You are on page 1of 58

www.monografias.

com

Virus y Antivirus

1. Introducción
2. Los Virus. Definición de Virus
3. Generalidades sobre los virus de computadoras
4. Los nuevos virus e Internet
5. ¿Cómo se producen las infecciones?
6. Estrategias de infección usadas por los virus
7. Especies de virus
8. Virus por su destino de infección
9. Virus por sus acciones o modos de activación
10. Técnicas de programación de virus
11. ¿Cómo saber si tenemos un virus?
12. ¿Que medidas de protección resultan efectivas?
13. Formas de Prevención y Eliminación del Virus
14. Antivirus
15. Efectos de los Virus en las Computadoras
16. Historia
17. Cronología
18. ¿Qué no se considera un virus?
19. Virus más amenazador en América Latina
20. Recomendaciones
21. Lista de virus recientes
22. Los Antivirus
23. Técnicas de detección
24. Análisis heurístico
25. Eliminación
26. Comprobación de integridad
27. Proteger áreas sensibles
28. Los TSR
29. Aplicar cuarentena
30. Definiciones antivirus
31. Estrategia de seguridad contra los virus
32. Tácticas Antivíricas
33. Medidas antivirus
34. ¿Cómo puedo elaborar un protocolo de seguridad antivirus?
35. Conclusiones
36. Bibliografía

INTRODUCCIÓN
En la actualidad las computadoras no solamente se utilizan como herramientas auxiliares en
nuestra vida, sino como un medio eficaz para obtener y distribuir información. La informática está
presente hoy en día en todos los campos de la vida moderna facilitándonos grandemente nuestro
desempeño, sistematizando tareas que antes realizábamos manualmente.
Este esparcimiento informático no sólo nos ha traído ventajas sino que también problemas de gran
importancia en la seguridad de los sistemas de información en negocios, hogares, empresas,

1
gobierno, en fin, en todos los aspectos relacionados con la sociedad. Y entre los problemas están
los virus informáticos cuyo propósito es ocasionar perjuicios al usuario de computadoras. Pueden
ocasionar pequeños trastornos tales como la aparición de mensajes en pantalla hasta el formateo
de los discos duros del ordenador, y efectivamente este puede ser uno de los mayores daños que
un virus puede realizar a u ordenador.
Pero como para casi todas las cosas dañinas hay un antídoto, para los virus también lo hay: el
antivirus, que como más adelante se describe es un programa que ayuda a eliminar los virus o al
menos a asilarlos de los demás archivos para que nos los contaminen.
En este trabajo discutiremos el tema de los virus, desde sus orígenes, sus creadores, la razón de
su existencia entre otras cosas. El trabajo constará con descripciones de las categorías donde se
agrupan los virus así como las diferencias de lo que es un virus contra lo que falsamente se
considera virus.
También describiremos los métodos existentes en el mercado para contrarrestar los virus como
son los antivirus, la concientización a los usuarios y las políticas de uso de las tecnologías en
cuanto a seguridad y virus informáticos.

2
LOS VIRUS
Definición de Virus
Los Virus informáticos son programas de ordenador que se reproducen a sí mismos e interfieren
con el hardware de una computadora o con su sistema operativo (el software básico que controla la
computadora). Los virus están diseñados para reproducirse y evitar su detección. Como cualquier
otro programa informático, un virus debe ser ejecutado para que funcione: es decir, el ordenador
debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas
instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar
archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informáticos nocivos similares a los virus, pero que no cumplen ambos
requisitos de reproducirse y eludir su detección. Estos programas se dividen en tres categorías:
Caballos de Troya, bombas lógicas y gusanos. Un caballo de Troya aparenta ser algo
interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos.
Una bomba lógica libera su carga activa cuando se cumple una condición determinada, como
cuando se alcanza una fecha u hora determinada o cuando se teclea una combinación de letras.
Un gusano se limita a reproducirse, pero puede ocupar memoria de la computadora y hacer que
sus procesos vayan más lentos.
Algunas de las características de estos agentes víricos:
 Son programas de computadora: En informática programa es sinónimo de Software,
es decir el conjunto de instrucciones que ejecuta un ordenador o computadora.
 Es dañino: Un virus informático siempre causa daños en el sistema que infecta, pero
vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser
implícito cuando lo que se busca es destruir o alterar información o pueden ser
situaciones con efectos negativos para la computadora, como consumo de memoria
principal, tiempo de procesador.
 Es auto reproductor: La característica más importante de este tipo de programas es la
de crear copias de sí mismos, cosa que ningún otro programa convencional hace.
Imaginemos que si todos tuvieran esta capacidad podríamos instalar un procesador de
textos y un par de días más tarde tendríamos tres de ellos o más.
 Es subrepticio: Esto significa que utilizará varias técnicas para evitar que el usuario se
de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder
disimularse a primera vista. Puede llegar a manipular el resultado de una petición al
sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.
Las acciones de los virus son diversas, y en su mayoría inofensivas, aunque algunas pueden
provocar efectos molestos y, en ciertos, casos un grave daño sobre la información, incluyendo
pérdidas de datos. Hay virus que ni siquiera están diseñados para activarse, por lo que sólo
ocupan espacio en disco, o en la memoria. Sin embargo, es recomendable y posible evitarlos.

Generalidades sobre los virus de computadoras


La primer aclaración que cabe es que los virus de computadoras, son simplemente programas, y
como tales, hechos por programadores. Son programas que debido a sus características
particulares, son especiales. Para hacer un virus de computadora, no se requiere capacitación
especial, ni una genialidad significativa, sino conocimientos de lenguajes de programación, de
algunos temas no difundidos para público en general y algunos conocimientos puntuales sobre el
ambiente de programación y arquitectura de las computadoras.
En la vida diaria, más allá de las especificaciones técnicas, cuando un programa invade
inadvertidamente el sistema, se replica sin conocimiento del usuario y produce daños, pérdida de
información o fallas del sistema. Para el usuario se comportan como tales y funcionalmente lo son
en realidad.
Los virus actúan enmascarados por “debajo” del sistema operativo, como regla general, y para
actuar sobre los periféricos del sistema, tales como disco rígido, disqueteras, ZIP’s CD’s, hacen
uso de sus propias rutinas aunque no exclusivamente. Un programa “normal” por llamarlo así, usa
las rutinas del sistema operativo para acceder al control de los periféricos del sistema, y eso hace

3
que el usuario sepa exactamente las operaciones que realiza, teniendo control sobre ellas. Los
virus, por el contrario, para ocultarse a los ojos del usuario, tienen sus propias rutinas para
conectarse con los periféricos de la computadora, lo que les garantiza cierto grado de inmunidad a
los ojos del usuario, que no advierte su presencia, ya que el sistema operativo no refleja su
actividad en la computadora. Esto no es una “regla”, ya que ciertos virus, especialmente los que
operan bajo Windows, usan rutinas y funciones operativas que se conocen como API’s. Windows,
desarrollado con una arquitectura muy particular, debe su gran éxito a las rutinas y funciones que
pone a disposición de los programadores y por cierto, también disponibles para los desarrolladores
de virus. Una de las bases del poder destructivo de este tipo de programas radica en el uso de
funciones de manera “sigilosa”, se oculta a los ojos del usuario común.
La clave de los virus radica justamente en que son programas. Un virus para ser activado debe ser
ejecutado y funcionar dentro del sistema al menos una vez. Demás está decir que los virus no
“surgen” de las computadoras espontáneamente, sino que ingresan al sistema inadvertidamente
para el usuario, y al ser ejecutados, se activan y actúan con la computadora huésped.

Los nuevos virus e Internet


Hasta la aparición del programa Microsoft Outlook, era imposible adquirir virus mediante el correo
electrónico. Los e-mails no podían de ninguna manera infectar una computadora. Solamente si se
adjuntaba un archivo susceptible de infección, se bajaba a la computadora, y se ejecutaba, podía
ingresar un archivo infectado a la máquina. Esta paradisíaca condición cambió de pronto con las
declaraciones de Padgett Peterson, miembro de Computer Antivirus Research Organization, el cual
afirmó la posibilidad de introducir un virus en el disco duro del usuario de Windows 98 mediante el
correo electrónico. Esto fue posible porque el gestor de correo Microsoft Outlook 97 es capaz de
ejecutar programas escritos en Visual Basic para Aplicaciones (antes conocido como Visual
Languaje, propiedad de Microsoft), algo que no sucedía en Windows 95. Esto fue negado por el
gigante del software y se intentó ridiculizar a Peterson de diversas maneras a través de campañas
de marketing, pero como sucede a veces, la verdad no siempre tiene que ser probada. A los pocos
meses del anuncio, hizo su aparición un nuevo virus, llamado BubbleBoy, que infectaba
computadoras a través del e-mail, aprovechándose del agujero anunciado por Peterson. Una
nueva variedad de virus había nacido.
Para ser infectado por el BubbleBoy, sólo es necesario que el usuario reciba un mail infectado y
tenga instalados Windows 98 y el programa gestor de correo Microsoft Outlook. La innovación
tecnológica implementada por Microsoft y que permitiría mejoras en la gestión del correo, resultó
una vez más en agujeros de seguridad que vulneraron las computadoras de desprevenidos
usuarios.
Las mejoras que provienen de los lenguajes de macros de la familia Microsoft facilitan la presencia
de “huecos” en los sistemas que permiten la creación de técnicas y herramientas aptas para la
violación nuestros sistemas. La gran corriente de creación de virus de Word y Excel, conocidos
como Macro-Virus, nació como consecuencia de la introducción del Lenguaje de Macros
WordBasic (y su actual sucesor Visual Basic para Aplicaciones), en los paquetes de Microsoft
Office. Actualmente los Macrovirus representan el 80 % del total de los virus que circulan por el
mundo.
Hoy en día también existen archivos de páginas Web que pueden infectar una computadora. El
boom de Internet ha permitido la propagación instantánea de virus a todas las fronteras, haciendo
susceptible de ataques a cualquier usuario conectado. La red mundial de Internet debe ser
considerada como una red insegura, susceptible de esparcir programas creados para aprovechar
los huecos de seguridad de Windows y que faciliten el “implante” de los mismos en nuestros
sistemas. Los virus pueden ser programados para analizar y enviar nuestra información a lugares
remotos, y lo que es peor, de manera inadvertida. El protocolo TCP/IP, desarrollado por los
creadores del concepto de Internet, es la herramienta más flexible creada hasta el momento;
permite la conexión de cualquier computadora con cualquier sistema operativo. Este maravilloso
protocolo, que controla la transferencia de la información, al mismo tiempo, vuelve sumamente
vulnerable de violación a toda la red. Cualquier computadora conectada a la red, puede ser
localizada y accedida remotamente si se siguen algunos caminos que no analizaremos por razones

4
de seguridad. Lo cierto es que cualquier persona con conocimientos de acceso al hardware por
bajo nivel, pueden monitorear una computadora conectada a Internet. Durante la conexión es el
momento en el que el sistema se vuelve vulnerable y puede ser “hackeado”. Sólo es necesario
introducir en el sistema un programa que permita “abrir la puerta” de la conexión para permitir el
acceso del intruso o directamente el envío de la información contenida en nuestro disco. En
realidad, hackear un sistema Windows es ridículamente fácil. La clave de todo es la introducción de
tal programa, que puede enviarse en un archivo adjunto a un e-mail que ejecutamos, un disquete
que recibimos y que contiene un programa con el virus, o quizá un simple e-mail. El concepto de
virus debería ser ampliado a todos aquellos programas que de alguna manera crean nuevas
puertas en nuestros sistemas que se activan durante la conexión a Internet para facilitar el acceso
del intruso o enviar directamente nuestra información privada a usuarios en sitios remotos.
Entre los virus que más fuerte han azotado a la sociedad en los últimos dos años se pueden
mencionar:
 Sircam
 Code Red
 Nimda
 Magistr
 Melissa
 Klez
 LoveLetter
¿Cómo se producen las infecciones?
Los virus informáticos se difunden cuando las instrucciones o código ejecutable que hacen
funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede
reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos
o a través de redes informáticas. Estas infecciones son mucho más frecuentes en las
computadoras que en sistemas profesionales de grandes ordenadores, porque los programas de
las computadoras se intercambian fundamentalmente a través de discos flexibles o de redes
informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso,
si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un
programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta
conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan
frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el
programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede
producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho
programa, ocurre lo mismo con el virus. Los virus también pueden residir en las partes del disco
duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo
que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan
en el software que permite al usuario conectarse al sistema.
La propagación de los virus informáticos a las computadoras personales, servidores o equipo de
computación se logra mediante distintas formas, como por ejemplo: a través de disquetes, cintas
magnéticas, CD o cualquier otro medio de entrada de información. El método en que más ha
proliferado la infección con virus es en las redes de comunicación y más tarde la Internet. Es con la
Internet y especialmente el correo electrónico que millones de computadoras han sido afectadas
creando pérdidas económicas incalculables.
Hay personas que piensan que con tan sólo estar navegando en la Internet no se van a contagiar
porque no están bajando archivos a sus ordenadores, pero la verdad es que están muy
equivocados. Hay algunas páginas en Internet que utilizan objetos ActiveX que son archivos
ejecutables que el navegador de Internet va ejecutar en nuestras computadoras, si en el ActiveX se

5
le codifica algún tipo de virus este va a pasar a nuestra computadoras con tan solo estar
observando esa página.
Cuando uno esta recibiendo correos electrónicos, debe ser selectivo en los archivos que uno baja
en nuestras computadoras. Es más seguro bajarlos directamente a nuestra computadora para
luego revisarlos con un antivirus antes que ejecutarlos directamente de donde están. Un virus
informático puede estar oculto en cualquier sitio, cuando un usuario ejecuta algún archivo con
extensión .exe que es portador de un algún virus todas las instrucciones son leídas por la
computadora y procesadas por ésta hasta que el virus es alojado en algún punto del disco duro o
en la memoria del sistema. Luego ésta va pasando de archivo en archivo infectando todo a su
alcance añadiéndole bytes adicionales a los demás archivos y contaminándolos con el virus. Los
archivos que son infectados mayormente por los virus son tales cuyas extensiones son: .exe, .com,
.bat, .sys, .pif, .dll y .drv.

ESTRATEGIAS DE INFECCIÓN USADAS POR LOS VIRUS


Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque
del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo.
Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa.
Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción
El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el
tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por
lo que no es muy utilizado este método.
Reorientación
Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco
rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código
que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el
tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha
funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los sectores
marcados como defectuosos.
Polimorfismo
Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en
un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus
compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos
sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el
código del virus descompactando en memoria las porciones necesarias. Una variante de esta
técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los
antivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al
ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder
reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.

ESPECIES DE VIRUS
Existen seis categorías de virus: parásitos, del sector de arranque inicial, multipartitos,
acompañantes, de vínculo y de fichero de datos. Los virus parásitos infectan ficheros ejecutables o
programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren
al huésped de tal forma que el código del virus se ejecuta en primer lugar. Estos virus pueden ser
de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para
infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria del ordenador e
infecta un programa determinado cuando se ejecuta dicho programa. Los virus del sector de
arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de
arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del
disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el

6
intercambio físico de discos flexibles. Los virus multipartitos combinan las capacidades de los virus
parásitos y de sector de arranque inicial, y pueden infectar tanto ficheros como sectores de
arranque inicial.
Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el
mismo nombre que un programa legítimo y engañan al sistema operativo para que lo ejecute. Los
virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo
engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede
infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se
acceda en dicho directorio desencadena el virus. Otros virus infectan programas que contienen
lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas
características y herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus,
llamados virus de ficheros de datos, están escritos en lenguajes de macros y se ejecutan
automáticamente cuando se abre el programa legítimo. Son independientes de la máquina y del
sistema operativo.
Los virus se pueden clasificar de dos formas: Por su destino de infección y pos sus acciones o
modo de activación.

VIRUS POR SU DESTINO DE INFECCIÓN


Infectores de archivos ejecutables:
Estos también residen en la memoria de la computadora e infectan archivos ejecutables de
extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez, comparten con los virus de área
de boot el estar en vías de extinción desde la llegada de sistemas operativos que reemplazan al
viejo DOS. Los virus de infección de archivos se replican en la memoria toda vez que un archivo
infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de haber sido
activados, en ese caso se dice que son virus residentes, o pueden ser virus de acción directa, que
evitan quedar residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado
el programa infectado. Se dice que estos virus son virus de sobre escritura, ya que corrompen al
fichero donde se ubican.
Virus multipartitos (Multi-partite):
Una suma de los virus de área de boot y de los virus de infección de archivos, infectan archivos
ejecutables y el área de booteo de discos.
Infectores directos:
El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir
infectando y ejecutar sus acciones destructivas).
Infectores residentes en memoria:
El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece
residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción.
Infectores del sector de arranque:
Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene
información específica relativa al formato del disco y los datos almacenados en él. Además,
contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y
que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa
es el que muestra el famoso mensaje de “Non-system Disk” o “Disk Error” en caso de no encontrar
los archivos del sistema operativo. Este es el programa afectado por los virus de sector de
arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde
un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco
rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que parecen
esconder estos virus, son de una clase que está tendiendo a desaparecer, sobre todo desde la
explosión de Internet, las redes y los sistemas operativos posteriores al DOS. Algunos virus de
boot sector no infectan el sector de arranque del disco duro (conocido como MBR). Usualmente
infectan sólo disquetes como se menciona anteriormente, pero pueden afectar también al Disco
Rígido, CD, unidades ZIP, etc. Para erradicarlos, es necesario inicializar la Computadora desde un

7
disquete sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el
sector infectado con el sector de arranque original.
Macrovirus:
Son los virus más populares de la actualidad. No se transmiten a través de archivos ejecutables,
sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros.
Por ende, son específicos de cada aplicación, y no pueden afectar archivos de otro programa o
archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete Office (Microsoft
Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access) y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a
la plantilla base de nuevos documentos (llamada en el Word normal.dot), de forma que sean
infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen
capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-
mails, etc. Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran variedad
de acciones, con diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así:
1. Se abre el archivo infectado, con lo cual se activa en memoria.
2. Infecta sin que el usuario se dé cuenta al normal.dot, con eso se asegura que el usuario
sea un reproductor del virus sin sospecharlo.
3. Si está programado para eso, busca dentro de la Computadora los archivos de Word,
Excel, etc., que puedan ser infectados y los infecta.
4. Si está programado, verifica un evento de activación, que puede ser una fecha, y genera el
problema dentro de la computadora (borrar archivos, destruir información, etc.)
De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el
disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página Web
sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir
ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco
rígido a través de una conexión WWW de manera que el usuario no los detecta. Se pueden
programar para que borren o corrompan archivos, controlen la memoria, envíen información a un
sitio Web, etc.
De HTML
Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a
fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a
Internet, cualquier archivo HTML de una página Web puede contener y ejecutar un virus. Este tipo
de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Windows 98, 2000 y de las
últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se
encuentre activo. Potencialmente pueden borrar o corromper archivos.
Troyanos/Worms
Los troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción
aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de auto reproducción, sino que generalmente son
diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de
difusión del virus. (Generalmente son enviados por e-mail). Los troyanos suelen ser promocionados
desde alguna página Web poco confiable, por eso hay que tomar la precaución de bajar archivos
ejecutables sólo de sitios conocidos y revisarlos con un antivirus antes de correrlos. Pueden ser
programados de tal forma que una vez logre su objetivo se autodestruya dejando todo como si
nunca nada hubiese ocurrido.

VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIÓN


Bombas:
Se denomina así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto
significa que se activan segundos después de verse el sistema infectado o después de un cierto
tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo (bombas

8
lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u
hora determinada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido
solo le queda el 10% sin uso, etc.
Retro Virus
Son los virus que atacan directamente al antivirus que está en la computadora. Generalmente lo
que hace es que busca las tablas de las definiciones de virus del antivirus y las destruye.
Virus lentos:
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario
hace ejecutar por el sistema operativo, simplemente siguen la corriente y aprovechan cada una de
las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podrá infectar el sector de
arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho
sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original
intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos
archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al
registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas
residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada
uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy
launching. Se crean varios archivos .exe y .com cuyo contenido conoce el antivirus. Los ejecuta y
revisa para ver si se han modificado sin su conocimiento.
Virus voraces
Alteran el contenido de los archivos indiscriminadamente. Este tipo de virus lo que hace es que
cambia el archivo ejecutable por su propio archivo. Se dedican a destruir completamente los datos
que estén a su alcance.
Sigilosos o Stealth
Este virus cuenta con un módulo de defensa sofisticado. Trabaja a la par con el sistema operativo
viendo como este hace las cosas y tapando y ocultando todo lo que va editando a su paso. Trabaja
en el sector de arranque de la computadora y engaña al sistema operativo haciéndole creer que los
archivos infectados que se le verifica el tamaño de bytes no han sufrido ningún aumento en
tamaño.
Polimorfos o Mutantes
Encripta todas sus instrucciones para que no pueda ser detectado fácilmente. Solamente deja sin
encriptar aquellas instrucciones necesarias para ejecutar el virus. Este virus cada vez que contagia
algo cambia de forma para hacer de las suyas libremente. Los antivirus normales hay veces que no
detectan este tipo de virus y hay que crear programas específicamente (como son las vacunas)
para erradicar dichos virus.
Camaleones:
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas
parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de
daño. Cuando están correctamente programados, los camaleones pueden realizar todas las
funciones de los programas legítimos a los que sustituyen (actúan como programas de
demostración de productos, los cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos
realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios)
va almacenando en algún archivo los diferentes logins y passwords para que posteriormente
puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.
Reproductores:
Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante
una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o
memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo
mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario

9
interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento
normal.
Gusanos (Worms):
Los gusanos son programas que constantemente viajan a través de un sistema informático
interconectado, de computadora en computadora, sin dañar necesariamente el hardware o el
software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos
anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords)
para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Más allá de los
problemas de espacio o tiempo que puedan generar, los gusanos no están diseñados para
perpetrar daños graves.
Backdoors:
Son también conocidos como herramientas de administración remotas ocultas. Son programas que
permiten controlar remotamente la computadora infectada. Generalmente son distribuidos como
troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea
sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo ve en la lista de programas
activos. Los Backdoors permiten al autor tomar total control de la computadora infectada y de esta
forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.
“Virus” Bug-Ware:
Son programas que en realidad no fueron pensados para ser virus, sino para realizar funciones
concretas dentro del sistema, pero debido a una deficiente comprobación de errores por parte del
programador, o por una programación confusa que ha tornado desordenado al código final,
provocan daños al hardware o al software del sistema. Los usuarios finales, tienden a creer que los
daños producidos en sus sistemas son producto de la actividad de algún virus, cuando en realidad
son producidos por estos programas defectuosos. Los programas bug-ware no son en absoluto
virus informáticos, sino fragmentos de código mal implementado, que debido a fallos lógicos, dañan
el hardware o inutilizan los datos del computador. En realidad son programas con errores, pero
funcionalmente el resultado es semejante al de los virus.
Virus de MIRC:
Al igual que los bug-ware y los mail-bombers, no son considerados virus. Son una nueva
generación de programas que infectan las computadoras, aprovechando las ventajas
proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través
del programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa
de chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado “script.ini”.
Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el
programa, esto causa que el “script.ini” original se sobre escriba con el “script.ini” maligno. Los
autores de ese script acceden de ese modo a información privada de la computadora, como el
archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
Virus Falsos (Hoax):
Un último grupo, que decididamente no puede ser considerado virus. Se trata de las cadenas de e-
mails que generalmente anuncian la amenaza de algún virus “peligrosísimo” (que nunca existe, por
supuesto) y que por temor, o con la intención de prevenir a otros, se envían y re-envían
incesantemente. Esto produce un estado de pánico sin sentido y genera un molesto tráfico de
información innecesaria.

TÉCNICAS DE PROGRAMACIÓN DE VIRUS


Los programadores de virus utilizan diversas técnicas de programación que tienen por fin ocultar a
los ojos del usuario la presencia del virus, favorecer su reproducción y por ello a menudo también
tienden a ocultarse de los antivirus. A continuación se citan las técnicas más conocidas:
 Stealth: Técnica de ocultación utilizada para esconder los signos visibles de la infección
que podrían delatar su presencia. Sus características son:
 Mantienen la fecha original del archivo.

10
 Evitan que se muestren los errores de escritura cuando el virus intenta escribir en
discos protegidos.
 Restar el tamaño del virus a los archivos infectados cuando se hace un DIR.
 Modificar directamente la FAT.
 Modifican la tabla de vectores de interrupción (IVT).
 Se instalan en los buffers del DOS.
 Se instalan por encima de los 640 KB normales del DOS.
 Soportan la reinicializacion del sistema por teclado.
 Encriptación o auto encriptación: Técnica de ocultación que permite la encriptación del
código del virus y que tiene por fin enmascarar su código viral y sus acciones en el
sistema. Por este método los virus generan un código que dificulta la detección por los
antivirus.
 Anti-debuggers: Es una técnica de protección que tiende a evitar ser desensamblado
para dificultar su análisis, paso necesario para generar una “vacuna” para el antivirus.
 Polimorfismo: Es una técnica que impide su detección, por la cual varían el método de
encriptación de copia en copia, obligando a los antivirus a usar técnicas heurísticas.
Debido a que el virus cambia en cada infección es imposible localizarlo buscándolo por
cadenas de código, tal cual hace la técnica de escaneo. Esto se consigue utilizando un
algoritmo de encriptación que de todos modos, no puede codificar todo el código del virus.
Una parte del código del virus queda inmutable y es el que resulta vulnerable y propicio
para ser detectado por los antivirus. La forma más utilizada para la codificación es la
operación lógica XOR, debido a que es reversible: En cada operación se hace necesaria
una clave, pero por lo general, usan una clave distinta en cada infección, por lo que se
obtiene una codificación también distinta. Otra forma muy usada para generar un virus
polimórfico consiste en sumar un número fijo a cada byte del código vírico.
 Tunneling: Es una técnica de evasión que tiende a burlar los módulos residentes de los
antivirus mediante punteros directos a los vectores de interrupción. Es altamente compleja,
ya que requiere colocar al procesador en modo paso a paso, de tal manera que al
ejecutarse cada instrucción, se produce la interrupción 1, para la cual el virus ha colocado
una ISR (interrupt Service Routine), ejecutándose instrucciones y comprobándose si se ha
llegado a donde se quería hasta recorrer toda la cadena de ISR’s que halla colocando el
parche al final de la cadena.
 Residentes en Memoria o TSR: Algunos virus permanecen en la memoria de las
computadoras para mantener el control de todas las actividades del sistema y contaminar
todos los archivos que puedan. A través de esta técnica permanecen en memoria mientras
la computadora permanezca encendida. Para logra este fin, una de las primeras cosas que
hacen estos virus, es contaminar los ficheros de arranque del sistema para asegurar su
propia ejecución al ser encendido el equipo, permaneciendo siempre cargado en RAM.

¿CÓMO SABER SI TENEMOS UN VIRUS?


La mejor forma de detectar un virus es, obviamente con un antivirus, pero en ocasiones los
antivirus pueden fallar en la detección. Puede ser que no detectemos nada y aún seguir con
problemas. En esos casos “difíciles”, entramos en terreno delicado y ya es conveniente la
presencia de un técnico programador. Muchas veces las fallas atribuidas a virus son en realidad
fallas de hardware y es muy importante que la persona que verifique el equipo tenga profundos
conocimientos de arquitectura de equipos, software, virus, placas de hardware, conflictos de
hardware, conflictos de programas entre sí y bugs o fallas conocidas de los programas o por lo
menos de los programas más importantes. Las modificaciones del Setup, cambios de configuración
de Windows, actualización de drivers, fallas de RAM, instalaciones abortadas, rutinas de
programas con errores y aún oscilaciones en la línea de alimentación del equipo pueden generar
errores y algunos de estos síntomas. Todos esos aspectos deben ser analizados y descartados

11
para llegar a la conclusión que la falla proviene de un virus no detectado o un virus nuevo aún no
incluido en las bases de datos de los antivirus más importantes.
Aquí se mencionan algunos de los síntomas posibles:
 Reducción del espacio libre en la memoria RAM: Un virus, al entrar al sistema, se sitúa
en la memoria RAM, ocupando una porción de ella. El tamaño útil y operativo de la memoria
se reduce en la misma cuantía que tiene el código del virus. Siempre en el análisis de una
posible infección es muy valioso contar con parámetros de comparación antes y después de
la posible infección. Por razones prácticas casi nadie analiza detalladamente su
computadora en condiciones normales y por ello casi nunca se cuentan con patrones antes
de una infección, pero sí es posible analizar estos patrones al arrancar una computadora con
la posible infección y analizar la memoria arrancando el sistema desde un disco libre de
infección.
 Las operaciones rutinarias se realizan con más lentitud: Obviamente los virus son
programas, y como tales requieren de recursos del sistema para funcionar y su ejecución,
más al ser repetitiva, llevan a un enlentecimiento global en las operaciones.
 Aparición de programas residentes en memoria desconocidos: El código viral, como ya
dijimos, ocupa parte de la RAM y debe quedar “colgado” de la memoria para activarse
cuando sea necesario. Esa porción de código que queda en RAM, se llama residente y con
algún utilitario que analice la RAM puede ser descubierto. Aquí también es valioso comparar
antes y después de la infección o arrancando desde un disco “limpio”.
 Tiempos de carga mayores: Corresponde al enlentecimiento global del sistema, en el cual
todas las operaciones se demoran más de lo habitual.
 Aparición de mensajes de error no comunes: En mayor o menor medida, todos los virus,
al igual que programas residentes comunes, tienen una tendencia a “colisionar” con otras
aplicaciones. Aplique aquí también el análisis pre / post-infección.
 Fallos en la ejecución de los programas: Programas que normalmente funcionaban bien,
comienzan a fallar y generar errores durante la sesión.

¿QUE MEDIDAS DE PROTECCIÓN RESULTAN EFECTIVAS?


Obviamente, la mejor y más efectiva medida es adquirir un antivirus, mantenerlo actualizado y
tratar de mantenerse informado sobre las nuevas técnicas de protección y programación de virus.
Gracias a Internet es posible mantenerse al tanto a través de servicios gratuitos y pagos de
información y seguridad. Hay innumerables boletines electrónicos de alerta y seguridad que
advierten sobre posibles infecciones de mejor o menor calidad. Existen herramientas, puede
decirse indispensables para aquellos que tienen conexiones prolongadas a Internet que tienden a
proteger al usuario no sólo detectando posibles intrusiones dentro del sistema, sino chequeando
constantemente el sistema, a modo de verdaderos escudos de protección. Hay herramientas
especiales para ciertos tipos de virus, como por ejemplo protectores especiales contra el Back
Oriffice, que certifican la limpieza del sistema o directamente remueven el virus del registro del
sistema.

FORMAS DE PREVENCIÓN Y ELIMINACIÓN DEL VIRUS


Copias de seguridad
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee,
disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y
protegido de campos magnéticos, calor, polvo y personas no autorizadas.
Copias de programas originales
No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para
realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben
a discos de origen desconocido.
Utilice contraseñas

12
Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
Antivirus
Tenga siempre instalado un antivirus en su computadora, como medida general analice todos los
discos que desee instalar. Si detecta algún virus elimine la instalación lo antes posible.
Actualice periódicamente su antivirus
Un antivirus que no esté actualizado puede ser completamente inútil. Todos los antivirus existentes
en el mercado permanecen residentes en la computadora para controlar todas las operaciones de
ejecución y transferencia de ficheros analizando cada fichero para determinar si tiene virus,
mientras el usuario realiza otras tareas.

EFECTOS DE LOS VIRUS EN LAS COMPUTADORAS


Cualquier virus es perjudicial para un sistema. Como mínimo produce una reducción de la
velocidad de proceso al ocupar parte de la memoria principal. Estos efectos se pueden diferenciar
en destructivos y no destructivos.
Efectos no destructivos
 Emisión de mensajes en pantalla: Es uno de los efectos más habituales de los virus.
Simplemente causan la aparición de pequeños mensajes en la pantalla del sistema, en
ocasiones se trata de mensajes humorísticos, de Copyright, etc.
 Borrado a cambio de la pantalla: También es muy frecuente la visualización en pantalla de
algún efecto generalmente para llamar la atención del usuario. Los efectos usualmente se
producen en modo texto. En ocasiones la imagen se acompaña de efectos de sonido. Ejemplo:
 Ambulance: Aparece una ambulancia moviéndose por la parte inferior de la
pantalla al tiempo que suena una sirena.
 Walker: Aparece un muñeco caminando de un lado a otro de la pantalla.
Efectos destructivos
 Desaparición de ficheros: Ciertos virus borran generalmente ficheros con
extensión .exe y .com, por ejemplo una variante del Jerusalem-B se dedica a
borrar todos los ficheros que se ejecutan.
 Modificación de programas para que dejen de funcionar: Algunos virus alteran
el contenido de los programas o los borran totalmente del sistema logrando así que
dejen de funcionar y cuando el usuario los ejecuta el virus envía algún tipo de
mensaje de error.
 Acabar con el espacio libre en el disco rígido: Existen virus que cuyo propósito
único es multiplicarse hasta agotar el espacio libre en disco, trayendo como
consecuencia que el ordenador quede inservible por falta de espacio en el disco.
 Hacer que el sistema funcione mas lentamente: Hay virus que ocupan un alto
espacio en memoria o también se ejecutan antes que el programa que el usuario
desea iniciar trayendo como consecuencia que la apertura del programa y el
procesamiento de información sea más lento.
 Robo de información confidencial: Existen virus cuyo propósito único es el de
robar contraseñas e información confidencial y enviarla a usuarios remotos.
 Borrado del BIOS: Sabemos que el BIOS es un conjunto de rutinas que trabajan
estrechamente con el hardware de un ordenador o computadora para soportar la
transferencia de información entre los elementos del sistema, como la memoria,
los discos, el monitor, el reloj del sistema y las tarjetas de expansión y si un virus
borra la BIOS entonces no se podrá llevar a cabo ninguna de las rutinas
anteriormente mencionados.
 Quemado del procesador por falsa información del censor de temperatura:
Los virus pueden alterar la información y por ello pueden modificar la información
del censor y la consecuencia de esto sería que el procesador se queme, pues,
puede hacerlo pensar que la temperatura está muy baja cuando en realidad está
muy alta.

13
 Modificación de programas para que funcionen erróneamente: Los virus
pueden modificar el programa para que tenga fallas trayendo grandes
inconvenientes para el usuario.
 Formateo de discos duros: El efecto más destructivo de todos es el formateo del
disco duro. Generalmente el formateo se realiza sobre los primeros sectores del
disco duro que es donde se encuentra la información relativa a todo el resto del
disco.

HISTORIA
En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto de
Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un
programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de
1950 en los Bell Laboratories, donde se desarrolló un juego llamado Core Wars en el que los
jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del
oponente e intentaban propagarse a través de él. En 1983, el ingeniero eléctrico estadounidense
Fred Cohen, que entonces era estudiante universitario, acuñó el término “virus” para describir un
programa informático que se reproduce a sí mismo. En 1985 aparecieron los primeros caballos de
Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado
NUKE-LA. Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain
apareció en 1986, y en 1987 se había extendido por todo el mundo. En 1988 aparecieron dos
nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó
Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger, el
primer infector rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En 1995
se creó el primer virus de lenguaje de macros, WinWord Concept.
Actualmente el medio de propagación de virus más extendido es Internet, en concreto mediante
archivos adjuntos al correo electrónico, que se activan una vez que se abre el mensaje o se
ejecutan aplicaciones o se cargan documentos que lo acompañan. Hoy por hoy los virus son
creados en cantidades extraordinarias por distintas personas alrededor del mundo. Muchos son
creados por diversión, otros para probar sus habilidades de programación o para entrar en
competencia con otras personas.

CRONOLOGÍA:
1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio
Verne de la informática), expone su “Teoría y organización de un autómata complicado”.
Nadie podía sospechar de la repercusión de dicho artículo.
1959: En los laboratorios AT&T Bell, se inventa el juego “Guerra Nuclear” (Core Wars) o guerra
de núcleos. Consistía en una batalla entre los códigos de dos programadores, en la que
cada jugador desarrollaba un programa cuya misión era la de acaparar la máxima
memoria posible mediante la reproducción de sí mismo.
1970: Nace “Creeper” que es difundido por la red ARPANET. El virus mostraba el mensaje
“SOY CREEPER... ¡ATRÁPAME SI PUEDES!”. Ese mismo año es creado su antídoto: El
antivirus Reaper cuya misión era buscar y destruir a “Creeper”.
1974: El virus Rabbit hacía una copia de sí mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo que causaba un bloqueo del sistema.
1980: La red ARPANET es infectada por un “gusano” y queda 72 horas fuera de servicio. La
infección fue originada por Robert Tappan Morris, un joven estudiante de informática de
23 años que según él, todo se produjo por un accidente.
1983: El juego Core Wars, con adeptos en el MIT, salió a la luz pública en un discurso de Ken
Thompson Dewdney que explica los términos de este juego. Ese mismo año aparece el
concepto virus tal como lo entendemos hoy.
1985: Dewdney intenta enmendar su error publicando otro artículo “Juegos de Computadora
virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los
ordenadores”.

14
1987: Se da el primer caso de contagio masivo de computadoras a través del “MacMag”
también llamado “Peace Virus” sobre computadoras Macintosh. Este virus fue creado por
Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron
en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de
Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en la que
realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco
maestro que fue enviado a la empresa fabricante que comercializó su producto infectado
por el virus.
Se descubre la primera versión del virus “Viernes 13” en los ordenadores de la
Universidad Hebrea de Jerusalén.
1988: El virus “Brain” creado por los hermanos Basit y Alvi Amjad de Pakistán aparece en
Estados Unidos.

¿QUÉ NO SE CONSIDERA UN VIRUS?


Hay muchos programas que sin llegar a ser virus informáticos le pueden ocasionar efectos
devastadores a los usuarios de computadoras. No se consideran virus porque no cuentan con las
características comunes de los virus como por ejemplo ser dañinos o auto reproductores. Un
ejemplo de esto ocurrió hace varios años cuando un correo electrónico al ser enviado y ejecutado
por un usuario se auto enviaba a las personas que estaban guardados en la lista de contactos de
esa persona creando una gran cantidad de trafico acaparando la banda ancha de la RED IBM
hasta que ocasionó la caída de esta.
Es importante tener claro que no todo lo que hace que funcione mal un sistema de información no
necesariamente es un virus informático. Hay que mencionar que un sistema de información puede
estar funcionando inestablemente por varios factores entre los que se puede destacar: fallas en el
sistema eléctrico, deterioro por depreciación, incompatibilidad de programas, errores de
programación o “bugs”, entre otros.
Síntomas que indican la presencia de Virus:
 Cambios en la longitud de los programas
 Cambios en la fecha y/u hora de los archivos
 Retardos al cargar un programa
 Operación más lenta del sistema
 Reducción de la capacidad en memoria y/o disco rígido
 Sectores defectuosos en los disquetes
 Mensajes de error inusuales
 Actividad extraña en la pantalla
 Fallas en la ejecución de los programas
 Fallas al bootear el equipo
 Escrituras fuera de tiempo en el disco

VIRUS MÁS AMENAZADOR EN AMÉRICA LATINA


W32.Beagle.AV@mm
Según datos del 12 de noviembre de 2004 es el Virus más amenazador en América Latina. Fue
descubierto el viernes 29 de octubre de 2004.
W32.Beagle.AV@mm es un gusano de envío masivo de correos electrónicos que también se
dispersa a través de los recursos compartidos de la red. El gusano también tiene una funcionalidad
de abrir un backdoor en el puerto TCP 81.
Symantec Security Response ha elevado a nivel 3 la categoría de esta amenaza viral porque hubo
un gran número de envíos del mencionado gusano.

También conocido como: Win32.Bagle.AQ [Computer Associates]


Bagle.BC [Panda]
WORM_BAGLE.AT [Trend Micro]
Bagle.AT [F-Secure]
W32/Bagle.AQ@mm [Norman]

15
W32/Bagle.bb@mm [McAfee]

Tipo: Worm

Longitud de la infección: Varios

Sistemas afectados: Windows Server 2003


Windows XP
Windows 2000
Windows Me
Windows 98
Windows 95
Windows NT

Daño
 Envío de mensajes a gran escala
 Pone en peligro la configuración de seguridad: Termina servicios y procesos de
seguridad
Distribución
 Línea de asunto del mensaje de correo electrónico: Varios
 Nombre del archivo adjunto: Varios
 Puertos: Puerto TCP 81
Cuando Beagle.AV@mm se ejecuta, lleva a cabo las siguientes acciones
1. Crea uno de los siguientes archivos:
 %System%\wingo.exe
 %System%\wingo.exeopen
 %System%\wingo.exeopenopen
También se puede copiar a sí mismo como:
 %System%\wingo.exeopenopenopen
 %System%\wingo.exeopenopenopenopen
2. Agrega el valor
"wingo" = "%System%\wingo.exe"
A la clave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Con lo que el gusano se ejecutará cada vez que inicie Windows.
3. Agrega el valor:
"Timekey" = "[Random variables]"
A la siguiente clave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Params
4. Finaliza los siguientes procesos, que normalmente están relacionados con otros gusanos
o con productos de seguridad:
 mcagent.e  DefWatch.exe  VsStat.exe
xe  Rtvscan.exe  Vshwin32.exe
 mcvsshld.e  ccEvtMgr.exe  alogserv.exe
xe  NISUM.EXE  RuLaunch.exe
 mcshield.e  ccPxySvc.exe  Avconsol.exe
xe  navapsvc.exe  PavFires.exe
 mcvsescn.  NPROTECT.EX  FIREWALL.EXE
exe E  ATUPDATER.E
 mcvsrte.ex  nopdb.exe XE
e  ccApp.exe  LUALL.EXE
 Avsynmgr.exe

16
 DRWEBUP  AUPDATE.EXE  pavProxy.exe
W.EXE  AUTOTRACE.E  navapw32.exe
 AUTODO XE  navapsvc.exe
WN.EXE  AUTOUPDATE.  ccProxy.exe
 NUPGRAD EXE  navapsvc.exe
E.EXE  AVXQUAR.EXE  NPROTECT.EX
 OUTPOST.  AVWUPD32.EX E
EXE E  SAVScan.exe
 ICSSUPPN  AVPUPD.EXE  SNDSrvc.exe
T.EXE  CFIAUDIT.EXE  symlcsvc.exe
 ICSUPP95.  UPDATE.EXE  LUCOMS~1.EX
EXE  NUPGRADE.E E
 ESCANH9 XE  blackd.exe
5.EXE  MCUPDATE.E  bawindo.exe
 AVXQUAR XE  FrameworkServi
.EXE  pavsrv50.exe ce.exe
 ESCANHN  AVENGINE.EX  VsTskMgr.exe
T.EXE E  SHSTAT.EXE
 ATUPDAT  APVXDWIN.EX  UpdaterUI.exe
ER.EXE E

Trata de descargar el archivo desde una de las siguientes direcciones URL, lo


guarda como %System%\re_file.exe y después lo ejecuta:
 www.bottombouncer.com  www.soloconsulting.com
 www.bottombouncer.com  www.lasermach.com
 www.anthonyflanagan.com  www.generationnow.net
 www.bradster.com  www.flashcorp.com
 www.traverse.com  www.kencorbett.com
 www.ims-i.com  www.FritoPie.NET
 www.realgps.com  www.leonhendrix.com
 www.aviation-center.de  www.transportation.gov.bh
 www.gci-bln.de  www.transportation.gov.bh
 www.pankration.com  www.jhaforpresident.7p.com
 www.jansenboiler.com  www.DarrkSydebaby.com
 www.corpsite.com  www.cntv.info
 www.everett.wednet.edu  www.sugardas.lt
 www.onepositiveplace.org  www.adhdtests.com
 www.raecoinc.com  www.argontech.net
 www.wwwebad.com  www.customloyal.com
 www.corpsite.com  www.ohiolimo.com
 www.wwwebmaster.com  www.topko.sk
 www.wwwebad.com  www.alupass.lu
 www.dragcar.com  www.sigi.lu
 www.wwwebad.com  www.redlightpictures.com
 www.oohlala-kirkland.com  www.irinaswelt.de
 www.calderwoodinn.com  www.bueroservice-it.de
 www.buddyboymusic.com  www.kranenberg.de
 www.smacgreetings.com  www.kranenberg.de
 www.tkd2xcell.com  www.the-fabulous-lions.de
 www.curtmarsh.com  www.the-fabulous-lions.de
 www.dontbeaweekendparent  www.mongolische-renner.de
.com  www.mongolische-renner.de

17
 www.capri-frames.de  www.kradtraining.de
 www.capri-frames.de  www.polizeimotorrad.de
 www.aimcenter.net  www.sea.bz.it
 www.boneheadmusic.com  www.uslungiarue.it
 www.fludir.is  www.gcnet.ru
 www.sljinc.com  www.aimcenter.net
 www.tivogoddess.com  www.vandermost.de
 www.fcpages.com  www.vandermost.de
 www.andara.com  www.szantomierz.art.pl
 www.freeservers.com  www.immonaut.sk
 www.programmierung2000.d  www.eurostavba.sk
e  www.spadochron.pl
 www.asianfestival.nl  www.pyrlandia-boogie.pl
 www.aviation-center.de  www.kps4parents.com
 www.gci-bln.de  www.pipni.cz
 www.mass-i.kiev.ua  www.selu.edu
 www.jasnet.pl  www.travelchronic.de
 www.atlantisteste.hpg.com.br  www.fleigutaetscher.ch
 www.fludir.is  www.irakli.org
 www.rieraquadros.com.br  www.oboe-online.com
 www.metal.pl  www.oboe-online.com
 www.handsforhealth.com  www.pe-sh.com
 www.angelartsanctuary.com  www.idb-group.net
 www.firstnightoceancounty.or  www.ceskyhosting.cz
g  www.ceskyhosting.cz
 www.chinasenfa.com  www.hartacorporation.com
 www.chinasenfa.com  www.glass.la
 www.ulpiano.org  www.glass.la
 www.gamp.pl  www.24-7-transportation.com
 www.vikingpc.pl  www.fepese.ufsc.br
 www.woundedshepherds.co  www.ellarouge.com.au
m  www.bbsh.org
 www.cpc.adv.br  www.boneheadmusic.com
 www.velocityprint.com  www.sljinc.com
 www.esperanzaparalafamilia.  www.tivogoddess.com
com  www.fcpages.com
 www.celula.com.mx  www.szantomierz.art.pl
 www.mexis.com  www.elenalazar.com
 www.wecompete.com  www.ssmifc.ca
 www.vbw.info  www.reliance-yachts.com
 www.gfn.org  www.worest.com.ar
 www.aegee.org  www.kps4parents.com
 www.deadrobot.com  www.coolfreepages.com
 www.cscliberec.cz  www.scanex-medical.fi
 www.ecofotos.com.br  www.jimvann.com
 www.amanit.ru  www.orari.net
 www.bga-gsm.ru  www.himpsi.org
 www.innnewport.com  www.mtfdesign.com
 www.knicks.nl  www.jldr.ca
 www.srg-neuburg.de  www.relocationflorida.com
 www.mepmh.de  www.rentalstation.com
 www.mepbisu.de  www.approved1stmortgage.com

18
 www.velezcourtesymanagem  www.vinirforge.com
ent.com  www.magicbottle.com.tw
 www.sunassetholdings.com  www.giantrevenue.com
 www.compsolutionstore.com  www.couponcapital.net
 www.uhcc.com  www.crystalrose.ca
 www.justrepublicans.com  www.crystalrose.ca
 www.pfadfinder-  www.crystalrose.ca
leobersdorf.com  www.crystalrose.ca
 www.featech.com

6. Busca en el disco duro por carpetas que contienen el valor "shar" y se copia así mismo
dentro de ellas con uno de los siguientes nombres:
 Microsoft Office 2003 Crack, Working!.exe
 Microsoft Windows XP, WinXP Crack, working Keygen.exe
 Microsoft Office XP working Crack, Keygen.exe
 Porno, sex, oral, anal cool, awesome!!.exe
 Porno Screensaver.scr
 Serials.txt.exe
 KAV 5.0
 Kaspersky Antivirus 5.0
 Porno pics arhive, xxx.exe
 Windows Sourcecode update.doc.exe
 Ahead Nero 7.exe
 Windows Longhorn Beta Leak.exe
 Opera 8 New!.exe
 XXX hardcore images.exe
 WinAmp 6 New!.exe
 WinAmp 5 Pro Keygen Crack Update.exe
 Adobe Photoshop 9 full.exe
 Matrix 3 Revolution English Subtitles.exe
 ACDSee 9.exe

7. Trata de detener y deshabilitar los siguientes servicios:


 "SharedAccess" - Conexión compartida de Internet
 "wscsvc" - MS security center
8. Abre un backdoor en el puerto TCP 81.
9. Elimina cualquier elemento que contenga los siguientes valores:
My AV Jammer2nd
Zone Labs Client Ex FirewallSvr
9XHtProtect MsInfo
Antivirus SysMonXP
Special Firewall Service EasyAV
Service PandaAVEngine
Tiny AV Norton Antivirus AV
ICQNet KasperskyAVEng
HtProtect SkynetsRevenge
NetDy ICQ Net
De las claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
10. Busca por direcciones de correo electrónico dentro de los archivos con las siguientes
extensiones:
 .wab  .txt  .msg  .htm

19
 .shtm  .nch  .wsh  .cgi
 .stm  .mmf  .adb  .mht
 .xml  .ods  .tbb  .dhtm
 .dbx  .cfg  .sht  .jsp
 .mbx  .asp  .xls
 .mdx  .php  .oft
 .eml  .pl  .uin
11. Utiliza su propio motor SMTP para enviar mensajes de correo electrónicos a cualquiera
de las direcciones electrónicas encontradas.
El correo electrónico puede tener las siguientes características:
De: <falsificado>

Asunto: (Uno de los siguientes)


 Re:
 Re: Hello
 Re: Hi
 Re: Thank you!
 Re: Thanks :)

Cuerpo del mensaje:


:))
Archivo adjunto: (Uno de los siguientes)
 Price
 price
 Joke
con una extensión de archivo .com, .cpl, .exe o .scr.
El gusano evitará enviar copias a las direcciones que contengan los siguientes valores:
 @hotmail  noone@  @messagelab
 @msn  kasp  winzip
 @microsoft  admin  google
 rating@  Microsoft  winrar
 f-secur  support  samples
 news  ntivi  abuse
 update  unix  panda
 anyone@  bsd  cafee
 bugs@  linux  spam
 contract@  listserv  pgp
 feste  certific  @avp.
 gold-certs@  sopho  noreply
 help@  @foo  local
 info@  @iana  root@
 nobody@  free-av  postmaster@

RECOMENDACIONES
Symantec Security Response invita a todos los usuarios y administradores a adherirse a las
siguientes “mejores prácticas” básicas para su seguridad:
 Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada,
muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como

20
clientes de FTP, telnet y servidores de Web. A través de estos servicios penetran buena
parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de
menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados
con parches.
 Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el
acceso a estos servicios hasta que aplique el parche correspondiente.
 Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios
públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios
HTTP, FTP, de correo y DNS.
 Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil
descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que
se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
 Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que
contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos
.vbs, .bat, .exe, .pif y .scr.
 Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro
otros equipos de su organización. Realice un análisis posterior y restaure los equipos con
medios que sean de su confianza.
 Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El
software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado
previamente en busca de virus. Basta únicamente con visitar un sitio Web infectado para que
pueda infectarse si las vulnerabilidades del explorador de Web no han sido correctamente
corregidas con parches.
Eliminación manual
Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta
amenaza.
 Desactive Restaurar el sistema (Windows Me o XP).
 Actualice las definiciones de virus.
 Reinicie la computadora en modo a prueba de fallas o modo VGA
 Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten como
W32.Beagle.AV@mm.
 Elimine el valor que se haya agregado al registro.
NOTA: Estos datos fueron proporcionados por Symantec el día 12 de noviembre de 2004.

LISTA DE VIRUS RECIENTES


En la siguiente lista aparecen los virus mas recientes descubiertos por Symantec Security
Response. Esta lista incluye el nivel de riesgo que Security Response le ha otorgado a cada virus.

NIVEL DE
AMENAZA DESCUBIERTO EN
RIESGO
2 W32.Mydoom.AK@mm Noviembre 11, 2004
1 Trojan.Minuka Noviembre 11, 2004
1 W32.Scard Noviembre 11, 2004
W32.Mydoom.AJ@mm
2 Noviembre 10, 2004
I-Worm.Mydoom.ad [Kaspersky]
1 Trojan.Beagooz.D Noviembre 10, 2004
1 Trojan.Moo.B Noviembre 10, 2004
2 W32.Orpheus.A Noviembre 9, 2004
3 W32.Mydoom.AI@mm Noviembre 8, 2004
W32/Mydoom.ag@MM [McAfee],

21
WORM_MYDOOM.AG [Trend Micro],
W32/Bofra-A [Sophos], MyDoom.AG
[F-Secure], Win32.Mydoom.AF
[Computer Associates], I-
Worm.Mydoom.ad [Kaspersky]
W32.Mydoom.AH@mm
W32/Mydoom.ah@MM [McAfee],
WORM_MYDOOM.AH [Trend Micro],
W32/Bofra-B [Sophos], MyDoom.AH
2 Noviembre 8, 2004
[F-Secure], Win32.Mydoom.AG
[Computer Associates],
W32/MyDoom.AH@mm [Norman], I-
Worm.Mydoom.ad [Kaspersky]
W32.Gaobot.BQJ
2 Backdoor.Win32.Agobot.gen Noviembre 8, 2004
[Kaspersky]
1 Bloodhound.Exploit.18 Noviembre 8, 2004
1 Backdoor.IRC.Bifrut Noviembre 8, 2004
1 Trojan.Beagooz.C Noviembre 8, 2004
VBS.Midfin@mm
2 Noviembre 7, 2004
I-Worm.SMWF.a [Kaspersky]
1 Trojan.Beagooz.B Noviembre 7, 2004
2 W32.Randex.BTB Noviembre 6, 2004
W32.Linkbot.A
1 Noviembre 5, 2004
Backdoor.Win32.Rbot.dc [Kaspersky]
X97M.Avone.A
1 Noviembre 5, 2004
Macro.Excel97.Viki.a [Kaspersky]
1 Trojan.Beagooz Noviembre 5, 2004
1 Backdoor.Hacarmy.F Noviembre 4, 2004
Backdoor.Ranky.L
1 TrojanProxy.Win32.Ranky.ap Noviembre 4, 2004
[Kaspersky], Proxy-FBSR [McAfee]
1 Backdoor.Alnica Noviembre 3, 2004
2 W32.Josam.Worm Noviembre 3, 2004
1 W32.Shodi.D Noviembre 3, 2004
W32.Bagz.H@mm
WORM_BAGZ.F [Trend Micro].
2 Win32.Bagz.F [Computer Associates], Noviembre 2, 2004
I-Worm.Bagz.g [Kaspersky],
W32/Bagz.f@MM [McAfee]
2 VBS.Yeno.C@mm Noviembre 1, 2004
VBS.Yeno.B@mm
2 I-Worm.Yeno.b [Kaspersky], Noviembre 1, 2004
VBS/Yeno.gen [McAfee]
1 Trojan.Ducky.C Octubre 30, 2004
3 W32.Beagle.AV@mm Octubre 29, 2004
Win32.Bagle.AQ [Computer
Associates], Bagle.BC [Panda],
WORM_BAGLE.AT [Trend Micro],

22
Bagle.AT [F-Secure],
W32/Bagle.AQ@mm [Norman],
W32/Bagle.bb@mm [McAfee],
W32/Bagle-AU [Sophos]
W32.Beagle.AW@mm
Win32.Bagle.AR [Computer
2 Octubre 29, 2004
Associates], W32/Bagle.bd@MM
[McAfee]
W32.Beagle.AU@mm
2 Win32.Bagle.AP [Computer Octubre 29, 2004
Associates], W32/Bagle.bc [McAfee]
1 W32.Beagle@mm!cpl Octubre 29, 2004
1 Trojan.Disabler Octubre 28, 2004
Backdoor.Singu.B
1 Backdoor.Win32.Singu.t [Kaspersky], Octubre 28, 2004
BackDoor-CGX [McAfee]

Backdoor.Ranky.K
Proxy-FBSR [McAfee],
1 Octubre 28, 2004
TrojanProxy.Win32.Ranky.ax
[Kaspersky]
1 Backdoor.Ranky.J Octubre 28, 2004
W32.Gregcenter
1 W32/GregCenter [McAfee], Octubre 28, 2004
Trojan.Win32.Qrap [Kaspersky]
W32.Erkez.C@mm
W32/Zafi.c@MM [McAfee], Zafi.C [F-
1 Octubre 27, 2004
Secure], W32/Zafi.C.worm [Panda], I-
Worm.Zafi.c [Kaspersky]
2 W32.Gaobot.BOW Octubre 27, 2004
W32.Bagz.F@mm
WORM_BAGZ.E [Trend Micro], I-
2 Octubre 27, 2004
Worm.Bagz.f [Kaspersky],
W32/Bagz.f@MM [McAfee]
Backdoor.Futro
1 Octubre 27, 2004
Backdoor.Delf.mz [Kaspersky]
1 W32.Randex.BRD Octubre 27, 2004
2 W32.Anpes@mm Octubre 26, 2004

1 W97M.Inamo Octubre 26, 2004

1 Trojan.Ceegar Octubre 26, 2004


2 W32.Mydoom.AG@mm Octubre 25, 2004
WORM_SWASH.A [Trend Micro], I-
Worm.Mydoom.ab [Kaspersky],
Win32.Mydoom.AE [Computer
Associates], W32/Mydoom.af@MM
[McAfee]
2 W32.Netsky.AE@mm Octubre 25, 2004

23
I-Worm.Skybag.a [Kaspersky],
W32/Netsky.ah@MM [McAfee]
Backdoor.Sdbot.AE
1 Backdoor.Win32.Wootbot.gen Octubre 25, 2004
[Kaspersky]
W32.Huayu
1 Octubre 24, 2004
Bloodhound.Exploit.8
W32.Bagz.E@mm
W32/Bagz-D [Sophos],
2 WORM_BAGZ.D [Trend Micro], I- Octubre 22, 2004
Worm.Bagz.d [Kaspersky],
W32/Bagz.e@MM [McAfee]
SH.Renepo.B
MacOS.Renepo.B, Unix/Opener.worm
1 [McAfee], Worm.MacOS.Opener.a Octubre 22, 2004
[Kaspersky], SH/Renepo-A [Sophos],
MAC_RENEPO.B [Trend Micro]

W32.Buchon.A@mm
W32.Netsky.AE@mm, W32/Baba-A
[Sophos], W32/Buchon.gen@MM
[McAfee], W32/Buchon@mm [F-
2 Octubre 21, 2004
Secure], Win32.Buchon.B [Computer
Associates], WORM_BUCHON.B
[Trend Micro], I-Worm.Buchon.b
[Kaspersky]
1 Backdoor.Emcommander Octubre 21, 2004
1 Trojan.Sens Octubre 21, 2004
1 Bloodhound.Exploit.17 Octubre 21, 2004
W32.Bagz.D@mm
2 Octubre 19, 2004
W32/Bagz.d@MM [McAfee]
W32.Spybot.FCD
W32.Spybot.Worm,
2 Octubre 19, 2004
W32/Sdbot.worm.gen.j [McAfee],
Backdoor.Win32.Rbot.gen [Kaspersky]
Backdoor.Roxe.B
Bloodhound.Exploit.13,
1 Octubre 19, 2004
Exploit.Win32.MS04-028.gen
[Kaspersky]
W32.Watsoon.A
1 Backdoor.Win32.VB.un [Kaspersky], Octubre 19, 2004
BackDoor-BDN [McAfee]
W32.Spybot.FBG
2 Octubre 18, 2004
WORM_SDBOT.WC [Trend Micro]
W32.Darby.B
W32.HLLW.Darby, Worm.P2P.Darby.o
2 Octubre 18, 2004
[Kaspersky], WORM_DARBY.O [Trend
Micro], W32/Darby.gen [McAfee]
1 W32.Narcs Octubre 16, 2004
2 W32.Mydoom.AF@mm Octubre 15, 2004

24
Win32.Mydoom.AD [Computer
Associates], W32/Mydoom.ae@MM
[McAfee], I-Worm.Mydoom.aa
[Kaspersky]
W32.Bacros
1 W32/Bacros [McAfee], Win32.Bacros.a Octubre 14, 2004
[Kaspersky], Bacros.A [F-Secure]
Backdoor.Hacarmy.E
1 Octubre 14, 2004
BackDoor-AZV.gen [McAfee]
W32.Nits.A
1 Octubre 14, 2004
Worm.Win32.Randin.c [Kaspersky]
W32.Netsky.AD@mm
2 Backdoor.Win32.Bifrose.d Octubre 13, 2004
[Kaspersky], BackDoor-CKA [McAfee]
W32.Philis.C
1 Octubre 12, 2004
W32.Syphilo, W32.Sophily
W32.Bitter
1 Backdoor.Win32.Bifrose.d Octubre 13, 2004
[Kaspersky], BackDoor-CKA [McAfee]
Backdoor.Lowtaper
1 TrojanProxy.Win32.Ranky.gen Octubre 12, 2004
[Kaspersky
1 Backdoor.Yiha Octubre 12, 2004
Backdoor.Bifrose
1 Backdoor.Win32.Bifrose.d Octubre 12, 2004
[Kaspersky], BackDoor-CKA [McAfee]
1 Trojan.Webus.C Octubre 12, 2004
1 Bloodhound.Exploit.15 Octubre 12, 2004
W32.Funner
WORM_FUNNER.A [Trend Micro],
W32/Funner.worm [McAfee],
2 Octubre 11, 2004
Win32.Funner.A [Computer
Associates], MSN-Worm.Funner
[Kaspersky]
1 W32.Korgo.AE Octubre 11, 2004
1 Backdoor.Berbew.K Octubre 8, 2004
1 Trojan.Tannick Octubre 7, 2004
1 W97M.Kamal Octubre 7, 2004
1 Trojan.Comxt Octubre 7, 2004
Trojan.AdRmove
1 Trojan.Killfiles, Del-457 [McAfee], Octubre 7, 2004
Trojan.Win32.KillFiles.fz [Kaspersky]
2 W32.Fili.A@mm Octubre 5, 2004
Bloodhound.Packed,
Bloodhound.W32.5, I-Worm.VB.q
[Kaspersky], WORM_FILI.A [Trend
Micro]
2 W32.Bagz.B@mm Octubre 5, 2004
W32/Bagz.a@MM [McAfee],
WORM_BAGZ.A [Trend], I-

25
Worm.Bagz.a [Kaspersky], W32/Bagz-
A [Sophos]
1 Trojan.Webus.B Octubre 5, 2004
1 W97M.Prece.A Octubre 5, 2004
W32.Bagz@mm
I-Worm.Bagz.b [Kaspersky],
2 W32/Bagz.b@MM [McAfee], Octubre 4, 2004
W32/Bagz-B [Sophos],
WORM_BAGZ.B [Trend Micro]
1 PWSteal.Ldpinch.C Octubre 4, 2004
1 Downloader.Lunii Octubre 4, 2004
1 Backdoor.Sdbot.AC Octubre 1, 2004
1 Backdoor.Rtkit.B Octubre 1, 2004
2 W32.Spybot.EAS Septiembre 30, 2004
Trojan.Ducky.B
Bloodhound.Exploit.13,
1 Septiembre 29, 2004
Exploit.Win32.MS04-028.gen
[Kaspersky]
1 PWSteal.Focosenha Septiembre 29, 2004
1 PWSteal.Tarno.J Septiembre 29, 2004
Trojan.Ducky
Bloodhound.Exploit.13,
1 Septiembre 29, 2004
Exploit.Win32.MS04-028.gen
[Kaspersky]
2 W32.Mydoom.AC@mm Septiembre 28, 2004
2 W32.Beagle.AR@mm Septiembre 28, 2004
W32/Bagle.az@MM [McAfee],
WORM_BAGLE.AM [Trend]
1 PWSteal.Bancos.M Septiembre 28, 2004
1 Trojan.Moo Septiembre 28, 2004
Backdoor.Roxe
Bloodhound.Exploit.13,
1 Septiembre 27, 2004
Exploit.Win32.MS04-028.gen
[Kaspersky]
1 W32.Randex.BLD Septiembre 27, 2004
Hacktool.JPEGShell
1 Septiembre 25, 2004
JpegOfDeath
1 W97M.Shore.K Septiembre 25, 2004
1 W32.Korgo.AB Septiembre 24, 2004
1 Hacktool.JPEGDownload Septiembre 24, 2004
1 Bloodhound.Exploit.14 Septiembre 24, 2004
1 PWSteal.Revcuss.C Septiembre 23, 2004
1 PWSteal.Revcuss.A Septiembre 23, 2004
1 Trojan.Upchan Septiembre 23, 2004
1 VBS.Themis Septiembre 22, 2004
1 Backdoor.Sokeven Septiembre 22, 2004
1 W32.Donk.S Septiembre 21, 2004
1 W32.Snone.A Septiembre 21, 2004

26
W32/Rayl.A.worm (Panda)
1 W32.Randin Septiembre 20, 2004
1 W32.Sndog@mm Septiembre 20, 2004
1 PWSteal.Revcuss.B Septiembre 17, 2004
1 Trojan.Anits Septiembre 16, 2004
1 Backdoor.Nemog.D Septiembre 16, 2004
W32.Mydoom.AB@mm
2 Septiembre 15, 2004
W32/Mydoom.ab@MM [McAffee]
2 W32.Mydoom.Y@mm Septiembre 15, 2004
2 W32.Mexer.E@mm Septiembre 15, 2004
1 Backdoor.Sdbot.AB Septiembre 15, 2004
2 W32.Mydoom.W@mm Septiembre 14, 2004
2 Bloodhound.Exploit.13 Septiembre 14, 2004
1 VBS.Vabi@mm Septiembre 14, 2004
1 Hacktool.IPCscan Septiembre 14, 2004
2 W32.Spybot.DNB Septiembre 13, 2004
2 W32.Spybot.DNC Septiembre 13, 2004
1 W32.Spybot.CYM Septiembre 13, 2004
1 Backdoor.Sdbot.AA Septiembre 13, 2004
1 Trojan.Webus Septiembre 13, 2004
2 W32.Mydoom.V@mm Septiembre 10, 2004
1 Backdoor.Nemog.C Septiembre 10, 2004
1 W32.Sykel Septiembre 10, 2004
W32.HLLW.Zusha
1 Worm.Win32.Zusha.a [Kaspersky], Septiembre 10, 2004
Zusha [F-Secure]
1 Trojan.Kreol Septiembre 10, 2004
1 Backdoor.IRC.Lazz Septiembre 10, 2004
2 W32.Mydoom.T@mm Septiembre 9, 2004
2 W32.Mydoom.U@mm Septiembre 9, 2004
2 W32.Mydoom.S@mm Septiembre 9, 2004
1 W32.Gaobot.BIQ Septiembre 9, 2004
1 Trojan.Dasda Septiembre 9, 2004
1 Backdoor.Nemog.B Septiembre 9, 2004
1 PWSteal.Bancos.L Septiembre 8, 2004
1 W32.IRCBot.H Septiembre 8, 2004
1 Trojan.Riler Septiembre 8, 2004
1 W32.Gaobot.BIE Septiembre 7, 2004
1 W32.Spybot.DHV Septiembre 7, 2004
1 W32.IRCBot.G Septiembre 7, 2004
2 W32.Blackmal.C@mm Septiembre 6, 2004
1 W97M.Sun.B Septiembre 6, 2004
2 W32.Gaobot.BIA Septiembre 3, 2004
W32.Mydoom.R@mm
W32/Mydoom.t@MM [McAfee],
2 Septiembre 3, 2004
WORM_MYDOOM.T [Trend],
MyDoom.T [F-Secure]

27
2 W32.Bugbear.M@mm Septiembre 3, 2004
1 PWSteal.Eyoni Septiembre 3, 2004
W32.Remadmin
1 Septiembre 2, 2004
WORM_REMADM.A [Trend]
Backdoor.Akak
1 Septiembre 2, 2004
Backdoor.Win32.BoomRaster.a (KAV)
1 Backdoor.Balkart Septiembre 2, 2004
1 W32.IRCBot.F Septiembre 2, 2004

LOS ANTIVIRUS
¿Que es un antivirus?
Un antivirus es un programa de computadora cuyo propósito es combatir y erradicar los virus
informáticos. Para que el antivirus sea productivo y efectivo hay que configurarlo cuidadosamente
de tal forma que aprovechemos todas las cualidades que ellos poseen. Hay que saber cuales son
sus fortalezas y debilidades y tenerlas en cuenta a la hora de enfrentar a los virus.
Debemos tener claro que según en la vida humana hay virus que no tienen cura, esto también
sucede en el mundo digital y hay que andar con mucha precaución. Un antivirus es una solución
para minimizar los riesgos y nunca será una solución definitiva, lo principal es mantenerlo
actualizado. Para mantener el sistema estable y seguro el antivirus debe estar siempre actualizado,
tomando siempre medidas preventivas y correctivas y estar constantemente leyendo sobre los
virus y nuevas tecnologías. Escanear
El antivirus normalmente escanea cada archivo en la computadora y lo compara con las tablas de
virus que guarda en disco. Esto significa que la mayoría de los virus son eliminados del sistema
después que atacan a éste. Por esto el antivirus siempre debe estar actualizado, es recomendable
que se actualice una vez por semana para que sea capaz de combatir los virus que son creados
cada día. También, los antivirus utilizan la técnica heurística que permite detectar virus que aun no
están en la base de datos del antivirus. Es sumamente útil para las infecciones que todavía no han
sido actualizadas en las tablas porque trata de localizar los virus de acuerdo a ciertos
comportamientos ya preestablecidos.
El aspecto más importante de un antivirus es detectar virus en la computadora y tratar de alguna
manera de sacarlo y eliminarlo de nuestro sistema. Los antivirus, no del todo facilitan las cosas,
porque ellos al estar todo el tiempo activos y tratando de encontrar un virus, al instante esto hace
que consuman memoria de la computadora y tal vez la vuelvan un poco lentas o de menos
desempeño.
Un buen antivirus es uno que se ajuste a nuestras necesidades. No debemos dejarnos seducir por
tanta propaganda de los antivirus que dicen que detectan y eliminan 56,432 virus o algo por el
estilo porque la mayoría de esos virus o son familias derivadas o nunca van a llegar al país donde
nosotros estamos. Muchos virus son solamente de alguna región o de algún país en particular.
A la hora de comprar un buen antivirus debemos saber con que frecuencia esa empresa saca
actualizaciones de las tablas de virus ya que estos son creados diariamente para infectar los
sistemas. El antivirus debe constar de un programa detector de virus que siempre este activo en la
memoria y un programa que verifique la integridad de los sectores críticos del disco duro y sus
archivos ejecutables. Hay antivirus que cubren esos dos procesos, pero si no se puede obtener
uno con esas características hay que buscar dos programas por separado que hagan esa función
teniendo muy en cuenta que no se produzca ningún tipo de conflictos entre ellos.
Un antivirus además de protegernos el sistema contra virus, debe permitirle al usuario hacer alguna
copia del archivo infectado por si acaso se corrompe en el proceso de limpieza, también la copia es
beneficiosa para intentar una segunda limpieza con otro antivirus si la primera falla en lograr su
objetivo.
En la actualidad no es difícil suponer que cada vez hay más gente que está consciente de la
necesidad de hacer uso de algún antivirus como medida de protección básica. No obstante, en
principio lo deseable sería poder tener un panorama de los distintos productos que existen y poder
tener una guía inicial para proceder a evaluarlos.

28
Algunos antivirus:
 Antivirus Expert (AVX)
http://www.avx-es.com/download.php
 AVG Anti-Virus System
http://www.grisoft.com/html/us_downl.cfm
 Command Antivirus:
http://www.commandcom.com/try/download.cfm http://web.itasa.com.mx/
 Dr. Web Antivirus:
http://www.dials.ru/english/home.htm
 ESAFE:
http://www.ealaddin.com/esafe/
 F-PROT Antivirus:
http://www.frisk.is/f-prot/download/
 F-SECURE Anti-Virus:
http://www.f-secure.com/download-purchase/
 Indefense:
http://www.indefense.com/downloads/index.html
 Inoculateit (Etrustantivirus):
www.ca.com/solutions/enterprise/etrust/downloads/internet_def.htm
 Kaspersky antivirus (AVP)
http://www.avp.ru/download.asp
http://www.avp.ch/
http://www.kaspersky-es.com
 McAfee virusscan antivirus:
http://www.nai.com/naicommon/buy-try/try/products-evals.asp
 Nod32 Antivirus System
http://www.nod32.com
 Norman Virus Control:
http://www.norman.com/downloads.shtml
 Norton Antivirus:
http://www.symantec.com/downloads/
 Panda Antivirus:
http://www.pandasoftware.es/
 PC-Cillin:
http://www.antivirus.com/pc-cillin/download/
 Per Antivirus:
http://www.persystems.net/antivir/bajar.htm
 Protector Plus Antivirus:
http://www.pspl.com/download/download.htm
 Rumanian Antivirus:
http://www.ravantivirus.com/
 Sophos Anti-Virus:
http://www.sophos.com/downloads/products/
 Superlite Antidote:
www.vintage-solutions.com/English/Antidote/Support/Update/VirusDiag.html
 The Hacker Antivirus:
http://www.hacksoft.com.pe/thhome.htm#versiones_de_evaluacion
 Virusbuster:

29
http://www.leprechaun.com.au/
Los riesgos que infunden los virus hoy en día obligaron a que empresas enteras se dediquen a
buscar la forma de crear programas con fines comerciales que logren combatir con cierta eficacia
los virus que ataquen los sistemas informáticos. Este software es conocido con el nombre de
programas antivirus y posee algunas características interesantes para poder cumplir su trabajo.
Como ya dijimos una de las características fundamentales de un virus es propagarse infectando
determinados objetos según fue programado. En el caso de los que parasitan archivos, el virus
debe poseer algún método para no infectar los archivos con su propio código para evitar
autodestruirse, en otras palabras, así es que dejan una marca o firma que los identifica de los
demás programas o virus.
Para la mayoría de los virus esta marca representa una cadena de caracteres que “inyectan” en el
archivo infectado. Los virus más complejos como los polimorfos poseen una firma algorítmica que
modificará el cuerpo del mismo con cada infección. Cada vez que estos virus infecten un archivo,
mutará su forma y dificultará bastante más las cosas para el Software de detección de virus.
El software antivirus es un programa más de computadora y como tal debe ser adecuado para
nuestro sistema y debe estar correctamente configurado según los dispositivos de hardware que
tengamos. Si trabajamos en un lugar que posee conexión a redes es necesario tener un programa
antivirus que tenga la capacidad de detectar virus de redes. Los antivirus reducen sensiblemente
los riesgos de infección pero cabe reconocer que no serán eficaces el cien por ciento de las veces
y su utilización debería estar acompañada con otras formas de prevención.
La función primordial de un programa de estos es detectar la presencia de un posible virus para
luego poder tomar las medidas necesarias. El hecho de poder erradicarlo podría considerarse
como una tarea secundaria ya que con el primer paso habremos logrado frenar el avance del virus,
cometido suficiente para evitar mayores daños.
Antes de meternos un poco más adentro de lo que es el software antivirus es importante que
sepamos la diferencia entre detectar un virus e identificar un virus. El detectar un virus es
reconocer la presencia de un accionar viral en el sistema de acuerdo a las características de los
tipos de virus. Identificar un virus es poder reconocer qué virus es de entre un montón de otros
virus cargados en nuestra base de datos. Al identificarlo sabremos exactamente qué es lo que
hace, haciendo inminente su eliminación.
De estos dos métodos es importante que un antivirus sea más fuerte en el tema de la detección, ya
que con este método podremos encontrar virus todavía no conocidos (de reciente aparición) y que
seguramente no estarán registrados en nuestra base de datos debido a que su tiempo de
dispersión no es suficiente como para que hayan sido analizados por un grupo de expertos de la
empresa del antivirus.
Hoy en día la producción de virus se ve masificada en Internet colabora enormemente en la
dispersión de virus de muchos tipos, incluyendo los “virus caseros”. Muchos de estos virus son
creados por usuarios inexpertos con pocos conocimientos de programación y, en muchos casos,
por simples usuarios que bajan de Internet programas que crean virus genéricos. Ante tantos
“desarrolladores” al servicio de la producción de virus la técnica de scanning se ve altamente
superada. Las empresas antivirus están constantemente trabajando en la búsqueda y
documentación de cada nuevo virus que aparece. Muchas de estas empresas actualizan sus bases
de datos todos los meses, otras lo hacen quincenalmente, y algunas pocas llegan a hacerlo todas
las semanas (cosa más que importante para empresas que necesitan una alta protección en este
campo o para usuarios fanáticos de obtener lo último en seguridad y protección).
La debilidad de la técnica de scanning es inherente al modelo. Esto es debido a que un virus
debería alcanzar una dispersión adecuada para que algún usuario lo capture y lo envíe a un grupo
de especialistas en virus que luego se encargarán de determinar que parte del código será
representativa para ese virus y finalmente lo incluirán en la base de datos del antivirus. Todo este
proceso puede llevar varias semanas, tiempo suficiente para que un virus eficaz haga de las suyas.
En la actualidad, Internet proporciona el canal de bajada de las definiciones antivirus que nos
permitirán identificar decenas de miles de virus que andan acechando. Estas decenas de miles de
virus, como dijimos, también influirán en el tamaño de la base de datos. Como ejemplo concreto

30
podemos mencionar que la base de datos de Norton Antivirus de Symantec Corp. pesa alrededor
de 2Mb y es actualizada cada quince o veinte días.
La técnica de scanning no resulta ser la solución definitiva, ni tampoco la más eficiente, pero
continúa siendo la más utilizada debido a que permite identificar con cierta rapidez los virus más
conocidos, que en definitiva son los que lograron adquirir mayor dispersión.

TÉCNICAS DE DETECCIÓN
Teniendo en cuenta los puntos débiles de la técnica de scanning surgió la necesidad de incorporar
otros métodos que complementaran al primero. Como ya se mencionó la detección consiste en
reconocer el accionar de un virus por los conocimientos sobre el comportamiento que se tiene
sobre ellos, sin importar demasiado su identificación exacta. Este otro método buscará código que
intente modificar la información de áreas sensibles del sistema sobre las cuales el usuario
convencional no tiene control –y a veces ni siquiera tiene conocimiento-, como el master boot
record, el boot sector, la FAT, entre las más conocidas.
Otra forma de detección que podemos mencionar adopta, más bien, una posición de vigilancia
constante y pasiva. Esta, monitorea cada una de las actividades que se realizan intentando
determinar cuándo una de éstas intenta modificar sectores críticos de las unidades de
almacenamiento, entre otros. A esta técnica se la conoce como chequear la integridad.

ANÁLISIS HEURÍSTICO
La técnica de detección más común es la de análisis heurístico. Consiste en buscar en el código de
cada uno de los archivos cualquier instrucción que sea potencialmente dañina, acción típica de los
virus informáticos. Es una solución interesante tanto para virus conocidos como para los que no los
son. El inconveniente es que muchas veces se nos presentarán falsas alarmas, cosas que el
scanner heurístico considera peligrosas y que en realidad no lo son tanto. Por ejemplo: tal vez el
programa revise el código del comando DEL (usado para borrar archivos) de MS-DOS y determine
que puede ser un virus, cosa que en la realidad resulta bastante improbable. Este tipo de cosas
hace que el usuario deba tener algunos conocimientos precisos sobre su sistema, con el fin de
poder distinguir entre una falsa alarma y una detección real.

ELIMINACIÓN
La eliminación de un virus implica extraer el código del archivo infectado y reparar de la mejor
manera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles de
virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus
conocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de su
comportamiento. Resulta lógico entonces que muchos antivirus tengan problemas en la detección y
erradicación de virus de comportamiento complejo, como el caso de los polimorfos, que utilizan
métodos de encriptación para mantenerse indetectables. En muchos casos el procedimiento de
eliminación puede resultar peligroso para la integridad de los archivos infectados, ya que si el virus
no está debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo
de virus.
Hoy día los antivirus más populares están muy avanzados pero cabe la posibilidad de que este tipo
de errores se de en programas más viejos. Para muchos el procedimiento correcto sería eliminar
completamente el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la infección
se realizó en algún sector crítico de la unidad de disco rígido la solución es simple, aunque no
menos riesgosa. Hay muchas personas que recomiendan reparticionar la unidad y reformatearla
para asegurarse de la desaparición total del virus, cosa que resultaría poco operativa y fatal para la
información del sistema. Como alternativa a esto existe para el sistema operativo MS-DOS /
Windows una opción no documentada del comando FDISK que resuelve todo en cuestión de
segundos. El parámetro /MBR se encarga de restaurar el registro maestro de booteo (lugar donde
suelen situarse los virus) impidiendo así que este vuelva a cargarse en el inicio del sistema. Vale
aclarar que cualquier dato que haya en ese sector será sobrescrito y puede afectar mucho a
sistemas que tengan la opción de bootear con diferentes sistemas operativos. Muchos de estos

31
programas que permiten hacer la elección del sistema operativo se sitúan en esta área y por
consiguiente su código será eliminado cuando se usa el parámetro mencionado.
Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con soporte
técnico local, que sus definiciones sean actualizadas periódicamente y que el servicio técnico sea
apto para poder responder a cualquier contingencia que nos surja en el camino.

COMPROBACIÓN DE INTEGRIDAD
Como ya habíamos anticipado los comprobadores de integridad verifican que algunos sectores
sensibles del sistema no sean alterados sin el consentimiento del usuario. Estas comprobaciones
pueden aplicarse tanto a archivos como al sector de arranque de las unidades de almacenamiento.
Para poder realizar las comprobaciones el antivirus, primero, debe tener una imagen del contenido
de la unidad de almacenamiento desinfectada con la cual poder hacer después las comparaciones.
Se crea entonces un registro con las características de los archivos, como puede ser su nombre,
tamaño, fecha de creación o modificación y, lo más importante para el caso, el checksum, que es
aplicar un algoritmo al código del archivo para obtener un valor que será único según su contenido
(algo muy similar a lo que hace la función hash en los mensajes). Si un virus inyectara parte de su
código en el archivo la nueva comprobación del checksum sería distinta a la que se guardó en el
registro y el antivirus alertaría de la modificación. En el caso del sector de booteo el registro puede
ser algo diferente. Como existe un MBR por unidad física y un BR por cada unidad lógica, algunos
antivirus pueden guardarse directamente una copia de cada uno de ellos en un archivo y luego
compararlos contra los que se encuentran en las posiciones originales.
Una vez que el antivirus conforma un registro de cada uno de los archivos en la unidad podrá
realizar las comprobaciones de integridad. Cuando el comprobador es puesto en funcionamiento
cada uno de los archivos serán escaneados. Nuevamente se aplica la función checksum y se
obtiene un valor que es comparado contra el que se guardó en el registro. Si ambos valores son
iguales, el archivo no sufrió modificaciones durante el período comprendido entre el registro de
cheksum antiguo y la comprobación reciente. Por el otro lado, si los valores checksum no
concuerdan significa que el archivo fue alterado y en ciertos casos el antivirus pregunta al usuario
si quiere restaurar las modificaciones. Lo más indicado en estos casos sería que un usuario con
conocimientos sobre su sistema avale que se trata realmente de una modificación no autorizada –y
por lo tanto atribuible a un virus-, elimine el archivo y lo restaure desde la copia de respaldo.
La comprobación de integridad en los sectores de booteo no es muy diferente. El comprobador
verificará que la copia que está en uso sea igual a la que fue guardada con anterioridad. Si se
detectara una modificación en cualquiera de estos sectores, le preguntará al usuario por la
posibilidad de reconstruirlos utilizando las copias guardadas. Teniendo en cuenta que este sector
en especial es un punto muy vulnerable a la entrada de los virus multipartitos, los antivirus verifican
constantemente que no se hagan modificaciones. Cuando se detecta una operación de escritura en
uno de los sectores de arranque, el programa toma cartas en el asunto mostrando en pantalla un
mensaje para el usuario indicándole sobre qué es lo que está por suceder. Por lo general el
programa antivirus ofrece algunas opciones sobre como proceder, evitar la modificación, dejarla
continuar, congelar el sistema o no tomar ninguna medida (cancelar).
Para que esta técnica sea efectiva cada uno de los archivos deberá poseer su entrada
correspondiente en el registro de comprobaciones. Si nuevos programas se están instalando o
estamos bajando algunos archivos desde Internet, o algún otro archivo ingresado por cualquier otro
dispositivo de entrada, después sería razonable que registremos el checksum con el comprobador
del antivirus. Incluso, algunos de estos programas atienden con mucha atención a lo que el
comprobador de integridad determine y no dejarán que ningún archivo que no esté registrado corra
en el sistema.

PROTEGER ÁREAS SENSIBLES


Muchos virus tienen la capacidad de “parasitar” archivos ejecutables. Con esto se afirma que el
virus localizará los puntos de entrada de cualquier archivo que sea ejecutable (los archivos de
datos no se ejecutan por lo tanto son inutilizables para los virus) y los desviará a su propio código
de ejecución. Así, el flujo de ejecución correrá primero el código del virus y luego el del programa y,

32
como todos los virus poseen un tamaño muy reducido para no llamar la atención, el usuario
seguramente no notará la diferencia. Este vistazo general de cómo logra ejecutarse un virus le
permitirá situarse en memoria y empezar a ejecutar sus instrucciones dañinas. A esta forma de
comportamiento de los virus se lo conoce como técnica subrepticia, en la cual prima el arte de
permanecer indetectado.
Una vez que el virus se encuentra en memoria puede replicarse a sí mismo en cualquier otro
archivo ejecutable. El archivo ejecutable por excelencia que atacan los virus es el
COMMAND.COM, uno de los archivos fundamentales para el arranque en el sistema operativo MS-
DOS. Este archivo es el intérprete de comandos del sistema, por lo tanto, se cargará cada vez que
se necesite la shell. La primera vez será en el inicio del sistema y, durante el funcionamiento, se
llamará al COMMAND.COM cada vez que se salga de un programa y vuelva a necesitarse la
intervención de la shell. Con un usuario desatento, el virus logrará replicarse varias veces antes de
que empiecen a notarse síntomas extraños en la computadora.
El otro “ente” ejecutable capaz de ser infectado es el sector de arranque de los discos magnéticos.
Aunque este sector no es un archivo en sí, contiene rutinas que el sistema operativo ejecuta cada
vez que arranca el sistema desde esa unidad, resultando este un excelente medio para que el virus
se propague de una computadora a la otra. Como dijimos antes una de las claves de un virus es
lograr permanecer oculto dejando que la entidad ejecutable que fue solicitada por el usuario corra
libremente después de que él mismo se halla ejecutado. Cuando un virus intenta replicarse a un
disquete, primero deberá copiar el sector de arranque a otra porción del disco y recién entonces
copiar su código en el lugar donde debería estar el sector de arranque.
Durante el arranque de la computadora con el disquete insertado en la disquetera, el sistema
operativo MS-DOS intentará ejecutar el código contenido en el sector de booteo del disquete. El
problema es que en esa posición se encontrará el código del virus, que se ejecuta primero y luego
apuntará el hacia la ejecución a la nueva posición en donde se encuentran los archivos para el
arranque. El virus no levanta sospechas de su existencia más allá de que existan o no archivos de
arranque en el sector de booteo.
Nuestro virus se encuentra ahora en memoria y no tendrá problemas en replicarse a la unidad de
disco rígido cuando se intente bootear desde esta. Hasta que su módulo de ataque se ejecute
según fue programado, el virus intentará permanecer indetectado y continuará replicándose en
archivos y sectores de booteo de otros disquetes que se vayan utilizando, aumentando
potencialmente la dispersión del virus cuando los disquetes sean llevados a otras máquinas.

LOS TSR
Estos programas residentes en memoria son módulos del antivirus que se encargan de impedir la
entrada del cualquier virus y verifican constantemente operaciones que intenten realizar
modificaciones por métodos poco frecuentes. Estos, se activan al arrancar el ordenador y por lo
general es importante que se carguen al comienzo y antes que cualquier otro programa para darle
poco tiempo de ejecución a los virus y detectarlos antes que alteren algún dato. Según como esté
configurado el antivirus, el demonio (como se los conoce en el ambiente Unix) o TSR (en la jerga
MS-DOS / Windows), estará pendiente de cada operación de copiado, pegado o cuando se abran
archivos, verificará cada archivo nuevo que es creado y todas las descargas de Internet, también
hará lo mismo con las operaciones que intenten realizar un formateo de bajo nivel en la unidad de
disco rígido y, por supuesto, protegerá los sectores de arranque de modificaciones.
Las nuevas computadoras que aparecieron con formato ATX poseen un tipo de memoria llamada
Flash-ROM con una tecnología capaz de permitir la actualización del BIOS de la computadora por
medio de software sin la necesidad de conocimientos técnicos por parte del usuario y sin tener que
tocar en ningún momento cualquiera de los dispositivos de hardware. Esta nueva tecnología añade
otro punto a favor de los virus ya que ahora estos podrán copiarse a esta zona de memoria
dejando completamente indefensos a muchos antivirus antiguos. Un virus programado con técnicas
avanzadas y que haga uso de esta nueva ventaja es muy probable que sea inmune al
reparticionado o reformateo de las unidades de discos magnéticos.

APLICAR CUARENTENA

33
Es muy posible que un programa antivirus muchas veces quede descolocado frente al ataque de
virus nuevos. Para esto incluye esta opción que no consiste en ningún método de avanzada sino
simplemente en aislar el archivo infectado. Antes que esto el antivirus reconoce el accionar de un
posible virus y presenta un cuadro de diálogo informándonos. Además de las opciones clásicas de
eliminar el virus, aparece ahora la opción de ponerlo en cuarentena. Este procedimiento encripta el
archivo y lo almacena en un directorio hijo del directorio donde se encuentra el antivirus.

De esta manera se está impidiendo que ese archivo pueda volver a ser utilizado y que continúe la
dispersión del virus. Como acciones adicionales el antivirus nos permitirá restaurar este archivo a
su posición original como si nada hubiese pasado o nos permitirá enviarlo a un centro de
investigación donde especialistas en el tema podrán analizarlo y determinar si se trata de un virus
nuevo, en cuyo caso su código distintivo será incluido en las definiciones de virus. En la figura
vemos el programa de cuarentena de Norton AntiVirus 2004 incluido en NortonSystemWorks
Professional 2004 y que nos permite enviar los archivos infectados a Symantec Security Response
para su posterior análisis.

DEFINICIONES ANTIVIRUS
Los archivos de definiciones antivirus son fundamentales para que el método de identificación sea
efectivo. Los virus que alcanzaron una considerable dispersión pueden llegar a ser analizados por
los ingenieros especialistas en virus de algunas de las compañías antivirus, que mantendrán
actualizadas las definiciones permitiendo así que las medidas de protección avancen casi al mismo
paso en que lo hacen los virus.
Un antivirus que no esté actualizado puede resultar poco útil en sistemas que corren el riesgo de
recibir ataques de virus nuevos (como organismos gubernamentales o empresas de tecnología de
punta), y están reduciendo en un porcentaje bastante alto la posibilidad de protección. La
actualización también puede venir por dos lados: actualizar el programa completo o actualizar las
definiciones antivirus. Si contamos con un antivirus que posea técnicas de detección avanzadas,

34
posibilidad de análisis heurístico, protección residente en memoria de cualquiera de las partes
sensibles de una unidad de almacenamiento, verificador de integridad, etc., estaremos bien
protegidos para empezar. Una actualización del programa sería realmente justificable en caso de
que incorpore algún nuevo método que realmente influye en la erradicación contra los virus. Sería
importante también analizar el impacto económico que conllevará para nuestra empresa, ya que
sería totalmente inútil tener el mejor antivirus y preocuparse por actualizar sus definiciones diarias
por medio de Internet si nuestra red ni siquiera tiene acceso a la Web, tampoco acceso remoto de
usuarios y el único intercambio de información es entre empleados que trabajan con un paquete de
aplicaciones de oficina sin ningún contenido de macros o programación que de lugar a posibles
infecciones.

ESTRATEGIA DE SEGURIDAD CONTRA LOS VIRUS


En la problemática que nos ocupa, poseer un antivirus y saber cómo utilizarlo es la primera medida
que debería tomarse. Pero no será totalmente efectiva si no va acompañada por conductas que el
usuario debe respetar. La educación y la información son el mejor método para protegerse.
El usuario debe saber que un virus informático es un programa de computadora que posee ciertas
características que lo diferencian de un programa común, y se infiltra en las computadoras de
forma furtiva y sin ninguna autorización. Como cualquier otro programa necesitará un medio físico
para transmitirse, de ninguna manera puede volar por el aire como un virus biológico, por lo tanto lo
que nosotros hagamos para el transporte de nuestra información debemos saber que resulta un
excelente medio aprovechable por los virus. Cualquier puerta que nosotros utilicemos para
comunicarnos es una posible vía de ingreso de virus, ya sea una disquetera, una lectora de CD-
ROM, un módem con conexión a Internet, la placa que nos conecta a la red de la empresa, los
nuevos puertos ultrarrápidos (USB y FireWire) que nos permiten conectar dispositivos de
almacenamiento externos como unidades Zip, Jazz, HDDs, etc.
Viendo que un virus puede atacar nuestro sistema desde cualquier ángulo, no podríamos dejar de
utilizar estos dispositivos solo porque sean una vía de entrada viral (ya que deberíamos dejar de
utilizarlos a todos), cualquiera de las soluciones que planteemos no será cien por ciento efectiva
pero contribuirá enormemente en la protección y estando bien informados evitaremos crear pánico
en una situación de infección.
Una forma bastante buena de comprobar la infección en un archivo ejecutable es mediante la
verificación de integridad. Con esta técnica estaremos seguros que cualquier intento de
modificación del código de un archivo será evitado o, en última instancia, sabremos que fue
modificado y podremos tomar alguna medida al respecto (como eliminar el archivo y restaurarlo
desde la copia de respaldo). Es importante la frecuencia con la que se revise la integridad de los
archivos. Para un sistema grande con acceso a redes externas sería conveniente una verificación
semanal o tal vez menor por parte de cada uno de los usuarios en sus computadoras. Un ruteador
no tiene manera de determinar si un virus está ingresando a la red de la empresa porque los
paquetes individuales no son suficiente cómo para detectar a un virus. En el caso de un archivo
que se baja de Internet, éste debería almacenarse en algún directorio de un servidor y verificarse
con la técnica de scanning, recién entonces habría que determinar si es un archivo apto para
enviar a una estación de trabajo.
La mayoría de los firewall que se venden en el mercado incorporan sistemas antivirus. También
incluyen sistemas de monitorización de integridad que le permiten visualizar los cambios de los
archivos y sistema todo en tiempo real. La información en tiempo real le puede ayudar a detener un
virus que está intentando infectar el sistema.
En cuanto a los virus multipartitos estaremos cubiertos si tomamos especial cuidado del uso de los
disquetes. Estos no deben dejarse jamás en la disquetera cuando no se los está usando y menos
aún durante el arranque de la máquina. Una medida acertada es modificar la secuencia de booteo
modificando el BIOS desde el programa Setup para que se intente arrancar primero desde la
unidad de disco rígido y en su defecto desde la disquetera. Los discos de arranque del sistema
deben crearse en máquinas en las que sabemos que están libres de virus y deben estar protegidos
por la muesca de sólo lectura.

35
El sistema antivirus debe ser adecuado para el sistema. Debe poder escanear unidades de red si
es que contamos con una, proveer análisis heurístico y debe tener la capacidad de chequear la
integridad de sus propios archivos como método de defensa contra los retro-virus. Es muy
importante cómo el antivirus guarda el archivo de definiciones de virus. Debe estar protegido contra
sobreescrituras, encriptado para que no se conozca su contenido y oculto en el directorio (o en su
defecto estar fragmentado y cambiar periódicamente su nombre). Esto es para que los virus no
reconozcan con certeza cuál es el archivo de definiciones y dejen imposibilitado al programa
antivirus de identificar con quien está tratando.
Regularmente deberemos iniciar la máquina con nuestro disquete limpio de arranque del sistema
operativo y escanear las unidades de disco rígido con unos disquetes que contengan el programa
antivirus. Si este programa es demasiado extenso podemos correrlo desde la lectora de CD-ROM,
siempre y cuando la hayamos configurado previamente. Este último método puede complicar a
más de una de las antiguas computadoras. Las nuevas máquinas de factor ATX incluso nos
permiten bootear desde una lectora de CD-ROM, que no tendrán problemas en reconocer ya que
la mayoría trae sus drivers en firmware. Si no se cuenta con alguna de estas nuevas tecnologías
simplemente podemos utilizar un disco de inicio de Windows 98 (sistema bastante popular hoy en
día) que nos da la posibilidad de habilitar la utilización de la lectora para luego poder utilizarla con
una letra de unidad convencional.
El módulo residente en memoria del antivirus es fundamental para la protección de virus que están
intentando entrar en nuestro sistema. Debe ser apto para nuestro tipo de sistema operativo y
también debe estar correctamente configurado. Los antivirus actuales poseen muchas opciones
configurables en las que deberá fijarse el residente. Cabe recordar que mientras más de estas
seleccionemos la performance del sistema se verá mayormente afectada. Adoptar una política de
seguridad no implica velocidad en los trabajos que realicemos.
El usuario hogareño debe acostumbrarse a realizar copias de respaldo de su sistema. Existen
aplicaciones que nos permitirán con mucha facilidad realizar copias de seguridad de nuestros datos
(también podemos optar por hacer sencillos archivos zipeados de nuestros datos y copiarlos en un
disquete). Otras, como las utilidades para Windows 9x de Norton permiten crear disquetes de
emergencia para arranque de MS-DOS y restauración de todos los archivos del sistema
(totalmente seleccionables). Si contamos con una unidad de discos Zip podemos extender las
posibilidades y lograr que todo el sistema Windows se restaure después de algún problema.
Estos discos Zip son igualmente útiles para las empresas, aunque quizás estas prefieran optar por
una regrabadora de CD-R’s, que ofrece mayor capacidad de almacenamiento, velocidad de
grabación, confiabilidad y los discos podrán ser leídos en cualquier lectora de CD-ROM actual.
Una persona responsable de la seguridad informática de la empresa debería documentar un plan
de contingencia en el que se explique en pasos perfectamente entendibles para el usuario cómo
debería actuar ante un problema de estos. Las normas que allí figuren pueden apuntar a mantener
la operatividad del sistema y, en caso de que el problema pase a mayores, debería privilegiarse la
recuperación de la información por un experto en el tema.
No se deberían instalar programas que no sean originales o que no cuenten con su
correspondiente licencia de uso.
En el sistema de red de la empresa podría resultar adecuado quitar las disqueteras de las
computadoras de los usuarios. Así se estaría removiendo una importante fuente de ingreso de
virus. Los archivos con los que trabajen los empleados podrían entrar, por ejemplo, vía correo
electrónico, indicándole a nuestro proveedor de correo electrónico que verifique todos los archivos
en busca de virus mientras aún se encuentran en su servidor y los elimine si fuera necesario.
Los programas freeware, shareware, trial, o de cualquier otro tipo de distribución que sean bajados
de Internet deberán ser escaneados antes de su ejecución. La descarga deberá ser sólo de sitios
en los que se confía. La autorización de instalación de programas deberá determinarse por el
administrador siempre y cuando este quiera mantener un sistema libre de “entes extraños” sobre
los que no tiene control. Es una medida adecuada para sistemas grandes en donde los
administradores ni siquiera conocen la cara de los usuarios.
Cualquier programa de fuente desconocida que el usuario quiera instalar debe ser correctamente
revisado. Si un grupo de usuarios trabaja con una utilidad que no está instalada en la oficina, el

36
administrador deberá determinar si instala esa aplicación en el servidor y les da acceso a ese
grupo de usuarios, siempre y cuando el programa no signifique un riesgo para la seguridad del
sistema. Nunca debería priorizarse lo que el usuario quiere frente a lo que el sistema necesita para
mantenerse seguro.
Ningún usuario no autorizado debería acercarse a las estaciones de trabajo. Esto puede significar
que el intruso porte un disquete infectado que deje en cualquiera de las disqueteras de un usuario
descuidado. Todas las computadoras deben tener el par ID de usuario y contraseña.
Nunca dejar disquetes en la disquetera durante el encendido de la computadora. Tampoco utilizar
disquetes de fuentes no confiables o los que no haya creado uno mismo. Cada disquete que se
vaya a utilizar debe pasar primero por un detector de virus.
Si el disquete no lo usaremos para grabar información, sino más que para leer, deberíamos
protegerlo contra escritura activando la muesca de protección. La protección de escritura estará
activada cuando al intentar ver el disco a tras luz veamos dos pequeños orificios cuadrados en la
parte inferior.

TÁCTICAS ANTIVÍRICAS
Preparación y prevención
Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de
seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema
informático en caso necesario. Puede copiarse en un disco flexible el software del sistema
operativo y proteger el disco contra escritura, para que ningún virus pueda sobrescribir el disco.
Las infecciones virales se pueden prevenir obteniendo los programas de fuentes legítimas,
empleando una computadora en cuarentena para probar los nuevos programas y protegiendo
contra escritura los discos flexibles siempre que sea posible.
Detección de virus
Para detectar la presencia de un virus se pueden emplear varios tipos de programas antivíricos.
Los programas de rastreo pueden reconocer las características del código informático de un virus y
buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser
analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente
para resultar eficaces. Algunos programas de rastreo buscan características habituales de los
programas virales; suelen ser menos fiables.
Los únicos programas que detectan todos los virus son los de comprobación de suma, que
emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y
después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los
programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después
de que se produzca.
Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobre escritura
de ficheros informáticos o el formateo del disco duro de la computadora. Los programas
caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución
de un programa. Dentro del caparazón de integridad se efectúa automáticamente una
comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.

Contención y recuperación
Una vez detectada una infección viral, ésta puede contenerse aislando inmediatamente los
ordenadores de la red, deteniendo el intercambio de ficheros y empleando sólo discos protegidos
contra escritura. Para que un sistema informático se recupere de una infección viral, primero hay
que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a
veces los resultados no son satisfactorios. Se obtienen resultados más fiables desconectando la
computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura,
borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros legítimos y
borrando los virus que pueda haber en el sector de arranque inicial.

MEDIDAS ANTIVIRUS

37
Nadie que usa computadoras es inmune a los virus de computación. Un programa antivirus por
muy bueno que sea se vuelve obsoleto muy rápidamente ante los nuevos virus que aparecen día a
día.
Algunas medidas antivirus son:
 Desactivar arranque desde disquete en el CETUR para que no se ejecuten virus de boot.
 Desactivar compartir archivos e impresoras.
 Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.
 Actualizar el antivirus.
 Activar la protección contra macro virus del Word y el Excel.
 Ser cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio es seguro)
 No envíe su información personal ni financiera a menos que sepa quien se la solicita y que
sea necesaria para la transacción.
 No comparta discos con otros usuarios.
 No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otros.
 Enseñe a sus niños las prácticas de seguridad, sobre todo la entrega de información.
 Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL
 Proteja contra escritura el archivo Normal.dot
 Distribuya archivos RTF en vez de documentos.
 Realice backups
¿CÓMO PUEDO ELABORAR UN PROTOCOLO DE SEGURIDAD ANTIVIRUS?
La forma más segura, eficiente y efectiva de evitar virus, consiste en elaborar un protocolo de
seguridad para sus computadoras. Un protocolo de seguridad consiste en una serie de pasos que
el usuario debe seguir con el fin de crear un hábito al operar normalmente con programas y
archivos en sus computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de
conducta y le permite operar con seguridad su computadora aún cuando momentáneamente esté
desactivado o desactualizado su antivirus.
Un protocolo de seguridad antivirus debe cumplir ciertos requisitos para que pueda ser cumplido
por el operador en primer término, y efectivo en segundo lugar. Demás está decir que el protocolo
puede ser muy efectivo pero sí es complicado, no será puesto en funcionamiento nunca por el
operador. Este es un protocolo sencillo, que ayuda a mantener nuestra computadora libre de virus.
No se incluyen medidas de protección en caso de un sistema de red, ya que se deberían cumplir
otros requisitos que no son contemplados aquí:
 Instalar el antivirus y asegurar cada 15 días su actualización.
 Chequear los CD’s ingresados en nuestra computadora sólo una vez, al comprarlos o
adquirirlos y diferenciarlos de los no analizados con un marcador para certificar el chequeo.
Esto sólo es válido en el caso de que nuestros CD’s no sean procesados en otras
computadora (préstamos a los amigos) y sean regrabables. En caso de que sean
regrabables y los prestemos, deberemos revisarlos cada vez que regresen a nosotros.
 Formatear todo disquete virgen que compremos, sin importar si son formateados de fábrica,
ya que pueden “colarse” virus aún desde el proceso del fabricante. El formateo debe ser del
tipo Formateo del DOS, no formateo rápido.
 Chequear todo disquete que provenga del exterior, es decir que no haya estado bajo nuestro
control, o que haya sido ingresado en la disquetera de otra computadora. Si ingresamos
nuestros disquetes en otras computadoras, asegurarnos de que estén protegidos contra
escritura.
 Si nos entregan un disquete y nos dicen que está revisado, no confiar nunca en los
procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos si esa
persona sabe operar correctamente su antivirus. Puede haber chequeado sólo un tipo de

38
virus y dejar otros sin controlar durante su escaneo, o puede tener un módulo residente que
es menos efectivo que nuestro antivirus, o puede tener un antivirus viejo.
 Para bajar páginas de Internet, archivos, ejecutables, etc., definir siempre en nuestra
computadora una carpeta o directorio para recibir el material. De este modo sabemos que
todo lo que bajemos de Internet siempre estará en una sola carpeta.
 Nunca ejecutar o abrir antes del escaneo ningún fichero o programa que esté en esa
carpeta.
 Nunca abrir un atachado a un e-mail sin antes chequearlo con nuestro antivirus. Si el
atachado es de un desconocido que no nos avisó previamente del envío del material,
directamente borrarlo sin abrir.
 Al actualizar el antivirus, chequear nuestra computadora completamente. En caso de
detectar un virus, proceder a chequear todos nuestros soportes (disquetes, CD’s, ZIP’s, etc.)
 Si por nuestras actividades generamos grandes bibliotecas de disquetes conteniendo
información, al guardar los disquetes en la biblioteca, chequearlos por última vez, protegerlos
contra escritura y fecharlos para saber cuándo fue el último escaneo.
 Haga el backup periódico de sus archivos. Una vez cada 15 días es lo mínimo recomendable
para un usuario doméstico. Si usa con fines profesionales su computadora, debe hacer
backup parcial de archivos cada 48 horas como mínimo.
 Llamamos backup parcial de archivos a la copia en disquete de los documentos que graba,
un documento de Word, por ejemplo. Al terminarlo, grábelo en su carpeta de archivos y
cópielo a un disquete. Esa es una manera natural de hacer backup constantes. Si no hace
eso, tendrá que hacer backups totales del disco rígido cada semana o cada 15 días, y eso sí
realmente es un fastidio.
Este es el punto más conflictivo y que se debe mencionar a consecuencia de la proliferación de
virus de e-mails. A pesar de las dificultades que puede significar aprender a usar nuevos
programas, lo aconsejable es evitar el uso de programas de correo electrónico que operen con
lenguajes de macros o programados con Visual Basic For Applications. Del mismo modo,
considere el uso de navegadores alternativos, aunque esta apreciación no es tan contundente
como con los programas de correo electrónico.
Si bien puede parecer algo complicado al principio, un protocolo de este tipo se hace natural
cuando el usuario se acostumbra. El primer problema grave de los virus es el desconocimiento de
su acción y alcances. Si el protocolo le parece complicado e impracticable, comprenda que al igual
que una herramienta, la computadora puede manejarse sin el manual de instrucciones y sin
protocolos, pero la mejor manera de aprovechar una herramienta es leer el manual (protocolo) y
aprovechar todas las características que ella le ofrece. Si usted no sigue un protocolo de seguridad
siempre estará a merced de los virus.

39
CONCLUSIONES
Un virus es un programa pensado para poder reproducirse y replicarse por sí mismo,
introduciéndose en otros programas ejecutables o en zonas reservadas del disco o la memoria.
Sus efectos pueden no ser nocivos, pero en muchos casos hacen un daño importante en el
ordenador donde actúan. Pueden permanecer inactivos sin causar daños tales como el formateo
de los discos, la destrucción de ficheros, etc. Como vimos a lo largo del trabajo los virus
informáticos no son un simple riesgo de seguridad. Existen miles de programadores en el mundo
que se dedican a esta actividad con motivaciones propias y diversas e infunden millones de dólares
al año en gastos de seguridad para las empresas. El verdadero peligro de los virus es su forma de
ataque indiscriminado contra cualquier sistema informático, cosa que resulta realmente crítica en
entornos dónde máquinas y humanos interactúan directamente.
Es muy difícil prever la propagación de los virus y que máquina intentarán infectar, de ahí la
importancia de saber cómo funcionan típicamente y tener en cuenta los métodos de protección
adecuados para evitarlos.
A medida que las tecnologías evolucionan van apareciendo nuevos estándares y acuerdos entre
compañías que pretenden compatibilizar los distintos productos en el mercado. Como ejemplo
podemos nombrar la incorporación de Visual Basic para Aplicaciones en el paquete Office y en
muchos otros nuevos programas de empresas como AutoCAD, Corel, Adobe. Con el tiempo esto
permitirá que con algunas modificaciones de código un virus pueda servir para cualquiera de los
demás programas, incrementando aún más los potenciales focos de infección.
La mejor forma de controlar una infección es mediante la educación previa de los usuarios del
sistema. Es importante saber qué hacer en el momento justo para frenar un avance que podría
extenderse a mayores. Como toda otra instancia de educación será necesario mantenerse
actualizado e informado de los últimos avances en el tema, leyendo noticias, suscribiéndose a
foros de discusión, leyendo páginas Web especializadas, etc.
BIBLIOGRAFÍA
Biblioteca de Consulta Microsoft Encarta 2004
http://www.ciudad.com.ar/ar/portales/tecnologia/nota/0,1357,5644,00.asp
http://www.monografias.com/trabajos11/ breverres/breverres.shtml - 69k -
http://www.monografias.com/trabajos12/virus/virus.shtml
http://www.monografias.com/trabajos7/virin/virin.shtml
http://www.monografias.com/trabajos12/virudos/virudos.shtml
http://www.monografias.com/trabajos13/virin/virin.shtml
http://www.monografias.com/trabajos10/viri/viri.shtml
http://www.monografias.com/trabajos5/virusinf/virusinf2.shtml
http://www.symantec.com
http://www.monografias.com/trabajos11/tecom/tecom.shtml#anti
http://www.monografias.com/trabajos13/imcom/imcom.shtml#an
http://www.vsantivirus.com/am-conozcaav.htm

Trabajo enviado por


Alfredo Mendoza
Para sugerencias o comentarios envíeme un e-mail a
henrymen0711@yahoo.com.mx
Los Servicios de Eliminacion de Virus y
Spyware te aseguran una Operación
Optima
¿Necesitas una eliminacion de virus efectiva?

¿Tiene tu computadora alguno de estos problemas...?

• Desempeño lento
• Errores y congelación del navegador de Internet
• Cantidad excesiva de anuncios en ventanas emergentes "pop-up"
• La pagina de inicio ha cambiado en el navegador
• El servicio de Internet o el e-mail están muy lentos
• Se atora el sistema

Entonces es posible que tu computadora esté infectada con virus o que esté llena de
spyware y adware y requieres con urgencia de nuestros servicios para eliminar los virus,
gusanos, spyware y adware con objeto de asegurar la confiabilidad y privacidad de tus
archivos y también evitar la infección de otras computadoras en la red.

¡Somos expertos en antivirus y en la limpieza de adware / spyware!

Para una atención inmediata, puedes llamarnos al teléfono indicado en el calce ó llenar la
forma de contacto solicitando nuestros servicios en tu casa ó servicios en tu empresa ó
puedes aprovechar las tarifas especiales por traer tu equipo a nuestro domicilio.

Virus informático2009-2010
Andreina Suarez - asc_andreina@hotmail.com

1. El nuevo escenario informático


2. ¿Qué es un virus?
3. Tipos de virus
4. Características de los virus
5. Daños de los virus
6. Síntomas típicos de una infección
7. Virus informáticos argentinos
8. ¿Qué no es un virus?
9. ¿Qué es un antivirus?
10. Detección y prevención
11. Algunos antivirus
12. Conclusiones
Uno de los cambios más sorprendentes del mundo de hoy es la rapidez de las
comunicaciones. Modernos sistemaspermiten que el flujo de conocimientos sea
independiente del lugar físico en que nos encontremos. Ya no nos sorprende la
transferencia de información en tiempo real o instantáneo. Se dice que el conocimiento es
poder; para adquirirlo, las empresas se han unido en grandes redes internacionales para
transferir datos, sonidos e imágenes, y realizan el comercio en forma electrónica, para ser
más eficientes. Pero al unirse en forma pública, se han vuelto vulnerables, pues cada
sistema de computadoras involucrado en la red es un blanco potencial y apetecible para
obtener información.
El escenario electrónico actual es que las organizaciones están uniendo sus redes internas
a la Internet, la que crece a razón de más de un 10% mensual. Al unir una reda la Internet
se tiene acceso a las redes de otras organizaciones también unidas. De la misma forma en
que accedemos la oficina del frente de nuestra empresa, se puede recibir información de
un servidor en Australia, conectarnos a una supercomputadora en Washington o revisar la
literatura disponible desde Alemania. Del universo de varias decenas de millones de
computadoras interconectadas, no es difícil pensar que puede haber más de una persona
con perversas intenciones respecto de una organización. Por eso, se debe tener la red
protegida adecuadamente.
Cada vez es más frecuente encontrar noticias referentes a que redes de importantes
organizaciones han sido violadas por criminales informáticos desconocidos. A pesar de que
la prensa ha publicitado que tales intrusiones son solamente obra de adolescentescon
propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado de una
desafortunada institución. A diario se reciben reportes los ataques a redes informáticas, los
que se han vuelto cada vez más siniestros: los archivos son alterados subrepticiamente, las
computadoras se vuelven inoperativas, se ha copiado información confidencial sin
autorización, se ha reemplazado el software para agregar "puertas traseras" de entrada, y
miles de contraseñas han sido capturadas a usuarios inocentes.
Los administradores de sistemas deben gastar horas y a veces días enteros volviendo a
cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la confianza
en la integridad del sistema. No hay manera de saber los motivos que tuvo el intruso, y
debe suponerse que sus intenciones son lo peor. Aquella gente que irrumpe en los
sistemas sin autorización, aunque sea solamente para mirar su estructura, causa mucho
daño, incluso sin que hubieran leído la correspondencia confidencial y sin borrar ningún
archivo.
Uno de los cambios más sorprendentes del mundo de hoy es la rapidez de las
comunicaciones. Modernos sistemas permiten que el flujo de conocimientos sea
independiente del lugar físico en que nos encontremos. Ya no nos sorprende la
transferencia de información en tiempo real o instantáneo. Se dice que el conocimiento es
poder; para adquirirlo, las empresas se han unido en grandes redes internacionales para
transferir datos, sonidos e imágenes, y realizan el comercio en forma electrónica, para ser
más eficientes. Pero al unirse en forma pública, se han vuelto vulnerables, pues cada
sistema de computadoras involucrado en la red es un blanco potencial y apetecible para
obtener información.
El escenario electrónico actual es que las organizaciones están uniendo sus redes internas
a la Internet, la que crece a razón de más de un 10% mensual.
Al unir una red a la Internet se tiene acceso a las redes de otras organizaciones también
unidas. De la misma forma en que accedemos la oficina del frente de nuestra empresa, se
puede recibir información de un servidor en Australia, conectarnos a una
supercomputadora en Washington o revisar la literatura disponible desde Alemania. Del
universo de varias decenas de millones de computadoras interconectadas, no es difícil
pensar que puede haber más de una persona con perversas intenciones respecto de una
organización. Por eso, se debe tener nuestra red protegida adecuadamente.
Cada vez es más frecuente encontrar noticias referentes a que redes de importantes
organizaciones han sido violadas por criminales informáticos desconocidos. A pesar de que
la prensa ha publicitado que tales intrusiones son solamente obra de adolescentes con
propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado de una
desafortunada institución. A diario se reciben reportes los ataques a redes informáticas, los
que se han vuelto cada vez más siniestros: los archivos son alterados subrepticiamente, las
computadoras se vuelven inoperativas, se ha copiado información confidencial sin
autorización, se ha reemplazado el software para agregar "puertas traseras" de entrada, y
miles de contraseñas han sido capturadas a usuarios inocentes.
Los administradores de sistemas deben gastar horas y a veces días enteros volviendo a
cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la confianza
en la integridad del sistema. No hay manera de saber los motivos que tuvo el intruso, y
debe suponerse que sus intenciones son lo peor. Aquella gente que irrumpe en los
sistemas sin autorización, aunque sea solamente para mirar su estructura, causa mucho
daño, incluso sin que hubieran leído la correspondencia confidencial y sin borrar ningún
archivo.
De acuerdo a un estudio de la Consultora "Ernst and Young" abarcando más de mil
empresas, un 20% reporta pérdidas financieras como consecuencia de intrusiones en sus
computadoras (Technology Review, Abril 95, pg.33). Ya pasaron los tiempos en que la
seguridad de las computadoras era sólo un juego o diversión.

El nuevo escenario informático


1. ¿CÓMO NACIERON LOS VIRUS?.
Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon un juego al
que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que se
convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T.
El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo,
cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba
forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera.
Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades
eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que
pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas
destinados a dañar en la escena de la computación.
Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la
Universidad estadounidense de Delaware notaron que tenían un virus porque comenzaron a ver "©
Brain" como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computación paquistaní que, desde
1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la
firma, dar una lección a los piratas.
Ellos habían notado que el sector de booteo de un disquete contenía código ejecutable, y que
dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete.
Lograron reemplazar ese código por su propio programa, residente, y que este instalara una réplica
de sí mismo en cada disquete que fuera utilizado de ahí en más.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser
creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una
demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con
extensión .COM.
Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo
que estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque (boot sector).
Para ese entonces, ya se había empezado a diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades extraordinarias por muchisima gente
alrededor del planeta. Algunos de ellos dicen hacerlo por divertimento, otros quizás para probar sus
habilidades. De cualquier manera, hasta se ha llegado a notar un cierto grado de competitividad
entre los autores de estos programas.
Con relación a la motivación de los autores de virus para llevar a cabo su obra, existe en Internet
un documento escrito por un escritor freelance Markus Salo, en el cual, entre otros, se exponen los
siguientes conceptos:
• Algunos de los programadores de virus, especialmente los mejores, sostienen que su
interés por el tema es puramente científico, que desean averiguar todo lo que se pueda sobre
virus y sus usos.
• A diferencia de las compañías de software, que son organizaciones relativamente aisladas
unas de otras (todas tienen secretos que no querrían que sus competidores averiguaran) y
cuentan entre sus filas con mayoría de estudiantes graduados, las agrupaciones de
programadores de virus están abiertas a cualquiera que se interese en ellas, ofrecen consejos,
camaradería y pocas limitaciones. Además, son libres de seguir cualquier objetivo que les
parezca, sin temer por la pérdida de respaldo económico.
• El hecho de escribir programas vírales da al programador cierta fuerza coercitiva, lo pone
fuera de las reglas convencionales de comportamiento. Este factor es uno de los más
importantes, pues el sentimiento de pertenencia es algo necesario para todo ser humano, y es
probado que dicho sentimiento pareciera verse reforzado en situaciones marginales.
• Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo sus
creaciones al alcance de mucha gente, (vía Internet, BBS especializadas, etc.) haciendo la
salvedad de que el material es peligroso, por lo cual el usuario debería tomar las precauciones
del caso.
• Existen programadores, de los cuales, generalmente, provienen los virus más destructivos,
que alegan que sus programas son creados para hacer notoria la falta de protección de que
sufren la mayoría de los usuarios de computadoras.
• La gran mayoría de estos individuos son del mismo tipo de gente que es reclutada por los
grupos terroristas: hombres, adolescentes, inteligentes.
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe destacar
que su existencia no ha sido sólo perjuicios: gracias a ellos, mucha gente a tomado conciencia de
qué es lo que tiene y cómo protegerlo.

¿Qué es un virus?
Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario
sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el
programa ataca a los archivos o sector es de "booteo" y se replica a sí mismo para continuar su
esparcimiento.
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que
pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado W95/CIH-
10xx. o también como CIH.Spacefiller (puede aparecer el 26 de cada mes, especialmente 26 de
Junio y 26 de Abril) ataca al BIOS de la PC huésped y cambiar su configuración de tal forma que se
requiere cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el
sistema.
Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son
agentes externos que invaden células para alterar su información genética y reproducirse, los
segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de
computadoras, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la
información existente en la memoria o alguno de los dispositivos de almacenamiento del
ordenador.
Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los eliminan,
algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE.
Es importante destacar que el potencial de daño de un virus informático no depende de su
complejidad sino del entorno donde actúa.
La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se
fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus
es un programa que cumple las siguientes pautas:
• Es dañino
• Es autorreproductor
• Es subrepticio
El hecho de que la definición imponga que los virus son programas no admite ningún tipo de
observación; está extremadamente claro que son programas, realizados por personas. Además de
ser programas tienen el fin ineludible de causar daño en cualquiera de sus formas.
Asimismo, se pueden distinguir tres módulos principales de un virus informático:
• Módulo de Reproducción
• Módulo de Ataque
• Módulo de Defensa
El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de entidades
ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda
ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras
entidades permitiendo se traslade de una computadora a otra a través de algunos de estos
archivos.
El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las
rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de
producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa
cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la
información del disco rígido volviéndola inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque,
puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque
la remoción del virus y retardar, en todo lo posible, su detección.

Tipos de virus
Los virus se clasifican por el modo en que actúan infectando la computadora:
• Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
• Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
• Múltiples: Infectan programas y sectores de "booteo".
• Bios: Atacan al Bios para desde allí reescribir los discos duros.
• Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido
común.
Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos especialmente
en la Internet a pesar que los rumores lo muestran como algo muy serio y a veces la información
es tomada por la prensa especializada.
Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con terribles e
inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se dan una serie
de supuestos "virus", por lo que es aconsejable ignorar los mensajes que aparecen y no ayudar a
replicarlos continuando con la cadena:
• 3b Trojan (alias PKZIP Virus).
• AOL4Free Virus Hoax.
• Baby New Year Virus Hoax.
• BUDDYLST.ZIP
• BUDSAVER.EXE
• Budweiser Hoax
• Death69
• Deeyenda
• E-Flu
• FatCat Virus Hoax
• Free Money
• Get More Money Hoax
• Ghost
• Good Times
• Hacky Birthday Virus Hoax
• Hairy Palms Virus Hoax
• Irina
• Join the Crew
• Londhouse Virus Hoax
• Microsoft Virus Hoax
• Millenium Time Bomb
• Penpal Greetings
• Red Alert
• Returned or Unable to Deliver
• Teletubbies
• Time Bomb
• Very Cool
• Win a Holiday
• World Domination Hoax
• Yellow Teletubbies
• A.I.D.S. hoax email virus
• AltaVista virus scare
• AOL riot hoax email
• ASP virus hoax
• Back Orifice Trojan horse
• Bill Gates hoax
• Bloat, see MPEG virus hoax
• Budweiser frogs screen-saver scare
• Good Times hoax email virus
• Irina hoax virus
• Java virus scare
• Join the Crew hoax email virus
• 'Millennium' virus misunderstanding
• MPEG virus hoax
• 'My clock says 2097/2098' virus misunderstanding
• New virus debug device hoax email virus with attached Trojan horse
• Open: Very Cool, see A.I.D.S. hoax email virus
• Penpal Greetings, see Good Times hoax email virus
• PKZ300 Trojan virus scare
• Returned or Unable to Deliver hoax email virus
• Walt Disney greeting, see Bill Gates hoax
• Win a Holiday hoax email virus
• Windows ’98 MS Warning.
Por último, cabe destacar que los HOAX están diseñados únicamente para asustar a los novatos (y
a los que no lo son tanto). Otros como el mensaje del carcinoma cerebral de Jessica, Jessica
Mydek, Anabelle, Ana, Billy y otros personajes imaginarios tampoco son reales como tampoco lo
es la dirección ACS[arroba]aol.com, ya que fueron creados para producir congestionamiento en la
Internet.
Características de los virus
El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de
detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea
ejecutado o el sector de "booteo" sea leído. De esa forma el programa del virus es activado y se
carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su
sistema de destrucción o se replique a sí mismo.
Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los
programas del sector de "booteo", menos comunes son los no-residentes que no permanecen en la
memoria después que el programa-huesped es cerrado.
Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y reparación. Como lo
hacen:
a. El virus re-orienta la lectura del disco para evitar ser detectado;
b. Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para
evitar que se descubran bytes extra que aporta el virus;
c. encriptamiento: el virus se encripta en símbolos sin sentido para no ser detectado,
pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable;
d. polimorfismo: mutan cambiando segmentos del código para parecer distintos en
cada "nueva generación", lo que los hace muy difíciles de detectar y destruir;
e. Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una
determinada combinación de tecleo; un macro o la apertura de un programa asociado al
virus (Troyanos).
Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de
software no original, infectadas a propósito o accidentalmente. También cualquier archivo que
contenga "ejecutables" o "macros" puede ser portador de un virus: downloads de programas de
lugares inseguros; e-mail con "attachments", archivos de MS-Word y MS-Excel con macros.
Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o
Html NO PUEDEN contener virus, aunque pueden ser dañados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van saltando a los
sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o
sobreescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo
discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste
fácil de decir que el más extendido de los virus de este tipo se llama MS Windows 98).
En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el
virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a
continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o
permanecer inactivos por largos periodos de tiempo.

Daños de los virus


Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo
necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de
acuerdo a la gravedad.
a. Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día
18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.
b. DAÑOS TRIVIALES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13,
todos los programas que uno trate de usar después de que el virus haya infectado la
memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevará alrededor de 30 minutos.
c. DAÑOS MENORES.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En este
caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el
sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.
d. DAÑOS MODERADOS.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar
desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado
de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y
acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un
sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time"
(Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en
que detectemos la presencia del virus y queramos restaurar el último backup notaremos
que también él contiene sectores con la frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados con
posterioridad a ese backup.
e. DAÑOS MAYORES.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y
progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase
Eddie lives ...).
f. DAÑOS SEVEROS.
g. DAÑOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del
administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino
troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el
nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien
ingresará al sistema y haría lo que quisiera.

Síntomas típicos de una infección


• El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
• El tamaño del programa cambia sin razón aparente.
• El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea
necesariamente así.
• Si se corre el CHKDSK no muestra "655360 bytes available".
• En Windows aparece "32 bit error".
• La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni
haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado,
porque no siempre es así).
• No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
• Aparecen archivos de la nada o con nombres y extensiones extrañas.
• Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta
advertido).
• Los caracteres de texto se caen literalmente a la parte inferior de la pantalla
(especialmente en DOS).
• En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo
hambre. Introduce un Big Mac en el Drive A".
• En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas
difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice
Windows ’98 (No puedo evitarlo, es mas fuerte que yo...!!).
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los
remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados.
Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el
archivo infectado.

Virus informáticos argentinos


Al igual que todos los países informatizados, la Argentina cuenta con una producción local de virus
informáticos.
Si bien estos no son de los más complejos (en su mayoría, buenas copias y variaciones de virus
conocidos) representan un problema, ya que muchos de ellos no están incluidos en las bases de
datos de los programas antivirus.
Veamos algunos ejemplos:
• PING PONG:
Este virus fue el primero en hacer explosión en Argentina. Fue descubierto en marzo de 1988 y en
poco tiempo estuvo en nuestro país, en donde se convirtió rápidamente en epidemia.
La falta de conocimiento sobre los virus ayudó a que se diseminara ampliamente y fuera
incontrolable en un principio. En centros universitarios como la Facultad de Ciencias Exactas de la
UBA o la Facultad de Informática de la Universidad de Morón era difícil encontrar un disco sin
infectar.
Ese mismo desconocimiento llevó a que pasara bastante tiempo hasta que se empezaran a tomar
medidas. Sólo después de algunos meses, en revistas especializadas en informática, empezaron a
publicarse formas de desinfectar los discos, y como consecuencia de ello se aplicaron políticas de
seguridad en las universidades.
Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. más profundamente, por
ejemplo el boot sector: qué es y para qué sirve, ya que las máquinas eran utilizadas pero pocos
sabían cómo funcionaban realmente.
Como tenía un síntoma muy evidente (una pelotita que rebotaba), se pensó que todos los virus
debían ser visibles, pero los siguientes fueron más subrepticios, y se limitaban a reproducirse o
destruir sin avisar al usuario.
El Ping Pong original no podía infectar discos rígidos, pero la versión que se popularizó en el país
fue la B, que sí podía hacerlo. Se creó una variante en Argentina, que probablemente fue la
primera variante de virus originada en el país, el Ping Pong C, que no mostraba la pelotita en la
pantalla. Este virus está extinto en este momento ya que sólo podía funcionar en máquinas con
procesador 8088 ó 8086, porque ejecutaba una instrucción no documentada en estos e incorrecta
en los modelos siguientes.
• AVISPA:
Escrito en Noviembre de 1993 que en muy poco tiempo se convirtió en epidemia. Infecta
archivos .EXE
Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY,
MEM, SETVER y EMM386 para maximizar sus posibilidades de reproducción, ya que estos
archivos son de los más frecuentemente utilizados.
Este virus está encriptado siempre con una clave distinta (polimórfico), para dificultar su detección
por medio de antivirus heurísticos.
• MENEM TOCOTO:
Esta adaptación del virus Michelangelo apareció en 1994. En los disquetes se aloja en el boot
sector, y en los discos rígidos en la tabla de particiones. Es extremadamente sencillo y, por ende,
fácil de detectar.
• CAMOUFLAGE II:
Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A
y la tabla de partición de los discos rígidos. Es bastante simple y fácil de ser detectado.
• LEPROSO:
Creado en 1993, en Rosario, provincia de Santa Fé. Se activa el día 12 de Enero (cumpleaños del
autor), y hace aparecer un mensaje que dice: "Felicitaciones, su máquina está infectada por el
virus leproso creado por J. P.. Hoy es mi cumpleaños y lo voy a festejar formateando su
rígido. Bye... (Vamos Newell's que con Diego somos campeones)."
• PINDONGA:
Virus polimórfico residente en memoria que se activa los días 25 de febrero, 21 de marzo, 27 de
agosto y 16 de septiembre, cuando ataca, borra toda la información contenida en el disco rígido.
• TEDY:
Es el primer virus argentino interactivo. Apareció hace poco tiempo. Infecta archivos con
extensión .EXE, y se caracteriza por hacer una serie de preguntas al usuario.
Una vez activado, una pantalla muestra:
¡TEDY, el primer virus interactivo de la computación!
Responda el siguiente cuestionario:
1.
2. ¿Los programas que Ud. utiliza son originales? (s/n)
3. ¿Los de Microsoft son unos ladrones? (s/n)
Si se responde afirmativamente a la primer pregunta, el virus contestará: 5 archivos menos
por mentiroso
En caso contrario:
2 archivos menos por ladrón
En cuanto a la segunda pregunta, el único mensaje que se ha visto es:
Te doy otra oportunidad para responder bien.
Con este virus, los archivos infectados aumentan su tamaño en 4310 bytes.

¿Qué no es un virus?
Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario. Estos no-
virus carecen de por lo menos una de las tres características identificatorias de un virus (dañino,
autorreproductor y subrepticio). Veamos un ejemplo de estos no - virus: "Hace algunos años, la red
de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse
saturado con un correo electrónico que contenía un mensaje de salutación navideña que, una vez
leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de
correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por
sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red".
Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una
computadora es necesariamente un virus.
Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y
qué no:
BUGS (Errores en programas).
Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves
errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo
puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se
pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a
ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs.
FALSA ALARMA.
Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de
verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una
FALSA ALARMA luego de correr nuestro programa antivirus.
Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes
preguntas puede ser de ayuda:
• ¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del
mismo)?.
• ¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el sistema
está limpio).
• ¿Se indica una falsa alarma después de correr múltiples productos, pero no después de
bootear, sin ejecutar ningún programa?.
Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate
de una falsa alarma.
PROGRAMAS CORRUPTOS.
A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto
quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar
infectados.

¿Qué es un antivirus?
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada
uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo
funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una
herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca
será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de
un virus informático en una computadora. Este es el aspecto más importante de un antivirus,
independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de
detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas
necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un
antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones de un programa antivirus es la detección de su presencia
y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus
informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la
técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en
la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas
porciones de código que puedan pertenecer a un virus informático. Este procedimiento,
denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código
representativos de cada virus conocido, agregando el empleo de determinados algoritmos que
agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos,
cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus
informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar
el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos
del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de
identificación como una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es
necesario que un virus informático alcance un grado de dispersión considerable para que sea
enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los
desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y
lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a
partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual
puede causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas
(cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente
debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que
permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de
mayor dispersión, permite una importante gama de posibilidades.
Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee, que se verá más
adelante.
En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de
programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus
informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de
sus características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por
el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot
record, boot sector, FAT, entre otras), etc.
Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.
De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de
instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la
detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la
detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que
puede llegar a sospecharse de muchisimas cosas que no son virus. Esto hace necesario que el
usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de
poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un
método heurístico.
Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit.
Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en
monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores
críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que
realizan esta tarea se denominan chequeadores de integridad.
Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe
estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y
un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos
ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse
productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
MODELO ANTIVIRUS:
La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero
denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se
divide en varias partes:
1. Módulo de control: posee la técnica verificación de integridad que posibilita el
registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Se
trata, en definitiva, de una herramienta preventiva para mantener y controlar los
componentes de información de un disco rígido que no son modificados a menos que el
usuario lo requiera.
Otra opción dentro de este módulo es la identificación de virus, que incluye diversas técnicas para
la detección de virus informáticos. Las formas más comunes de detección son el scanning y los
algoritmos, como por ejemplo, los heurísticos.
Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en
este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la
información del disco rígido.
Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar
sentencias o grupos de instrucciones peligrosas.
Finalmente, el módulo de control también posee una administración de recursos para efectuar un
monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora (acceso a
disco, etc.). De esta manera puede limitarse la acción de un programa restringiéndole el uso de
estos recursos, como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o evitar
que se ejecuten funciones de formato del mismo.
2. Módulo de respuesta: la función alarma se encuentra incluida en todos los
programas antivirus y consiste en detener la acción del sistema ante la sospecha de la
presencia de un virus informático, e informar la situación a través de un aviso en pantalla.
Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de
erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para
mantener la operatividad del sistema hasta que pueda instrumentarse una solución adecuada. Por
otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se
contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo.
Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.

Detección y prevención
Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar
su presencia a través de síntomas como la pérdida de performance. De todas maneras la siguiente
es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté
infectada por alguno de los virus más comunes:
• Operaciones de procesamiento más lentas.
• Los programas tardan más tiempo en cargarse.
• Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido.
• Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM
disponible, en forma constante o repentina.
• Aparición de programas residentes en memoria desconocidos.
La primera medida de prevención a ser tenida en cuenta es, como se dijo anteriormente, contar
con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la única forma de que se constituya
un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas
normas tienden a controlar la entrada de archivos al disco rígido de la computadora, lo cual se
logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por
supuesto, disminuyendo al mínimo posible todo tipo de tráfico.
Además de utilizar un sistema antivirus y controlar el tráfico de archivos al disco rígido, una forma
bastante eficaz de proteger los archivos ejecutables es utilizar un programa chequeador de
integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su
estructura. De esta manera, antes que puedan ser parasitados por un virus convencional, se
impediría su accionar.
Para prevenir la infección con un virus de sector de arranque, lo más indicado es no dejar
disquetes olvidados en la disquetera de arranque y contar con un antivirus. Pero, además, puede
aprovecharse una característica que incorpora el setup de las computadoras más modernas: variar
la secuencia de arranque de la PC a "primero disco rígido y luego disquetera" (C, A). De esta
manera, la computadora no intentará leer la disquetera en el arranque aunque tenga cargado un
disquete.
Algunos distribuidores o representantes de programas antivirus envían muestras de los nuevos
virus argentinos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas
versiones o upgrades, con la demora que esto implica.
En consecuencia, la detección alternativa a la de scanning y las de chequeo de actividad e
integridad resultan importantes, ya que pueden detectar la presencia de un virus informático sin la
necesidad de identificarlo. Y esta es la única forma disponible para el usuario de detectar virus
nuevos, sean nacionales o extranjeros.
De todas maneras, existe una forma de actualizar la técnica de scanning. La misma consiste en
incorporarle al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de
código (strings) significativos del sector vital de cada nuevo virus que todavía no esté incorporado
en la base de datos del programa.
De todas formas, esta solución será parcial: la nueva cadena introducida sólo identificará al virus,
pero no será capaz de erradicarlo.
Es muy importante que los "strings" que se vayan a incorporar al antivirus provengan de una fuente
confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces.
Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, F-Prot y
Thunderbyte.
La NCSA (National Computer Security Association, Asociación Nacional de Seguridad de
Computadoras) es la encargada de certificar productor antivirus.
Para obtener dicha certificación los productos deben pasar una serie de rigurosas pruebas
diseñadas para asegurar la adecuada protección del usuario.
Antiguamente el esquema de certificación requería que se detectara (incluyendo el número de
versión) el 90 % de la librería de virus del NCSA, y fue diseñado para asegurar óptimas
capacidades de detección. Pero esta metodología no era completamente eficiente.
Actualmente, el esquema de certificación enfoca la amenaza a las computadoras empresariales.
Para ser certificado, el producto debe pasar las siguientes pruebas:
a. Debe detectar el 100% de los virus encontrados comúnmente. La lista de virus
comunes es actualizada periódicamente, a medida que nuevos virus son descubiertos.
b. Deben detectar, como mínimo, el 90% de la librería de virus del NCSA (más de
6.000 virus)
Estas pruebas son realizadas con el producto ejecutándose con su configuración "por defecto".
Una vez que un producto ha sido certificado, la NCSA tratará de recertificar el producto un mínimo
de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador del programa. Esta es
una buena manera de asegurar que el producto satisface el criterio de certificación.
Si un producto no pasa la primera o segunda prueba, su distribuidor tendrá siete días para proveer
de la corrección. Si este límite de tiempo es excedido, el producto será eliminado de la lista de
productos certificados.
Una vez que se ha retirado la certificación a un producto la única forma de recuperarla es que el
distribuidor envíe una nueva versión completa y certificable (no se aceptará sólo una reparación de
la falla.
Acerca de la lista de virus de la NCSA, aclaremos que ningún desarrollador de antivirus puede
obtener una copia. Cuando un antivirus falla en la detección de algún virus incluido en la lista, una
cadena identificatoria del virus le es enviada al productor del antivirus para su inclusión en futuras
versiones.
En el caso de los virus polimórficos, se incluyen múltiples copias del virus para asegurar que el
producto testeado lo detecta perfectamente. Para pasar esta prueba el antivirus debe detectar cada
mutación del virus.
La A. V. P. D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una
asociación formada por las principales empresas informáticas del sector, entre las que se cuentan:
• Cheyenne Software
• I. B. M.
• Intel
• McAfee Associates
• ON Tecnology
• Stiller Research Inc.
• S&S International
• Symantec Corp.
• ThunderByte

Algunos antivirus
• DR. SOLOMON'S ANTIVIRUS TOOLKIT.
Certificado por la NCSA. Detecta más de 6.500 virus gracias a su propio lenguaje de detección
llamado VirTran, con una velocidad de detección entre 3 y 5 veces mayor que los antivirus
tradicionales.
Uno de los últimos desarrollos de S&S es la tecnología G. D. E. (Generic Decription Engine, Motor
de Desencriptación Genérica) que permite detectar virus polimórficos sin importar el algoritmo de
encriptación utilizado.
Permite detectar modificaciones producidas tanto en archivos como en la tabla de partición del
disco rígido. Para ello utiliza Checksumms Criptográficos lo cual, sumado a una clave personal de
cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptación.
Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de
buteo y tablas de partición la protección es genérica, es decir, independiente del virus encontrado.
Otras características que presenta este antivirus, son:
• Ocupa 9K de memoria extendida o expandida.
• Documentación amplia y detallada en español y una enciclopedia sobre los virus más
importantes.
• Actualizaciones mensuales o trimestrales de software y manuales.
• Trabaja como residente bajo Windows.
• A. H. A. (Advanced Heuristic Analysis, Análisis Heurístico Avanzado).

• NORTON ANTIVIRUS.
Certificado por la NCSA. Posee una protección automática en segundo plano. Detiene
prácticamente todos los virus conocidos y desconocidos (a través de una tecnología propia
denominada NOVI, que implica control de las actividades típicas de un virus, protegiendo la
integridad del sistema), antes de que causen algún daño o pérdida de información, con una amplia
línea de defensa, que combina búsqueda, detección de virus e inoculación (se denomina
'inoculación' al método por el cual este antivirus toma las características principales de los sectores
de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en
dichas áreas, NAV avisa al usuario y provee las opciones de Reparar - Volver a usar la imagen
guardada - Continuar - No realiza cambios - Inocular - Actualizar la imagen.
Utiliza diagnósticos propios para prevenir infecciones de sus propios archivos y de archivos
comprimidos.
El escaneo puede ser lanzado manualmente o automáticamente a través de la planificación de
fecha y hora. También permite reparar los archivos infectados por virus desconocidos. Incluye
información sobre muchos de los virus que detecta y permite establecer una contraseña para
aumentar así la seguridad.
La lista de virus conocidos puede ser actualizada periódicamente (sin cargo) a través de servicios
en línea como Internet, América On Line, Compuserve, The Microsoft Network o el BBS propio de
Symantec, entre otros.
• VIRUSSCAN.
Este antivirus de McAfee Associates es uno de los más famosos. Trabaja por el sistema de
scanning descripto anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz
de Código) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Código).
Una de las principales ventajas de este antivirus es que la actualización de los archivos de bases
de datos de strings es muy fácil de realizar, lo cual, sumado a su condición de programa
shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la
configuración de cómo detectar, reportar y eliminar virus.

En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse


necesarios para tener en cuenta en materia de virus informáticos:
• No todo lo que afecte el normal funcionamiento de una computadora es un virus.
• TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
• Es imprescindible contar con herramientas de detección y desinfección.
• NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras
debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su
propia información sino para no convertirse en un agente de dispersión de algo que puede
producir daños graves e indiscriminados.
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
• UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y LIBRE DE VIRUS: Un
disco que contenga el sistema operativo ejecutable (es decir, que la máquina pueda ser
arrancada desde este disco) con protección contra escritura y que contenga, por lo menos, los
siguientes comandos: FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones
recientes del MS-DOS).
• POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO: Se puede considerar
actualizado a un antivirus que no tiene más de tres meses desde su fecha de creación (o de
actualización del archivo de strings). Es muy recomendable tener por lo menos dos antivirus.
• UNA FUENTE DE INFORMACIÓN SOBRE VIRUS ESPECÍFICOS: Es decir, algún
programa, libro o archivo de texto que contenga la descripción, síntomas y características de
por lo menos los cien virus más comunes.
• UN PROGRAMA DE RESPALDO DE ÁREAS CRÍTICAS: Algún programa que obtenga
respaldo (backup) de los sectores de arranque de los disquetes y sectores de arranque
maestro (MBR, Master Boot Record) de los discos rígidos. Muchos programas antivirus
incluyen funciones de este tipo.
• LISTA DE LUGARES DÓNDE ACUDIR: Una buena precaución es no esperar a necesitar
ayuda para comenzar a buscar quién puede ofrecerla, sino ir elaborando una agenda de
direcciones, teléfonos y direcciones electrónicas de las personas y lugares que puedan
servirnos más adelante. Si se cuenta con un antivirus comercial o registrado, deberán tenerse
siempre a mano los teléfonos de soporte técnico.
• UN SISTEMA DE PROTECCIÓN RESIDENTE: Muchos antivirus incluyen programas
residentes que previenen (en cierta medida), la intrusión de virus y programas desconocidos a
la computadora.
• TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos más
importantes, además, se recomienda respaldar todos los archivos ejecutables. Para archivos
muy importantes, es bueno tener un respaldo doble, por si uno de los discos de respaldo se
daña. Los respaldos también pueden hacerse en cinta (tape backup), aunque para el usuario
normal es preferible hacerlo en discos, por el costo que las unidades de cinta representan.
• REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco
que no haya sido previamente utilizado debe ser revisado, inclusive los programas originales
(pocas veces sucede que se distribuyan discos de programas originales infectados, pero es
factible) y los que se distribuyen junto con revistas de computación.
• REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se
haya prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan
archivos de datos, deben ser revisados antes de usarse nuevamente.
• REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O REDES:
Una de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales
es común la transferencia de archivos, pero no siempre se sabe desde dónde se está
recibiendo información.
• REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se puede considerar que una buena
frecuencia de análisis es, por lo menos, mensual.
Finalmente, es importante tener en cuenta estas sugerencias referentes al comportamiento a tener
en cuenta frente a diferentes situaciones:
• Cuando se va a revisar o desinfectar una computadora, es conveniente apagarla por más
de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegido contra
escritura, para eliminar virus residentes en memoria. No se deberá ejecutar ningún programa
del disco rígido, sino que el antivirus deberá estar en el disquete. De esta manera, existe la
posibilidad de detectar virus stealth.
• Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido
infectado, es preferible restaurar el sector desde algún respaldo, puesto que en ocasiones, los
sectores de arranque genéricos utilizados por los antivirus no son perfectamente compatibles
con el sistema operativo instalado. Además, los virus no siempre dejan un respaldo del sector
original donde el antivirus espera encontrarlo.
• Antes de restaurar los respaldos es importante no olvidar apagar la computadora por más
de cinco segundos y arrancar desde el disco libre de virus.
• Cuando se encuentran archivos infectados, es preferible borrarlos y restaurarlos desde
respaldos, aún cuando el programa antivirus que usemos pueda desinfectar los archivos. Esto
es porque no existe seguridad sobre si el virus detectado es el mismo para el cual fueron
diseñadas las rutinas de desinfección del antivirus, o es una mutación del original.
• Cuando se va a formatear un disco rígido para eliminar algún virus, debe recordarse
apagar la máquina por más de cinco segundos y posteriormente arrancar el sistema desde
nuestro disquete limpio, donde también debe encontrarse el programa que se utilizará para dar
formato al disco.
• Cuando, por alguna causa, no se puede erradicar un virus, deberá buscarse la asesoría de
un experto directamente pues, si se pidiera ayuda a cualquier aficionado, se correrá el riesgo
de perder definitivamente datos si el procedimiento sugerido no es correcto.
• Cuando se ha detectado y erradicado un virus es conveniente reportar la infección a algún
experto, grupo de investigadores de virus, soporte técnico de programas antivirus, etc. Esto
que en principio parecería innecesario, ayuda a mantener estadísticas, rastrear focos de
infección e identificar nuevos virus, lo cual en definitiva, termina beneficiando al usuario
mismo.
• Los virus infectan cualquier información o archivo que se encuentra en la computadora se
reproducen en cantidades extraordinarias muchos de los programadores tienen los virus
mas destructivos decimos que es un programa parasito o epidemia que afecta la
reproducción de los archivos, cuyo objetivo es perjudicar el funcionamiento de una
computadora haciendo copias iguales entrando y provocando anomalías en el
computador. Hay muchos tipos de virus entre ellos encontramos: el troyano, teletubbies,
gusano .es mas pequeño y fácil de expandir y mas difícil de detectar ellos se pueden
camuflar para que no los detecten se transportan a través de programas e infectan a
propósito o accidentalmente, también existen programas antivirus los cuales hacen
dectetetar la presencia de una infección.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos
de daño y algunos simplemente usan las instrucciones que afectan a los sistemas.
Donde hacen las operaciones mas lentas, la programación tarda mas en cargarse que en
lo usual, Disminuye el espacio disponible en el disco rígido y de la memoria RAM
disponible, en forma constante o repentina.

Andreina Suárez Contreras


asc_andreina@hotmail.com
Recursos Humanos
Semestre II
19 de abril de 2010

You might also like