¿Hay que tomarse la amenaza de los virus en serio?
 


Contrariamente a los demás riesgos que corre la seguridad de los sistemas informáticos, los virus continúan siendo peligrosos, aunque realices con frecuencia copias de seguridad. Las copias te ayudan a evitar el desastre total provocado por un ataque vírico; sin embargo, otras medidas suplementarias parecen necesarias, ya que éstas pueden estar a su vez infectadas o alteradas. De este modo, si la seguridad no es rigurosa, un virus bien programado puede propagarse de un ordenador a otro sin que te des cuenta. Con el tiempo, un virus puede infectar todos los ordenadores de una empresa, incluyendo las copias de seguridad. Éste puede incluso alterar los datos lentamente, disimulando todavía más la contaminación. Si en programador del virus en cuestión es bastante competente y maquiavélico, las modificaciones podrían ser tan sutiles, que sería imposible percibirlas a corto plazo... ¡demasiado tarde para reparar los daños causados por el virus! Aunque encontremos diferencias en algunos datos, las atribuiremos sin duda a errores humanos o a faltas de atención. Esta es la situación más grave, ya que no podremos confiar en las copias de seguridad una vez detectado el virus.

Tras haberse propagado en el periodo de incubación, un virus puede activarse y contaminar de repente todos los ordenadores de una red, provocando un gran desorden. El alcance de los daños ocasionados por estas bombas de efecto retardado puede ir desde el simple “problemilla técnico” hasta un problema grave...¡y a menudo devastador! Las consecuencias de un virus pueden ser catastróficas para una empresa, sobre todo en lo que atañe a la imagen de marca y a la relación con el cliente. En efecto, algunos virus son capaces de transmitirse automáticamente gracias a la libreta de direcciones del correo electrónico, contaminando así a todos los clientes. Veamos, ¿qué empresa estaría dispuesta a arriesgarse a transmitir un virus a sus colaboradores y clientes aunque el virus sólo cause algunos “problemillas”?

Además, nunca se puede estar completamente seguro de que un virus sea inofensivo. Ciertamente, la posibilidad de contraer un virus con un alto grado de nocividad es limitada, pero el peligro es real y, por lo tanto, no debemos ignorarlo. El coste de creación de consignas de seguridad apropiadas y el precio de compra de un programa antivirus eficaz, parecen relativamente bajos si los comparamos con las consecuencias financieras de una posible intrusión vírica en el seno de una red de empresa.

  Los distintos tipos de virus (lista no exhaustiva pero muy representativa).
 
Las ideas equivocadas sobre los virus están tan extendidas como los virus mismos. Los usuarios que no tienen conocimientos sobre los programas de protección contra los virus podrán encontrar aquí información elemental muy útil. También se explican y se desmitifican algunas ideas preconcebidas.

« Los virus se propagan por sí solos»
Los virus no se pueden ejecutar automáticamente. Por consiguiente, tampoco se pueden propagar espontáneamente. Un virus no puede hacer nada mientras no se ejecute el programa infectado o no se arranque el ordenador con un disquete infectado.

« Los virus pueden infectar los disquetes protegidos contra escritura.»
Si un disquete está protegido contra escritura, no se podrá inscribir nada en él. Los virus no pueden infectar disquetes protegidos manualmente. Sin embargo, los disquetes se vuelven vulnerables en cuanto se desactiva esta protección. Por eso, también se deben analizar los disquetes protegidos contra escritura.

« Algunos virus son completamente inofensivos.»
Existen algunos virus que no destruyen la información de forma intencionada. De hecho, lo único que hace la mayoría de los virus es propagarse, o quizás provocar la aparición de un mensaje que otro de vez en cuando. En ese caso, el usuario podría pensar que el virus en cuestión es totalmente inofensivo. Pero en realidad, no existen virus inofensivos. Los virus siempre provocan un aumento del volumen de trabajo del ordenador y, además, cambian los códigos de los programas sin que el usuario sea consciente de ello. Incluso un simple virus considerado « inofensivo » puede impedir que ciertos programas funcionen. Los virus consumen espacio en el disco duro; un espacio que podría ser dedicado a otro uso más adecuado.

«Sólo los programas piratas contienen virus.»
En la mayoría de los casos, las infecciones se propagan mediante programas copiados. Es frecuente encontrar el origen de las infecciones víricas en programas gratuitos y compartidos (shareware), o también en las copias ilegales de estos programas. Por desgracia, un gran número de infecciones víricas procede también de los disquetes de programas auténticos. Las estadísticas demuestran que en muchos casos los programas comerciales, considerados totalmente fiables, son en sí mismos vectores de transmisión de virus. Cientos de miles de disquetes infectados se han distribuido entre los confiados clientes. Después de todo ¿por qué deberíamos desconfiar de programas protegidos contra escritura, sobre todo si proceden de un prestigioso editor?

«Los programas antivirus proporcionan una protección total contra los virus.»
Es importante recordar que los programas que nos permiten la búsqueda de virus (programas de análisis) solamente pueden identificar los virus conocidos. Los perfeccionados métodos de análisis horario que utiliza Securitoo AntiVirus, permiten la detección de la presencia de virus desconocidos, pero no su identificación. Por esta razón, os ofrecemos un servicio de actualización permanente.

«Los virus pueden destruir los ordenadores.»
Un programa no puede destruir un ordenador « físicamente.» De vez en cuando, oímos rumores según los cuales un virus habría provocado la explosión de un monitor o dañado un disco duro. Sin embargo, hasta hoy ninguno de estos casos se ha podido demostrar.

«Las infecciones víricas es algo que sólo les pasa a los demás.»
El riesgo de que nos contagien un virus informático disminuye si reducimos el número de datos externos que descargamos. En la práctica, nadie está completamente a salvo. Por otra parte, a menudo se tiende a exagerar la importancia de la amenaza vírica.

«Las infecciones víricas sólo se pueden erradicar formateando el disco duro.»
El formateo del disco duro es una solución extrema a la que es muy poco frecuente recurrir para deshacerse de un virus. La limpieza se puede realizar generalmente con un programa antivirus de buena calidad.
  Los distintos tipos de virus (lista no exhaustiva pero muy representativa)
 
Los virus macro.
Los virus macro están escritos en el lenguaje macro de una aplicación, generalmente Microsoft Word y Excel. Éstos se propagan con la apertura de un documento infectado o cuando guardamos un nuevo documento. Constituyen una verdadera plaga, ya que los documentos se comparten e intercambian más que los programas ejecutables o los disquetes. Los nuevos virus macro son además tan fáciles de modificar como de crear. Los primeros virus macro que infectaban documentos Microsoft Word se detectaron en agosto de 1995. En abril de 1999, se habían recogido más de 3800 virus de este tipo. En aquel momento, era la clase de virus que más frecuentemente se detectaba en el mundo. Aunque otros procesadores de texto (WordPerfect y Word Pro, por ejemplo) puedan leer y modificar documentos Word, no pueden ser infectados por virus de Microsoft Word. Securitoo AntiVirus detecta, identifica y limpia todos los virus macro que se pueda encontrar.

Los virus de archivo.
Los virus de archivo infectan los programas ejecutables (generalmente los archivos .com y .exe), pero también infectan a veces los archivos de librería. Un archivo de librería puede llevar cualquier extensión, aunque las más comunes son .dll, .ovl y .ovr. Además, el código ejecutable se encuentra en los archivos .sys, .drv y .fnt, así como en muchos otros tipos de archivos. Un virus de archivo buscará un programa ejecutable en el que poder añadir su propio código, normalmente al final del archivo anfitrión. Para estar seguros de ejecutarse al mismo tiempo que este programa anfitrión, el virus añade una instrucción al principio del programa. Esta instrucción traspasa el control al código del virus situado al final del código anfitrión. Una vez activado, el virus reinará libremente en el ordenador. En principio, el objetivo de un virus es el de propagar la infección. Esta operación de lleva a cabo de distintas formas.

Los virus residentes.
Cuando se ejecuta un programa infectado, el virus puede permanecer como residente en la memoria e infectar todos los programas que se ejecuten. Los virus que utilizan este método se llama “virus residentes”.

El virus de acción directa.
Otros virus pueden buscar un nuevo archivo al que contaminar cuando se activan. Tras haber infectado un número determinado de líneas, el virus traspasa el control al programa de origen. Los virus que utilizan este método se llama “virus de acción directa”. Una vez que el control ha vuelto al programa de origen, su ejecución continúa de forma transparente.

Las bombas lógicas.
Tras haber infectado un ordenador, el virus puede pasar a su fase activa, es decir, alcanzar la meta definida por el autor del virus. Esta transmisión puede darse en una fecha precisa o estar condicionada a una serie de circunstancias predeterminadas. En su fase activa, el virus puede destruir datos o actuar de manera ofensiva. Por ejemplo, formateando el disco duro. A veces, estos virus son relativamente inofensivos. Como mucho, pueden ralentizar el ordenador los viernes o provocar la aparición de una pelota que bota y rebota en la pantalla. Aunque el objetivo principal de un virus no sea el de ser nocivo, puede serlo si su autor no es bastante competente. Además, es posible modificar un virus para hacerlo más agresivo. La supresión de datos o de programas, y el formateo o el aplastamiento de datos contenidos en el disco duro por parte de un virus constituyen daños flagrantes e irreversibles. Sin embargo, cabe pensar en otros daños más sutiles. Algunos virus pueden modificar datos o introducir errores en los textos. Otros tienen como único objetivo el de crear copias. La acción de un virus ralentiza el arranque del programa infectado. A veces, esta acción es tan ligera que es casi imposible percibirla. Pero existen virus que infectan un gran número de archivos justo después de su ejecución, lo que puede ralentizar el arranque del programa infectado de varias decenas de segundos. Cuando un virus añade su código al programa, el tamaño del programa cambia. Para evitar este situación, algunos virus almacenan sus códigos en una zona escondida del archivo anfitrión. En este caso, el tamaño del programa infectado no cambia. La mayoría de los virus intentan reconocer las infecciones previas para no volver a infectar un programa que ya lo está. En general, los virus marcan los programas infectados con una especie de señal fácil de distinguir como, por ejemplo, un valor incorrecto en el marcador de la hora. Securitoo AntiVirus detecta, identifica y limpia todos los virus macro que se pueda encontrar.

Los virus del sector de arranque.
Como su nombre indica, un virus de sector de arranque infecta el sector de arranque de un disco duro o de un disquete. Generalmente, este sector contiene el código de carga de los archivos del sistema operativo. Un virus de sector de arranque sustituye el sector de origen por una copia, y almacena el original en otro lugar. Otra posibilidad es que lo sustituya pura y simplemente. Cuando arrancamos el ordenador posteriormente a partir de este disquete, el virus toma el control y se esconde en la RAM. A continuación, carga el sector de arranque original y lo ejecuta. Todo parece normal. Sin embargo, todos los disquetes que se introduzcan a partir de ese momento en el ordenador, quedarán infectados. Todo disquete formateado contiene un sector de arranque. Todos los disquetes de sistema y de datos, así como todos los disquetes que contengan o no programas, encierran códigos en sus sectores de arranque. Este código será ejecutado si efectuamos el arranque del ordenador a partir del disquete. Si ésta no contiene el sistema operativo, el código del programa del sector de arranque hará aparecer un mensaje como: El disco no es de sistema o error en el disco. Si el disquete está infectado, en ese momento probablemente el disco duro también lo estará. La mejor forma de proteger tu ordenador de los virus de sector de arranque es evitar arrancar el ordenador a partir de la disquetera. Podrás efectuar esta operación en el BIOS, aunque puede que esta opción no exista en los modelos más antiguos de ordenador. Si el ordenador no posee disco duro y es necesario arrancarlo a partir de un disquete, utiliza siempre el mismo disquete y asegúrate de que esté sistemáticamente protegido contra escritura. La mayoría de virus de sector de arranque infectan el MBR (o sector de arranque maestro) de los discos duros. Esto constituye un verdadero problema, ya que los MBR no se pueden limpiar con el comando de formateo. La mejor forma de limpiar el MBR consiste en utilizar Securitoo AntiVirus. Otra solución sería formatear el disco en nivel bajo, volver a crear particiones con la ayuda de FDISK, formatearlo con el comando FORMAT y restablecer su contenido gracias a una copia de seguridad. Los virus de sector de arranque pueden infectar un PC, cualquiera que sea su sistema operativo (DOS, Windows, NT, Linux, NetWare, etc.). En ese caso, todos ellos excepto DOS provocarán errores generalmente durante el arranque. Dado que el tamaño del MBR está limitado a 512 bytes en un disquete, los virus voluminosos se verán obligados a esconder una parte de sus códigos fuera del propio sector de arranque. Muchos virus crean sectores defectuosos en el disco y almacenan sus códigos en ellos. También pueden esconder sus códigos en el área reservada al directorio principal. Otra opción consiste en formatear un pista suplementaria y utilizarla para almacenar el código del virus. Pero sólo los virus relativamente sofisticados pueden recurrir a esta última solución. Hay cinco formatos de disquete disponibles en el mercado (360 K, 1,2 Mb, 720 Kb, 1,44 Mb et 2,88 Mb), por eso muy pocos virus son capaces de infectarlos a todos. Un virus de sector de arranque se esconde generalmente en la memoria alta, reduciendo así la cantidad de memoria que el DOS percibe. Por ejemplo, un ordenador con 640 Kb puede mostrar solamente 639 Kb. Ciertos módulos BIOS utilizan también uno o dos Kb de la memoria DOS. Para detectar los virus de sector de arranque, Securitoo AntiVirus comprueba el MBR, los sectores de arranque, la tabla de partición y las demás áreas donde podría esconderse un virus. Nunca arranques un ordenador que posea un disco duro con un disquete, ya que éste es el único modo de infectar el disco duro con un virus de sector de arranque. Puedes prevenir este problema en muchas máquinas que permiten definir el orden de arranque en el BIOS del ordenador. De este modo, el ordenador arrancará siempre a partir del disco duro, aunque haya un disquete en la disquetera.

Los virus acompañantes.
Los virus acompañantes utilizan el DOS para ejecutarse. Cuando varios archivos que llevan el mismo nombre de base, con extensiones distintas, se encuentran en el mismo directorio, el archivo dotado con la extensión .com será el primero en ejecutarse. Esto se produce solamente cuando en la línea del comando no se menciona la extensión. Los virus acompañantes se aprovechan de esta función seleccionando un archivo. EXE y creando un archivo .COM con el mismo nombre y en el mismo directorio. Como el fichero .COM puede estar en caché, no figurará en la lista del directorio en cuestión. Pero es él el que contiene el virus. También es posible imaginar un virus acompañante que tuviera prioridad en el orden de los directorios especificado en la variable de entorno PATH, o un virus que utilizara otro método para que su código se ejecutara antes que el del programa anfitrión. Una vez activado, un virus de este tipo ejecutará el programa real y volverá a apoderarse del control una vez que la ejecución del programa haya terminado. Securitoo AntiVirus detecta, identifica y limpia todos los virus acompañantes que se pueda encontrar.

Los virus furtivos..
Hace algunos años, se creía haber encontrado la mejor arma contra las infecciones víricas. Se trataba de una técnica llamada “Control de suma”. Los métodos de control de suma calculan un código único para cada archivo. Calculándolos cada vez y realizando una identificación de de la cadena de los códigos, comparaban estos últimos a los originales, que estaban almacenados en una base de datos. Así, era posible detectar cualquier modificación que se aportara a un archivo y garantizar la integridad del sistema. Sin embargo, se necesitó mucho tiempo para que los primeros virus furtivos de infección de archivos vieran la luz, aniquilando las esperanzas de victoria en la batalla contra los virus. Un virus furtivo falsifica la información obtenida a partir de un disco. Así, el programa que lee el disco obtiene datos incorrectos. El virus intercepta los vectores de interrupción utilizados para leer los datos del disco y envía información falsa al programa que está leyendo. DE este modo, El programa recibe una información que le indica, de forma errónea, que todo está bien. Esta técnica la emplean con éxito los virus de archivo y los virus de sector de arranque. Tomemos el ejemplo del virus Brain, primer virus furtivo conocido. Brain es un virus de sector de arranque que traspasa el contenido original del sector a un lugar adecuado del disco. Demasiado voluminoso para alojarse enteramente en el registro de arranque, se ve obligado a almacenar una parte de su propio código en la zona de datos del disco. Cuando el ordenador arranca a partir de un disquete infectado, el virus se ejecuta en primer lugar. Tras haber tomado el control, Brain ejecuta el sector de arranque original. Para el usuario, todo es normal ; pero Brain observa todo lo que se lee y se escribe en el disco. En el momento en que un programa intente leer el contenido del sector de arranque, Brain responde, desde su “escondite” del disco, enviando el código original del sector de arranque. Dado que el programa ve el código original, piensa que todo está en orden, aunque el disquete esté infectado. Brain dirige todos los intentos de escritura hacia el sector de arranque, protegiendo así su propio código. Los virus que infectan los archivos utilizan otros métodos similares. Un virus furtivo puede interceptar toda lectura del disco, con la finalidad de transmitir información falsa. Por ello, Securitoo AntiVirus tiene que comprobar la memoria RAM antes de la ejecución. Si el virus furtivo ya está activo, podrá falsificar con gran facilidad la lectura del disco. Sin embargo, incluso un virus furtivo es incapaz de esconder completamente su código en la memoria. Por eso se puede localizar un virus activo comprobando enteramente la memoria disponible antes de lanzar un análisis. Así trabaja Securitoo AntiVirus. Cuando inicias Securitoo AntiVirus para Windows 3.1, Windows 95 o Windows 98, se analiza en primer lugar la memoria del ordenador. El programa comprueba la memoria en la gama 0 – 1088 Kb, accesible para los virus DOS. A continuación, se lanzan comprobaciones específicas del sistema para detectar los virus de Windows. Cuando Securitoo AntiVirus para Windows encuentra un virus en la memoria, aparece una ventana de diálogo que nos propone que guardemos los documentos abiertos antes del cierre de Windows. Una vez que se cierre la sesión de Windows, tendrás que reiniciar el ordenador a partir de un disquete sano, y luego analizarlo con Securitoo AntiVirus para DOS. No es necesario que Securitoo AntiVirus para Windows NT efectúe el análisis de la memoria, ya que Windows NT protege automáticamente la memoria de sistema y las zonas de memoria privadas de cada programa..

Los virus autocriptados, polimórficos y mutantes.
La mayoría de programas de análisis examinan las cadenas de identificación de los virus. Por desgracia, los virus que modifican su código entre una infección y otra hacen que el reconocimiento por cadena de identificación sea imposible. Los virus mutantes cambian su código y, a veces, su función de una generación a otra del mismo virus. La técnica de mutación más común es la encriptación. Muchos virus mutantes encriptan su código gracias a un algoritmo sencillo, utilizando como clave de encriptación datos como, por ejemplo, la hora. Así, todas las generaciones de un mismo virus serán distintas unas de otras, con excepción de la rutina de desencriptación que está al principio del código del virus. Para que sea imposible o muy difícil utilizar la rutina de desencriptación como cadena de identificación, los autores de los virus intentan reducir el tamaño de los virus. En efecto, es imposible utilizar las cadenas de identificación demasiado cortas, ya que la posibilidad de encontrar la misma secuencia de bytes en los programas normales aumenta, lo que provoca falsas alertas inútiles. La mayoría de virus se cripta sólo en el momento de la infección, aunque algunos lo hagan mientras se encuentran alojados en la memoria. Whale es uno de los virus más complejos y sofisticados. El autor de virus búlgaro Dark Avenger creó en 1991 un motor de mutación de virus, llamado MtE. El MtE se podía incorporar a los virus con facilidad. El virus resultante era igual que el original desde un punto de vista funcional, pero una de sus numerosas versiones quedaba siempre asociada al programa anfitrión. El MtE era distribuido por BBS ilegales como un archivo que podía adherirse a cualquier virus, nuevo o antiguo. Resulta muy difícil aislar una cadena de identificación en un virus encriptado con MtE, y éste podría transmitirse a la generación siguiente del mismo virus. El algoritmo de encriptación que utiliza MtE es tan sofisticado, que se puede encontrar un sólo byte común para todos los archivos criptados con MtE. Además, la localización de este byte cambia. La instrucción común es JNZ (Jump if Not Zero), que encontraremos en casi todos los programas existentes. El MtE utiliza numerosos algoritmos de encriptación distintos, y añade bytes de forma aleatoria a las rutinas de desencriptación. MtE no es el único generador de mutaciones conocido. Existen docenas de ellos. Se han creado varios virus polimórficos sin ayuda de un generador externo. Existen otros métodos de generación de virus mutantes, además de la encriptación del código. Uno de ellos consiste en construir un virus a partir de pequeños módulos que podremos intercambiar dentro del código sin modificar su funcionamiento. Securitoo AntiVirus localiza los virus polimórficos gracias a su motor de análisis basado en un emulador.

Los retrovirus.
La acción de ciertos virus tiene está dirigida intencionalmente hacia los programas antivirus conocidos. Un virus puede efectuar la búsqueda de archivos que pertenezcan a un programa antivirus y suprimirlos. Un virus activo puede identificar la ejecución de un programa antivirus y bloquear el ordenador. por consiguiente, el usuario puede creer que el programa de análisis es la causa del problema. Otros virus no tienen como objetivo la destrucción del programa antivirus. Otra forma, todavía más descarada, de paralizar un programa antivirus consiste en realizar modificaciones del propio programa. En apariencia, el programa de análisis funcionará con normalidad, pero no volverá a detectar los virus. El virus Peach es un ejemplo significativo de retrovirus. Se trata de un virus de archivo estándar, pero que incluye ciertas funciones orientadas contra el programa antivirus. Cuando Peach infecta los archivos .exe, se ocupará también de cierto byte que se encuentra en la información del encabezado del archivo. Si este byte tiene un valor determinado, el archivo no será infectado. Parece que Peach intenta comprobar si el archivo pertenece a cierto programa famoso. Los expertos todavía están investigando qué programa es el que Peach intenta evitar. Tras veintisiete ejecuciones, Peach ataca el programa Central Point Anti-Virus (CPAV) si éste está instalado en el mismo ordenador. CPAV guardará sus cadenas de identificación en un sólo archivo del disco, y no comprobará la existencia del archivo de cadena de identificación. Peach suprime este archivo y CPAV funciona aparentemente con normalidad. Aunque, en realidad, no reconoce los virus porque le falta el archivo de cadenas de identificación. Dada la existencia de retrovirus, Securitoo AntiVirus utiliza numerosas técnicas contra la falsificación de sus archivos.

Los virus multipartición.
Los virus multipartición utilizan varias técnicas de infección. Éstos infectan los archivos ejecutables, los sectores de arranque, el MBR (Master Boot Record), los FAT y los directorios. Los virus multipartición tienen una mayor capacidad de subsistencia que los demás virus frente a la limpieza. Esto es debido a que, aunque el virus sea suprimido de los archivos del programa, los volverá a infectar si no lo suprimimos también del sector de arranque. Tequila es un virus multipartición, que infecta al mismo tiempo los archivos .exe y el MBR. Éste posee mecanismos de encriptación y una capacidad muy evolucionada para disimularse. Securitoo AntiVirus detecta, identifica y limpia todos los virus multipartición que se pueda encontrar.


  Los síntomas de la infección.
 
Si tu ordenador presenta los síntomas siguientes, puede que esté infectado por un nuevo y desconocido virus :

Aumento del uso de la memoria.
Funcionamiento muy lento.
Retraso en la ejecución de las aplicaciones.
Modificaciones inexplicadas de los archivos ejecutables o de otros archivos.
Cambios en la fecha de la última modificación del archivo sin razón justificada.
Errores anormales de protección contra escritura.
Error en el arranque o en la instalación de Windows.
Un mensaje de advertencia de Windows nos indica que el acceso a un disco de 32 bits está desactivado.
Imposibilidad de guardar documentos de Word en un directorio que no sea el que contiene los modelos de documentos.
Funcionamiento anormal de los discos.

Por desgracia, la lista anterior enumera advertencias leves de una posible infección vírica, aunque estos síntomas pueden estar causados por numerosos motivos. Si el virus posee una rutina de activación, y se encuentra en fase activa, será muy fácil detectarlos gracias a las siguientes señales:

Los archivos desaparecen.
El disco duro se formatea.
El ordenador no arranca.
La información sufre modificaciones.
Es imposible cargar o ejecutar ciertos archivos.
El virus puede presentar otros síntomas como, por ejemplo, provocar la aparición de mensajes en la pantalla o hacer que suene una música.