podría llegar a causar
estragos en la Web.
Chick, el Mundial de Fútbol también tuvo su virus.
Era de esperar: la llegada del Mundial de Fútbol era el cebo ideal para
engañar a los despistados y hacerles ejecutar un virus informático. De este
modo, surgió a mediados de años una variante del VBS/Chick que utiliza
como reclamo el Mundial de Fútbol y se transmitía a través del correo
electrónico y las aplicaciones de chat.
58
A diferencia de otros virus realiza un único envío de correo electrónico
y sólo se envía a la primera entrada de la libreta de direcciones
II.1.1.4
Síntomas típicos de una infección
Los discos que contienen los programas originales deben protegerse
contra escritura (siempre y cuando el programa no indique lo contrario).
En una red o sistema compartido conviene crear un subdirectorio para
cada usuario y proteger el acceso a ellos con una clave de identificación
individual
para
que
los
operadores
sólo
puedan
trabajar
en
su
correspondiente subdirectorio.
Los problemas de virus más frecuentes son los de PC´s, debido a que
hay un mayor número de ellas y que abunda la gente que sabe
programarlos.
En los sistemas para PC con base DOS, se puede alojar un virus en
un archivo EXE o COM, un programa BASIC, una hoja de cálculo, el sector
de arranque, memoria del sistema, un manejador de dispositivo, memoria de
video, memoria del reloj, memoria CMOS e incluso en porciones no utilizadas
del disco.
II.1.1.5
Señales de infección por virus informáticos.
Aunque usted sea una persona precavida y cumpla con las medidas
de prevención, detección y descontaminación de virus informáticos no está
exento de la posibilidad de que su ordenador sufra una infección por estos
59
virus. Esto es debido a la cada vez mayor profusión y creación de este tipo
de engendros informáticos, unido a la mayor utilización de los recursos e
información disponibles en Internet y del correo electrónico. Por lo tanto
usted debe conocer los “síntomas” de estas infecciones.
Si su ordenador presenta alguna de ellas, extreme medidas y descarte
la presencia de un virus informático en su sistema.
En directorios y archivos:
 La cantidad de espacio disponible es cada vez menor.
 Aumento de longitud (bytes) de los archivos.
 Algunos archivos desaparecen del disco (borrados).
 El directorio muestra archivos desconocidos por el usuario.
 Los archivos son sustituidos por caracteres ilegibles.
 Alteración en la indicación de la hora de un archivo.
En la ejecución de aplicaciones:
 Los programas tardan más tiempo en cargarse o no son
operativos.
 Algunas aplicaciones trabajan más lentamente que lo normal.
 Al abrir un archivo aparecen errores que antes no existían.
60
 Al solicitar la apertura de un archivo aparecen en el menú drivers
que no están instalados.
Funcionamiento del sistema:
 Rendimiento del sistema reducido.
 La
cantidad
de
memoria
disponible
cambia
o
disminuye
continuamente.
 Arranque incompleto del sistema o fallo en el arranque.
 Escrituras inesperadas en una unidad
 Mensajes de error extraños o no estándar.
 Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones
de pantalla.
 Sectores erróneos en disquetes y en discos duros.
 Cualquier operación extraña que su ordenador no realizaba antes y
que de un momento a otro comienza a ejecutar.
 Errores no justificados en la FAT.
Síntomas de macro virus en Word
 Los documentos de Word solo pueden ser guardados como
plantillas.
61
 Los archivos eliminados no son recuperables.
 Los archivos muestran un cuadro de dialogo con un número 1.
 Nuevas
macros,
llamadas
AAAZAQ,
AAAZFS
y
PayLoad,
aparecen en la lista de macros de Word.
 El archivo Winword.ini contiene la línea ww6=1
 Alteraciones en el archivo Normal.dot a partir de la comparación de
esta plantilla con una copia anterior, previamente guardada en una
carpeta del disco, utilizando comandos como el FC.EXE o el diff
desde el AUTOEXEC.BAT.
 Alteraciones en la carpeta de INICIO (STARTUP) de Microsoft
Word, que pueden ser debidas a la inclusión de nuevas plantillas o
de alteraciones en las plantillas allí contenidas.
II.1.1.6
Como se producen las infecciones
Los virus informáticos se difunden cuando las instrucciones o código
ejecutable que hacen funcionar los programas pasan de un ordenador a otro.
Una vez que un virus está activado, puede reproducirse copiándose en
discos flexibles, en el disco duro, en programas informáticos legítimos o a
través de redes informáticas. Estas infecciones son mucho más frecuentes
en PC que en sistemas profesionales de grandes computadoras, porque
los programas de los PC se intercambian fundamentalmente a través de
discos flexibles o de redes informáticas no reguladas.
62
Los virus funcionan, se reproducen y liberan sus cargas activas sólo
cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a
una red informática infectada o se limita a cargar un programa infectado, no
se
infectará
necesariamente.
Normalmente,
un
usuario
no
ejecuta
conscientemente un código informático potencialmente nocivo; sin embargo,
los virus engañan frecuentemente al sistema operativo de la computadora o
al usuario informático para que ejecute el programa viral.
Esta adhesión puede producirse cuando se crea, abre o modifica el
programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con
el virus. Los virus también pueden residir en las partes del disco duro o
flexible que cargan y ejecutan el sistema operativo cuando se arranca el
ordenador, por lo que dichos virus se ejecutan automáticamente. En las
redes informáticas, algunos virus se ocultan en el software que permite al
usuario conectarse al sistema.
CAPITULO III:
III.1.1.1
Estrategias a seguir
Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando
las estructuras de arranque del archivo de manera que el control del
programa pase por el virus antes de ejecutar el archivo. Esto permite que el
virus ejecute sus tareas específicas y luego entregue el control al programa.
Esto genera un incremento en el tamaño del archivo lo que permite su fácil
detección.
III.1.1.2
Inserción
El código del virus se aloja en zonas de código no utilizadas o en
segmentos de datos para que el tamaño del archivo no varíe. Para esto se
requieren técnicas muy avanzadas de programación, por lo que no es muy
utilizado este método.
64
III.1.1.3
Reorientación
Es una variante del anterior. Se introduce el código principal del virus
en zonas físicas del disco rígido que se marcan como defectuosas y en los
archivos se implantan pequeños trozos de código que llaman al código
principal al ejecutarse el archivo. La principal ventaja es que al no importar el
tamaño del archivo el cuerpo del virus puede ser bastante importante y
poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que
basta con rescribir los sectores marcados como defectuosos.
III.1.1.4
Polimorfismo
Este es el método mas avanzado de contagio. La técnica consiste en
insertar el código del virus en un archivo ejecutable, pero para evitar el
aumento de tamaño del archivo infectado, el virus compacta parte de su
código y del código del archivo anfitrión, de manera que la suma de ambos
sea igual al tamaño original del archivo. Al ejecutarse el programa infectado,
actúa primero el código del virus descompactando en memoria las porciones
necesarias. Una variante de esta técnica permite usar métodos de
encriptación dinámicos para evitar ser detectados por los antivirus.
III.1.1.5
Sustitución
Es el método más tosco. Consiste en sustituir el código original del
archivo por el del virus. Al ejecutar el archivo deseado, lo único que se
65
ejecuta es el virus, para disimular este proceder reporta algún tipo de error
con el archivo de forma que creamos que el problema es del archivo.
III.1.1.6
Efectos de los virus en los computadores

Dañar el Software.

Modificación de programas para que dejen de funcionar.

Modificación de programas para que funcionen erróneamente.

Modificación sobre los datos.

Eliminación de programas y/o datos.

Acabar con el espacio libre en el disco rígido.

Hacer que el sistema funcione más lentamente.

Robo de información confidencial.

Hardware.

Borrado del BIOS.

Quemado del procesador por falsa información del sensor de
temperatura.

Rotura del disco rígido al hacerlo leer repetidamente sectores
específicos que fuercen su funcionamiento mecánico.
66
III.1.1.7
III.1.1.7.1
Como proceder ante una infección
Preparación y prevención
Crear copias de seguridad del software original legítimo y de los
ficheros de datos, para poder recuperar el sistema informático en caso
necesario. Puede copiarse en un disco flexible el software del sistema
operativo y proteger el disco contra escritura, para que ningún virus pueda
sobreescribir el disco. Las infecciones virales pueden prevenirse obteniendo
los programas de fuentes legítimas, empleando una computadora en
cuarentena para probar los nuevos programas y protegiendo contra escritura
los discos flexibles siempre que sea posible.
Detección de virus.
Para detectar la presencia de un virus pueden emplearse varios tipos
de programas antivíricos. Los programas de rastreo pueden reconocer las
características del código informático de un virus y buscar estas
características en los ficheros del ordenador. Como los nuevos virus tienen
que ser analizados cuando aparecen, los programas de rastreo deben ser
actualizados periódicamente para resultar eficaces. Algunos programas de
rastreo buscan características habituales de los programas virales; suelen
ser menos fiables.
Los únicos programas que detectan todos los virus son los de
comprobación de suma, que emplean cálculos matemáticos para comparar el
67
estado de los programas ejecutables antes y después de ejecutarse. Si la
suma de comprobación no cambia, el sistema no está infectado. Los
programas de comprobación de suma, sin embargo, sólo pueden detectar
una infección después de que se produzca.
Los programas de vigilancia detectan actividades potencialmente
nocivas, como la sobre escritura de ficheros informáticos o el formateo del
disco duro de la computadora. Los programas caparazones de integridad
establecen capas por las que debe pasar cualquier orden de ejecución de un
programa. Dentro del caparazón de integridad se efectúa automáticamente
una comprobación de suma, y si se detectan programas infectados no se
permite que se ejecuten.
Contención y Recuperación
Una vez detectada una infección viral, ésta puede contenerse aislando
inmediatamente los ordenadores de la red, deteniendo el intercambio de
ficheros y empleando sólo discos protegidos contra escritura. Para que un
sistema informático se recupere de una infección viral, primero hay que
eliminar el virus. Algunos programas antivirus intentan eliminar los virus
detectados, pero a veces los resultados no son satisfactorios. Se obtienen
resultados
más
fiables
desconectando
la
computadora
infectada,
arrancándola de nuevo desde un disco flexible protegido contra escritura,
borrando los ficheros infectados y sustituyéndolos por copias de seguridad
de ficheros legítimos y borrando los virus que pueda haber en el sector de
arranque inicial.
CAPITULO IV:
IV.1.1.1
SEGURIDAD
Incrementar Seguridad
Es conveniente por lo tanto, tomar precauciones para disminuir el
riesgo de infección por virus. Uno de los puntos principales al estar
navegando en internet es escanear con el antivirus cada programa que se
baje de Internet antes de instalarlo en el disco duro y solo bajar la
información de sitios confiables; asimismo, el verificar los discos de
almacenamiento (diskettes y CD's) antes de utilizarlos; procurar no usar
discos "piratas" ya que corremos el riesgo de que puedan estar implantados
virus; no encender la computadora con diskettes en el interior de la
disquetera y escanearlos antes de su uso. Es muy importante que tengas
una copia de seguridad de toda tu información por si llegase a ocurrir un
desastre por la contaminación con un virus.
69
La seguridad de la información se caracteriza como la protección
frente a las amenazas de la:

Confidencialidad, que garantiza que la información es accesible
exclusivamente a quien está autorizado.

Integridad, que protege la exactitud y totalidad de la información
y sus métodos de proceso.

Disponibilidad, que garantiza que los usuarios autorizados
tienen acceso a la información y a otros activos de información
asociados en el momento que lo requieren.
Las amenazas pueden ser de los tipos siguientes.
Amenazas de fuerza mayor:

Fallos de organización

Fallos humanos

Fallos Técnicos

Actos malintencionados
IV.1.1.2
Estrategia de seguridad contra los virus
Por el mero hecho de estar conectados a Internet, navegar por
páginas web y recibir correo, no nos vamos a infectar, a no ser que un
hacker o un cracker se empeñen en infectarnos.
70
Crear regularmente copias de seguridad en elementos externos, como
en CD, en disquetes o en otros ordenadores.
Es instalar un programa antivirus, ya que muy frecuentemente
utilizamos ficheros que nos entregan en un disquete, o abrimos un fichero
adjunto a nuestro correo electrónico. Para poder utilizar esta información con
mayor seguridad tenemos que disponer de un antivirus que sea capaz de
analizar los ficheros en busca de nuevos virus. Los antivirus serán mejores si
facilitan este análisis, integrándose con las herramientas de correo, con el
procesador de texto y con el sistema operativo. Cuanto menos se hagan
notar, mejor.
Tener
actualizado
frecuentemente
el
antivirus
instalado.
Este
programa tiene que disponer de la última actualización para poder
identificarlos y eliminarlos.
Contra determinados tipos de virus tenemos que seguir tácticas
concretas para poder evitarlos. Algunos de estos virus populares, llevan
nombres tan sugerentes como Navidad, Hybris (Blanca nieves), Music y
BleBla (Romeo & Julieta). Muchos de ellos tienen el potencial de infectar muy
rápidamente, en algunos casos en regiones específicas (localmente) y en
otros casos más peligrosos, a nivel global. Generalmente llegan por e-mail.
Tener un antivirus instalado y actualizado es la mejor protección
contra los i-worms y otros tipos de virus, pero hay otras medidas que los
71
usuarios pueden tomar para evitar problemas y mantener sus sistemas
limpios:
Es conveniente evitar los ficheros adjuntos al correo, sobre todo
cuando son ficheros extraños o desconocidos. Muchas veces estos ficheros
los enviará un amigo nuestro, pero el mensaje estará en inglés, o será
confuso.
Tenemos que configurar Windows para que muestre las extensiones
de los ficheros. Con esto sabremos si se trata de un fichero .doc de Word, si
es uno de texto .txt o si se trata de un programa .exe, .com. Las extensiones
.vbx, .pif o .shs son las que más probabilidades tienen de ser un virus. Para
configurar Windows en este sentido, lo haremos a través de Herramientas /
opciones de carpeta.ver y desmarcaremos la opción Ocultar las extensiones
para tipos de archivo conocido. Otras situaciones claramente determinantes
de virus se dan cuando nos encontramos ficheros con dobles extensiones,
como nombre.txt.exe.
Es mejor borrar los correos publicitarios directamente, especialmente
si incluyen datos adjuntos.
Los correos con archivos de tipo sexual tienen altas probabilidades de
estar infectados. Ficheros como sex.exe son una bomba potencial.
Los ficheros adjuntos en chats, foros o grupos de noticias también son
poco recomendables, a no ser que conozcamos a la persona que nos lo
envía.
72
Por último, es recomendable utilizar sistemas de correo de tipo web
mail, como Hotmail, Yahoomail, etc., ya que estos sistemas suelen pasar
programas antivirus a todos los ficheros adjuntos, y evidentemente controlan
la actualización con las últimas versiones.
a. El principal problema a la hora de comprobar si hay o no un virus
dentro de un documento y, en su caso, de estudiarlo y eliminarlo es
que para todo ello, desde el simple hecho de mirar si hay alguna
macro dentro del documento, hace falta estar dentro del Word. Y a
partir de ese momento, cualquier cosa que aparezca o no aparezca
en pantalla es potencialmente falsa y no fiable, pues el virus puede
haber actuado ya y estar modificando cuanto se ve. No obstante, si
no disponemos de un programa antivirus, sería recomendable abrir
el submenú Macro, dentro del menú principal Herramientas. Si en
la ventana que se abre aparece algún nombre extraño, lo mejor
será borrarlo directamente.
b. Si tenemos una sospecha de virus, otra cosa que podemos hacer
es borrar la plantilla Normal.dot. Word seguirá funcionando
correctamente.
c. Como norma habitual, lo más conveniente es no permitir la
ejecución de macros en archivos que no conozcamos. En este
sentido, Word y Excel siempre advierten con una ventana que el
fichero incorpora macros y nos solicitan confirmación para su
apertura.
73
IV.1.1.3
Riesgos en Internet
Los virus, amenazan con nuestra información personal enviada a
través de la red.
Con la tecnología de Internet podemos acceder a la red con los
conocimientos adecuados y obtener información confidencial, debemos tener
en cuenta lo siguiente:
Elijir una contraseña de por lo menos 8 dígitos con una combinación
de letras y claves.
No usar como contraseña datos importantes como el nombre,
sobrenombre, número telefónico, fecha de nacimiento, etc.
Cambiar la contraseña constantemente.
Nadie debe saber la contraseña.
No usar palabras extranjeras como contraseña.
No dar datos personales a través de internet.
Emplear diferentes contraseñas para cada cuenta.
Cookies. Estos son pequeños programas que algunas páginas web
instalan en la computadora cuando accedemos a nuestro sitio. Para evitarlo,
debemos configurar configurar a nuestro navegador para que nos de un
aviso antes de aceptar cookies en la computadora.
74
Existen sitios conocidos como sitios seguros, los cuales tienen
protección y están amparados con una firma digital, esto también puede ser
configurado desde nuestro navegador. Existen programas conocidos como
firewalls, los cuales no permiten un acceso directo a nuestra computadora, y
se emplean más frecuentemente en los sistemas de redes locales para
impedir el acceso no autorizado de crackers.
Técnicas de detección
La mejor forma de detectar un virus es, obviamente un antivirus, pero
en ocasiones los antivirus pueden fallar en la detección. Puede ser que el
escaneo no detecte nada y sí el análisis heurístico. Muchas veces las fallas
atribuidas a virus son en realidad fallas de hardware y es muy importante que
la persona que verifique el equipo tenga profundos conocimientos de
arquitectura de equipos, software, virus, placas de hardware, conflictos de
hardware, conflictos de programas entre sí y bugs o fallas conocidas de los
programas o por lo menos de los programas más importantes. Las
modificaciones del SETUP, cambios de configuración de Windows,
actualización de drivers, fallas de RAM, instalaciones abortadas, rutinas de
programas con errores y aún oscilaciones en la línea de alimentación del
equipo pueden generar errores y algunos de estos síntomas. Todos esos
aspectos deben ser analizados y descartados para llegar a la conclusión que
la falla proviene de un virus no detectado o un virus nuevo aún no incluído en
las bases de datos de los antivirus más importantes.
Aquí menciono algunos de los síntomas posibles:
75
Reducción del espacio libre en la memoria RAM.
Un virus, al entrar al sistema, se sitúa la memoria RAM, ocupando
una porción de ella. El tamaño útil y operativo de la memoria se reduce en la
misma cuantía que tiene el código del virus. Siempre en el análisis de una
posible infección es muy valioso contar con parámetros de comparación
antes y después de la posible infección. Por razones prácticas casi nadie
analiza detalladamente su PC en condiciones normales y por ello casi nunca
se cuentan con patrones antes de una infección, pero sí es posible analizar
estos patrones al arrancar una PC con la posible infección y analizar la
memoria arrancando el sistema desde un disco libre de infección.
Las operaciones rutinarias se realizan con más lentitud.
Obviamente los virus son programas, y como tales requieren de
recursos del sistema para funcionar y su ejecución, más al ser repetitiva,
llevan a un enlentecimiento global en las operaciones.
Aparición de programas residentes en memoria desconocidos.
El código virtual, como ya dijimos, ocupa parte de la RAM y debe
quedar "colgado" de la memoria para activarse cuando sea necesario. Esa
porción de código que queda en RAM, se llama residente y con algún
utilitario que analice la RAM puede ser descubierta. Aquí también es valioso
comparar antes / después de la infección y / o arrancando desde un disco
"limpio".
76
Tiempos de carga mayores.
Corresponde al enlentecimiento global del sistema, en el cual todas
las operaciones se demoran más de lo habitual.
Aparición de mensajes de error no comunes.
En mayor o menor medida, todos los virus, al igual que programas
residentes comunes, tienen una tendencia a "colisionar" con otras
aplicaciones. Aplique aquí también el análisis pre / post-infección.
IV.1.1.4
Medidas Curativas
Cuando se supone que hay un virus alojado en nuestra computadora,
por algo raro que sucedió con ella. Lo primero, es que tener calma. Si se
tienen respaldos (backup) de los programas y de la información que
almacenamos en nuestros equipos, realmente no hay mucho que temer. Si
no se tiene respaldos, es hora de preocuparse.
Síntomas de la existencia de virus
El comportamiento de los virus es bastante errático. Cada uno de ellos
realiza funciones distintas, por lo que son difíciles de detectar. Muchos virus
pueden permanecer en la computadora sin hacer nada por mucho tiempo. Lo
único que se sabe de ellos es que no son confiables. Hay que ver cómo nos
deshacemos de ellos lo antes posible.
77
Hay algunos síntomas que pueden indicar (sin ninguna seguridad) la
existencia de virus en nuestros equipos, algunos de ellos:
Problemas en la inicialización (booteo).
Aumento del tamaño de archivos ejecutables.
Al correr el programa CHKDSK, da menos de 655,360 bytes de
memoria total
Por ejemplo: 642,800
En todo caso la mejor forma de salir de dudas sobre el origen de
nuestros problemas, es hacer una revisión del sistema, con un programa que
busque la existencia de virus en la memoria y en todas las unidades de
disc(A:,B:,C:,etc.).
Disquete destructor de virus
El primer paso en la detección y lucha contra virus, que se instalan en
un sistema de computo, es preparar un disquete que contenga los programas
del sistema operativo necesarios para inicializar el sistema desde la unidad A
y los que contenga los programas Antivirales necesarios, para eliminarlos.
El disquete anti-virus deberá contener al menos, los siguientes
programas:
-
IBMBIOS.COM
-
IBMDOS.COM
78
-
COMMAND.COM
-
y los PROGRAMAS ANTIVIRALES
Este disquete debe protegerse contra grabación. Todos los programas
antivirus, mencionados, se distribuyen bajo el concepto de shareware, por lo
cual son fáciles de conseguir en tiendas de venta de software o directamente
de los autores.
IV.1.1.5
Rastreando y Eliminando Virus
Hay numerosos programas que realizan la función de detectar virus en
un sistema. Uno de los programas reconocidos como de los mejores, para
realizar esta función, es el programa de McAfee y Asociados, llamado
VSCAN. De este programa salen versiones actualizadas cada dos meses.
Cada nueva versión está capacitada para detectar nuevos virus que
aparecieron desde la versión anterior.
El programa Scan tiene un sistema de validación, que revisa el
programa, cuando se le activa, para detectarse alguna modificación causada
por virus (VALIDATE.COM).
El programa Scan revisa primero en la memoria RAM, y luego en
todas las unidades de almacenamiento, directorio por directorio, archivo por
archivo, la existencia de virus conocidos.
En caso de encontrar algún virus, el programa da un mensaje que
indica el directorio, nombre del archivo y nombre del virus, que se
79
encontró:\DOS\COMMAND.COM se encontró DARK AVENGER [DAV]
\LOTUS\123.EXE se encontró MICHELANGELO [MICH] \WP51\WP.EXE se
encontró STONED [STONED].
El
primer
mensaje
indica
que
al
revisar
el
programa
del
COMMAND.COM, se encontró que el Virus Dark Avenger, había incrustado
en él algunas instrucciones ajenas. De igual modo, MICH y STONED
modificaron los ejecutables de Word Perfect y Lotus.
Si al hacer su revisión, el programa SCAN, no encuentra virus en el
sistema, lo señala, dando un mensaje, que pone muy felices a los que
tenemos la dicha de verlo, cuando ejecutamos Scan:"Su sistema y unidades
de disco están libres de virus".
Este mismo programa destruye los virus, haciendo la función de
antibiótico.
Aparte de otros comandos, este programa tiene una opción llamada CLEAN,
cuya función es destruir los virus descubiertos. Se activa fácilmente dando el
comando:SCAN /CLEAN.
El antibiótico o antivirus saca el virus parásito del programa ejecutable,
dejándolo limpio. Lamentablemente en muchas ocasiones el programa queda
dañado, por lo que no correrá en el futuro. En caso de ser el
COMMAND.COM, el sistema no arrancará, desde la unidad de disco donde
se encontraba. En los casos que el daño se haya hecho en un programa
como
LOTUS.COM,
este
programa
no
podrá
ejecutarse.
80
En estos casos deberá cargarse nuevamente al disco los programas que han
sido destruidos por el virus. Es aquí donde los back-up o respaldos son tan
útiles.
En todo caso, si necesita asistencia adicional, no dude en llamar a
algún Doctor en Virus de Computadora, que vaya a su casa o lugar de
trabajo, para diagnosticar y dar tratamiento a su Sistema de Cómputo
afectado por algún virus.
Otro programa fácil de utilizar, dado que está basado en menús, es FPROT que produce, y distribuye bajo el concepto shareware, la empresa
Frisk Software, de Iceland. Una vez activado, este programa presenta un
menú con opciones para buscar virus en las unidades de disco, configurar
las opciones del programa, u una lista de los virus comunes con explicación
de sus características.
IV.1.1.6
Procedimiento Recomendado
1. Apagar la computadora sospechosa por lo menos 5 minutos.
2. Iniciar el sistema desde unidad A, utilizando el disquete
especialmente preparado, y que esté completamente libre de
infecciones.
3. Correr desde a el programa detector y eliminador de virus.
4. Seguir
las
instrucciones
correspondiente.
del
programa
y
del
manual
CAPITULO V: ANTIVIRUS
V.1.1.1
¿Que son los antivirus?
Es importante aclarar que todo antivirus es un programa y que, como
todo programa, sólo funcionará correctamente si es adecuado y está bien
configurado. Además, un antivirus es una herramienta para el usuario y no
sólo no será eficaz para el 100% de los casos, sino que nunca será una
protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la
presencia o el accionar de un virus informático en una computadora. Este es
el aspecto más importante de un antivirus, independientemente de las
prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar
la posible presencia de un virus informático, detener el trabajo y tomar las
medidas necesarias, es suficiente para acotar un buen porcentaje de los
daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar
un virus informático de una entidad infectada.
82
El modelo más primario de las funciones de un programa antivirus es
la detección de su presencia y, en lo posible, su identificación. La primera
técnica que se popularizó para la detección de virus informáticos, y que
todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la
técnica de scanning. Esta técnica consiste en revisar el código de todos los
archivos contenidos en la unidad de almacenamiento fundamentalmente los
archivos ejecutables en busca de pequeñas porciones de código que puedan
pertenecer a un virus informático. Este procedimiento, denominado escaneo,
se realiza a partir de una base de datos que contiene trozos de código
representativos de cada
virus conocido,
agregando
el empleo
de
determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de
los virus informáticos, cuando había pocos y su producción era pequeña.
Este relativamente pequeño volumen de virus informáticos permitía que los
desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el
virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a
la base de datos del programa para lanzar una nueva versión. Sin embargo,
la obsolescencia de este mecanismo de identificación como una solución
antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda
una solución a posterioridad: es necesario que un virus informático alcance
un grado de dispersión considerable para que sea enviado (por usuarios
capacitados, especialistas o distribuidores del producto) a los desarrolladores
83
de antivirus. Estos lo analizarán, extraerán el trozo de código que lo
identificará, y lo incluirán en la próxima versión de su programa antivirus.
Este proceso puede demorar meses a partir del momento en que el virus
comienza a tener una dispersión considerable, lapso en el cual puede causar
graves daños sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita de soluciones
parciales y momentáneas (cuya sumatoria jamás constituirá una solución
definitiva), que deben actualizarse periódicamente debido a la aparición de
nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se
sigue utilizando debido a que permite identificar rápidamente la presencia de
los virus más conocidos y, como son estos los de mayor dispersión, permite
una importante gama de posibilidades.
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección,
puede usar la característica de Restauración del Sistema para eliminar el
virus volviendo a un punto de restauración anterior a la infección. (Tenga en
cuenta que se desharán los cambios de configuración de Windows y se
eliminarán todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona, es recomendable desactivar
temporalmente la Restauración del Sistema antes de eliminar el virus por
84
otros medios, ya que podría haberse creado una copia de seguridad del
virus.
Con un antivirus actualizado, localice todas las copias del virus en el
disco duro de su PC. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros,
puede ser debido a que el fichero está en uso por estar el virus en ejecución
(residente en memoria).
Nota: A Menudo los antivirus informan de que “no puede reparar un
fichero” en el caso de gusanos o troyanos debido a que no hay nada que
reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe
terminar manualmente el proceso en ejecución del virus. Abra el
Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows
98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP,
en la pestaña “Procesos” haga clic derecho en el proceso y seleccione
“Terminar Proceso”. A continuación vuelva a intentar el borrado o reparación
del fichero.
Instale el parche que repara la vulnerabilidad en le servicio “Plug and
Play” de Windows aprovechada por el gusano para propagarse.
85
Reinicie su ordenador y explore todo el disco duro con un antivirus
para asegurarse de la eliminación del virus. Si desactivó la restauración del
sistema, recuerde volver a activarla.
V.1.1.2
Aplicar cuarentena
Es muy posible que un programa antivirus muchas veces quede
descolocado frente al ataque de virus nuevos. Para esto incluye esta opción
que no consiste en ningún método de avanzada sino simplemente en aislar
el archivo infectado. Antes que esto el antivirus reconoce el accionar de un
posible virus y presenta un cuadro de diálogo informándonos. Además de las
opciones clásicas de eliminar el virus, aparece ahora la opción de ponerlo en
cuarentena. Este procedimiento encripta el archivo y lo almacena en un
directorio hijo del directorio donde se encuentra el antivirus.
De esta manera se está impidiendo que ese archivo pueda volver a
ser utilizado y que continúe la dispersión del virus. Como acciones
adicionales el antivirus nos permitirá restaurar este archivo a su posición
original como si nada hubiese pasado o nos permitirá enviarlo a un centro de
investigación donde especialistas en el tema podrán analizarlo y determinar
si se trata de un virus nuevo.
V.1.1.3
¿Qué medidas de protección resultan efectivas?
Generalmente se ocupa los derechos de acceso a los datos y recursos
con las herramientas de control y mecanismos de identificación. Estos
86
mecanismos permiten saber que los operadores tienen sólo los permisos que
se les dio. La seguridad informática debe ser estudiada para que no impida el
trabajo de los operadores en lo que les es necesario y que puedan utilizar el
sistema informático con toda confianza. Por eso en lo referente a elaborar
una política de seguridad, conviene:
-
Elaborar reglas y procedimientos para cada servicio de la
organización
-
Definir las acciones a emprender y elegir las personas a contactar
en caso de detectar una posible intrusión
-
Sensibilizar los operadores con los problemas ligados con la
seguridad de los sistemas informáticos. Los derechos de acceso
de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales
tienen que conseguir que los recursos y derechos de acceso sean
coherentes con la política de seguridad definida.
Además, como el administrador suele ser el único en conocer
perfectamente el sistema, tiene que derivar a la directiva cualquier problema
e información relevante sobre la seguridad, y eventualmente aconsejar
estrategias a poner en marcha, así como ser el punto de entrada de la
comunicación a los trabajadores sobre problemas y recomendaciones en
término de seguridad.
87
Ninguna solución de seguridad es infalible si los usuarios no son
conscientes de los riesgos a los que a diario exponen a las empresas y a su
propia información.
Con el uso de Internet, el e-mail, los mensajeros instantáneos y los
sistemas “colaborativos” (que permiten compartir archivos) los negocios se
aceleran y se gana en productividad. Pero también aumenta el riesgo de
intrusiones y ataques contra el activo más valioso de una empresa: la
información. Los especialistas en seguridad informática Mateo Dombroski, de
Trend Argentina, Juan Pablo Daniello, de I-Sec y Antonio Moraes, de RSA,
brindan consejos para proteger los datos que se guardan en las redes
corporativas y las computadoras personales.
V.1.1.4
ESTABLEZCA UNA POLÍTICA DE SEGURIDAD
Una buena práctica en toda empresa es redactar un código para el
buen uso del e-mail y las demás herramientas informáticas, y entregarlo a
cada empleado. Muchas empresas se preocupan por los ataques externos,
cuando en realidad la mayoría de los robos y pérdidas de información
ocurren por fallas internas. Una encuesta realizada por RSA, la división de
Seguridad Informática de la compañía EMC, determinó que la mitad de los
empleados envía con frecuencia documentos de trabajo a su dirección de
mail personal. Una proporción similar accede a documentos laborales
utilizando conexiones a Internet inalámbricas (consideradas menos seguras)
o desde locutorios y cibercafés (ver recuadro). En tanto, un estudio de la
88
consultora Trend Micro asegura que “alrededor del 82% de las pérdidas de
información sensible o confidencial de una empresa se produce en manos
del personal interno de la misma”.
V.1.1.4.1
CREE CONTRASEÑAS SEGURAS
La contraseña es la llave de acceso a toda la información que tiene la
computadora. Al crearla, no utilice nombres de familiares, fechas y números
que estén relacionados con sus datos e historia personal. Si utiliza palabras
comunes, intercale números, dado que existen mecanismos para descifrar
este tipo de claves en cuestión de segundos.
Utilizar las iníciales de una frase (la estrofa de una canción o poema,
el título de un libro es lo más recomendable). Debe tener por lo menos ocho
caracteres y si quiere otorgarle mayor seguridad, intercale alguna letra
mayúscula. No obstante, si se ha tomado el trabajo de elaborar una
contraseña segura y al mismo tiempo recordable, no la deje anotada debajo
del teclado o en un papelito pegado al monitor. Por último, cambie su
contraseña por lo menos cada seis meses.
V.1.1.4.2
PROTEJA LA INFORMACIÓN MÁS SENSIBLE
Esto implica realizar un análisis de la información que circula en la
empresa, y clasificarla según su grado de confidencialidad y relevancia.
Luego se puede recurrir a algún software de encriptación para proteger la
información que es confidencial y crítica para el negocio (datos de los
clientes, planillas de precios, el plan de marketing). Hay muchos proveedores
89
que ofrecen este servicio, y la inversión vale la pena, teniendo en cuenta el
perjuicio que puede causar la llegada de esta información a la competencia.
Otro mecanismo de seguridad para el acceso a información sensible es la
doble validación (solicitar dos contraseñas), o la utilización de un dispositivo
llamado token, del tamaño de un llavero, que genera claves numéricas
aleatorias para entrar a un sistema.
V.1.1.4.3 NO ABUSE DEL E-MAIL
El correo electrónico es la principal vía de entrada de virus y de Spam.
A través de él, muchos hackers roban información personal. Por lo tanto, no
abra adjuntos si desconoce al remitente del mensaje, al menos que esté
seguro de que su programa antivirus se encuentra actualizado y activado. Si
recibe un correo no deseado, no responda solicitando ser dado de baja, dado
que quienes envían spam se sirven de esto para confirmar direcciones. No
se sume a las cadenas de mails, ni responda encuestas donde se le solicita
información personal. Si tiene que enviar un mensaje a varias personas,
utilice la opción Cco (con copia oculta), de modo de no revelar las
direcciones de todos los destinatarios. Y al responder un mail, hágalo sólo al
remitente, de manera de no aumentar inútilmente el tráfico de mensajes. Una
vez que leyó y respondió un mensaje, archive la información si es necesario
y bórrelo, de manera de liberar espacio en la bandeja de entrada.
V.1.1.4.4
BLOQUEE EL EQUIPO CUANDO NO LO USE
90
Si deja documentos, su casilla de mail o el mensajero instantáneo
abiertos mientras se va almorzar o a visitar clientes, está exponiendo la
información a otros ojos, no siempre discretos. Para evitarlo, conviene
configurar el sistema operativo de modo que el equipo se bloquee
automáticamente cuando pasan varios minutos sin utilizarlo. Inmediatamente
aparece un protector de pantalla y hay que volver a loguearse.
V.1.1.4.5
Establezca criterios para compartir la información
Si utiliza una computadora pública, verifique que el logon para
mensajería instantánea no esté configurado en automático. Si se trata de una
computadora que usan varias personas, lo mejor es crear sesiones de
usuarios distintos (esto es perfectamente posible con sistemas operativos
Windows XP y posteriores). Si trabaja en equipo, utilice las herramientas de
uso colaborativo en lugar de enviar y recibir documentos por mail. Pero
asegúrese de desactivar las propiedades de uso compartido cuando ya no
las utilice.
V.1.1.4.6
NO DESCARGUE SOFTWARE GRATUITO
Salvo que esté absolutamente seguro de su procedencia. Las
descargas ilegales de software son un vehículo usual de virus y programas
espías que roban información. Por otra parte, el software pirata no ofrece
soporte técnico ni actualizaciones, por lo que resulta mucho más vulnerable a
ataques externos. Los programas ejecutables como los protectores de
pantalla y juegos pueden tener ocultos archivos maliciosos que dañan el
91
sistema o capturan información sin que el usuario lo advierta. No reenvíe ni
comparta archivos sospechosos con amigos o compañeros de trabajo.
Podría, sin quererlo, contribuir a infectar otras máquinas.
V.1.1.4.7
TOME PRECAUCIONES PARA COMPRAR ON LINE
Para hacer compras por Internet de forma segura hay que tener en
cuenta tres pautas importantes: acceder siempre desde la computadora
personal, hacerlas solamente en portales conocidos y no enviar información
clave como los números de cuenta y de tarjeta por mail. Transcriba las cifras
una por una en lugar de copiar y pegar desde otro archivo. Una vez
concluida
la
operación,
guarde
el
comprobante
y
asegúrese
de
desconectarse correctamente del sitio. Las mismas precauciones rigen para
la operatoria bancaria on line. Verifique si se trata de un sitio seguro (suele
aparecer un ícono con un candadito).
V.1.1.4.8
UTILICE ANTIVIRUS Y ANTISPAM
Es la única forma de mantenerse a salvo de los virus más frecuentes.
Muchas compañías ofrecen versiones de prueba de estos programas, o sus
actualizaciones. Existen productos que engloban la protección contra virus,
troyanos (programas que vienen dentro de otros y destruyen archivos o
comprometen la seguridad), spyware y correo spam. También es preciso
contar con una solución de seguridad firewall que bloquea el acceso de
usuarios no autorizados al sistema.
V.1.1.4.9
ACTUALICE CON PARCHES SU SISTEMA OPERATIVO
92
Los fabricantes de los sistemas operativos, exploradores y otros
programas importantes en Internet constantemente producen actualizaciones
de los productos, que se presentan como parches de seguridad. Por eso es
importante contar con software legal, enviar los reportes de errores para que
el fabricante pueda crear parches en base a ellos y chequear que la
descarga de estas actualizaciones esté puesta en forma automática. De
todos modos, algunas actualizaciones debe realizarlas el usuario por sí
mismo. Para estar seguro de que cuenta con las últimas versiones de estos
programas, visite periódicamente los sitios web de las empresas y descargue
los parches disponibles.
V.1.1.4.10 HAGA COPIAS DE SEGURIDAD
Los hackers y espías no son la única amenaza a su información
personal. Los desastres naturales existen y la falla de los equipos también.
Es mejor estar preparado contra rayos, inundaciones y subidas de voltaje
haciendo periódicamente copias de respaldo (backup) de la información más
importante. Hay opciones virtuales para alojar la información y poder
recuperarla en forma remota desde otra computadora. Otra posibilidad es
utilizar un medio magnético extraíble que se pueda almacenar en un lugar
más o menos remoto.
V.1.1.4.11 ESTABLEZCA UN PLAN DE CONTINGENCIAS
Ante un imprevisto como un corte energético, o una catástrofe como
un incendio o terremoto, es importante contar con un plan que permita
93
restablecer las operaciones. Si bien esto es obligatorio en algunos sectores
como bancos y entidades financieras, toda empresa debería delinear una
serie de pasos a seguir para retomar la continuidad del negocio al menor
costo posible. Las consultoras especializadas podrán ayudarlo a delinear una
estrategia, de acuerdo a las características de su empresa.
V.1.1.4.12 CONOZCA SU RESPONSABILIDAD
Documéntese sobre la legislación vigente (en cuanto a normas de
privacidad en los e-mails corporativos) y responsabilidades que le
correspondan como dueño o ejecutivo de una empresa, en caso de
robo de información que pueda afectar a los usuarios, clientes y
proveedores.
USE EL SENTIDO COMÚN
Más allá del conocimiento de las normas y de los sistemas de
protección que puedan instalarse, el costado más vulnerable para los
ataques y robos informáticos es siempre el de las personas. La información
celosamente custodiada mediante passwords y códigos de encriptación
puede quedar accesible en la bandeja de salida de la impresora. Y el
antivirus más poderoso puede fallar si el usuario de la computadora se olvida
de actualizarlo, deja su password a la vista de todo el mundo, es un adicto a
las cadenas de mails o se la pasa descargando juegos y salvapantallas de
dudosa procedencia.
Manténgase informado sobre las novedades y alertas de seguridad.
94
Mantenga actualizado su equipo, tanto el Sistema Operativo como
cualquier aplicación que tenga instalada.
V.1.1.5
Proteger áreas sensibles
Muchos virus tienen la capacidad de "parasitar" archivos ejecutables.
Con esto queremos decir que el virus localizará los puntos de entrada de
cualquier archivo que sea ejecutable (los archivos de datos no se ejecutan
por lo tanto son inutilizables para los virus) y los desviará a su propio código
de ejecución. Así, el flujo de ejecución correrá primero el código del virus y
luego el del programa y, como todos los virus poseen un tamaño muy
reducido para no llamar la atención, el usuario seguramente no notará la
diferencia. Este vistazo general de cómo logra ejecutarse un virus le permitirá
situarse en memoria y empezar a ejecutar sus instrucciones dañinas. A esta
forma de comportamiento de los virus se lo conoce como técnica subrepticia,
en la cual prima el arte de permanecer indetectado.
Una vez que el virus se encuentra en memoria puede replicarse a sí
mismo en cualquier otro archivo ejecutable. El archivo ejecutable por
excelencia que atacan los virus es el COMMAND.COM, uno de los archivos
fundamentales para el arranque en el sistema operativo MS-DOS. Este
archivo es el intérprete de comandos del sistema, por lo tanto, se cargará
cada vez que se necesite la shell. La primera vez será en el inicio del sistema
y, durante el funcionamiento, se llamará al COMMAND.COM cada vez que
se salga de un programa y vuelva a necesitarse la intervención de la shell.
95
Con un usuario desatento, el virus logrará replicarse varias veces antes de
que empiecen a notarse síntomas extraños en la PC.
El otro "ente" ejecutable capaz de ser infectado es el sector de
arranque de los discos magnéticos. Aunque este sector no es un archivo en
sí, contiene rutinas que el sistema operativo ejecuta cada vez que arranca el
sistema desde esa unidad, resultando este un excelente medio para que el
virus se propague de una computadora a la otra. Una de las claves de un
virus es lograr permanecer oculto dejando que la entidad ejecutable que fue
solicitada por el usuario corra libremente después de que él mismo se halla
ejecutado. Cuando un virus intenta replicarse a un disquete, primero deberá
copiar el sector de arranque a otra porción del disco y recién entonces copiar
su código en el lugar donde debería estar el sector de arranque.
Durante el arranque de la computadora con el disquete inserto en la
disquetera, el sistema operativo MS-DOS intentará ejecutar el código
contenido en el sector de booteo del disquete. El problema es que en esa
posición se encontrará el código del virus, que se ejecuta primero y luego
apuntará el puntero de ejecución a la nueva posición en donde se
encuentran los archivos para el arranque. El virus no levanta sospechas de
su existencia más allá de que existan o no archivos de arranque en el sector
de booteo.
Nuestro virus se encuentra ahora en memoria y no tendrá problemas
en replicarse a la unidad de disco rígido cuando se intente bootear desde
esta. Hasta que su módulo de ataque se ejecute según fue programado, el
96
virus intentará permanecer indetectado y continuará replicándose en archivos
y sectores de booteo de otros disquetes que se vayan utilizando,
aumentando potencialmente la dispersión del virus cuando los disquetes
sean llevados a otras máquinas.
V.1.1.6
Medidas antivirus
Preparación y prevención: Los usuarios pueden prepararse frente a
una infección viral creando regularmente copias de seguridad del software
original legítimo y de los ficheros de datos, para poder recuperar el sistema
informático en caso necesario. Puede copiarse en un disco flexible el
software del sistema operativo y proteger el disco contra escritura, para que
ningún virus pueda sobre escribir el disco. Las infecciones virales pueden
prevenirse obteniendo los programas de fuentes legítimas, empleando una
computadora en cuarentena para probar los nuevos programas y protegiendo
contra escritura los discos flexibles siempre que sea posible.
V.1.1.7
Detección de virus
Los programas de rastreo pueden reconocer las características del
código informático de un virus y buscar estas características en los ficheros
del ordenador. Como los nuevos virus tienen que ser analizados cuando
aparecen, los programas de rastreo deben ser actualizados periódicamente
para resultar eficaces. Algunos programas de rastreo buscan características
habituales de los programas virales; suelen ser menos fiables.
97
Los únicos programas que detectan todos los virus son los de
comprobación de suma, que emplean cálculos matemáticos para comparar el
estado de los programas ejecutables antes y después de ejecutarse. Si la
suma de comprobación no cambia, el sistema no está infectado. Los
programas de comprobación de suma, sin embargo, sólo pueden detectar
una infección después de que se produzca.
Los programas de vigilancia detectan actividades potencialmente
nocivas, como la sobre escritura de ficheros informáticos o el formateo del
disco duro de la computadora. Los programas caparazones de integridad
establecen capas por las que debe pasar cualquier orden de ejecución de un
programa. Dentro del caparazón de integridad se efectúa automáticamente
una comprobación de suma, y si se detectan programas infectados no se
permite que se ejecuten.
98
CAPITULO VI:
VI.1.1.1
HERRAMIENTAS
Vacunas
Los detectores son útiles para evitar el contagio, ya que es posible
analizar cada programa antes de ejecutarlo, y en caso de estar contaminado,
eliminar el virus antes de ejecutar el programa.
Además de los detectores, existen programas llamados "vacunas"
cuyo objetivo es intentar prevenir que un virus se copie.
Una vacuna al instalarse queda residente en memoria, de esta manera
avisa de diversos sucesos. Por ejemplo, cuando un programa ha solicitado
quedarse residente en memoria, que está intentando modificar alguno de los
archivos del sistema o algún archivo ejecutable o se pretende hacer alguna
operación de borrado general.
Si el programa a ejecutarse en ese momento no tiene porqué ejecutar
ninguna de esas tareas, es posible sospechar que hay algún virus intentando
entrar al sistema; basta entonces con ordenar al programa vacuna que no
permita el acceso solicitado.
99
Dos de las vacunas más comunes en PC´s son: Vshield y Vsafe.
Es importante señalar, sin embargo, que ninguna vacuna es infalible,
y la mejor manera de proteger las computadoras contra los virus informáticos
es, obviamente, no utilizar copias de procedencia dudosa de ningún
programa.
VI.1.1.2
Consejos para proteger su información
SEGURIDAD DE LA INFORMACIÓN es el estudio de los métodos y
medios de protección de los sistemas de información y comunicaciones
frente a revelaciones, modificaciones o destrucciones de la información, o
ante fallos de proceso, almacenamiento o transmisión de dicha información,
que tienen lugar de forma accidental o intencionada.
La seguridad de la información se caracteriza como la protección
frente a las amenazas de la:
Confidencialidad, que garantiza que la información es accesible
exclusivamente a quien está autorizado
Integridad, que protege la exactitud y totalidad de la información y sus
métodos de proceso
Disponibilidad, que garantiza que los usuarios autorizados tienen
acceso a la información y a otros activos de información asociados en el
momento que lo requieren
Las amenazas pueden ser de los tipos siguientes:
100
a. Amenazas de fuerza mayor
b. Fallos de organización
c. Fallos humanos
d. Fallos técnicos
e. Actos malintencionados
Algunas de las amenazas más frecuentes están relacionadas con el
incumplimiento de las medidas de seguridad y con la administración
incorrecta de los sistemas y la comisión de errores en su configuración y
operación.
El incumplimiento de las medidas de seguridad, como consecuencia
de actos negligentes o falta de controles adecuados, originan daños que
podrían haber sido evitados o por lo menos minimizados. Según las
responsabilidades del usuario y la importancia de la norma incumplida, los
daños podrían llegar a ser de gravedad.
Algunos ejemplos típicos son:
-
Mantener accesibles puertas de emergencia en locales protegidos
por sistemas de control de acceso.
-
Guardar la llave del armario de los soportes físicos con información
confidencial en un sitio de fácil acceso.
101
-
Dejar escritas en un papel, cerca de la estación de trabajo, las
contraseñas y claves de acceso.
-
No disponer de archivo de respaldo en el momento en que se
produce la perdida de datos
-
La administración incorrecta del sistema ya sea por negligencia o
por ignorancia, y los errores en la configuración de los parámetros
y opciones de los programas, condicionan también su seguridad.
-
Algunos ejemplos típicos son:
-
Instalar de forma inadecuada los nuevos paquetes software
-
No analizar los archivos de eventos.
-
No disponer de un sistema de auditorías
-
Ser excesivamente permisivo en la adjudicación de autorizaciones
de acceso.
-
No tener un control exhaustivo de los nombres de usuario,
permitiendo su repetición.
-
Utilizar de forma inadecuada, o no utilizar, las herramientas de
seguridad disponibles en los Sistemas Operativos.
-
No controlar los puntos de acceso a las redes.
102
VI.1.1.3
Eliminación
La eliminación de un virus implica extraer el código del archivo
infectado y reparar de la mejor manera el daño causado en este. A pesar de
que los programas antivirus pueden detectar miles de virus, no siempre
pueden erradicar la misma cantidad, por lo general pueden quitar los virus
conocidos y más difundidos de los cuales pudo realizarse un análisis
profundo de su código y de su comportamiento. Resulta lógico entonces que
muchos antivirus tengan problemas en la detección y erradicación de virus
de comportamiento complejo, como el caso de los polimorfos, que utilizan
métodos de encriptación para mantenerse indetectables. En muchos casos el
procedimiento de eliminación puede resultar peligroso para la integridad de
los archivos infectados, ya que si el virus no está debidamente identificado
las técnicas de erradicación no serán las adecuadas para el tipo de virus.
Hoy en día los antivirus más populares están muy avanzados pero
cabe la posibilidad de que este tipo de errores se dé en programas más
viejos. Para muchos el procedimiento correcto sería eliminar completamente
el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la
infección se realizó en algún sector crítico de la unidad de disco rígido la
solución es simple, aunque no menos riesgosa. Hay muchas personas que
recomiendan reparticionar la unidad y reformatearla para asegurarse de la
desaparición total del virus, cosa que resultaría poco operativa y fatal para la
información del sistema. Como alternativa a esto existe para el sistema
operativo MS-DOS / Windows una opción no documentada del comando
103
FDISK que resuelve todo en cuestión de segundos. El parámetro /MBR se
encarga de restaurar el registro maestro de booteo (lugar donde suelen
situarse los virus) impidiendo así que este vuelva a cargarse en el inicio del
sistema. Vale aclarar que cualquier dato que haya en ese sector será
sobrescrito y puede afectar mucho a sistemas que tengan la opción de
bootear con diferentes sistemas operativos. Muchos de estos programas que
permiten hacer la elección del sistema operativo se sitúan en esta área y por
consiguiente su código será eliminado cuando se usa el parámetro
mencionado.
Para el caso de la eliminación de un virus es muy importante que el
antivirus cuente con soporte técnico local, que sus definiciones sean
actualizadas periódicamente y que el servicio técnico sea apto para poder
responder a cualquier contingencia que nos surja en el camino.
VI.1.1.4
Rastreando y Eliminando Virus
Hay numerosos programas que realizan la función de detectar virus en
un sistema. Uno de los programas reconocidos como de los mejores, para
realizar esta función, es el programa de McAfee y Asociados, llamado
VSCAN. De este programa salen versiones actualizadas cada dos meses.
Cada nueva versión está capacitada para detectar nuevos virus que
aparecieron desde la versión anterior.
104
El programa VScan tiene un sistema de validación, que revisa el
programa, cuando se le activa, para detectarse alguna modificación causada
por virus (VALIDATE.COM).
El programa VScan revisa primero en la memoria RAM, y luego en
todas las unidades de almacenamiento, directorio por directorio, archivo por
archivo, la existencia de virus conocidos.
En caso de encontrar algún virus, el programa da un mensaje que
indica el directorio, nombre del archivo y nombre del virus, que se encontró:
\DOS\COMMAND.COM se encontró DARK AVENGER [DAV]
\LOTUS\123.EXE se encontró MICHELANGELO [MICH]
\WP51\WP.EXE se encontró STONED [STONED]
El
primer
mensaje
indica
que
al
revisar
el
programa
del
COMMAND.COM, se encontró que el Virus Dark Avenger, había incrustado
en él algunas instrucciones ajenas. De igual modo, MICH y STONED
modificaron los ejecutables de Word Perfect y Lotus.
Si al hacer su revisión, el programa SCAN, no encuentra virus en el
sistema, lo señala, dando un mensaje, que pone muy felices a los que
tenemos la dicha de verlo, cuando ejecutamos Scan:
"Su sistema y unidades de disco están libres de virus".
105
Este mismo programa destruye los virus, haciendo la función de
antibiótico.
Aparte de otros comandos, este programa tiene una opción llamada
CLEAN, cuya función es destruir los virus descubiertos. Se activa fácilmente
dando el comando:
SCAN /CLEAN
El antibiótico o antivirus saca el virus parásito del programa ejecutable,
dejándolo limpio. Lamentablemente en muchas ocasiones el programa queda
dañado, por lo que no correrá en el futuro. En caso de ser el
COMMAND.COM, el sistema no arrrancará, desde la unidad de disco donde
se encontraba. En los casos que el daño se haya hecho en un programa
como LOTUS.COM, este programa no podrá ejecutarse.
En estos casos deberá cargarse nuevamente al disco los programas
que han sido destruidos por el virus. Es aquí donde los back-up o respaldos
son tan útiles.
En todo caso, si necesita asistencia adicional, no dude en llamar a
algún Doctor en Virus de Computadora, que vaya a su casa o lugar de
trabajo, para diagnosticar y dar tratamiento a su Sistema de Cómputo
afectado por algún virus.
Otro programa fácil de utilizar, dado que está basado en menús, es FPROT que produce, y distribuye bajo el concepto shareware, la empresa
106
Frisk Software, de Iceland. Una vez activado, este programa presenta un
menú con opciones para buscar virus en las unidades de disco, configurar
las opciones del programa, u una lista de los virus comunes con explicación
de sus características.
VI.1.1.5
Procedimiento Recomendado
1. Apagar la computadora sospechosa por lo menos 5 minutos
2. Iniciar el sistema desde unidad A, utilizando el disquete
especialmente preparado, y que esté completamente libre de
infecciones.
3. Correr desde a el programa detector y eliminador de virus.
4. Seguir
las
instrucciones
del
programa
y
del
manual
correspondiente.
VI.1.1.6
Comprobación de integridad
Los comprobadores de integridad verifican que algunos sectores
sensibles del sistema no sean alterados sin el consentimiento del usuario.
Estas comprobaciones pueden aplicarse tanto a archivos como al sector de
arranque de las unidades de almacenamiento.
Para poder realizar las comprobaciones el antivirus, primero, debe
tener una imagen del contenido de la unidad de almacenamiento
desinfectada con la cual poder hacer después las comparaciones. Se crea
107
entonces un registro con las características de los archivos, como puede ser
su nombre, tamaño, fecha de creación o modificación y, lo más importante
para el caso, el checksum, que es aplicar un algoritmo al código del archivo
para obtener un valor que será único según su contenido (algo muy similar a
lo que hace la función hash en los mensajes). Si un virus inyectara parte de
su código en el archivo la nueva comprobación del checksum sería distinta a
la que se guardó en el registro y el antivirus alertaría de la modificación. En el
caso del sector de booteo el registro puede ser algo diferente. Como existe
un MBR por unidad física y un BR por cada unidad lógica, algunos antivirus
pueden guardarse directamente una copia de cada uno de ellos en un
archivo y luego compararlos contra los que se encuentran en las posiciones
originales.
Una vez que el antivirus conforma un registro de cada uno de los
archivos en la unidad podrá realizar las comprobaciones de integridad.
Cuando el comprobador es puesto en funcionamiento cada uno de los
archivos serán escaneados. Nuevamente se aplica la función checksum y se
obtiene un valor que es comparado contra el que se guardó en el registro. Si
ambos valores son iguales el archivo no sufrió modificaciones durante el
período comprendido entre el registro de cheksum antiguo y la comprobación
reciente. Por el otro lado, si los valores checksum no concuerdan significa
que el archivo fue alterado y en ciertos casos el antivirus pregunta al usuario
si quiere restaurar las modificaciones. Lo más indicado en estos casos sería
que un usuario con conocimientos sobre su sistema avale que se trata
108
realmente de una modificación no autorizada y por lo tanto atribuible a un
virus, elimine el archivo y lo restaure desde la copia de respaldo.
La comprobación de integridad en los sectores de booteo no es muy
diferente. El comprobador verificará que la copia que está en uso sea igual a
la que fue guardada con anterioridad. Si se detectara una modificación en
cualquiera de estos sectores, se preguntará al usuario por la posibilidad de
reconstruirlos utilizando las copias guardadas. Teniendo en cuenta que este
sector en especial es un punto muy vulnerable a la entrada de los virus
multipartitos, los antivirus verifican constantemente que no se hagan
modificaciones. Cuando se detecta una operación de escritura en uno de los
sectores de arranque, el programa toma cartas en el asunto mostrando en
pantalla un mensaje para el usuario indicándole sobre qué es lo que está por
suceder. Por lo general el programa antivirus ofrece algunas opciones sobre
cómo proceder, como evitar la modificación, dejarla continuar, congelar el
sistema o no tomar ninguna medida (cancelar).
Para que esta técnica sea efectiva cada uno de los archivos deberá
poseer su entrada correspondiente en el registro de comprobaciones. Si
nuevos programas se están instalando o estamos bajando algunos archivos
desde Internet, o algún otro archivo ingresa por cualquier otro dispositivo de
entrada, después sería razonable que registremos el checksum con el
comprobador del antivirus. Incluso, algunos de estos programas atienden con
mucha atención a lo que el comprobador de integridad determine y no
dejarán que ningún archivo que no esté registrado corra en el sistema.
CAPITULO VII:
ANTIVIRUS
Los riesgos que infunden los virus hoy en día obligaron a que
empresas enteras se dediquen a buscar la forma de crear programas con
fines comerciales que logren combatir con cierta eficacia los virus que
ataquen los sistemas informáticos. Este software es conocido con el nombre
de programas antivirus y posee algunas características interesantes para
poder cumplir su trabajo.
Como una de las características fundamentales de un virus es
propagarse infectando determinados objetos según fue programado. En el
caso de los que parasitan archivos, el virus debe poseer algún método para
no infectar los archivos con su propio código para evitar autodestruirse, en
otras palabras, así es que dejan una marca o firma que los identifica de los
demás programas o virus.
Para la mayoría de los virus esta marca representa una cadena de
caracteres que "inyectan" en el archivo infectado. Los virus más complejos
como los polimorfos poseen una firma algorítmica que modificará el cuerpo
110
del mismo con cada infección. Cada vez que estos virus infecten un archivo,
mutará su forma y dificultará bastante más las cosas para el software de
detección de virus.
El software antivirus es un programa más de computadora y como tal
debe ser adecuado para nuestro sistema y debe estar correctamente
configurado según los dispositivos de hardware que tengamos. Si trabajamos
en un lugar que posee conexión a redes es necesario tener un programa
antivirus que tenga la capacidad de detectar virus de redes. Los antivirus
reducen sensiblemente los riesgos de infección pero cabe reconocer que no
serán eficaces el cien por ciento de las veces y su utilización debería estar
acompañada con otras formas de prevención. La función primordial de un
programa de estos es detectar la presencia de un posible virus para luego
poder tomar las medidas necesarias. El hecho de poder erradicarlo podría
considerarse como una tarea secundaria ya que con el primer paso
habremos logrado frenar el avance del virus, cometido suficiente para evitar
mayores daños.
Antes de meternos un poco más adentro de lo que es el software
antivirus es importante que sepamos la diferencia entre detectar un virus e
identificar un virus. El detectar un virus es reconocer la presencia de un
accionar virósico en el sistema de acuerdo a las características a los tipos de
virus. Identificar un virus es poder reconocer qué virus es de entre un montón
de otros virus cargados en nuestra base de datos. Al identificarlo sabremos
exactamente qué es lo que hace, haciendo inminente su eliminación.
111
De estos dos métodos es importante que un antivirus sea más fuerte
en el tema de la detección, ya que con este método podremos encontrar
virus todavía no conocidos (de reciente aparición) y que seguramente no
estarán registrados en nuestra base de datos debido a que su tiempo de
dispersión no es suficiente como para que hayan sido analizados por un
grupo de expertos de la empresa del antivirus.
VII.1.1.1
Identificación
Identificar un virus supone, primero, lograr su detección y luego poder
determinar de qué virus se trata exactamente. A esta técnica se la conoce
con el nombre de scanning o escaneo. Es muy sencilla de entender. El
programa antivirus posee una base de datos con ciertas strings propias de
cada virus. Estas strings no son más que las firmas, o sea cadenas de
caracteres que el scanner del antivirus utilizará como huella digital para
identificar de qué virus se trata. El scanner comienza a revisar uno por uno el
código de los archivos almacenados intentando encontrar alguno de estos
fragmentos representativos de los virus que tiene registrados. Con cada una
de las verificaciones no se revisa la base de datos completa ya que resultaría
bastante trabajoso y en una pérdida de tiempo considerable, aunque de
hecho el hacer un escaneo de nuestra unidad de disco rígido lleva algún
tiempo. Entonces, cada antivirus utilizará diferentes técnicas algorítmicas
para agilizar un poco este paso de comparar el código contra su base de
datos.
112
La producción de virus se ve masificada e Internet colabora
enormemente en la dispersión de virus de muchos tipos, incluyendo los "virus
caseros". Muchos de estos virus son creados por usuarios inexpertos con
pocos conocimientos de programación y, en muchos casos, por simples
usuarios que bajan de Internet programas que crean virus genéricos. Ante
tantos "desarrolladores" al servicio de la producción de virus la técnica de
scanning se ve altamente superada. Las empresas antivirus están
constantemente trabajando en la búsqueda y documentación de cada nuevo
virus que aparece. Muchas de estas empresas actualizan sus bases de datos
todos los meses, otras lo hacen quincenalmente, y algunas pocas llegan a
hacerlo todas las semanas (cosa más que importante para empresas que
necesitan una alta protección en este campo o para usuarios fanáticos de
obtener lo último en seguridad y protección).
La debilidad de la técnica de scanning es inherente al modelo. Esto es
debido a que un virus debería alcanzar una dispersión adecuada para que
algún usuario lo capture y lo envíe a un grupo de especialistas en virus que
luego se encargarán de determinar que parte del código será representativa
para ese virus y finalmente lo incluirán en la base de datos del antivirus.
Todo este proceso puede llevar varias semanas, tiempo suficiente para que
un virus eficaz haga de las suyas. En la actualidad, Internet proporciona el
canal de bajada de las definiciones antivirus que nos permitirán identificar
decenas de miles de virus que andan acechando. Estas decenas de miles de
virus, como dijimos, también influirán en el tamaño de la base de datos.
113
Como ejemplo concreto podemos mencionar que la base de datos de Norton
Antivirus de Symantec Corp. pesa alrededor de 2MB y es actualizada cada
quince o veinte días.
La técnica de scanning no resulta ser la solución definitiva, ni tampoco
la más eficiente, pero continúa siendo la más utilizada debido a que permite
identificar con cierta rapidez los virus más conocidos, que en definitiva son
los que lograron adquirir mayor dispersión.
VII.1.1.2
Técnicas de detección
Teniendo en cuenta los puntos débiles de la técnica de scanning
surgió la necesidad de incorporar otros métodos que complementaran al
primero. Como ya se mencionó la detección consiste en reconocer el
accionar de un virus por los conocimientos sobre comportamiento que se
tienen sobre ellos, sin importar demasiado su identificación exacta. Este otro
método buscará código que intente modificar la información de áreas
sensibles del sistema sobre las cuales el usuario convencional no tiene
control y a veces ni siquiera tiene conocimiento, como el master boot record,
el boot sector, la FAT, entre las más conocidas.
Otra forma de detección que podemos mencionar adopta, más bien,
una posición de vigilancia constante y pasiva. Esta, monitorea cada una de
las actividades que se realizan intentando determinar cuándo una de éstas
intenta modificar sectores críticos de las unidades de almacenamiento
(mencionados en el primer párrafo de este apartado), entre otros. A esta
114
técnica se la conoce como chequear la integridad y es tratada con mayor
detalle más adelante.
VII.1.1.3 Análisis heurístico
La técnica de detección más común es la de análisis heurístico.
Consiste en buscar en el código de cada uno de los archivos cualquier
instrucción que sea potencialmente dañina, acción típica de los virus
informáticos. Es una solución interesante tanto para virus conocidos como
para los que no los son. El inconveniente es que muchas veces se nos
presentarán falsas alarmas, cosas que el scanner heurístico considera
peligrosas y que en realidad no lo son tanto. Por ejemplo: tal vez el programa
revise el código del comando DEL (usado para borrar archivos) de MS-DOS
y determine que puede ser un virus, cosa que en la realidad resulta bastante
improbable. Este tipo de cosas hace que el usuario deba tener algunos
conocimientos precisos sobre su sistema, con el fin de poder distinguir entre
una falsa alarma y una detección real. Eliminación
La eliminación de un virus implica extraer el código del archivo
infectado y reparar de la mejor manera el daño causado en este. A pesar de
que los programas antivirus pueden detectar miles de virus, no siempre
pueden erradicar la misma cantidad, por lo general pueden quitar los virus
conocidos y más difundidos de los cuales pudo realizarse un análisis
profundo de su código y de su comportamiento. Resulta lógico entonces que
muchos antivirus tengan problemas en la detección y erradicación de virus
115
de comportamiento complejo, como el caso de los polimorfos, que utilizan
métodos de encriptación para mantenerse indetectables. En muchos casos el
procedimiento de eliminación puede resultar peligroso para la integridad de
los archivos infectados, ya que si el virus no está debidamente identificado
las técnicas de erradicación no serán las adecuadas para el tipo de virus.
Para muchos el procedimiento correcto sería eliminar completamente
el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la
infección se realizó en algún sector crítico de la unidad de disco rígido la
solución es simple, aunque no menos riesgosa. Hay muchas personas que
recomiendan reparticiónar la unidad y reformatearla para asegurarse de la
desaparición total del virus, cosa que resultaría poco operativa y fatal para la
información del sistema. Como alternativa a esto existe para el sistema
operativo MS-DOS / Windows una opción no documentada del comando
FDISK que resuelve todo en cuestión de segundos. El parámetro /MBR se
encarga de restaurar el registro maestro de booteo (lugar donde suelen
situarse los virus) impidiendo así que este vuelva a cargarse en el inicio del
sistema. Vale aclarar que cualquier dato que haya en ese sector será
sobrescrito y puede afectar mucho a sistemas que tengan la opción de
bootear con diferentes sistemas operativos. Muchos de estos programas que
permiten hacer la elección del sistema operativo se sitúan en esta área y por
consiguiente su código será eliminado cuando se usa el parámetro
mencionado.
116
Para el caso de la eliminación de un virus es muy importante que el
antivirus cuente con soporte técnico local, que sus definiciones sean
actualizadas periódicamente y que el servicio técnico sea apto para poder
responder a cualquier contingencia que nos surja en el camino.
VII.1.1.4 Tipos de antivirus
Los programas antivirus pueden dividirse en 4 tipos:
Detectores: Detectan la presencia de virus conocidos y avisan al
usuario para que tome medidas contra ellos. Este es el tipo de antivirus más
simple.
Eliminadores/Reparadores: También conocidos como "mata-virus".
Además de detectar la presencia de un virus, pueden eliminarlo de los
ficheros contaminados o la zona de arranque del disco, dejando los
programas ejecutables en su estado original. Esto no siempre es posible, ya
que algunos virus sobre escriben parte del código original del programa
infectado.
Protectores: También conocidos como "programas preventivos" o
"inmunizadores". Se anticipan a la infección de cualquier virus, caballo de
Troya o acción voluntaria involuntaria de destrucción de datos (por ejemplo,
un FORMAT C:), permaneciendo residentes en la memoria del ordenador y
vigilando las operaciones de ejecución de programa, copia ficheros,
formateado de discos, etc.
Suelen ser programas muy seguros que
117
generalmente pueden detectar nuevos virus y evitar la acción de los caballos
de Troya y bombas lógicas.
Programas de Vacuna: Añaden código a un fichero ejecutable de
modo que éste se auto chequee al ejecutarse, o calculan y guardan una lista
de sumas de control en cierta parte del disco. Los programas de este tipo
suelen presentar problemas de compatibilidad.
VII.1.1.5 Utilización de detectores
Debido el enorme peligro que supone la presencia de virus para la
información almacenada en los dispositivos de almacenamiento secundario,
se han desarrollado programas para identificar, neutralizar y/o eliminar virus.
Existen programas llamados "Detectores" que revisan la memoria
RAM, los archivos del sistema y de datos, para comprobar que no estén
infectados, avisando al usuario en caso de estarlo.
A pesar de existir diferentes detectores en el mercado, su
funcionamiento se basa en algunas de las siguientes técnicas:
1. Al instalarse el detector, éste crea un archivo especial con algunos
datos de los archivos del disco (tamaño, fecha, hora de
actualización, etc.) Posteriormente, cada vez que se le ordene,
vuelve a revisar los archivos comparando los resultados obtenidos
con los que tenía guardados. Si hay alguna discrepancia entonces
es que algo (posiblemente un virus) ha modificado los archivos, por
118
lo cual da aviso de peligro. Este tipo de técnica detecta cualquier
tipo de alteración en el archivo, independientemente de quien lo
haya producido.
2. Analiza los archivos y la memoria RAM en busca de secuencias de
bytes características de un determinado virus. Los archivos que la
contengan estarán, posiblemente, infectados, por lo cual el
detector señala su presencia. Para desarrollar esta técnica es
necesario conocer previamente al virus para determinar una
secuencia de bytes que lo caracterice. Sin embargo, la misma
especifica, que tenga técnica ciertas limitaciones: basta realizar
una pequeña modificación en el código del virus para que no
pueda ser detectado.
Los detectores únicamente avisan cuando existe alguna alteración de
los archivos, aunque ésta no sea afectada por algún virus. Además, en caso
de serlo, no pueden eliminar ni prevenir la contaminación. De cualquier
forma, recuperarse del ataque de un virus es tanto más fácil cuanto antes
hayamos detectado su presencia.
Los programas "Limpiadores" o "Antivirus" normalmente forman parte
de los detectores y están diseñados para eliminar a los virus.
Una vez detectado el tipo de virus, el antivirus procede a intentar
eliminarlo. La manera más común es tratar de sobrescribir en la parte donde
se encuentra el virus: Es importante notar que aun cuando se elimine el virus
119
la información que se haya perdido por su acción ya no se recupera. Para
poder usar un antivirus es necesario que el detector haya usado la segunda
técnica de detección.
VII.1.1.6 CÓMO PUEDO ELABORAR UN PROTOCOLO DE
SEGURIDAD ANTIVIRUS
La forma más segura, eficiente y efectiva de evitar virus, consiste en
elaborar un protocolo de seguridad para sus sistemas PC’s. Un protocolo de
seguridad consiste en una serie de pasos que deberá seguir con el fin de
crear un hábito al operar normalmente con programas y archivos en sus
computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de
conducta y le permite operar con seguridad su computadora aún cuando
momentáneamente esté desactivado o desactualizado su antivirus.
Un protocolo de seguridad antivirus debe cumplir ciertos requisitos
para que pueda ser cumplido por el operador en primer término, y efectivo en
segundo lugar. Demás está decir que el protocolo puede ser muy efectivo
pero si es complicado, no será puesto en funcionamiento nunca por el
operador. Este es un protocolo sencillo, que a mi entender me ha permitido
mantener libre de infecciones las PC's. No incluyo medidas de protección en
caso de un sistema de red, ya que se deberían cumplir otros requisitos no
contemplados aquí:
Instalar el antivirus y asegurar cada 15 días su actualización.
120
Chequear los CD-Rom's ingresados en nuestra PC sólo una vez, al
comprarlos o adquirirlos y Marcarlos con un fibrón o marcador para certificar
el chequeo. Esto sólo es válido en el caso de que los CD's no sean
procesados en otras PC (préstamos a los amigos) y sean regrabables. En
caso de que sean regrabables y los prestemos, deberemos revisarlos cada
vez que regresen a nosotros.
Formatear todo diskette virgen que compremos, sin importar si son
formateados de fábrica, ya que pueden "colarse" virus aún desde el proceso
del fabricante. El formateo debe ser del tipo Formateo del DOS, no formateo
rápido.
Chequear todo diskette que provenga del exterior, es decir que no
haya estado bajo nuestro control, o que haya sido ingresado en la disketera
de otra PC. Si ingresamos nuestros diskettes en otras PC's, asegurarnos de
que estén protegidos contra escritura.
Si nos entregan un diskette y nos dicen que está revisado, no confiar
nunca en los procedimientos de otras personas que no seamos nosotros
mismos. Nunca sabemos si esa persona sabe operar correctamente su
antivirus. Puede haber chequeado sólo un tipo de virus y dejar otros sin
controlar durante su escaneo, o puede tener un módulo residente que es
menos efectivo que nuestro antivirus, o puede tener un antivirus viejo.
Para bajar páginas de internet, archivos, ejecutables, etc, definir
siempre en nuestra PC una carpeta o directorio para recibir el material. De
121
ese modos sabemos que todo lo que bajemos de internet siempre estará en
una sola carpeta. Nunca ejecutar o abrir antes del escaneo ningún fichero o
programa que esté en esa carpeta.
Nunca abrir un atachado a un e-mail sin antes chequearlo con nuestro
antivirus. Si el atachado es de un desconocido que un nos aviso previamente
del envió del material directamente borrarlo sin abrir. Al actualizar el antivirus,
CHEQUEAR NUESTRA PC COMPLETAMENTE. En caso de detectar un
virus, PROCEDER A CHEQUEAR TODOS NUESTROS SOPORTES
(diskettes, CD's, ZIP's, etc).
Si por nuestras actividades generamos grandes bibliotecas de
diskettes conteniendo información, al guardar los diskettes en la biblioteca,
chequearlos por última vez, protegerlos contra escritura y fecharlos para
saber cuándo fue el último escaneo.
HAGA EL BACKUP PERIÓDICO DE SUS ARCHIVOS. Una vez cada
15 días es lo mínimo recomendable para un usuario doméstico. Si usa con
fines profesionales su PC, debe hacer backup parcial de archivos cada 48
horas como mínimo. Llamo backup parcial de archivos a la copia en diskette
de los documentos que graba, un documento de word, por ejemplo. Al
terminarlo, grábelo en su carpeta de archivos y cópielo a un diskette. Esa es
una manera natural de hacer backup constantes. Si no hace eso, tendrá que
hacer backups totales del disco rígido cada semana o cada 15 días, y eso sí
realmente es un fastidio. Actualmente una caja de diskettes ronda los U$S 3-
122
4. A razón de U$S 0,40 cada diskette, creo que es razonable para mantener
a resguardo su información.
Este es el punto más conflictivo y que debo mencionar a consecuencia
de la proliferación de virus de e-mails. A pesar de las dificultades que puede
significar aprender a usar nuevos programas, le aconsejo evitar el uso de
programas de correo electrónico que operen con lenguajes de macros o
programados con Visual Basic para Aplicaciones. Del mismo modo,
considere el uso de navegadores alternativos, aunque esta apreciación no es
tan contundente como con los programas de correo electrónico.
Si bien puede parecer algo complicado al principio, un protocolo de
este tipo se hace natural al concientizar al usuario y cederle el control de su
propia PC. El primer problema grave de los virus es el DESCONOCIMIENTO
de su acción y alcances. Si ha leído hasta aquí, ya tiene un 90 % de la
batalla contra los virus ganada, pues ya ha desmitificado el problema y
comprende claramente cómo actúan y cómo debe proceder para defenderse.
Si el protocolo le parece complicado e impracticable, comprenda que al igual
que una herramienta, la PC puede manejarse sin el manual de instrucciones
y sin protocolos, pero la mejor manera de aprovechar una herramienta es
leer el manual (protocolo) y aprovechar todas las características que ella le
ofrece. Si usted no sigue un protocolo de seguridad siempre estará a merced
de los virus. Esta guía ahora lo ayuda y le aconseja, pero en poco tiempo
perderá vigencia. Si sigue el protocolo de seguridad no dependerá de este
instructivo para saber qué hacer con los virus de su sistema, sino que sabrá
123
exactamente cómo mantener a resguardo su sistema aún sin saber que
variedades de virus nuevos aparecieron desde la redacción de esta
investigación.
Conclusiones y recomendaciones
Conclusiones
La seguridad en las Organizaciones es un aspecto crítico que no se
puede descuidar. Debido a que las transmisiones viajan por un medio no
seguro, se requieren mecanismos que aseguren la confidencialidad de los
datos así como su integridad y autenticidad.
Como vimos a lo largo del trabajo los virus informáticos no son un
simple riesgo de seguridad. Existen miles de programadores en el mundo
que se dedican a esta actividad con motivaciones propias y diversas e
infunden millones de gastos de seguridad para las empresas. El verdadero
peligro de los virus es su forma de ataque indiscriminado contra cualquier
sistema informático, cosa que resulta realmente crítica en entornos dónde
máquinas y humanos interactúan directamente.
Es muy difícil prever la propagación de los virus y qué máquina
intentarán infectar, de ahí la importancia de saber cómo funcionan
125
típicamente y tener en cuenta los métodos de protección adecuados para
evitarlos.
126
RECOMENDACIONES
La mejor forma de controlar una infección es mediante la educación
previa de los usuarios del sistema. Es importante saber qué hacer en el
momento justo para frenar un avance que podría extenderse a mayores
daños.
La mejor forma de evitar los virus seria tener actualizado siempre su
antivirus, crear contraseñas de seguridad.
Como toda otra instancia de educación será necesario mantenerse
actualizado e informado de los últimos avances en el tema, leyendo noticias,
suscribiéndose a foros de discusión, leyendo páginas web especializadas,
etc.
Bibliografías
www.boonic.com/noticias/888.php
Seguridad informática; Juan José Nombela; Paraninfo; 1996; Cap.
Virus informáticos y Cap. 5. Protección experimental contra virus.
Symantec Corp.: www.symantec.com
Virus Famosos Paraíso Geek_archivos\Virus informáticos comprobación de
integridad.htmNorma Márquez González. El phishing, nueva forma de
ciberestafa. Giga 2005; Edgar Guadis Salazar. Los gusanos en
Internet.
Edgar Guadis Salazar. Los gusanos y algo más que la ingeniería
social. Giga
Jesús Villabrille Castillo. Virus, las técnicas de Entry Point Obscuring.
Giga 2005; 3: 16-19
128
Lucía Sanz Araujo. Más allá de la Cumbre Mundial. Punto cu 2005;
31: 5
http://members.nbci.com/segutot/delitos.htm
http://www.fas.org/irp/congress/1996_hr/s960605l.htm
http://digitaldesign.bariloche.net.ar/xiijovenab/ComDerPen%20%20DelitosInfor.htm
http://www.npa.go.jp/hightech/antai_repo/ereport.htm
http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml
http://www.govnews.org/mhonarc/gov/us/fed/congress/gao/reports/_m
sg00533.html
http://www.dtj.com.ar/publicaciones.htm
http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html
http://www.gocsi.com/
http://www.ecomder.com.ar
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://arnal.es/free/noticias/free2_08.html#T12
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://www.inei.gob.pe/cpi/bancopub/cpi008.htm
www.perantivirus.com/sosvirus/general/histovir.htm
www.pcbarrera.com
www.noticiasdot.com/publicaciones/2004/especiales2004/balance2004
/virus/historia_virus- 01.htm
129
www.aliwal.com
www.esi.us.es
www.skyscraper.fortunecity.com
www.jamonyvino.islatortuga.com
www.geocities.com/Pipeline/Dropzone/4468/index.htm
www.lander.es/~retha
www.rincondelvago.com/ - informática - virus - hackers - troyanos.
Enciclopedia Microsoft Encarta 2000Panda Antivirus
www.monografías.com
www.symantec.com
www.antivirus.com
www.pandasoftware.com