INTRODUCCION Actualmente los virus informticos se han incrementado notablemente; desde la primera aparicin su crecimiento ha sido sorprendente.

En la actualidad se crean cinco virus diarios aproximadamente, los virus no solamente copian sus cdigos en forma parcial a otros programas sino que adems lo hacen en reas importantes de un sistema (sector de arranque, tabla de particin, entre otros). Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en memoria y desde all ataque a un determinado tipo de archivo o reas del sistema y lo infecte. Con Internet se hace ms fcil tener el total control de los virus informticos, lo que resulta perjudicial a todos los usuarios. El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando las tcnicas de prevencin, deteccin y eliminacin de virus informticos, tenindose que llevar a cabo de forma rpida y eficiente . Como causa de ste crecimiento innumerable de los virus informticos, aparece, paradjicamente la solucin, mediante las actualizaciones de los antivirus. HISTORIA DE LOS VIRUS Desde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy en da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se agrav con el advenimiento y auge de Internet. A continuacin, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras. 1939-1949 Los Precursores En 1939, el famoso cientfico matemtico John Louis Von Neumann, de orgen hngaro, escribi un artculo, publicado en una revista cientfica de New York, exponiendo su "Teora y organizacin de autmatas complejos", donde demostraba la posibilidad de desarrollar pequeos programas que pudiesen tomar el control de otros, de similar estructura. Cabe mencionar que Von Neuman, en 1944 contribuy en forma directa con John Mauchly y J. Presper Eckert, asesorndolos en la fabricacin de la ENIAC, una de las computadoras de Primera Generacin, quienes construyeran adems la famosa UNIVAC en 1950. John Louis von Neumann (1903-1957)

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teora de John Von Neumann, escrita y publicada en 1939. Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la prctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente consegua eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigacin como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros. Sin embargo durante muchos aos el CoreWar fue mantenido en el anonimato, debido a que por aquellos aos la computacin era manejada por una pequea lite de intelectuales A pesar de muchos aos de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo peridicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (Soy una enredadera, agrrenme si pueden). Para eliminar este problema se cre el primer programa antivirus denominado Reaper (segadora), ya que por aquella poca se desconoca el concepto de los softwares antivirus. En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de Amrica, precursora de Internet, emiti extraos mensajes que aparecan y desaparecan en forma aleatoria, asimismo algunos cdigos ejecutables de los programas usados sufran una mutacin. Los altamente calificados tcnicos del Pentgono se demoraron 3 largos das en desarrollar el programa antivirus correspondiente. Hoy da los desarrolladores de antivirus resuelven un problema de virus en contados minutos. 1981 La IBM PC En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC. Un ao antes, la IBM haban buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero ste se hizo de rogar, viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul". Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendi a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS. El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido y Rstico Sistema Operativo de Disco) y tena varios errores de programacin (bugs).

La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un buen sistema operativo y como resultado de esa imprevisin todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programacin del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecucin de cualquier programa con extensin EXE o COM. 1983 Keneth Thompson Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit las teoras de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pblica present y demostr la forma de desarrollar un virus informtico. 1984 Fred Cohen Al ao siguiente, el Dr. Fred Cohen al ser galardonado en una graduacin, en su discurso de agradecimiento incluy las pautas para el desarrollo de un virus. Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque hubo varios autores ms que actuaron en el anonimato. El Dr. Cohen ese mismo ao escribi su libro "Virus informticos: teora y experimentos", donde adems de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribi "El evangelio segn Fred" (The Gospel according to Fred), desarroll varias especies virales y experiment con ellas en un computador VAX 11/750 de la Universidad de California del Sur. La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la revista BYTE reportaron la presencia y difusin de algunos programas que actuaban como "caballos de Troya", logrando infectar a otros programas. Al ao siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daos en las IBM PC y sus clones. 1986 El comienzo de la gran epidemia En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusin masiva. Estas 3 especies virales tan slo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los virus que infectaban los archivos con extensin EXE y COM.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recin graduado en Computer Science en la Universidad de Cornell, difundi un virus a travs de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagacin la realiz desde uno de los terminales del MIT (Instituto Tecnolgico de Massashussets). Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 aos de prisin y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario. 1991 La fiebre de los virus En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeaba como director del Laboratorio de Virologa de la Academia de Ciencias de Bulgaria, escribi un interesante y polmico artculo en el cual, adems de reconocer a su pas como el lder mundial en la produccin de virus da a saber que la primera especie viral blgara, creada en 1988, fue el resultado de una mutacin del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofa. Al ao siguiente los autores blgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones. En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propag por toda Europa y los Estados Unidos hacindose terriblemente famoso por su ingeniosa programacin, peligrosa y rpida tcnica de infeccin, a tal punto que se han escrito muchos artculos y hasta ms de un libro acerca de este virus, el mismo que posteriormente inspir en su propio pas la produccin masiva de sistema generadores automticos de virus, que permiten crearlos sin necesidad de programarlos. 1995 Los macro virus A mediados de 1995 se reportaron en diversas ciudades del mundo la aparicin de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podan auto replicarse infectando a otros documentos. Los llamados macro virus tan slo infectaban a los archivos de MS-Word, posteriormente apareci una especie que atacaba al Ami Pro, ambos procesadores de textos. En 1997 se disemina a travs de Internet el primer macro virus que infecta hojas de clculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor informacin srvanse revisar la opcin Macro Virus, en este mismo mdulo. 1999 Los virus anexados (atachados) A principios de 1999 se empezaron a propagar los virus anexados (atachados) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo ao fue

difundidos a travs de Internet el peligroso CIH y el ExploreZip, entre otros muchos ms. A fines de Noviembre de este mismo ao apareci el BubbleBoy, primer virus que infecta los sistemas con tan slo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se report el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensin .SHS. Resultar imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresin cultural de "graffiti ciberntico", as como los crackers jams se detendrn en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha del bien y el mal ahora se ha extendido al ciber espacio. HISTORIA DE LOS VIRUS EN EL PERU En 1986 se detectan los primeros virus informticos en el Per: Stoned, Bouncing Ball y Brain Al igual que la corriente blgara, en 1991 apareci en el Per el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutacin del virus Jerusalem-B y al que su autor le agreg una ventana con su nombre y nmero telefnico. Los virus con apellidos como Espejo, Martnez y Aguilar fueron variantes del Jerusalem-B y prcticamente se difundieron en el mbito nacional. Continuando con la lgica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimrficos Rogue II y Please Wait (que formateaba el disco duro). La creacin de los virus locales ocurre en cualquier pas y el Per no poda ser la excepcin. virus!! DEFINICION DE LOS VIRUS INFORMTICOS Los virus informticos son programas que utilizan tcnicas sofisticadas, diseados por expertos programadores, los cuales tienen la capacidad de reproducirse por s mismos, unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayora de estas acciones son hechas con mala intencin. Un virus informtico, ataca en cualquier momento, destruyendo toda la informacin que no est protegida con un antivirus actualizado. La mayora de los virus suelen ser programas residentes en memoria, se van copiando dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras personas, tambin encontrarn en el interior archivos con virus. Un virus tiene la capacidad de daar informacin, modificar los archivos y hasta borrar la informacin un disco duro, dependiendo de su programador o creador.

En la actualidad los virus informticos no solo afectan a los archivos ejecutables de extensin .EXE y .COM, sino tambin a los procesadores de texto, como los documentos de Word y hojas de clculo como Excel, esta nueva tcnica de elaboracin de virus informtico se llama Macro Virus. POR QU LLAMARLOS VIRUS? La gran similitud entre el funcionamiento de los virus computacionales y los virus biolgicos, propici que a estos pequeos programas se les denominara virus. Los virus en informtica son similares a los que atacan el organismo de los seres humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo objetivo es destruir o molestar el "husped". Al igual que los virus orgnicos, los virus en informtica deben ser eliminados antes de que causen la "muerte" del husped... Los virus de las computadoras no son mas que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas. Provocan desde la prdida de datos o archivos en los medios de almacenamiento de informacin (diskette, disco duro, cinta), hasta daos al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daos al equipo. CARACTERSTICAS: Estos programas tienen algunas caractersticas muy especiales:

Son muy pequeos. Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creacin. Se reproducen a s mismos. Toman el control o modifican otros programas.

MOTIVOS PARA CREAR UN VIRUS: A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de computadora no ocurren en forma natural, cada uno debe ser programado. No existen virus benficos. Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando un mensaje humorstico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa dao real, quin sabe realmente la causa? Aburrimiento? Coraje? Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores.

Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificacin. FASES DE INFECCION DE UN VIRUS Primera Fase (Infeccin) El virus pasa a la memoria del computador, tomando el control del mismo, despus de intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de ejecutar un archivo infectado. El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente con normalidad, de esta forma el usuario no se da cuenta de que su sistema est siendo infectado. Segunda Fase (Latencia) Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema

cuando son ejecutados o atacando el sector de arranque del disco duro. De esta forma el virus toma el control del sistema siempre que se encienda el computador, ya que intervendr el sector de arranque del disco, y los archivos del sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura, dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar el sistema. Tercera Fase (Activacin) Esta es la ltima fase de la vida de un virus y es la fase en donde el virus se hace presente. La activacin del virus trae como consecuencia el despliegue de todo su potencial destructivo, y se puede producir por muchos motivos, dependiendo de como lo cre su autor y de la versin de virus que se trate, debido a que en estos tiempo encontramos diversas mutaciones de los virus. Algunos virus se activan despus de un cierto nmero de ejecuciones de un programa infectado o de encender el sistema operativo; otros simplemente esperan a que se escriba el nombre de un archivo o de un programa. La mayora de los virus se activan mediante el reloj del sistema para comprobar la fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna condicin y por ltimo atacan, el dao que causan depende de su autor. CLASES DE VIRUS:

 VIRUS POLIMORFICOS
o

Muy difciles de detectar y eliminar, debido a que cada copia del virus es diferente de otras copias. Sus instrucciones cambian cada vez que se autoencriptan. El virus produce varias copias diferentes de s mismo. Cambian su forma (cdigo) cada vez que infectan un sistema, de esta manera parece siempre un virus distinto y es ms difcil que puedan ser detectados por un programa antivirus. Pero existe un fallo en est tcnica, y es que un virus no puede codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la que buscan los antivirus para la deteccin del virus.

o o o

VIRUS ESTATICOS

Tipo de virus ms antiguos y poco frecuentes. Su medio de propagacin es a travs de programas ejecutables. Su forma de actuar es sencilla. Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo que no este todava infectado. Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos fijos como el COMMAND.COM del Sistema Operativo. No permanecen en memoria ms que el tiempo necesario para infectar uno o varios archivos. Pueden ser virus destructivos en el caso de que sobrescriban la informacin del programa principal con su cdigo de manera irreversible. A veces bloquean el control del sistema operativo, sobrescribindolo.

VIRUS RESIDENTES

Virus que permanecen indefinidamente en memoria incluso despus de haber finalizado el programa portador del virus. Una vez ejecutado el programa portador del virus, ste pasa a la memoria del computador y se queda all hasta que apaguemos el ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que utilicemos.

VIRUS DESTRUCTIVOS

Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros datos. Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro. Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestin de segundos inutilizan los datos del disco duro. VIRUS BIPARTIDOS
o o

Es un virus poco frecuente. Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su cdigo (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede haber otra versin del mismo virus que incorpore ese algoritmo. Si ambos virus coinciden en nuestro computador, y se unen en uno slo, se convierten en un virus destructivo.

VIRUS COMPAEROS o Son los virus ms sencillos de hacer.

Cuando en un mismo directorio existen dos programas ejecutables con el mismo nombre pero uno con extensin .COM y el otro con extensin .EXE, el MS-DOS carga primero el archivo con extensin .COM. Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de extensin .EXE. Primero se cargar en la memoria el archivo .COM que contiene el virus. Despus el virus llamara al programa original. El archivo infectado no podra ser visto con un simple comando DIR en C :\, porque contiene el atributo de oculto. VIRUS DE BOOT (SECTOR DE ARRANQUE)

Como su nombre lo indica, infecta el sector de arranque del disco duro. Dicha infeccin se produce cuando se intenta cargar el sistema operativo desde un disco infectado. Infecta los diskettes o discos duros, alojndose en el boot sector. Cuando se enciende el computador, lo primero que hace la BIOS es inicializar todo (tarjetas de vdeo, unidades de disco, chequear memoria, entre otros).

Y entonces lee el primer sector del disco duro, colocndolo en la memoria.

Normalmente es un pequeo programa que se encarga de preparar al Sistema Operativo. Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el virus informtico para que se cargue en el Sistema Operativo. Almacenando el boot sector original en otra parte del disco o simplemente lo reemplaza en su totalidad. Tambin localiza un sitio en el Disco Duro para guardar la antigua rutina que haba en el BOOT.

AUTOREPLICABLES

Realizan funciones parecidas a los virus biolgicos. Ya que se autoreplican e infectan los programas ejecutables que se encuentren en el disco. Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir de su ltima ejecucin o simplemente al sentir que se les trata de detectar.

ESQUEMA DE PROTECCIN

No son virus destructivos. Se activan cuando se intenta copiar un archivo que est protegido contra escritura. Tambin se ejecutan cuando se intenta copiar softwares o programas.

VIRUS INFECTORES DE PROGRAMAS EJECUTABLES

La infeccin se produce al ejecutar el programa que contiene el virus, en ese momento busca todos los programas cuyas extensiones sean .COM o .EXE.

Cuando un programa infectado est ejecutndose, el virus puede permanecer residente en memoria e infectar cada programa que se ejecute. Los virus de este tipo tienen dos formas de alojarse en el ejecutable. Graban su cdigo de inicio al principio del archivo, realizando un salto para ejecutar el programa bsico y regresar al programa infectado. Sobrescribiendo en los sectores del disco, haciendo prcticamente imposible su recuperacin, si no cuenta con los originales.

VIRUS INVISIBLES Este tipo de virus intenta esconderse del Sistema Operativo mediante varias tcnicas.

Pueden modificar el tamao del archivo infectado, para que no se note que se le ha aadido un virus. Pueden utilizar varias tcnicas para que no se les pueda encontrar en la memoria del ordenador engaando a los antivirus. Normalmente utilizan la tcnica de Stealth o Tunneling.

PROGRAMAS MALIGNOS Son programas que deliberadamente borran archivos o software indicados por sus autores eliminndose as mismo cuando terminan de destruir la informacin. Entre los principales programas malignos tenemos :

Bombas Lgicas Bombas de Tiempo Jokes Gusanos Caballos de Troya

Bombas Lgicas y de Tiempo

Son programas ocultos en la memoria del sistema o en el disco, o en los archivos de programas ejecutables con extensin .COM y .EXE. Una Bomba de Tiempo se activa en una fecha, hora o ao determinado. Puede formatear el disco duro. El dao que las bombas de tiempo puedan causar depende de su autor. Una Bomba Lgica se activa al darse una condicin especfica. Tanto las bombas lgicas como las bombas de tiempo, aparentan el mal funcionamiento del computador, hasta causar la prdida de la informacin.

Jokes

Son programas desarrollados con el objetivo de hacer bromas, de mal gusto, ocasionando distraccin y molestias a los usuarios. Simulan el comportamiento de Virus, constituyen Bombas Lgicas o de Tiempo. Muestran en la pantalla mensajes extraos con la nica intencin de fastidiar al usuario.

Gusanos

Es un programa que se autoreproduce. No infecta otros programas como lo hara un virus, pero crea copias de l, las cuales crean ms copias. Son ms usados para atacar en grandes sistemas informticos mediante una red de comunicaciones

como Intranet o Internet, donde el gusano crear ms copias rpidamente, obstruyendo el sistema.

Se propagan rpidamente en las computadoras. Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad de ste.

Caballos de Troya

Son aquellos programas que se introducen en el sistema bajo una apariencia totalmente diferente a la de su objetivo final. Se presentan como informacin perdida o basura sin ningn sentido. Pero al cabo de un determinado tiempo y esperando la indicacin del programa, se activan y comienzan a ejecutarse. Sus autores lo introducen en los programas ms utilizados o softwares ilegales como por ejemplo :

Windows 95

No se autoreproducen. Su misin es destruir toda la informacin que se encuentra en los discos. TCNICAS DE VIRUS Las tecnologas de software han evolucionado asombrosamente en los ltimos tiempos al igual que las arquitecturas de hardware y continan hacindolo da a da. De este avance no se podra dejar de mencionar la creacin de los virus y sus programas antivirus, lo cual ha motivado que ahora se empleen nuevas tcnicas y sofisticadas estrategias de programacin, con el objeto de lograr especies ms dainas y menos detectables y por consiguiente los software antivirus tienen que ser ms acuciosos y astutos. El lenguaje de programacin por excelencia para desarrollar virus, es el Assembler pues los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de bases de datos, etc. han sido

diseados para producir software aplicativos. Una excepcin a la regla son los Macro Virus, tratados por separado y los virus desarrollados en Java Scripts, Visual Basic Scripts y de Controles Activex, a partir de 1999. Estos hechos demuestran fehacientemente que no existe ningn impedimento para que se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de ellos se podra generar las rdenes directas para tomar control de las interrupciones, o saltar de un programa anfitrin (host) o receptor, a otro en forma tan rpida y verstil. El autor de virus por lo general vive muy de prisa y tal pareciera que adems de haber incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores programadores de virus que han permitido que sus especies virales sean fcilmente detectadas, y es por ello que sin dejar de lado las formas tradicionales de programacin, ha creado adems sofisticadas rutinas y nuevas metodologas. Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus conceptos y teoras y los autores de virus no solamente se han convertido en ms creativos e ingeniosos, sino que continuarn apareciendo nuevas Tcnicas de Programacin, aprovechando de la facilidad de propagacin de sus especies virales, a causa del auge de Internet. Algunas tcnicas y estrategias de programacin de virus: INFECTOR RAPIDO Un virus infector rpido es aquel que cuando est activo en la memoria infecta no solamente a los programas cuando son ejecutados sino a aquellos que son simplemente abiertos para ser ledos. Como resultado de esto sucede que al ejecutar un explorador (scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar como resultado que todos o por lo menos gran parte de los programas sean infectados.

Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo ejecutable en forma muy rpida, empezando preferentemente con el COMMAND.COM y ubicndose en clusters vacios detrs de un comando interno, por ejemplo DIR, de tal modo que no solamente no incrementa el tamao del archivo infectado sino que adems su presencia es inadvertible. Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM ste no es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son alterados. Si bajo esta tcnica se ha decidido atacar a las reas del sistema el cdigo viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra posicin en el disco, pero a su vez emular al verdadero, y al ser un "clon" de boot le le ser muy fcil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones, imposibilitando el acceso al disco. INFECTOR LENTO El trmino de infector lento se refiere a un virus que solamente infecta a los archivos en la medida que stos son ejecutados, modificados o creados, pero con una salvedad: puede emplear tambin parte de la tcnica del infector rpido pero sin la instruccin de alteracin o dao inmediato al abrirse un archivo. Con la interrupcin 1Ch del TIMER su autor programa una fecha, la misma que puede ser especfica o aleatoria (ramdom) para manifestarse. Mientras tanto el virus permanece inactivo y encriptado en el archivo o rea afectada esperando su tiempo de activacin. Los virus del tipo "infector lento" suelen emplear rutinas de antideteccin sumamente eficientes, algunas de las cuales inhabilitan a las vacunas de los antivirus mas conocidos. Existen muchsimos software Utilitarios u otras herramientas Tools), que se obtienen en forma gratutita por Internet, que muestran las interrupciones que usan las vacunas al cargarse en memoria. Una vez conocidos estos IRQ's resultar muy fcil para un desarrollador de virus encontrar

la forma de deshabilitar o saltear el control de ciertas vacunas. ESTRATEGIA PARSE Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta nicamente a los archivos de menor extensin y al infectarlos en forma ocasional se minimiza la posibilidad de descubrirlo fcilmente. Por otro lado, el contador de ejecuciones de los archivos infectados con virus que emplea esta modalidad, tiene por lo general ms de una rutina de auto encriptamiento. La tcnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy lamentables. MODALIDAD COMPANION (acompaante) Modalidad Companion (acompaante) es aquella por la cual el virus en lugar de modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre, el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien recuerde el nombre de todos los archivos de los sub-directorios de su disco duro. Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, ste invoca al conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal modo que ste es ejecutado en primer lugar, por ser un archivo COM de una sla imgen (mximo 64k) y puede arrastrar el cdigo viral sin que el usuario se percate. Y as continuar hacindolo. Mas an, los verificadores de integridad (integrity checkers) fallarn en la accin de detectar este tipo de virus ya que stos utilitarios solo buscan los archivos existentes. Debido a que sta no es una tcnica frecuentemente empleada, algunos investigadores de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro criterio no es su exacto concepto y clasificacin. ESTILO ARMORED

Tambin conocido como virus blindado, es una forma muy peculiar de programacin, donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells), en el archivo que contiene el virus, para que ste no pueda ser fcilmente "rastreado" y mucho menos desensamblado. Pueden ser una o ms rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les conoce tambin como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria en 1987 fu el primer virus que us conjuntamente las tecnologas ARMORED y STEALTH. En Junio del 2000 se report el gusano VBS/Stages.SHS, el primer virus oculto propagado masivamente a travs de mensajes de correo electrnico en Internet. TECNICA STEALTH Un virus "stealth" es aquel que cuando est activado esconde las modificaciones hechas a los archivos o al sector de arranque que estn infectados. Esta tcnica hace uso de todos los medios posibles para que la presencia del virus pase totalmente desapercibida, anulan efectos tales como el tamao de los archivos, los cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O (entrada y salida) y redireccionando cualquier intento de leer este sector infectado. Cuando un virus "Stealth" est activo en memoria cualquiera de estos cambios pasarn desapercibidos al realizar un DIR, por ejemplo, ya que el virus habr tomado control de todo el sistema. Para lograr este efecto, sus creadores usan la interrupcin 21h funcin 57h. Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con la proteccin contra escritura, al efectuar la misma orden DIR se detectarn los cambios causados a los archivos infectados. Un virus de boot programado con esta tcnica reemplaza perfectamente al verdadero sector de arranque, que

tiene apenas 512 bytes y al cual mueve hacia otro lugar del disco pero que con una instruccin de salto vuelve otra vez a utilizarlo. Hoy da es posible crear virus con la tcnica Stealth, en cualquier lenguaje de programacin, adems del Assembler. VIRUS POLIMORFICOS (mutantes) Son quizs los ms difciles de detectar y en consecuencia de eliminar. Sus valores en la programacin van cambiando secuencialmente cada vez que se autoencriptan, de tal forma que sus cadenas no son las mismas. El virus polimrfico produce varias, pero diferentes copias de s mismo, manteniendo operativo su microcdigo viral. Un fcil mtodo de evadir a los detectores consiste en producir rutinas auto encriptadoras pero con una "llave variable". La tcnica polimrfica o "mutante" es muy sofisticada y demanda mucho conocimiento, ingenio y trabajo de programacin tal como se puede apreciar en el cdigo fuente del virus DARK AVENGER. Sin embargo existe uno de los ms ingeniosos generadores automticos de virus, llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un polimorfismo en la forma de mdulo objeto. Con este generador cualquier virus puede convertirse en polimrfico al agregarle ciertas llamadas a su cdigo assembler y "enlazndolas" al Mutation Engine, por medio de un generador de nmeros aleatorios. Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier rea vital del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en su totalidad. Este estilo de programacin tambin emplea el control de memoria dinmica as como algoritmos de compresin y descompresin de datos. FUNCION DESACTIVADORA o TUNNELING

Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse, habindose descubierto virus que usan originales artimaas para infectar a un sistema sin ser descubiertos. Mencionaremos el caso particular del blgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno CPW Arica. Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's ocupados por las vacunas logrando desactivarlas para acceder directamente a los servicios del DOS y del BIOS tomando absoluto control del sistema y sin restriccin alguna. Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de Microsoft y otros antivirus son muy conocidas por los creadores de virus. Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus suelen utilizar esta tcnica en su necesidad de "by-pasear" un virus nuevo y desconocido que podra estar activo cuando se est explorando un sistema. PROGRAMADORES DEL PPI La mayora de virus "musicales" y los que afectan a los perifricos pertenecen a esta categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta de sonido, un mdem o CD-ROM por ejemplo, el software instalador de cada uno de stos se encarga de programar automticamente el PPI (Interfase Programable de Perifricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt request), los cuales son asignados para ser usados especficamente por cada perifrico, para evitar que tengan conflictos con otros ya existentes.

Programar el PPI por medio del lenguaje assembler es relativamente fcil y si a esta programacin se le incluye la funcin correspondiente al TIMER y caracteres de sonido, se estar creando un virus "musical". Del mismo modo, pero con otras instrucciones se podr afectar a las impresoras, tarjetas de sonido, de redes o mdems, provocando diferentes efectos o manifestaciones. Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se pueden programar virus combinando cualquiera de las modalidades explicadas en este mdulo. VIRUS ANEXADO El virus anexado (attached) no es una tcnica de programacin de virus, es una nueva modalidad de difundirlo. Con el incremento del intercambio de informacin por correo electrnico, a causa de la gran demanda de uso de los servicios de Internet, los desarrolladores de virus han hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un mesaje de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con consecuencias de dao inmediato a los sistemas de los usuarios, que por motivos de curiosidad cometan el error de abrir estos archivos. Para lograr este propsito de despertar la curiosidad innata en el ser humano, los autores de esta modalidad de difusin emplean argumentos en el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una informacin muy interesante que te va a convenir", etc., etc. Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP, ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o archivos con extensin .SHS y si adems contienen instrucciones de autoenviarse a la Libreta de Direcciones del software de correo del usuario, su propagacin tendr un efecto multiplicador.

Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orgen totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo, asi como tambin el mensaje de orgen. El virus Melissa, difundido en Marzo de 1999, as como el virus Papa son muestras de esta modalidad de difusin y recientemente el ExploreZip, el LoveLetter y el VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo el mundo. VIRUS EN JAVA En 1991 Sun Microsystems, empez a desarrollar un proyecto de lenguaje, con el cdigo GREEN, bajo la direccin de James Goslin, inicialmente con el propsito de administrar y controlar interactivamente los dispositivos conectados a las redes. Surgieron algunas situaciones frustrantes, pero por suerte, en pocos aos se empez a popularizar Internet. Entonces el proyecto se convirti en un intento de resolver simultneamente, todos los problemas que se le planteaban a los desarrolladores de software por la diversidad de arquitecturas incompatibles, los sistemas operativos y lenguajes de programacin y la dificultad de crear aplicaciones distribuidas en Internet. Java fu inicialemente desarrollado en C++, pero paulatinamente se fu independizando, escribiendo su propio lenguaje denominado Oak, que finalmente termin convirtindose en Java. En 23 de Mayo de 1995 fu lanzado al mercado el HotJava Browser, y ese mismo ao Netscape decidi habilitar a Java en su versin 2.0 de 1996. Es a partir de esa oportunidad que Java empez a popularirase en todo el mundo. Las caractersticas mas importantes de Java son: 1. Es de arquitectura portable, neutral y robusta. 2. Es simple, orientada a objeto y muy verstil.

3. Es interpretado. El intrprete Java (system run-time) puede ejecutar cdigo objeto.

Un Applet de Java es un programa dinmico e interactivo que puede ser ejecutado dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un programa Java puede ser ejecutado por s mismo. En todos los casos, bajo una jerarqua de Clase, Sub-Clase o Super Clase. Con todas estas caractersticas de un poderoso lenguaje, los creadores de virus pensaron tambin en Java, como un medio para producir especies virales. Debido a ciertas restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos, as como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables: Java.Beanhive La tecnologa empleada en este virus tiene varias ventajas. La forma multi-componente de infeccin permite al virus esconder su cdigo en los archivos infectados: su longitud crece en muy pequeos valores y despus de una ligera observacin el cdigo insertado pareciera no ser daino. La combinacin del llamado starter-main tambin le permite a su autor, "actualizar" el virus con nuevas versiones al reemplazar el cdigo principal en su servidor. Cabe mencionar que este virus o cualquier virus de Java se puede propagar y reproducir en condiciones limitadas. La proteccin estndar de seguridad de los navegadores cancela cualquier intento de acceder a las unidades de disco o recoger (download) archivos como una aplicacin Java, an en modo remoto. Consecuentemente el virus puede ser propagado nicamente cuando es ejecutado en un archivo de disco, como una aplicacin Java, al usar el Java machine. Detalles Tcnicos El ejecutor del virus es un pequeo programa Java de apenas 40 lneas de cdigo, que cuando toma el control de un sistema, se conecta al servidor WEB remoto, enva (download) el cdigo del virus que es guardado en el archivo BeanHive.class y se ejecuta como una sub-rutina. El cdigo viral est

dividido en 6 partes y es almacenado en 6 diferentes archivos Java: BeanHive.class : bsqueda de archivos en un rbol de directorio +--- e89a763c.class : analiza el formateo de archivo |--- a98b34f2.class : acceso a las funciones del archivo |--- be93a29f.class : preparacin para la infeccin (parte 1) |--- c8f67b45.class : preparacin para la infeccin (parte 2) +--- dc98e742.class : insertado del virus en el sistema infectado Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el cdigo de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de cdigos, la invocacin para su sub-rutina loadClass "BeanHive". El parmetro enviado "BeanHive" apunta al nombre del archivo remoto en el servidor WEB y empieza la infeccin con su cdigo viral.

VIRUS EN VBS Debido al auge de Internet los creadores de virus han encontrado una forma de propagacin masiva y espectacular de sus creaciones a travs mensajes de correo electrnico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensin .VBS El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000 este tipo de archivos dej de ser empleado y fu reemplazado por los Visual Basic Scripts. Un Visual Basic Script es un conjunto de instrucciones lgicas, ordenadas secuencialmente

para realizar una determinada accin al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicacin, almacenadas bajo un nombre de archivo y extensin adecuada. Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicacin mIRC, pIRC, AutoCad, etc. Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de dao y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagacin. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. Tambin es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensin .VBS. Actualmente existen 2 medios de mayor difusin de virus en VBS: 1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas") El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicacin entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat). Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, est conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexin, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales. Las conversaciones pueden ser pblicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicacin entre 2 personas). Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea

comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable. Como atacan los gusanos (VBS/Worms) Todos los gusanos del Chat, siguen el mismo principio de infeccin. Usando el comando SEND file, envan automticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, adems de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el cdigo viral sobrescribe al original, en el sistema remoto del usuario, logrando infectarlo, as como a todos los usuarios conectados a la vez, en ese mismo canal. Este tipo de propagacin de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98. 2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook. Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecucin de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque tambin pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensin .VBS Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fcil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de reenviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.

Estas infecciones tambin se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.

VIRUS EN .SHS La ltima modalidad de propagacin masiva de virus, a travs de Internet ha surgido a partir de la creacin de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene algunas variantes, VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaa a los usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS), pero con la extensin .SHS Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto Basura). Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la extensin .SHS. Los archivos Scrap fueron creados desde la primera versin de Windows 95, para permitir que los textos y grficos puedan ser arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft Office. Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin y ejecutar el programa que contiene en forma oculta, al hacerle un doble click. Cuando es distribuido a travs del correo electrnico, transferido como mensaje dentro de la Red u otro medio basado en la Web, la extensin .SHS se hace visible, pero una vez que es grabado al disco duro, desaparecer otra vez. Al tener estas caractersticas, puede ocultar archivos ejecutables, mayormente usados como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.

Con esta nueva modalidad de propagacin se facilita e incrementa el factor de riesgo de infeccin de virus entre los usuarios de Internet, quienes a su vez infectarn a los que se conecten sus estaciones de trabajo, dentro de redes locales o Intranets.

QUE ES UNA MUTACION ? Se conoce con el nombre de mutacin a la alteracin intencional o accidental de un virus informtico que ya fue creado con anterioridad.

Decimos que es una mutacin accidentada cuando son ocasionadas por programadores que buscan la eliminacin de estos virus, provocando en sus investigaciones variaciones en el cdigo original del virus, dando lugar a nuevas versiones del mismo virus. Pero tambin hay mutaciones intencionales cuando los programadores solo buscan causar daos perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada vez ms peligrosos.

SINTOMAS DE UN EQUIPO INFECTADO

Del procedimiento de Deteccin El Procedimiento de Deteccin de los virus informticos debe garantizar que la posible existencia de un virus en un medio magntico u ptico no ingrese directamente al Sistema. Para ello, el programa de deteccin de virus debe ser instalado en la memoria, a fin de que permanentemente se controle cualquier medio de almacenamiento que sea utilizado con el equipo de cmputo.

Se consideran medios de infeccin por virus a los siguientes :

De un diskette infectado proveniente de una fuente exterior al equipo de cmputo. A travs de la adquisicin o movimiento de mquinas infectadas en el centro de cmputo. A travs de los diferentes tipos de comunicaci n entre equipos de cmputo. Cuando un Sistema Operativo est infectado, se presenta cualquiera de los siguientes sntomas :
o

El carga do de los progr amas toma ms tiemp o de lo

norm al.
o

Dem ora exces iva en los acces os al disco, cuand o se efect an opera cione s sencil las de escrit ura. Se produ cen inusu ales mens ajes de errore s. Se encie nden las luces de acces oa los dispo sitivo s, cuand o no son reque

ridos en ese mom ento.

Dispo sicin de meno s mem oria de lo norm al. Desa parec en progr amas o archi vos miste riosa ment e. Se reduc e repen tinam ente el espac io del disco. Los archi vos ejecut ables camb ian de tama o.

Apar ecen, inexp licabl emen te, algun os archi vos escon didos. Apar ece en la panta lla una serie de caract eres espec iales sin ningu na expli caci n lgic a. Algu nos coma ndos no puede n ser ejecut ados, princi palm ente los archi vos con

exten sin . COM y .EXE .

A veces infect an prime ro el COM MAN D.CO M, pero como su funci n es la de segui r infect ando ste conti nuar opera ndo. La razn por la que cierto s ejecut ables no puede n ser activa dos se debe a que simpl

emen te el virus puede haber los borra do.

Al prend er el equip o no se puede acces ar al disco duro, esto es debid oa que el virus ya malo gr el coma ndo COM MAN D.CO My se muest ra el siguie nte mens aje :

<>"bad or missing command i o Los archi vos ejecut ables de los

gesto res de bases de datos como dBas e, Clipp er, FoxP ro, etc., estn opera tivos, sin emba rgo la estruc tura de los archi vos DBF estn averi ados o camb iados. Lo mism o puede ocurri r con las hojas de clcul o como Lotus 1-2-3, QPro, Excel , etc.

El siste ma empi eza a colg arse. Pued e ser un virus con la orden de provo car resete os aleato rios. Ciert o perif ricos tales como : la impre sora, mde m, tarjet a de sonid o, entre otros no funci onan. El siste ma no carga norm alme nte o

se interr umpe en los proce sos.

Los archi vos ejecut ables segui rn existi endo pero como el cdig o del virus est prese nte en la mayo ra de los casos aume ntar el tama o de los archi vos infect ados. La panta lla muest ra smb olos ASCI I muy

raros com nmen te conoc idos como basur a, se escuc han sonid os inter miten tes, se produ cen bloqu eos de cierta s teclas .
o

CO MO PRE VEN IR LOS VIR US INF OR MAT ICO S

C o nt r ol d e la I nf

o r m a ci n I n g re sa d a :

N o d e b e n u ti li z a rs e d is k et te s u s a d o s, p r o v e n ie n te

s d el e x te ri o r d e la I n st it u ci n.

U ti li z a r si e m p r e s o ft w a r e c o m e r ci al o ri g

i n al .

M a n te n e r la p r o te c ci n d e e s c ri t u r a e n t o d o s l o s d is c o s d e p r

o g r a m a s o ri g i n al e s y d e la s c o p ia s d e s e g u ri d a d En espec ial de los disco s del siste ma opera tivo y de las herra mient as

antivi rus.

S i p o r r a z o n e s d e tr a b aj o f u e r a n e c e s a ri o la u ti li z a ci n d e u n m e

d i o m a g n t ic o u p ti c o v e n i d o d el e x te ri o r, st e d e b e r n e c e s a ri a m e n

te p a s a r p o r l o s c o n tr o le s si g u ie n te s :

Identificar el medio de almacenamien que contiene la informacin. Los medios magnticos u pticos de almacenamien (diskettes, cintas, cartuchos, discos u otros) que contienen archivos de informacin, deben estar debidamente etiquetados, tanto interna como externamente.

Chequear el medio magntico u ptico, median un procedimiento de deteccin d virus, establecido po el organismo competente de la Institucin.

Registrar el medio magntico u ptico, su orig y la persona qu lo porta.

Los medi os de detec cin de virus deben ser actual izado s mens ualm ente, de acuer do a las nueva s versi ones de los detect ores de virus que adqui

era la Instit ucin . Debe r utiliz arse progr amas antivi rus origin ales.

D el P er so n al U s u a ri o d e la s C o m p ut a d o r as :

E l p e rs o

n al q u e ti e n e a c c e s o a la s c o m p u ta d o r a s e n f o r m a m o n o u s u a ri a, d e b e

r e n c a r g a rs e d e d et e ct a r y el i m i n a r e n l o s m e d i o s m a g n t ic o s u p ti

c o s, la i n f e c ci n o c o n ta g i o c o n v ir u s. A ta l e f e ct o, u ti li z a r l o s p r o c e

d i m ie n t o s e st a b le ci d o s p o r el r g a n o c o m p et e n te d e la I n st it u ci n. Este perso nal es

respo nsabl e del contr ol de los medi os magn ticos u ptic os venid os del exteri or as como de la posib le introd ucci n de virus en el equip o de comp uto.

L a s c o m p u ta d o r a s c o n e ct

a d a s a u n a R e d, p r e f e r e n te m e n te , n o d e b e r n te n e r u n i d a d e s d e d is

k et te s, a fi n d e p r e v e n ir la i n f e c ci n d e v ir u s i n f o r m t ic o s. E l u s o d e l o

s d is k et te s d e b e r s e r e f e ct u a d o p o r el a d m i n is tr a d o r d e r e d.

O tr as M e

di d as d e P re v e n ci n C o nt r a V ir u s :

S e m a n al m e n te d e b e r e f e ct u a rs e u n

r e s p al d o d e t o d a la i n f o r m a ci n ti l q u e s e e n c u e n tr a al m a c e n a d a e

n el d is c o d u r o. Dicha activi dad ser realiz ada por el respo nsabl e desig nado para este fin.

E n c a s o d e q u e s e la b o r e e n r e d

o e n m o d o m u lt i u s u a ri o, el a d m i n is tr a d o r d e la r e d h a r u n r e s p al d o d ia

ri o d e la i n f o r m a ci n ti l d el d is c o.

P o r n i n g n m o ti v o d e b e u s a rs e l o

s s e r v i d o r e s d e r e d c o m o e st a ci o n e s d e tr a b aj o.

S l o l o s a r c h i v o

s d e d at o s y n o l o s p r o g r a m a s ej e c u ta b le s d e b e r n s e r c o p ia d o s d e u

n a c o m p u ta d o r a a o tr a.

T o d o d is k et te d e b e, n o r m al m e n te , e st a r p r o te g i

d o c o n tr a e s c ri t u r a p a r a e v it a r s u p o si b le i n f e c ci n al m o m e n t o d e la

le ct u r a.

E l S is te m a d e b e c a r g a rs e d e s d e u n d is k et te q u e s e a o ri g i n al , o

e n s u d e f e ct o d e s d e u n a c o p ia , e s p e ci al m e n te p r e p a r a d a y v e ri fi c a d

a p a r a q u e n o c o n te n g a v ir u s i n f o r m t ic o s.

N u n c a s e d e b e d e ej e c u ta

r p r o g r a m a s d e o ri g e n d e s c o n o ci d o s.

N o s e d e b e a a d ir a r c h i v o s

d e d at o s o p r o g r a m a s a d is k et te s q u e c o n ti e n e n p r o g r a m a s o ri g i n al

e s.

E f e ct u a r p e ri d ic a m e n te la d e p u r a ci n d e a r c h i v o s e n l o s d is c o

s d u r o s d e la c o m p u ta d o r a. 11. DA OS DE LOS VIR US. Defin iremo s dao como acci n una indes eada, y los clasif icare mos segn la canti dad de tiemp o neces aria

para repar ar dicho s daos . Exist en seis categ oras de daos hecho s por los virus, de acuer do a la grave dad.
o

DA OS TRI VIA LES. Sirva como ejem plo la forma de trabaj o del virus FOR M (el ms com n): En el da 18 de cada mes

cualq uier tecla que presi onem os hace sonar el beep. Desh acers e del virus impli ca, gener alme nte, segun dos o minut os.
o

DA OS MEN ORE S. Un buen ejem plo de este tipo de dao es el JERU SAL EM. Este virus borra, los viern es 13,

todos los progr amas que uno trate de usar despu s de que el virus haya infect ado la mem oria reside nte. En el peor de los casos, tendr emos que reinst alar los progr amas perdi dos. Esto nos llevar alred edor de 30 minut os.
o

DA OS MO DER ADO S.

Cuan do un virus forma tea el disco rgido , mezcl a los comp onent es de la FAT (File Alloc ation Table , Tabla de Ubica cin de Archi vos), o sobre scribe el disco rgido . En este caso, sabre mos inme diata ment e qu es lo que est suced iendo ,y podre mos

reinst alar el siste ma opera tivo y utiliz ar el ltim o backu p. Esto quiz s nos lleve una hora.
o

DA OS MAY ORE S. Algu nos virus, dada su lenta veloc idad de infec cin y su alta capac idad de pasar desap ercibi dos, puede n lograr que

ni an restau rando un backu p volva mos al ltim o estad o de los datos. Un ejem plo de esto es el virus DAR K AVE NGE R, que infect a archi vos y acum ula la canti dad de infec cione s que realiz . Cuan do este conta dor llega a 16,

elige un sector del disco al azar y en l escrib e la frase: "Eddi e lives some wher e in time" (Eddi e vive en algn lugar del tiemp o). Esto puede haber estad o pasan do por un largo tiemp o sin que lo note mos, pero el da en que detect emos

la prese ncia del virus y quera mos restau rar el ltim o backu p notar emos que tambi n l conti ene sector es con la frase, y tambi n los backu ps anteri ores a ese. Pued e que llegu emos a encon trar un backu p limpi o, pero ser tan viejo

que muy proba blem ente haya mos perdi do una gran canti dad de archi vos que fuero n cread os con poste riorid ad a ese backu p.
o

DA OS SEV ERO S. Los daos sever os son hecho s cuand o un virus realiz a camb ios mni

mos, gradu ales y progr esivo s. No sabe mos cund o los datos son corre ctos o han camb iado, pues no hay pistas obvia s como en el caso del DAR K AVE NGE R (es decir, no pode mos busca r la frase Eddie lives . ..).
o

DA OS ILIM ITA DOS.

Algu nos progr amas como CHE EBA, VAC SINA .44.L OGI Ny GP1 entre otros, obtie nen la clave del admi nistra dor del siste ma y la pasan a un tercer o. Cabe aclara r que estos no son virus sino troya nos. En el caso de CHE EBA, crea un nuev o usuar

io con los privil egios mxi mos, fijand o el nomb re del usuar io y la clave. El dao es enton ces realiz ado por la tercer a perso na, quien ingre sar al siste ma y hara lo que quisie ra. LOS MAC RO VIR US los macr o virus, son

las espec ies virale s que rompi eron los esque mas de progr amaci n y ejecu cin de los virus tradic ional es Los macr o virus son una nueva famili a de virus que infect an docu ment os y hojas de clcul o. Fuero n report ados a partir de 1995,

camb iando el conce pto que los virus tan slo poda n infect ar o propa garse a travs de archi vos ejecut ables. Los daos que ocasi onan estos virus depen de de sus autor es siend o capaz desde camb iar la confi gurac in del Wind ows, borra r

archi vos de nuest ro disco duro, envia r por corre o cualq uier archi vo que no nos demo s cuent a, mand ar a impri mir docu ment os inesp erada ment e, guard ar los docu ment os como planti llas, entre otros. Los Macr o Virus , son capac

es de tomar el contr ol de ambi ente en el que viven .

CAR ACT ERIS TIC AS DE LOS MAC RO VIR US : Los macr o virus tiene n2 carac terst icas bsic as :

I n f e ct a n n ic a m e n

te d o c u m e n t o s d e M S W o r d o A m i P r o y h o ja s d e c l c u l o E x c el .

P o s e

e n la c a p a ci d a d d e i n f e ct a r y p r o p a g a rs e p o r s m is m o s. Los macr o virus, no puede n graba r los docu

ment os infect ados en ning n otro forma to que no sean las planti llas, el archi vo es conve rtido a planti lla y tiend e a no permi tir graba r el archi vo o docu ment o en ning n otro direct orio, usand o el coma ndo SAV E AS. Estos son algun os de los

virus ms conoc idos que afecta na las macr os :

C A P : E s u n c o nj u nt o d e di ez m ac ro s e n cr ip ta d os (e l us u ar io in fe ct a

d o n o p u e d e v er lo s ni e di ta rl os ), m u es tr a el si g ui e nt e te xt o e n la p a nt al la :

C.A.P : Un virus "j4cKy Qw3rTy Venezuela, Mar PD : Que haces

C u a n d o i n f e ct a el W o r d, el v ir u s m o d if ic a ci n c o m e n s e x is te n te s, r e d ir e c

ci o n n d o l o s al c d i g o d el v ir u s. L o s p r o b le m a s q u e c r e a s o n d if e r e n

te s, d e p e n d ie n d o d el ti p o d e i n st al a ci n y el le n g u aj e d el W o r d q u e e st e e n u

s o. A l i n f e ct a r l o s d o c u m e n t o s, b o rr a t o d o s l o s m a c r o s p r e e x is te n

te s, p e r o n o ti e n e u n e f e ct o d e st r u ct i v o e n s m is m o. O c u lt a e n el m e n d e H

e rr a m ie n ta s la o p ci n M a c r o s.

W M . C O N C E P T : E s u n m a c r o v ir u s M S W o

r d q u e u s a ci n c o m a c r o s p a r a i n f e ct a r, y p r o p a g a rs e. L o s m a c r o s s e

ll a m a n : A A A Z A O , A A A Z F S , A u t o O p e n, F il e S a v e s A s, P a y l o a d.

W A Z

Z U : E s u n m a c r o v ir u s q u e i n f e ct a d o c u m e n t o s d e M ic r o s o ft W o r d p a

r a W i n d o w s, s o l o c o n ti e n e la m a c r o A u t o o p e n. C u a n d o u n d o c u m e n t

o e s a b ie rt o el v ir u s g e n e r a u n n m e r o al e at o ri o m a y o r a 0 y m e n o r a 1. S i

e st e n m e r o e s m e n o r q u e 0. 2, el v ir u s m u e v e la p al a b r a a o tr o l u g a r al a z

a r, d e n tr o d el m is m o d o c u m e n t o, si el n m e r o e s m e n o r q u e 0. 2 5, el v ir u s i n

s e rt a r la p al a b r a :

"wazzu" MDMA : Es un virus que borra archivos especfic os de Window s 95, haciendo uso de la macro AutoClo se, o el FORMA T.C, el virus dentro de la macro AutoOpe n ordena formatea r el disco duro. XM.LA ROUX : Es el primer macro virus funciona l en EXCEL,

descubie rto en julio de 1996. El cdigo del macro consiste de dos macros llamados : Auto_Op en y Check_F iles. Los macros son almacen ados en una hoja de datos escondid a, llamada Laroux .

XM.SO FA : Descubie rto en diciembr e de 1996, se propaga por medio de un archivo llamado BOOK. XLT. Este virus contiene cuatro macros :

Auto_Op en, Auto_Ra nge, Current_ Open y Auto_Cl ose. Cuando se abre un archivo infectado , el virus toma el control y cambia el ttulo arriba de la ventana a Microso fa Excel en lugar de Microso ft Excel.

M E T O D O D E I N F E C C I O N Y E

F E C T O S D E L O S M A C R O V I R U S INFEC CIN Cuando un documen to es abierto por primera vez, la aplicaci n (Word, Excel, etc.) buscan la presenci a del macro AutoOpe n, si lo encuentr a y la variable global Disable AutoMa

cros no est seleccion ada, entonces Word o Excel automti camente ejecutan el macro AutoOpe n (sin notificar nada al usuario). Al igual sucede cuando se cierra la aplicaci n, se ejecuta la macro AutoClo se si est presente. En Word, los macros son guardado s en archivos denomin ados "plantilla s", as que durante una infeccin , los macro virus son capaces de

convertir los documen tos a plantillas y copiarse en ellos. Al moment o de ser infectado , los datos son mezclad os con cdigo ejecutabl e, que normalm ente estn escondid os a la vista del usuario. Entonces cuando se vea el documen to, este estar infectado , se podr trabajar normalm ente pero la plantilla con virus seguir infectand o documen tos y las macros que utilice.

Los macro Virus infectan la macro global Normal. dot y FileSave As, las cuales se graban automti camente al final de cada sesin de trabajo. EFECT OS Una vez que se infecta un documen to u hoja de clculo, los macro virus son capaces de aduears e de las funcione s de la aplicaci n, evitando por ejemplo, que el usuario guarde la informac in que ha estado

escribien do por minutos u horas, no se puede mandar a imprimir , entre otros. En el caso de Word los macro virus se instalan en la plantilla Normal. dot, que es la que el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo guardem os, estaremo s infectand o los documen tos. En Excel ocurre algo similar con el archivo Personal. XLS. En

el men de la Barra de Herrami entas desapare ce la opcin Macros. Los macros virus ms conocido s actualme nte son de documen tos de Microsof t Word. Los macros son un conjunto de instrucci ones y comando s. El lenguaje de macros, es una herramie nta poderosa , nos permite ejecutar tareas como por ejemplo : copiar archivos, ejecutar

program as, cambiar archivos, etc.

E L I M I N A C I O N D E U N M A C R O V I R U S M A N U A L M E N T E .

El documento en plantilla.

En el men de oculta la opci

Para descubrir

Men "Ver" se "Barra de Herr

Se pulsa el bot

Se escoge la o despus "Men Macros"

Se pulsa el bot

Abrimos el me hacemos click luego la opci observaremos

Crear un nuev

Abrir el docum

Seleccionar el "Edicin", dar

Abrir el Word men "Edicin "Pegar".

Guardar el doc previamente cr

Repetir todos l los documento

Eliminar todos infectados.

Borrar la plant

ANTIVI RUS QU ES UN ANTIVI RUS?.

No para toda enferme dad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existente s. Es importan te aclarar que todo antivirus es un program a y que, como todo program a, slo funciona r correcta mente si es adecuad o y est bien configur ado. Adems, un antivirus es una herramie nta para el usuario y no slo

no ser eficaz para el 100% de los casos, sino que nunca ser una protecci n total ni definitiv a. La funcin de un program a antivirus es detectar, de alguna manera, la presenci a o el accionar de un virus informti co en una computa dora. Este es el aspecto ms importan te de un antivirus, independ ientemen te de las prestacio nes adicional

es que pueda ofrecer, puesto que el hecho de detectar la posible presenci a de un virus informti co, detener el trabajo y tomar las medidas necesaria s, es suficient e para acotar un buen porcentaj e de los daos posibles. Adiciona lmente, un antivirus puede dar la opcin de erradicar un virus informti co de una entidad infectada . LOS ANTIVI RUS INFOR

MATIC OS Un antivirus es cualquier metodol oga, program ao sistema para prevenir la activaci n de los virus, su propagac in y contagio dentro de un sistema y su inmediat a eliminaci n y la reconstru ccin de archivos o de reas afectadas por los virus informti cos. Los antivirus permiten la detecci ny eliminaci n de virus. Un virus es

identific ado mediante una cadena del antivirus que busca, encuentr ay elimina los distintos virus informti cos. El software antivirus contrarre sta de varias maneras los efectos de los virus informti cos para detectarl os. La mayora de las solucion es se basan en tres compone ntes para la detecci n: exploraci n de acceso, exploraci n requerid

a, y suma de comprob acin. La exploraci n de acceso : Inicia automti camente una exploraci n de virus, cuando se accede a un archivo, es decir al introduci r un disco, copiar archivos, ejecutar un program a, etc. La exploraci n requerid a : El usuario inicia la exploraci n de virus. Las exploraci ones se pueden ejecutar inmediat amente,

en un directori oo volumen determin ado. La suma de comprob acin o comprob acin de integrida d: Mtodo por el que un producto antivirus determin a si se ha modifica do un archivo. Como el cdigo vrico se une fsicame nte a otro archivo, se puede determin ar tal modifica cin guardand o la informac in del archivo antes de la infeccin .

La suma de comprob acin es generalm ente exacta y no necesita actualiza ciones. Sin embargo la suma de comprob acin no proporci ona ni el nombre, ni el tipo de virus. Los program as antivirus se compone n fundame ntalment e de dos partes : un program a que rastrea (SCAN), si en los dispositi vos de almacen amiento se encuentr a alojado algn virus, y otro

program a que desinfect a (CLEAN ) a la computa dora del virus detectad o. TIPOS DE ANTIVI RUS

Antivirus Detectores o Rastreadores Son aquellos antivirus que usan tcnicas d bsqueda y deteccin explorando o rastreando tod el sistema en busca de un virus. Estos programas se utilizan para detectar virus que pueden es en la memoria en el sector de arranque del disco duro, en zona de particin del disco y en algunos programas. Dependiendo d la forma de analizar los archivos los podemos clasificar a su vez en antiviru

de patrn y heurstico.

Antivirus de Patrn : Realizan el anlisis de los archivos por medio de la bsqueda en e archivo de una cualidad particular de lo virus. Existen antivirus especficos par un determinad virus, conociendo su forma de ataca y actuar.

Antivirus Heurstico : Este antivirus busca situaciones sospechosas en los programas, simulando la ejecucin y observando el comportamien del programa.

Limpiadores Eliminadores Una vez desactivada la estructura del virus procede eliminar o erradicar el virus de un archivo, del sector de arranque de un disco, en la zo de particin de un disco y en

algunos programas. Estos antivirus deben tener una base de datos con informac in de cada virus para saber que mtodo de desinfec cin deben usar para eliminar el virus. Dependi endo de los efectos de la especie viral proceder a reconstru ir las partes afectadas por el virus informti co.

Protectores o Inmunizadore : Es un programa para prevenir la contaminacin

de virus, estos programas no son muy usado porque utilizan mucha memor y disminuyen velocidad de la ejecucin de algunos programas y hasta del computador.

Residentes: Permanecen en memoria para reconocimient de un virus desde que es ejecutado. Cad vez que cargamos un programa, el antivirus lo analiza para verificar si el archivo esta infectado o no con algn viru informtico.

TECNI CAS DE LOS ANTIVI RUS

Escaneo de Firmas : La mayora de los programas antivirus utiliz esta tcnica. Revisan los programas par localizar una secuencia de instrucciones que son nicas de los virus.

Chequeo de Integridad: Utilizan el Chequeo de Redundancia Cclica (CRC) es decir toman las instruccion de un program como si fuesen datos y se hace un clculo, se graban en un archivo los resultados, y luego se revisa si el programa fu modificado o alterado.

Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas, por ejemplo cuand un programa pide cargarse e memoria y permanecer residente, alter el rea de arranque o modificar un archivo de alg programa. Esta tcnica funcion residente en memoria supervisando continuamente cuando se ejecuta un programa, entonces intercepta los llamados a funciones sospechosas.

Anlisis Heurstico : Analiza cada programa sospechoso sin ejecutar sus instrucciones, que hace es desensamblar cdigo de mquina para saber que hara el programa si se ejecuta. Avi al usuario si el programa tiene instrucciones para hacer algo raro en un programa normal, pero que es comn los virus, pued revisar varios todos los programas de disco, e indica que puede suceder algo raro cuando se ejecute el programa.

ANTIVI RUS INTER NACIO NALES La primera generaci n de antivirus eran vacunas TSR o eliminad

ores para cada especie de virus. Entre ellos estaban el BBSTO P para el Bouncin g Ball, BRSTO P para el Brain, MBSTO P para el Marihua na, los cuales deban instalars e en el Autoexe c.bat para poder proteger el sistema contra estos virus. Cuando la program acin de virus aument se volvi imposibl e ubicar las diferente s vacunas residente s en la memoria y ello

motiv la generaci n de los software s antivirus. Uno de los primeros program as antivirus fueron : FLUSHOT, VPROT ECT y VIRUSC AN. Actualm ente existen muchos program as antivirus, con diversos estilos de program acin nombres como el Dr. SOLOM ONS Toolkit de Alan Solomon , NORTO N ANTIVI RUS de Symante c, CPAV de

Central Point, FPROT de Fridrik Skulason , VIRUSS CAN de McAfee entre otros. A continua cin algunos antivirus extranjer os y sus caracter sticas :

TBAV : THUND ERBYT E ANTIVI RUS

El Thunder byte Antiviru s provee : Detecci n por firmas (TbScan) , chequeo de integrida d por clculo (TbSetup y TbScan), bloqueo de

instrucci ones sospecho sas (TbMem , TbFile y TbDisk).

F-PROT ANTIVI RUS

Brinda detecci n de virus por firmas y detecci n heurstic a de instrucci ones sospecho sas.

ANTIVI RUS ANYW ARE

Protecci n permane nte, reconoce y elimina ms de 11,400 virus, incluyen do los macro virus. Detecta virus no conocido s mediante

el mtodo heurstic o, analiza los archivos comprim idos.

VIRUSS CAN DE MCAFE E

Fcil de instalar no ocupa mucha memoria , tiene una grande base de datos, incluyen do los virus macros, permane ce en memoria , se actualiza constant emente por Internet. Entre otros antivirus extranjer os tenemos :

Cheyenne Ant

Forefront Anti

IBM Antivirus Pc-Cillin II

Panda Softwar

ANTIVI RUS NACIO NALES

THE HACKE R

Hacksoft es una empresa peruana dedicada al desarroll o de software de segurida d de datos. La empresa tiene un prestigio ganado por su producto THE HACKE R, el cual protege, detecta y elimina a virus informti cos, esta empresa tambin

brinda el servicio de asesoram iento y recupera cin de la informac in. Las primeras investiga ciones en el rea se inician a finales de 1,990 la primera versin del antivirus THE HACKE R es emitida en agosto de 1,992.

PER ANTIVI RUS

En 1,993 se crea

PER SYSTE M S.A., que tiene como principal servicio el desarroll o de software aplicativ o para PCs, haciendo uso en primera instancia del Lenguaje BASIC, luego del Quick BASIC y posterior mente del Turbo Pascal. En 1,985, inicia sus investiga ciones sobre los virus informti cos debido a la aparicin en Lima y rpida propagac in de los virus (c) Brain y Bouncin

g Ball (Bolita Saltarina ), concibie ndo as el antivirus PER cumplien do con las expectati vas de los usuarios de esa poca, desarroll ando permane ntemente estudios de investiga cin como aporte empresar ial para la detecci n, eliminaci n y prevenci n de virus a las diferente s Instituci ones y Entidade s Pblicas como a usuarios.

CONCL USION ES GENER ALES En razn de lo expresad o pueden extraerse algunos concepto s que pueden consider arse necesari os para tener en cuenta en materia de virus informti cos:

No todo lo que afecte el normal funciona miento de una computa dora es un virus. TODO virus es un program a y, como tal, debe ser ejecutad o para activarse .

Es impresci ndible contar con herramie ntas de detecci ny desinfec cin. NING N sistema de segurida d es 100% seguro. Por eso todo usuario de computa doras debera tratar de impleme ntar estrategi as de segurida d antivirus, no slo para proteger su propia informac in sino para no convertir se en un agente de dispersi n de algo que puede

producir daos graves e indiscri minados. Para impleme ntar tales estrategi as deberan tenerse a mano los siguiente s elemento s:

U N D I S C O D E S I S T E M A P R O T E G I D O C O N T

R A E S C R I T U R A Y L I B R E D E V I R U S : U n d is c o q u e c o n te n g a el si st e m a o p e

r at i v o ej e c u ta b le ( e s d e ci r, q u e la m q u i n a p u e d a s e r a rr a n c a d a d e s d

e e st e d is c o ) c o n p r o te c ci n c o n tr a e s c ri t u r a y q u e c o n te n g a, p o r l o m

e n o s, l o s si g u ie n te s c o m a n d o s: F O R M A T , F D I S K , M E M y C H K D S K ( o S C A

N D I S K e n v e rs i o n e s r e ci e n te s d el M S D O S ).

P O R L O M E N O S U N P R O G R

A M A A N T I V I R U S A C T U A L I Z A D O : S e p u e d e c o n si d e r a r a ct u al iz a d o a u

n a n ti v ir u s q u e n o ti e n e m s d e tr e s m e s e s d e s d e s u f e c h a d e c r e a ci

n ( o d e a ct u al iz a ci n d el a r c h i v o d e st ri n g s) . E s m u y r e c o m e n d a b le te n e

r p o r l o m e n o s d o s a n ti v ir u s.

U N A F U E N T E D E I N F O R M A C I N S O B R E V

I R U S E S P E C F I C O S : E s d e ci r, al g n p r o g r a m a, li b r o o a r c h i v o d e te x

t o q u e c o n te n g a la d e s c ri p ci n, s n t o m a s y c a r a ct e r st ic a s d e p o r l o m e

n o s l o s ci e n v ir u s m s c o m u n e s.

U N P R O G R A M A D E R E S P A L D O D E R E

A S C R T I C A S : A l g n p r o g r a m a q u e o b te n g a r e s p al d o ( b a c k u p ) d e

l o s s e ct o r e s d e a rr a n q u e d e l o s d is q u et e s y s e ct o r e s d e a rr a n q u e m a

e st r o ( M B R , M a st e r B o o t R e c o r d ) d e l o s d is c o s r g i d o s. M u c h o s p r o

g r a m a s a n ti v ir u s i n cl u y e n f u n ci o n e s d e e st e ti p o.

L I S T A D E L U G A R E

S D N D E A C U D I R : U n a b u e n a p r e c a u ci n e s n o e s p e r a r a n e c e si ta r a

y u d a p a r a c o m e n z a r a b u s c a r q u i n p u e d e o fr e c e rl a, si n o ir el a b o r a n

d o u n a a g e n d a d e d ir e c ci o n e s, te l f o n o s y d ir e c ci o n e s el e ct r n ic a s d e

la s p e rs o n a s y l u g a r e s q u e p u e d a n s e r v ir n o s m s a d el a n te . Si se cuenta con un antivirus comercia

lo registrad o, debern tenerse siempre a mano los telfonos de soporte tcnico.

U N S I S T E M A D E P R O T E C C I N R E S I D E N T E : M u c h o s

a n ti v ir u s i n cl u y e n p r o g r a m a s r e si d e n te s q u e p r e v ie n e n ( e n ci e rt a m

e d i d a ), la i n tr u si n d e v ir u s y p r o g r a m a s d e s c o n o ci d o s a la c o m p u ta d

o r a.

T E N E R R E S P A L D O S : S e d e b e n te n e r r e s p al d a d o s e n d is c o l o s a

r c h i v o s d e d at o s m s i m p o rt a n te s, a d e m s, s e r e c o m ie n d a r e s p al d a r

t o d o s l o s a r c h i v o s ej e c u ta b le s. P a r a a r c h i v o s m u y i m p o rt a n te s, e s

b u e n o te n e r u n r e s p al d o d o b le , p o r si u n o d e l o s d is c o s d e r e s p al d o s

e d a a. L o s r e s p al d o s ta m b i n p u e d e n h a c e rs e e n ci n ta (t a p e b a c k u p ), a

u n q u e p a r a el u s u a ri o n o r m al e s p r e f e ri b le h a c e rl o e n d is c o s, p o r el c o

st o q u e la s u n i d a d e s d e ci n ta r e p r e s e n ta n.

R E V I S A R T O D O S L O S D I S C

O S N U E V O S A N T E S D E U T I L I Z A R L O S : C u al q u ie r d is c o q u e n o h a y a si d o

p r e v ia m e n te u ti li z a d o d e b e s e r r e v is a d o, i n cl u si v e l o s p r o g r a m a s o

ri g i n al e s ( p o c a s v e c e s s u c e d e q u e s e d is tr i b u y a n d is c o s d e p r o g r

a m a s o ri g i n al e s i n f e ct a d o s, p e r o e s f a ct i b le ) y l o s q u e s e d is tr i b u y

e n j u n t o c o n r e v is ta s d e c o m p u ta ci n.

R E V I S A R T O D O S L O S D I S C O S Q

U E S E H A Y A N P R E S T A D O : C u al q u ie r d is c o q u e s e h a y a p r e st a d o a al g n

a m i g o o c o m p a e r o d e tr a b aj o, a n a q u el l o s q u e s l o c o n te n g a n a r c

h i v o s d e d at o s, d e b e n s e r r e v is a d o s a n te s d e u s a rs e n u e v a m e n te .

R E V I S A R T O D O S L O S P R O G R A M A S Q U E S E O B T E N G A N P O R M D E M O R E

D E S : U n a d e la s g r a n d e s v a s d e c o n ta g i o la c o n st it u y e n I n te r n et y l o s

B B S , si st e m a s e n l o s c u al e s e s c o m n la tr a n sf e r e n ci a d e a r c h i v o s, p e

r o n o si e m p r e s e s a b e d e s d e d n d e s e e st r e ci b ie n d o i n f o r m a ci n.

R E V I S A R P E R I D I C A M E N T E L A C O M P U T A D O R A : S e p u e d e c o n si d e r a

r q u e u n a b u e n a fr e c u e n ci a d e a n l is is e s, p o r l o m e n o s, m e n s u al . Finalme nte, es importan

te tener en cuenta estas sugerenc ias referente s al comport amiento a tener en cuenta frente a diferente s situacion es: Cuando se va a revisar o desinfect ar una computa dora, es convenie nte apagarla por ms de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegid o contra escritura, para eliminar virus residente s en memoria

. No se deber ejecutar ningn program a del disco rgido, sino que el antivirus deber estar en el disquete. De esta manera, existe la posibilid ad de detectar virus stealth.

Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido infectado , es preferibl e restaurar el sector desde algn respaldo, puesto que en ocasione s, los sectores de

arranque genrico s utilizado s por los antivirus no son perfecta mente compatib les con el sistema operativ o instalado . Adems, los virus no siempre dejan un respaldo del sector original donde el antivirus espera encontra rlo.

Antes de restaurar los respaldo s es importan te no olvidar apagar la computa dora por ms de cinco segundos y arrancar desde el disco

libre de virus.

Cuando se encuentr an archivos infectado s, es preferibl e borrarlos y restaurar los desde respaldo s, an cuando el program a antivirus que usemos pueda desinfect ar los archivos. Esto es porque no existe segurida d sobre si el virus detectad o es el mismo para el cual fueron diseada s las rutinas de desinfec cin del antivirus, o es una

mutacin del original.

Cuando se va a formatea r un disco rgido para eliminar algn virus, debe recordars e apagar la mquina por ms de cinco segundos y posterior mente arrancar el sistema desde nuestro disquete limpio, donde tambin debe encontra rse el program a que se utilizar para dar formato al disco. Cuando, por alguna causa, no se puede erradicar

un virus, deber buscarse la asesora de un experto directam ente pues, si se pidiera ayuda a cualquier aficionad o, se correr el riesgo de perder definitiv amente datos si el procedi miento sugerido no es correcto.

Cuando se ha detectad oy erradicad o un virus es convenie nte reportar la infeccin a algn experto, grupo de investiga dores de virus, soporte tcnico de

program as antivirus, etc. Esto que en principio parecera innecesa rio, ayuda a mantener estadstic as, rastrear focos de infeccin e identific ar nuevos virus, lo cual en definitiv a, termina beneficia ndo al usuario mismo. Ranking de los ms difundid os 1) VBS/Lo veLetter: Este virus se distribuy ea travs del email, en un archivo llamado LOVE-

LETTER -FORYOU.TX T.vbs. El LoveLett er worm se activa so bresescri biendo archivos de imgene sy msica en drives locales y de red, especfic amente archivos con extensi n JPG, JPEG, MP3 y MP2 2) Win32/S KA: Este virus generalm ente es enviado con el nombre Happy9 9.exe. Este troyano se encarga de enviar una copia de si mismo a todas las personas

a las cuales se les enva un Email. 3) W97/Me lissa: El virus se propaga tomando las primeras 50 direccion es del Outlook Global Address Book del usuario 4) Win32/P retty Park: Este program a cuando corre se copia a si mismo al FILES 32.VXD, Y usa al VXD va el entorno para ejecutar algunos archivos ejecutabl es. Esto hace que el virus se reenva a si mismo

a toda la libreta de direccion es 5) W97M/E than.A: es un virus de macro de Word97, El virus se propaga a si mismo por la Normal. dot. Hay 3 de 10 chances que el virus modifiqu e las propieda des del documen to in fectado de archivos infectado s. HACK ERS!!