Agregar a Favoritos
Artículos de Arnoldo Moreno Pérez
1-Conozca los distintos antivirus
2-La Historia Interminable: La Génesis y el Devenir de los Virus Informáticos
3-Troyanos de dos patas
4-Soluciones Antivirus al alcance de todos
5-Estrategias de Seguridad
6-Heurística Antivirus
7-El Futuro de los Antivirus
8-Los Virus en Asistentes Personales Digitales (PDAs)
9-Virus Informáticos y Virus Biológicos
10-Virus y Troyanos
11-Puertas traseras o “BACKDOORS”
12-Virus y Antivirus
13-Acerca del FunLove
14-Los Virus más Temibles
15-¿Qué son los Cortafuegos Personales?
16-Ingeniería Social
17-Virus y Mensajería
VSantivirus No. 436 - Año 5 - Lunes 17 de septiembre 2001
Conozca los distintos antivirus
Por Arnoldo Moreno Pérez (*)
En la actualidad no es difícil suponer que cada vez hay más gente que está consciente de la necesidad de hacer uso de algún antivirus como medida de protección básica. No obstante, en principio lo deseable sería poder tener un panorama de los distintos productos que existen y poder tener una guía inicial para proceder a evaluarlos. El objetivo de este trabajo, es el de proceder a intentar facilitar en primera instancia dicha tarea.
Los distintos antivirus:
ANTIVIRUS EXPERT (AVX):
http://www.avx-es.com/download.php
AVG ANTI-VIRUS SYSTEM:
http://www.grisoft.com/html/us_downl.cfm
COMMAND ANTIVIRUS:
http://www.commandcom.com/try/download.cfm
http://web.itasa.com.mx/
DR. WEB ANTIVIRUS:
http://www.dials.ru/english/home.htm
ESAFE:
http://www.ealaddin.com/esafe/
F-PROT ANTIVIRUS:
http://www.frisk.is/f-prot/download/
ftp://ftp.complex.is/pub/
F-SECURE ANTI-VIRUS:
http://www.f-secure.com/download-purchase/
INDEFENSE:
http://www.indefense.com/downloads/index.html
INOCULATEIT (ETRUSTANTIVIRUS):
www.ca.com/solutions/enterprise/etrust/downloads/internet_def.htm
KASPERSKY ANTIVIRUS (AVP):
http://www.avp.ru/download.asp
http://www.avp.ch/
http://www.kaspersky-es.com
MCAFEE VIRUSSCAN ANTIVIRUS:
http://www.nai.com/naicommon/buy-try/try/products-evals.asp
NOD32 ANTIVIRUS SYSTEM:
http://www.nod32.com
NORMAN VIRUS CONTROL:
http://www.norman.com/downloads.shtml
NORTON ANTIVIRUS:
http://www.symantec.com/downloads/
PANDA ANTIVIRUS:
http://www.pandasoftware.es/
PC-CILLIN:
http://www.antivirus.com/pc-cillin/download/
PER ANTIVIRUS:
http://www.persystems.net/antivir/bajar.htm
PROTECTOR PLUS ANTIVIRUS:
http://www.pspl.com/download/download.htm
RUMANIAN ANTIVIRUS:
http://www.ravantivirus.com/
SOPHOS ANTI-VIRUS:
http://www.sophos.com/downloads/products/
SUPERLITE ANTIDOTE:
www.vintage-solutions.com/English/Antidote/Support/Update/VirusDiag.html
THE HACKER ANTIVIRUS:
http://www.hacksoft.com.pe/thhome.htm#versiones_de_evaluacion
VIRUSBUSTER:
http://www.leprechaun.com.au/
Ésta sin duda no es una lista completa ni pretende serlo. Corresponde exclusivamente al grupo de antivirus con los cuales he tenido experiencia directa en los últimos años y por ende recomiendo por lo menos una vez en la vida tomarse la molestia de conocerlos y evaluarlos. Todo esto en la medida de que el interés por el tema sea lo suficientemente grande.
Tratando de ir a lo fundamental, se tienen comúnmente dos distintos enfoques:
1. El del administrador de una empresa corporativa que desea prioritariamente tener resuelto el problema de administración centralizada. Es decir desea de un antivirus que posea una consola que permita la instalación remota tanto en una red LAN como en una WAN y no verse obligado a instalar el producto a pie en cada una de las estaciones de trabajo. La experiencia ha demostrado que por lo regular cuando esto se logra no siempre hay la garantía de que la calidad en la detección y la limpieza sea de lo mejor.
2. El del usuario final al cual lo que le interesa es no infectarse por ningún motivo y que la protección en memoria del producto sea de lo más eficaz, tanto para detectar y remover cualquier virus que pueda presentarse. Pero cuando esto se da, también suele suceder que las prestaciones de dicho antivirus para administrarlo llegan a ser muy limitadas.
Tal parece que lo ideal para una empresa es tener bien estructurado un equipo de personas que procuren entender responsablemente ambos enfoques. Ningún producto en el mercado puede garantizar que se tendrán eficientemente el total de todas las prestaciones deseables. Por ello, más que procurarse el mejor antivirus lo que se necesita es diseñar las mejores estrategias de seguridad acordes a la problemática que se tenga. A veces no basta con una sola elección.
En virtud de lo anterior, al hacer una evaluación es importante tratar de verificar hasta que punto los diversos antivirus que vayamos a considerar cumplen con las siguientes características:
I. Deben actualizar los patrones o firmas, por lo menos una vez por semana.
II. La empresa que los promueve debe contar con un equipo de soporte técnico con acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infección.
III. Deben contar con distintos métodos de verificación y análisis de posibles códigos maliciosos, incluyendo el heurístico, el cual no se basa en firmas vírales sino en el comportamiento de un archivo. Y así poder detener amenazas incluso de posibles virus nuevos.
IV. Se deben poder adaptar a las necesidades de diferentes usuarios.
V. Deben poder realizar la instalación remota tanto en una red LAN como en una WAN.
VI. Deben constar de alguna consola central en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios.
VII. Deben ser verdaderamente efectivos para efectos de detección y eliminación correcta y exacta de los distintos virus que puedan amenazar a los sistemas.
VIII. Deben de permitir la creación de discos de emergencia o de rescate de una manera clara y satisfactoria.
IX. No deben de afectar el rendimiento o desempeño normal de los equipos. De ser preferible lo que se desea es que su residente en memoria sea de lo más pequeño.
X. El número de falsos positivos que se den tanto en el rastreo normal como en el heurístico debe de ser el mínimo posible.
XI. Su mecanismo de auto-protección debe de poder alertar sobre una posible infección a través de las distintas vías de entrada, ya sea Internet, correo electrónico, red o discos flexibles, etc.
XII. Deben de tener posibilidad de chequear el arranque, así como los posibles cambios en el registro de las aplicaciones.
Así de esta manera, ponerlos uno mismo a prueba y de acuerdo con nuestras prioridades establecer nuestras propias conclusiones.
Finalmente si lo que se desea es tener un buen conocimiento de los alcances y certificaciones de los distintos productos del mercado, no basta conocer lo más básico e inmediato del tema, que es lo que se encuentra plasmado en:
Virus Bulletin:
http://www.virusbtn.com/
West Coast Labs:
http://www.check-mark.com/
Virus Test Center:
http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
Wild List Organization:
http://www.wildlist.org/
En lo que concierne a las distintas comparativas que existen sobre el tema. Solamente me atrevo a recomendar se revise lo que se establece minuciosamente en:
Comparativa de HISPASEC del 2001:
http://www.hispasec.com/comparativa2001.asp
Comparativa de HISPASEC del 2000:
http://www.hispasec.com/comparativa2000.asp
Comparativa de VIRUSPROT del 2000:
http://www.virusprot.com/Companti.html
SECUSYS, Tests des Anti-Virus 2000:
http://www.secusys.com/laboratoire.htm
¿Cuál antivirus elegir?:
http://www.vsantivirus.com/comparativa.htm
Referencias:
"Protección a los servidores y terminales de ataques de virus"
"Algunas Cosas que debe saber sobre los antivirus":
http://pronad.uson.mx/eventos/hermosillo/agenda2.html
"Virus Informáticos - El estado actual de la guerra":
http://www.nextvision.com/whitepapers/
(*) Arnoldo Moreno Pérez se desempeña como Asesor Independiente en Temas de Seguridad Informática e integra la lista de colaboradores de VSAntivirus.
(c) Video Soft - http://www.videosoft.net.uy
VSantivirus No. 455 - Año 5 - Sábado 6 de octubre 2001
La Historia Interminable
La Génesis y el Devenir de los Virus Informáticos
Por Arnoldo Moreno Pérez (miru@prodigy.net.mx)(*)
"Supóngase que existe un algoritmo general A que, analizando cualquier programa P, devuelve "verdadero" si y sólo si P es un virus. Entonces sería posible crear un programa P, que hiciera lo siguiente: sí ( A(P) = falso) entonces infecta el sistema, si ( A(P) = verdadero) implica no infectes nada. Es decir, P es un virus si A dice que no lo es, y no lo es si A dice que lo es. Por contradicción, ese algoritmo general A no existe."
"Se le llama Virus Informático a todo programa capaz de infectar otros programas, modificándolos para incluirse dentro de los mismos".
Estas dos afirmaciones corresponden a una parte del trabajo titulado "Virus Informáticos: teoría y experimentos", cuyo autor es el Doctor Fred Cohen quien es reconocido como el primero en definir los virus informáticos, lo cual tuvo lugar durante un discurso en la Universidad de California, en el año de 1984. En su intervención incluyó los ejemplos para el desarrollo de estos programas "auto replicables" y donde además de dar una definición los tilda como el mayor y más grave problema para la seguridad nacional y el futuro de la informática.
De hecho esta historia se remonta al 3 de noviembre de 1983, que fue cuando el primer virus fue concebido como un experimento para ser presentado en un seminario semanal de Seguridad Informática. El concepto fue introducido por el propio Cohen y el nombre virus fue dado por Len Adleman. Tuvieron que pasar ocho horas de trabajo en una VAX 11/750 ejecutando Unix, para que este primer virus quedara listo para su demostración. Finalmente fue hasta el 10 de noviembre de ese año, en que después de obtener las autorizaciones necesarias y concluir cinco experimentos el virus fue mostrado.
Una de las principales contribuciones que se dieron en este trabajo fue la de esclarecer que ningún detector de virus puede ser perfecto, en el sentido que nos permita un mecanismo de verificación inequívoco al 100% para decidir si un programa dado reúne o no las condiciones para considerarlo como un virus. En otras palabras, no es factible tener un algoritmo universal que nos permita arreglárnoslas de una vez por todas y para siempre con estos bichitos.
Es de esta manera como se explica esa lucha sin fin entre los virus y los antivirus, cuyas pautas vienen marcadas por las tendencias en la evolución misma de la tecnología y su impacto sobre las modalidades que se van dando en la creación de los códigos maliciosos. No obstante, gracias a que existe un sustento bastante sólido para este tema, es como hoy en día es factible la creación casi inmediata de soluciones a los distintos virus nuevos que se van presentando.
Hasta los años ochenta, el término virus (del latín Veneno) solamente se empleaba dentro del ámbito de las ciencias médicas y biológicas para definir a microorganismos capaces de penetrar en el ser humano y destruir o alterar el contenido genético celular provocando diversos cuadros patológicos. Precisamente por ciertas semejanzas con su modo de actuar y las características de sus efectos, fue como a ciertos programas que pueden autoreproducirse ("transmitirse" de una computadora a otra, pudiendo causar daños a la información y al sistema mismo) se les bautizó como virus informáticos.
En realidad el origen de estos no es algo tan simple de precisar. Aunque los más diversos especialistas convienen en señalar que fue John von Neuman en su artículo "Theory and Organization of Complicated Automata" quien estableció por vez primera la idea de una porción de código capaz de reproducirse a sí mismo.
Hasta hace pocos años, la mayoría de los virus solían programarse solamente en lenguaje ensamblador, por sus posibilidades y el nivel de optimización que permite, pero con el innegable avance de los sistemas operativos de 32 bits, el Internet y el correo electrónico, la combinación del lenguaje ensamblador con lenguajes de alto nivel es una idea cada vez más empleada. Lo anterior, dado que la tendencia natural es la de encaminar el mundo de los virus hacia el hacking, haciendo posible que los virus puedan robar los archivos de contraseñas de una computadora y conseguir su ilegítimo envío a una cuenta de correo establecida de antemano, poniendo de manifiesto la extrema inseguridad de los sistemas operativos actuales.
El tema de los virus informáticos, poniendo énfasis en sus orígenes (génesis), su realidad y sus posibles tendencias hacia el futuro (devenir), es lo suficientemente amplio como para dilucidarlo en un artículo como éste, por lo cual nos contentaremos aquí con dar una referencia precisa acerca de aquellos trabajos cuya consulta bien puede encaminarnos hacia dicho objetivo. A saber:
1. Cronología de los Virus Informáticos:
http://www.virusprot.com/Historia.html
2. Computer Knowledge Virus Tutorial:
http://www.cknow.com/vtutor/vthistory.htm
3. Computer Viruses - Theory and Experiments. Copyright(c), 1984, Fred Cohen:
http://all.net/books/virus/
4. VIRUS EN LAS COMPUTADORAS: Ataque a la seguridad de la organización. Jorge E. Pereira:
http://www.expreso.co.cr/pereira/virus_00.htm
5. Origen de los Virus:
http://www.geocities.com/Athens/Olympus/7428/virus02.html
6. Historia de los Virus:
http://campus.uab.es/~2049768/virus.htm
7. "Virus Informáticos". Gontzal Gallo:
http://www.delitosinformaticos.com/trabajos/virus1.htm
8. "Seguridad Informática. Virus Informáticos". Leandro Vander Bosch, Nicolás Waisman, Franco Rojas:
http://www.aebius.com/b_datos_doc/pages/virusinf_1.htm
9. Virus: ayer, hoy y mañana por Ignacio M. Sbampato:
http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=10
10. "Virus en Linux". Rafael Alberto Moreno Parra:
http://www.hispasec.com/bufer_articulo.asp?id=50
(*) Arnoldo Moreno Pérez (miru@prodigy.net.mx) se desempeña como Asesor Independiente en Temas de Seguridad Informática e integra la lista de colaboradores de VSAntivirus.
VSantivirus No. 427 - Año 5 - Sábado 8 de septiembre de 2001
Troyanos de dos patas
Por Arnoldo Moreno Pérez (*)
El objetivo de este breve artículo es puntualizar algunos aspectos con relación al Macro.Word97.Trojan.Fox. A saber:
1. Al parecer este "bicho" tiene parientes muy cercanos que le anteceden. Basta observar la similitud con los mencionados en las siguientes ligas:
www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=W97M_PINKY.A
www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=W97M_ABRE.A
www.antivirus.com/vinfo/virusencyclo/default2.asp?m=q&virus=w97m_chingda&alt=chingda
http://www.vsantivirus.com/chingada.htm
http://ca.com/virusinfo/encyclopedia/descriptions/p/pinkya_trojan.htm
http://ca.com/virusinfo/encyclopedia/descriptions/p/pinkyb.htm
http://ca.com/virusinfo/encyclopedia/descriptions/p/pinkyc_trojan.htm
Pues todos ellos obedecen a una mecánica similar.
2. Este caballo de Troya bien puede ser considerado como un TROYANO DE DOS PATAS en el sentido de que se tiene que mandar en directo, no se reproduce a través de listas de direcciones de correos ni nada por el estilo. Es decir, para que camine necesita de alguien que lo eche a andar (para que llegue necesita de alguien que deliberadamente lo envíe).
3. Si bien los distintos antivirus batallan para abatir esta terrible plaga que representan los gusanos y los más diversos troyanos. En el caso de troyanos como éste es difícil exigir que todos los antivirus estén preparados para hacerles frente.
4. Esta clase de troyanos discrepa de los virus manuales en que éstos últimos tienen instrucciones a seguir para que puedan hacer algún daño, mientras que en los primeros basta un solo clic. En ambos casos la mejor arma es la prudencia y procurar mantenerse bien informado, además de no emprender acciones sin consultar algún especialista.
5. Tanto en este troyano como en sus "parientes cercanos" la clave para deshacerse de ellos radica en borrar las plantillas normal.dot donde se encuentren y buscar la presencia de un posible "archivo disparador" (con los atributos que éste tenga) en el inicio de Windows y proceder a suprimirlo.
Para concluir, considero que todo lo anterior me permite abrir la polémica para evaluar la utilidad ante esta clase de situaciones del siguiente consejo:
"Procure siempre revisar qué programas son los que se encuentran en el inicio de Windows y ponga especial cuidado si estos tienen atributo de oculto y su función no tiene de entrada justificación".
Pues esto último refleja en cierta forma la manera lógica de escudriñar en el comportamiento de los troyanos de esta clase.
Referencias:
"Macro.Word97.Trojan.Fox. Un troyano ofensivo afecta Word".
VSantivirus No. 426 - Año 5 - Viernes 7 de septiembre de 2001
http://www.vsantivirus.com/trojan-fox.htm
"Las más peligrosas alimañas informáticas: los virus manuales".
Por Ignacio M. Sbampato
http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=3
"Soluciones Antivirus al Alcance de Todos"
Por Arnoldo Moreno Pérez
http://www.alerta-antivirus.com/articulos-00.htm
(*) Arnoldo Moreno Pérez se desempeña como Asesor Independiente en Temas de Seguridad Informática y a partir de este artículo se suma a la lista de colaboradores de VSAntivirus.
Soluciones Antivirus al alcance de todos
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=2
Una de las principales inquietudes que se suelen tener cuando nos encontramos ante la circunstancia de tener que tratar con los virus informáticos son:
¿A cuál software libre en INTERNET se puede recurrir para obtener soluciones aunque sean parciales independientemente de que nos decidamos a adquirir algún antivirus?.
¿Quiénes ofrecen algún servicio de rastreo en línea para nuestros equipos?.
¿Existe algún software gratuito que pueda usar para familiarizarme con el uso de un FIREWALL personal?.
¿Cuáles son algunas de las cuestiones básicas que debo de tomar en cuenta al descontaminar un equipo? .
¿Cuáles son básicamente las utilidades a las que puedo acceder libremente (freeware) para tratar con los más diversos virus y familiarizarme con ellas?
El objetivo de este trabajo es dar orientaciones iniciales al respecto.
I.- Software Antivirus Libre en Internet.
Uno de los problemas clásicos a los que nos llegamos a enfrentar es tener que vacunar eficientemente un equipo con algún antivirus para DOS .Para ello podemos recurrir al legendario F-Prot:
http://www.complex.is/cgi-bin/home_pager http://videosoft.tripod.com/f-prot.htm
ftp://ftp.complex.is/pub/
Si lo que se desea es crear discos de emergencia para hacer un arranque en frío, bien podemos hacer uso de lo que nos ofrece TREND MICRO:
http://www.antivirus.com/pc-cillin/support/edisks.htm http://www.antivirus.com/pc-cillin/download/pattern.asp
En lo que concierne a poder instalar todavía algún producto absolutamente libre en nuestra computadora. Se tiene la opción de probar con el eSafe Desktop de Aladdin Systems:
http://www.esafe.com/support/listesafe.asp?pd=eSafe%20Desktop
O bien con el AVG de Grisoft Inc:
http://www.grisoft.com/html/us_downl.cfm
II.- Rastreo en Línea:
En este apartado se dan soluciones proporcionadas gratuitamente por distintas empresas:
http://www.pandasoftware.es/ (PANDA SOFTWARE). http://housecall.antivirus.com/housecall/start_corp.asp (Housecall de TREND MICRO).
http://www.symantec.com/securitycheck/ (SYMANTEC).
III.-ZoneAlarm el FIREWALL Personal por Excelencia:
http://www.zonelabs.com/
Existen varios productos libres para este fin, pero éste es el clásico que siempre se debe conocer.
IV.- Algunas Cuestiones Básicas:
Siempre que vaya a descontaminar un equipo considere lo siguiente:
1.- En muchas ocasiones será preferible usar los comandos FDISK/ MBR o sys C: tratándose de virus en el MBR. No obstante se debe de ser muy cuidadoso con el uso del primero para no arriesgarse a perder contacto con el disco duro. Este riesgo es latente en los casos de los virus Monkey o Diablo Boot, o cuando se tiene más de una partición o bien cuando éstas fueron creadas a través de DISK MANAGER o PARTICION MAGIC por ejemplo.
2.- Suele ser recomendable limpiar los archivos temporales y hacer uso de productos como Norton Utilities cuando se tengan marcas de hora o fecha inválida en los archivos.
3.- Cuando se tiene una contaminación inminente la cual no se debe a algún virus de macro es más recomendable limpiar los equipos desde un arranque en frío y no mediante un monitoreo bajo Windows.
4,- Cuando descontamine una red no reincorpore los equipos infectados antes de estar seguro que ya están libres de virus.
5.- Procure no ser dogmático, tome en cuenta que no existen antivirus infalibles, siempre es recomendable tener más de una opción.
6.- Procure siempre revisar qué programas son los que se encuentran en el inicio de Windows y ponga especial cuidado si estos tienen atributo de oculto y su función no tiene de entrada justificación.
V.- Utilidades Libres:
Fundamentalmente se recomiendan:
http://videosoft.tripod.com/otros.htm
ftp://ftp.f-secure.com/anti-virus/tools/ http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/tools.asp
http://www.symantec.com/avcenter/tools.list.html
Y finalmente deseo recomendar que se consulte:
ftp://ftp.elf.stuba.sk/pub/pc/
El cual corresponde al Slovak Center (ANTIVIRUS), importante Website que constituye todo un importante patrimonio histórico.
Finalmente el lector puede corroborar que en los productos mencionados no se hace señalamiento alguno de que sean los mejores ni tampoco los más eficientes o eficaces, solamente se indica que en estas condiciones son los que se tienen disponibles. Será éste último el que poniéndolos a prueba llegará felizmente a establecer sus propias conclusiones.
Arnoldo Moreno Pérez
Asesor de Sistemas y Normas de la Unidad de Apoyo al Cambio Estructural Ministerio de Comunicaciones y Transportes del Gobierno Mexicano.
Estrategias de seguridad
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=3
En este trabajo nos ocuparemos solamente de dar una orientación básica acerca de aquellos aspectos que el autor considera que deben de ser tomados en cuenta para procurarse los requerimientos mínimos de seguridad en nuestros equipos informáticos .
Todo este material sirve para integrar la estrategia de seguridad mínima para los equipos y así poder prevenir eficazmente (además de mantener instalado y bien configurado y actualizado, algún antivirus decente) los ataques de virus de la talla de FUNLOVE, MAGISTR, SIRCAM o NIMDA.
Concretamente lo que se recomienda es concentrarse básicamente en los siguientes puntos:
Deshabilitar el Windows Scripting Host (WSH) en nuestro PC.
Habilitar la opción para poder ver las extensiones verdaderas de los archivos.
Coloque el Nivel de Seguridad del Internet Explorer en el Rango Medio.
Establezca un aviso antes de abrir anexos de correo (esto aplica a usuarios de outlook y outlook express)
Habilite la Protección para el Peligro en Macros en MS Office 97 y 2000 (aplicable a usuarios de Office 97 y 2000)
Avisar antes de hacer cambios a la plantilla global (normal.dot - aplica a usuarios de Word97 y 2000).
Aplique todas las últimas actualizaciones de seguridad de Microsoft.
Es muy importante familiarizarse con el uso de un buen FIREWALL personal.
En lo que conciernen a los primeros siete puntos. Lo recomendable es remitirse a:
Safe Computing Guide de Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/safe_computing/
En donde se explican estos principios de manera breve y se hace referencia a herramientas para el registro de Windows fácilmente aplicables a los puntos 2 al 6, las cuales pueden ser obtenidas en:
http://www.antivirus.com/pc-cillin/vinfo/safe_computing/zipped_registry.htm#NotHideFileExt
Para deshabilitar el WSH existe una utilería desarrollada por Symantec y llamada NOSCRIPT.EXE la cual puede ser ejecutada en Windows 95/98/Me/NT4 y 2000 de manera inmediata para este propósito. Podemos obtenerla en:
http://www.vsantivirus.com/otros.htm#esp
De hecho para explicar los dos primeros puntos de una manera clara y contundente, existen excelentes trabajos que aquí me permito recomendar. A saber:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Procedimientos de Desactivación de Archivos de VBScript
http://virusattack.xnetwork.com.ar/documentos/
Para poder cerrar los "huecos" de seguridad que ya han sido descubiertas para Windows. Es recomendable visitar:
http://windowsupdate.microsoft.com
Y así proceder a instalar todos los parches que allí están disponibles, para cada unos de los casos.
De entrada no es algo tan sencillo saber jerarquizar que es lo importante con relación a este tema. Enumero aquí toda una lista de artículos cuya lectura bien puede contribuir al esclarecimiento. Estos son:
"Consejos: Outlook y Outlook Express más seguros". Por José Luis López
http://www.vsantivirus.com/consejos-outlook.htm
"Las 20 Vulnerabilidades más explotadas por virus y atacantes"
http://www.vsantivirus.com/20vul.htm
"11/10/2001 Nueva Actualización para Internet Explorer"
http://www.hispasec.com/unaaldia.asp?id=1082
Listado de Parches de Virus Attack!
http://virusattack.xnetwork.com.ar/parches/
Es muy importante familiarizarse con el uso de un buen FIREWALL personal una buena opción es ZONE ALARM, el cual puede conseguirse gratuitamente en CNET Download.com.
Y se pueden consultar detalles sobre su naturaleza y funcionamiento en:
http://www.internautas.org/seguridad/zone.php
http://www.almendron.com/zonealarm/manual_zone_alarm.htm
Finalmente, existe una versión completamente nueva de este software. Los detalles pueden ser consultados en:
"Nueva versión de Zone Alarm".
http://www.vsantivirus.com/15-10-01.htm
Arnoldo Moreno Pérez
Asesor Independiente en Temas de Seguridad Informática.
Heurística antivirus
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=4
Las técnicas heurísticas nacen de la necesidad de una “detección genérica” de los virus informáticos. Se llama detección genérica a la posibilidad de detectar “cualquier virus” aún sin haberlo analizado antes y sin estar en la base de datos del antivirus que se esté considerando. Esto pareciera que carece de sentido pero es tan simple como buscar “instrucciones comunes” de los virus para advertir de la posibilidad de que un archivo o programa esté infectado. .
Cuando analizamos las primeras instrucciones de cualquier archivo, veremos instrucciones para detectar los parámetros de la línea de comandos, borrar la pantalla, llamar a alguna función, ejecutar alguna macro, etc.. No obstante tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo del virus o buscar más archivos para intentar implantarles su código.
La experiencia es sin duda lo que lleva a una persona a reconocer algo infectado de algo limpio en cuestión de segundos. Esa “experiencia” se ha pretendido introducir en los programas antivirus bajo el nombre de “heurística”.
El funcionamiento de la heurística es sencillo, primero se analiza cada programa sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar o "descompilar" el código de máquina para deducir que haría el programa si se ejecutara. Avisando que el programa tiene instrucciones para hacer algo que es raro en un programa normal, pero que es común en un virus.
Sin duda el principal problema de las técnicas heurísticas ha sido los falsos positivos. A pesar de que se han mejorado mucho en los últimos años, siguen sin conseguir demasiada efectividad (aunque hay algunas excepciones). El problema más que en la calidad de la rutina heurística está en la interpretación que el usuario realice de ese aviso heurístico. Si es poco experimentado estará constantemente mandando muestras a su casa de antivirus ya que “el antivirus le dijo que podía tener un virus”.
Entendiendo la Heurística como un indicador de probabilidad de contagio, esto nos lleva a considerarla como un sistema de detección mejorada que al incluirla los antivirus nos permite establecer un sistema de alerta y de prevención ante la aparición de mutaciones de virus o de nuevos virus.
Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos, que sean susceptibles de ser malignos. Códigos que son genéricos dentro de los archivos maliciosos y que siempre suelen ser parecidos. O por lo menos respetar parte de las cadenas de comandos que activan los virus.
Pero ¿cómo opera un antivirus? Los virus tienen patrones de códigos que son como sus "huellas digitales". Los software antivirus buscan estos patrones, pero sólo de los que tienen almacenados en su lista (por esto la actualización es tan importante). Estos productos también pueden valerse de la heurística, es decir, analizan los archivos para detectar comportamientos similares a los de los virus.
Cada día crece el número de nuevos virus y la alternativa para poder neutralizarlos, sin haber programado antes el antivirus para su reconocimiento, es la denominada “búsqueda heurística”. A través de ella, el programa antivirus analiza el código de los programas buscando instrucciones, acciones sospechosas o indicios que delaten la presencia de virus en la computadora, de acuerdo a los patrones habituales empleados por los códigos maliciosos.
El método Heurístico es una tecnología de programación que dentro de sus rutinas de detección de especies virales, incluye las cadenas clásicas que son similares, parecidas o afines a virus auténticos. El método heurístico, si no está bien programado, es susceptible de incurrir en resultados falsos positivos o negativos. Además, al encontrar un virus desconocido, variante de otro existente, el antivirus que emplea este método de búsqueda no podrá eliminar eficientemente el virus y mucho menos reparar el archivo o área afectada.
Para que un antivirus detecte y elimine eficientemente a un virus así como también repare los daños ocasionados, debe incluir en la base de datos de sus rutinas de detección y eliminación el exacto micro código viral de esa especie. Sin embargo la técnica de búsqueda heurística de virus por "familias" es una forma eficiente de detectar a especies virales que pertenecen a una misma familia, aunque no es un método absolutamente exacto o eficiente.
Arnoldo Moreno Pérez <BR< Informática.
Diciembre de 2.001
El Futuro de los ANTIVIRUS
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=8
“En los sistemas modernos hay demasiados tipos de archivos ejecutables, programas que pueden acceder a los componentes del computador. También es muy complicado que un sistema no tenga problemas, incluyendo agujeros de seguridad. Por todo ello, creo que los virus seguirán existiendo aunque el entorno contemple la seguridad basada en certificados digitales. .... Es posible desarrollar un entorno completamente protegido por la comprobación de firmas digitales, ¡pero los usuarios no lo usarán!, porque un entorno de este tipo no es lo suficientemente amigable... demasiadas limitaciones, demasiados avisos, demasiadas preguntas.” Eugene Kaspersky
La inmensa mayoría de las infecciones víricas actualmente se deben a infecciones por gusanos (programas que se transmiten a través de las redes e Internet) y troyanos (los cuales suelen ejecutar acciones ocultas e indeseables) realizadas en su mayoría de las veces a través del correo electrónico. Estos virus se activan mediante la ejecución de adjuntos en el correo electrónico o simplemente mediante la lectura de correos recibidos con código malicioso dentro de HTML.
Existe la posibilidad que en el futuro aparezcan nuevos virus similares al Nimda o al Klez, los cuales podrán tomar ventaja de las vulnerabilidades existentes o de las que lleguen a presentarse. La educación y la conciencia basada en estrategias adecuadas de seguridad es la única forma de prevenir los posibles daños. Un posible colapso de la Internet (debido a una saturación del tráfico, a causa de los virus) no tiene tanto sustento a priori, pues sus límites antes que ser tecnológicos tienden a ser más bien culturales y ante una situación de esta naturaleza todavía se tienen elementos para prevenirla.
Hoy en día, dado lo sofisticado que son estos programas, uno solo de ellos tiene la característica que no le piden nada a sus antecesores, constituyendo de esta manera, la principal causa de los estragos producidos. El gusano Nimda (que llegó como troyano y destruye el sistema como un virus) y el Klez nos abren todo un abanico de posibilidades y sorpresas inesperadas que ponen a tambalear nuestros esquemas clásicos de protección.
Virus, Troyanos, y gusanos han existido desde los inicios de los sistemas operativos actuales y de Internet. La contienda “virus - antivirus” ya tiene sus dos décadas y nada nos indica que vaya a terminar. No se puede descartar, por ejemplo, que en un futuro cercano los virus atacarán teléfonos celulares programables y se propagarán cuando encuentren algún vínculo abierto entre dos aparatos. La principal vía de contagio, tal como hoy ocurre con las computadoras, será el correo electrónico, que ya está disponible en el mundo de la telefonía móvil.
Remarcando esto, los virus del futuro no sólo harán blanco en computadoras y servidores sino que serán diseñados para atacar teléfonos celulares inteligentes y asistentes digitales personales. Estos códigos maliciosos se prevé (esto es solamente un escenario o conjetura muy al estilo de Julio Verne) que incluso podrían llegar a grabar conversaciones y enviarlas vía correo electrónico a otros usuarios sin el consentimiento del dueño del aparato, suprimir o alterar estados financieros almacenados en los celulares, o incluso cambiar los números telefónicos contenidos en la memoria de estos artefactos y reemplazarlos con otros números de larga distancia, con el fin de generar cuentas y débitos de proporciones enormes.
Más aun, no es descabellado (no, al menos del todo) que las guerras del futuro cercano entre países desarrollados tendrán lugar entre dos redes informáticas, en las bolsas y mercados financieros interconectados, entre naves no tripuladas y satélites. De hecho, mientras el capitalismo prevalezca y esta situación nos alcance, las armas convencionales solamente se llegarían a utilizar con los países subdesarrollados.
Si miramos un poco al futuro y pensamos en la domótica (control de edificios, casas, etc, mediante hardware y software), vislumbramos ya la introducción de Internet en nuestra vida doméstica. De hecho, algunos operadores de televisión por satélite ya pregonan la disponibilidad de Internet a través de la televisión. De modo que tal vez dentro de poco, junto con nuestra televisión tengamos que comprar algún tipo de dispositivo antivirus. Y no pensemos sólo en la televisión, ya que otros electrodomésticos también serán alcanzados por los largos tentáculos de Internet.
El futuro nos augura mayor número de virus y más sofisticados, en lo que va del 2002 ya se ha alcanzado la cifra que se tenía al cierre del año 2001. Algunas posibles tendencias pueden ser las siguientes:
Gran incremento en el número de virus, gusanos o backdoors. La frecuencia avasalladora con que van apareciendo nuevas variantes de malware (códigos maliciosos) nos predispone a mantener una política coherente y adecuada de actualizaciones. A la hora de escoger un software antivirus se ha de tener en cuenta la capacidad de actualización y la velocidad de respuesta de los laboratorios de las empresas, así como las capacidades heurísticas (detección de posibles virus nuevos) que tengan integradas estos productos.
Java y Actives. Ambos de estos componentes gozan presumiblemente de mecanismos de seguridad para evitar la difusión de virus pero tienen algunos agujeros (no son la panacea, pues de ser así, Windows XP sería una promesa verdaderamente mesiánica) . La seguridad de ActiveX se basa en que sólo puede ejecutarse código autenticado . Eso es mejor que nada pero aún deja mucho que desear, no se puede apostar a que autenticar sea una garantía absoluta o infalible.
Más conectividad. La demanda de mayor ancho de banda incrementa con cada vez más información en circulación. A mayor intercambio de información , mayor intercambio de todo tipo de programas o archivos incluyendo a los diversos gusanos que vayan surgiendo.
Lenguaje de macros más potente, universal y manejable. Los fabricantes de software incluyen cada vez lenguajes de macro más potentes y sencillos de utilizar pero como contrapartida, más vulnerables a los ataques o incorporación de códigos no necesariamente benévolos. Aparentemente los virus de macro ya no son los que dominan la escena, pero bien podrían irse acompañando en el ciberespacio de gusanos cada vez más potentes (de hecho Melissa nos dio una adelanto de situaciones de este tipo) y de esta manera afianzar novedosamente su presencia.
Más virus destructivos. El código fuente del virus CIH (capaz de sobrescribir en determinadas circunstancias el BIOS y dejar la máquina absolutamente inoperante), los más diversos kits de creación de virus y otras tantas linduras están al alcance de todo mundo en Internet. Esta información alienta a otros programadores de virus a generar otros, e incluso a auténticos aficionados (“lamercillos” y crackers) a sentirse como niños en dulcería con el simple hecho de jugar con estas cosas.
Lo anterior nos lleva a pensar (sin mucho temor a equivocarnos) que el futuro de los antivirus está fundamentalmente en el desarrollo sólido de la heurística, y en la integración de éstos hacia una estructura más sólida de software que contemple a antivirus, cortafuegos, detectores de intrusos y autenticación como un solo producto.
Arnoldo Moreno Pérez.
Los Virus en Asistentes Digitales Personales (PDAs)
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=9
“El primer virus que atacó a la Palm no fue una amenaza terriblemente grande, pero fue una llamada importante para despertar a las corporaciones alrededor del mundo al hecho de que los piratas informáticos ahora van a apuntar hacia las Palms y PDAs." Tanya Candia.
"No hay que subestimar el riesgo; el problema está recién apareciendo." Michael Dickopf.
"Todo método que sirva para introducir un código ejecutable en un Palm representa una posibilidad de ingreso de un código dañino." Eric Chien.
Conforme se extienda el uso de los dispositivos inalámbricos, como los asistentes digitales personales y tiendan a integrarse a la dinámica cotidiana de los negocios, también es de esperarse que aumenten las amenazas contra estos aparatos. Ya han aparecido programas maliciosos (PalmOS/Phage, PALM/Liberty, etc) tales como los Caballos de Troya dirigidos específicamente contra los dispositivos inalámbricos, y los expertos ven un horizonte de riesgos a asumir en un mundo inalámbrico que cada vez alcanza un mayor auge.
Las personas bien conectadas adoran sus asistentes digitales personales. Pero su popularidad inquieta cada vez más a un buen número de especialistas los cuales se adelantan a clasificar los diversos problemas que puedan llegar a presentarse, y con ello diseñar políticas de prevención y escenarios de herramientas eficaces para afrontar la nueva situación.
Con su difusión se incrementa la posibilidad de que estos artefactos que caben en la palma de la mano se conviertan en objetivo real de ataque de los más diversos códigos maliciosos, destinados a destruir los datos que contienen o hasta provocar efectos indeseables en su funcionamiento normal. No obstante, cabe aclarar que hasta el momento no se tienen virus para PDA´s que literalmente destruyan datos, estos solamente afectan a su sistema operativo y lo más que pueden hacer es obligar a su reinstalación.
La mayoría de los PDAs operan con el sistema operativo PalmOS (diseñado por Palm), por ello, se puede decir que Palm tiene un mercado similar al de Microsoft en el campo de los sistemas operativos para computadoras personales. Aunque, esto no libra de peligro a los demás sistemas operativos que sean admisibles en este entorno.
Los aparatos Palm son ya acariciados como un preclaro blanco u objetivo sumamente tentador para los más diversos programadores de virus. Cuando el número de estos aparatos de mano llegue al grado en que las computadoras han penetrado en el mercado mundial, el riesgo de que proliferen los virus o troyanos para ellas bien podrá alcanzar un rango de importancia.
La estructura del sistema PalmOS al mismo tiempo impide y facilita un potencial ataque de virus. De hecho, no es tan fácil crear y propagar virus inalámbricos pues se tiene un sistema operativo simple y transparente y no hay tanta facilidad para su ocultamiento (lo cual no inhibe su creación, solamente hace que se retarde), pero esta situación ha ido cambiando desde que estos dispositivos han ingresado a las redes informáticas.
Palm no utiliza un sistema convencional de almacenamiento de datos. Por el contrario, está diseñado para que pueda trabajar óptimamente con un equipo de cómputo pese a su limitada capacidad. En un Palm, los datos son guardados en bloques llamados registros. Estos, al relacionarse entre sí se agrupan en bases de datos que, por ejemplo, representan cosas como los datos inscritos en la agenda.
Si se trasladan archivos desde una computadora es bueno asegurarse de hacer antes una revisión de que no tengan virus. Además, una manera de proteger las PDAs es alentar a los usuarios para que las sincronicen en forma regular. Durante la sincronización los usuarios tienen la oportunidad de aceptar o rechazar cualquiera de las nuevas aplicaciones que intenten entrar a la Palm, permitiéndoles revisar estas aplicaciones para asegurarse de que provienen de fuentes conocidas y confiables.
Dado que un usuario también debe regularmente guardar sus datos de respaldo de manera tal que si la información que está en la Palm se perdiese, ella pueda ser restaurada de manera rápida y fácil, es como nace la necesidad de antivirus para estos dispositivos (aunque de momento la demanda no sea tan alta) y poder cerrar así el círculo de seguridad idónea.
Arnoldo Moreno Pérez.
Virus Informáticos y Virus Biológicos
http://www.alerta-antivirus.es/virus/ver_pag.html?tema=V&articulo=6&pagina=10
“VIRUS: Vital Information Resources Under Siege (recursos de información vital bajo acoso)”
La gran similitud entre el funcionamiento de los virus computacionales y los virus biológicos, propició que a estos pequeños programas se les denominara virus. No obstante esta palabra todavía les resulta poco genérica e incluso inadecuada a varios estudiosos de la ciencias de la vida, cuando esta se aplica al mundo de las computadoras por no considerarla del todo precisa. Los virus informáticos existen como concepto hace muchos años, un virus es un programa con la capacidad de replicarse, es decir, de producir copias de sí mismo, en este aspecto su comportamiento es idéntico al de los virus biológicos. Los virus biológicos utilizan las células sanas para producir réplicas de sí mismos e infectar otras células, los virus informáticos utilizan la ejecución de programas infectados para infectar a los limpios. Los virus biológicos se reproducen de manera exponencial, los informáticos también.
Los virus informáticos son pequeños programas que, al ejecutarse, presentan un comportamiento muy similar al de los virus biológicos. Se consideran como virus los programas diseñados y escritos con el fin de alterar indebidamente el funcionamiento de una computadora sin que el usuario pueda advertirlo e impedirlo. Esto significa que los virus informáticos no se dan por generación espontánea: detrás de cada nuevo virus que hace acto de presencia en el mundo se encuentra una figura anónima o no identificada que lo idea y programa con fines poco claros.
En Informática la función principal de todo virus es la difusión y propagación del programa mismo que yace dentro de él. Cuando el virus está activo, replica su código de forma aleatoria sobre los archivos que el sistema pone a su alcance. Al añadir o replicar el código del virus sobre un archivo o programa, este queda infectado. Por consiguiente, todos los archivos contaminados se convierten en elementos transmisores del virus que, al ser copiados o enviados a otro equipo, pueden contagiarlo.
Los virus informáticos no se producen de manera accidental, sino que son códigos o programas muy bien diseñados por programadores expertos para dañar datos o bien restringir el acceso a ciertas zonas de información. Aunque no dañan a un organismo vivo, estos virus tienen un comportamiento parecido a los virus biológicos, ya que pueden reproducirse, dañar el software de tu computadora y permanecer mucho tiempo en ella antes de ser detectados. Al igual que los virus biológicos, los virus informáticos son sensibles a las vacunas (antivirus), que son programas diseñados para eliminarlos. El término "virus informático" se deriva, por analogía, de los virus biológicos. La palabra "virus" significa "veneno" en latín.
En Biología se les conoce como virus a ciertos agentes diminutos de carácter infeccioso, que son incapaces de tener vida independiente o de reproducción autónoma. Requieren de un huésped u organismo más complejo para vivir, los cuales les proveen de la energía necesaria para reproducirse. Cuando éste tipo de parásitos se reproducen suelen generar anomalías metabólicas al huésped y prácticamente no dejan huellas externas que indiquen su presencia al principio de su gestación.
Los Virus Informáticos son programas que se esconden en los dispositivos de almacenamiento y si en estos se encuentran otros programas o datos los contaminan. Ningún virus puede funcionar solito, requiere de otros programas para poderlos afectar. Su otra característica es la capacidad que tienen de réplica, haciendo copias iguales de sí mismos, entrando de manera furtiva y es común que generen anomalías en los equipos de cómputo al desarrollar su función muchas veces destructiva. Los virus atacan solamente al software de las computadoras, dañando la información, pero de ninguna manera dañan o destruyen físicamente partes del equipo.
Dado que se precisa de un huésped (también en el caso de un virus informático), la elección del virus puede ser un archivo, la memoria, el sector de arranque, la tablas de particiones, etc. Como todos los programas, necesita cargarse en la memoria para su posterior ejecución y después necesita almacenarse en un archivo. Un virus puede formar parte de un archivo existente o ser un archivo en si mismo (como es el caso de los troyanos, gusanos y puertas traseras), y esconderse en áreas del sistema de algún disco. Las instrucciones de un virus sirven para modificar a los archivos o a la configuración del sistema, y permitir que el archivo, con el virus, se copie en otro disco o equipo. Un virus sólo puede invadir a la máquina, cuando se le transfiera información infectada: por ejemplo, a través de un disco, un puerto en serie, un módem o una red; O incluso, hasta visitando una página infectada, como es el caso hoy en día con el virus W32/Haptime.
Los virus son diseñados para realizar tres objetivos básicos: i) Ser capaz de replicarse, ii) Cumplir la tarea para la cual fueron diseñados (desde mandar un simple mensaje hasta incluso destruir toda la información de un disco duro y corromper su sector de arranque), iii) Autoprotección para sobrevivir. La defensa es el tiempo de incubación, resistencia (en algunos casos a esto se le llama capacidad de ocultamiento o polimorfismo).
La creación de nuevos virus computacionales es un problema creciente, como lo es con los biológicos, dado el crecimiento exponencial parecido al de una colonia de bacterias sin enemigos naturales, los virus no tienen otro enemigo que no sean los programas antivirus, los cortafuegos personales y la prevención mínima por parte de los usuarios; los virus se nos presentan en una cantidad avasalladora.
Por Arnoldo Moreno Pérez
“Si tienes comentarios o dudas, puedes enviarme un mail a arnoldo@microasist.com.mx”
Seguir a la siguiente p
Última Edición jueves, 06 septiembre 2007 @ 05:03 CLT; 595 Hits 
