Nociones Básicas de Virus Informáticos y su Tratamiento

Waldylei Yépez (2004)

Introducción : Seguridad Informática, Virus y Auditoria

La Auditoria Informática se encarga de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Al realizar la auditoria se debe estudiar con mucho cuidado lo que significan los virus, conocer los diferentes tipos, sus consecuencias y precauciones a tomar, ya que son uno de los riesgos mayores en la actualidad para el auditor.
Se debe observar que en el sistema se cumplan unos puntos primordiales como, que no tenga copias ilegales o piratas, que no exista la posibilidad de transmisión de virus al realizar conexiones remotas o de redes o que en el acceso de unidades de disco flexible sea restringido solo a quienes las necesitan.
El auditor informático, si quiere realizar bien su labor y a la vez evitar situaciones desagradables y un tanto peligrosas, esta obligado a conocer la rama del Derecho que regula el objeto de su trabajo. Desconocer las normas que regulan la protección de los datos personales, la piratería de los programas de ordenador, las obligaciones contractuales, los delitos informáticos, las responsabilidades civiles y penales en que puede incurrir puede tener consecuencias graves si como es fácil que ocurra, dichas circunstancias se presentan en el entorno en que trabaja.
La información, que en muchos casos es confidencial para algunas personas o a escala institucional, es tratada y almacenada en su mayoría en computadoras, por lo que puede estar sujeta a robos, sabotaje, fraudes o a su mala utilización por otras personas y es esto por lo que se hace necesario el tratamiento de la Seguridad Informática.
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica:

1. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
2. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Es en este punto, donde se ha dado un factor que hay que considerar, es el llamado "virus" de las computadoras.

En el Nuevo Código Penal de España, el artículo 264-2 establece que se aplicará la pena de prisión de uno a tres años y multa... a quien por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos entre quien se pueden incluir los virus y todas sus modalidades o tipos.

Origen de Internet y el posterior nacimiento de los más populares Virus Informáticos:

Internet abrió la puerta a la información, rompió las fronteras naturales y puso en contacto a millones de personas de un extremo a otro del planeta. Pero por desgracia, igual que lo bueno, se extendió lo malo, dando alas a los desarrolladores más maliciosos para mandar sus creaciones de ordenador a ordenador.
Ni siquiera es necesario tener demasiado tiempo en Internet. Apenas siendo propietario de una dirección de correo electrónico en cualquier lista de correo o simplemente teniendo conocidos en la red, se recibirán cada cierto tiempo decenas de mensajes sobre unos duendes que son capaces de destruir absolutamente su disco duro: los virus de Internet.

Reseña Histórica de los Virus:

En 1949, tres jóvenes programadores de computadores crearon un juego para probar la teoría del famoso científico matemático de origen húngaro John Louis Von Newman, quien en su Teoría y organización de autómatas complejos había demostrado, diez años antes, la posibilidad de desarrollar pequeños programas que pudiesen tomar control de otros de similar estructura. Este fue el inicio de lo que hoy llamamos VIRUS COMPUTACIONALES.
Partió como un inocente juego, pero en la actualidad, se ha convertido en una epidemia que afecta a la mayoría de los computadores de todo el mundo. A continuación, daré a conocer el objetivos de este manual en base a este tema:

•  Conocer lo fundamental sobre el origen de los virus y su clasificación

•  Distinguir los tipos de virus existentes y su detección

•  Saber las medidas de prevención, y estar al tanto de lo que sucede en su computador.

Virus Informáticos:

Concepto:

Un virus de computadora, por definición, es un programa -o código- que se replica añadiendo una copia de si mismo a otro archivo ejecutable, en palabras más técnicas, los virus son segmentos de código de programa que se implantan a sí mismos en uno de los archivos ejecutables y que se propagan sistemáticamente de un archivo a otro.
Un virus es particularmente dañino debido a que, sin detección o protección antivirus, el usuario no se percata que su sistema esta siendo invadido hasta que ve los resultados que pueden ir desde anuncios inocuos hasta la perdida total del sistema.
Aparecidos hace ya mas de una década, los virus informáticos -en todas sus variantes- han evolucionado día a día pasando de ser un "juguete dañino" de algún programador travieso a poderosas armas de software que, con excelentes técnicas de programación en su interior, son capaces de infectar totalmente los sistemas que atacan, viajar a otros computadores a través de redes, mutar su código para evitar ser detectados y otras características más.
Existe definición más simple y completa que hay de los virus corresponde al modelo D.A.S. y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas:

1. Es dañino
2. Es auto-reproductor
3. Es furtivo u oculto

Normalmente, un virus presenta dos funciones diferentes :

1. Los virus benignos son aquellos cuyo diseño no implica ningún daño para la computadora. Por ejemplo, se consideran benignos los virus que permanecen ocultos hasta una fecha o una hora determinadas y no hacen otra cosa que mostrar algún tipo de mensaje.

2. Los virus malignos son aquellos que intentan causar daños malintencionados en la computadora, a pesar de que es posible que los daños no fueran intencionados. Existe un gran número de virus que pueden causar daños a causa de una programación deficiente y errores manifiestos en el código vírico. Los virus maliciosos pueden alterar uno o varios de sus programas, para que no funcionen de la forma esperada. El programa infectado puede cerrarse de forma anormal o incluir información incorrecta en sus documentos. También es posible que el virus modifique la información del directorio en una de las áreas de sistema. Esto puede hacer que el sistema no arranque, o puede hacer incluso que no sea posible ejecutar uno o varios programas, o que los programas no puedan encontrar los documentos que desean encontrar.

Asimismo, se pueden distinguir tres módulos principales de un virus informático :

•  El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse a escondidas. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.

Clasificación:

Virus, Gusanos, Troyanos y Puertas Traseras. Que son y Que hacen.

Muchos les llaman "los nuevos virus", hay quienes buscan incluso las actualizaciones de su antivirus para combatirlos. La realidad es que no son virus, la verdad es que no basta un antivirus para hacerles frente. Son las amenazas de moda: los gusanos, los troyanos y las puertas traseras.

Si realmente se desea establecer una línea de defensa contra las nuevas amenazas, lo primero que debe quedar claro es que no son virus, por lo mismo no les son aplicables las mismas herramientas que se usan para combatir a los virus salvo quizá, en una parte menor. Tampoco es probable que los antivirus puedan llegar a ofrecer una defensa sólida contra estas manifestaciones del ciberterrorismo porque, además de incrementar de manera geométrica el nivel de complejidad de los antivirus, por lo general cuando el usuario percibe la presencia de uno de estos "nuevos" engendros, es ya demasiado tarde para aplicar una herramienta orientada a otro tipo muy particular de amenaza.

¿Qué es lo nuevo?

Las nuevas amenazas en realidad no son nuevas. A decir verdad, todas ellas y otras más que mencionaremos posteriormente, son anteriores a los virus. Por sorprendente que parezca, los virus son en realidad la más reciente manifestación del terrorismo informático, lo que sucede es que, por un lado, solo en fechas recientes los viejos jinetes del Apocalipsis han despertado de una suspensión en la que se habían sumergido por años para dar paso a los virus. Por otra parte, la mayoría de los gusanos, troyanos y otros especimenes nacieron en el mundo de UNIX y ahora, tras la popularización de Internet, han cobrado nuevos bríos para hacer su debut en el mundo de Windows, DOS y sus similares.

Quien es quien

Para poder comprender por qué las nuevas amenazas no deben ser tomadas por virus, así como la gravedad de tratar de manejarlas con técnicas que no les corresponden, debemos comenzar por precisar en qué consiste cada una de ellas.

Después de todo los virus no son tan malos

La mayoría de las personas ajenas al medio informático, e incluso muchos profesionales del ramo, aun preguntan "¿qué daños causa ese virus?" cada vez que se menciona la aparición de un nuevo ente infeccioso. Más aun, no es raro que alguien asimile cualquier programa dañino con un virus: ¿causa daños? entonces es un virus. Y lo curioso del asunto es que no más del 10% de los miles de virus que existen causa daños, y de ese porcentaje, son menos aun los que dañan deliberadamente. Entre los virus agresivos, muchos son los que destruyen por errores de programación de su autor más que por diseño. En este orden de ideas, puede decirse que la probabilidad de perder información en la actualidad por causa de un virus, es inferior al 10% del total de infecciones incluso en el caso de los virus más devastadores como el reciente CIH.

¿Entonces los virus no se caracterizan por los estragos que causan?.

Efectivamente, la principal característica de todos los virus es su capacidad de infectar a sus huéspedes, es decir, de adherirse a otros programas infectándolos. Esto no implica que los virus sean una bendición, de hecho ninguno se ha liberado con buenas intenciones, es solo que no es el daño que puedan hacer lo que los distingue y, por lo mismo, no es ese factor el que cuenta para detectarlos ni para eliminarlos, sino el hecho de que pueden infectar a otras entidades de software, algo que ningún programa bien intencionado hace. Por eso es factible detectar un número importante de los virus nuevos y desconocidos.
Paradójicamente a lo que la idea más generalizada propone, la abrumadora mayoría de los virus no contiene rutinas destructoras por una razón obvia: si los virus atacaran de inmediato, no tendrían oportunidad de infectar y propagarse, que es la idea básica del virus. Así que aun los virus más agresivos se toman su tiempo para infectar y asegurar su supervivencia antes de atacar. El momento del ataque suele depender de una fecha específica, un contador, o un evento predeterminado.

Los Troyanos en cambio...

Los programas diseñados con fines de devastación son una especie por sí misma: los caballos de Troya, o simplemente "troyanos". El autor del troyano no está interesado en infectar nada, sino en destruir. Por esa razón, hasta el advenimiento de la Internet, no se habían propagado de modo importante; la intensificación de un medio casi ideal para propagar lo que se desee como es el correo electrónico, ha favorecido claramente el renacimiento de una plaga que no era significativa.
Como en el caso del poema homérico del que reciben su nombre los troyanos, no es el enemigo quien introduce el funesto dispositivo al sistema del usuario, sino el propio usuario, que difícilmente puede llamarse víctima después de ejecutar un programa de procedencia desconocida y, lo que es peor: sin una buena razón para hacerlo. No se trata aquí del mismo caso de los virus, porque un virus puede venir de una fuente confiable y oculto en un programa legítimo, sin conocimiento del usuario; el troyano nunca viene en un archivo legítimo, nunca hay una razón válida para ejecutarlo. Quien ejecuta un troyano lo hace asumiendo un riesgo que podía haberse evitado con solo verificar la procedencia del programa, más aun si se considera que nadie solicita un troyano.
Es conveniente enfatizar la diferencia operativa de virus y troyanos: ningún programa bien intencionado tiene porqué modificar otros programas, por eso un virus puede ser identificado, porque ejecuta operaciones únicas de su naturaleza que no se encuentran en otros programas, es decir, usan una tecnología que los hace inconfundibles. Pero el troyano hace cosas que son legítimas en muchas aplicaciones: borrar archivos, formatear discos, copiar sectores, etc. En otras palabras, al troyano no lo distingue su tecnología, sino las intenciones de su autor. Y no hay forma de detectar las intenciones de un programador hasta que se aprecian los resultados de su obra.
Y hay más. Un virus tiene diversas formas de infectar, pero todas redundan en lo mismo: se valen de un huésped al que invaden y su erradicación se limita a descontaminar el huésped o borrarlo si ha quedado inutilizable. Pero los troyanos no son descontaminables porque no infectan, y no suele bastar con borrar un archivo, porque varios de los troyanos contemporáneos emplean un proceso de instalación relativamente complejo y único de cada caso, que hace imposible para un antivirus aplicar las técnicas habituales a situaciones de naturaleza completamente distinta.
No hay vacunas para los troyanos, eso es un hecho. En una analogía tomada del lado humano, se puede decir que todos estamos expuestos a contraer una enfermedad viral por simple contagio ambiental, y podemos curarnos con medicinas apropiadas y aun prevenir futuras infecciones con la vacuna adecuada si la hubiera. Pero no hay vacunas que prevengan un atropellamiento en la vía pública o el ataque de una pandilla de vándalos; tampoco bastan las medicinas para recuperarnos de semejante incidente. Para evitar ese tipo de situaciones solo una cosa puede hacerse: usar el sentido común para no exponerse a riesgos innecesarios.
Para concluir, debe considerarse el aspecto de la recuperación. En la mayoría de los casos, un antivirus puede ayudar a recuperarse de la infección viral a través de la descontaminación y reparación de los archivos, pero un troyano se asegura de destruir programas y datos hasta el punto de hacer imposible la recuperación.

Los Gusanos

El primer ciberterrorista llevado a rendir cuentas ante la justicia no fue un autor de virus, ni siquiera fue un autor de troyanos, fue un joven estadounidense que alcanzó fama por haber creado un nuevo tipo de programa que se valía del correo electrónico para propagarse. Ese fue el primer gusano, o al menos fue el primero que alcanzó su meta: estrangular la supercarretera de la información saturándola de mensajes.
Los gusanos, como los virus, pueden o no causar daños, pero su característica distintiva es el hecho de que se propagan a través de correo electrónico. El gusano suele ser un programa que llega anexo en un mensaje y que al ejecutarse localiza la libreta de direcciones electrónicas del usuario y envía copias de sí mismo a quienes estén registrados en el directorio electrónico. Cualquier cosa adicional que el gusano haga es independiente de su mecanismo de propagación, pudiendo ocurrir que un gusano sea también un troyano, tal es el caso del Explore_Zip, que se infiltra a las redes usando sus características de gusano, pero una vez que se introduce, emplea su faceta de troyano para infiltrar cualquier punto de la red que no tienen que ver con correo electrónico.
También hay virus agusanados, no faltaba más. El popular virus Melissa consiguió un nivel de propagación espectacular gracias precisamente a que poseía mecanismos típicos de los gusanos para exponenciar su difusión.
Ya que los gusanos contienen rutinas muy especializadas para tomar control de los recursos del correo electrónico, hasta ahora su detección no ha representado mayor problema para los antivirus, pero debido a que los gusanos pueden emplear técnicas complejas de instalación -tal es el caso del gusano "Happy99"- no es práctico para un antivirus intentar su eliminación. Como en el escenario de los troyanos, los gusanos deben ser eliminados a base de procedimientos que son como trajes hechos sobre medida: según sea el caso. No hay mejor protección contra los gusanos que la prudencia y la precaución en el manejo de archivos anexos de correo electrónico por parte del usuario.

La Puerta de Servicio

Y el más antiguo de los recursos de asalto a la seguridad informática sigue siendo la puerta trasera. Diseñadas originalmente como respuesta a la necesidad de mantener la vía de acceso a la información en sistemas de alta seguridad para casos de extravío de contraseñas o de errores en el sistema operativo, las puertas traseras han existido desde siempre, es solo que no se documentan para evitar el mal uso de esa posibilidad, ya que anularía el esquema de protección que brinda el uso de contraseñas y niveles de seguridad.
Puesto que las puertas traseras del fabricante rara vez trascienden, ya que son secretos celosamente guardados por los autores de los programas y sistemas operativos para ser usados solo en emergencias de seguridad nacional, no cabe esperar que las puertas traseras "oficiales" sean del dominio público. Pero todos los sistemas operativos tienen, invariablemente, fallas de seguridad que ni los propios desarrolladores conocen. Esas son las puertas traseras "no oficiales" y son explotadas por las agrupaciones subterráneas de programadores para desarrollar herramientas que permiten infiltrar y sabotear sistemas operativos remotos.
A diferencia de los troyanos, las puertas traseras por lo general no incluyen código destructivo, sino que "entregan" el control del sistema infiltrado a un cliente oculto y anónimo para que sea éste quien haga lo que le apetezca en tiempo real. Lamentablemente en tiempos recientes se han esparcido de manera irresponsable poderosas herramientas que no solo hacen las delicias de los aprendices de hackers, sino que proporcionan los medios para que programadores avanzados y desprovistos de escrúpulos desarrollen a su vez herramientas de asalto sin precedente.
Las puertas traseras, como los troyanos, no llegan por sorpresa, se instalan porque el usuario, sin tomar las precauciones necesarias, ejecuta programas de procedencia indeterminada. Este tipo de programas tampoco es sencillo de manejar por un antivirus ya que no infecta ni contiene rutinas destructoras que permitan identificarlo en base a su contenido. Para agravar la situación, las puertas traseras son programas generalmente preparados a base de un compilador cuyos ejecutables contienen bloques de código muy parecidos a los de cualquier programa convencional, de modo que tampoco es tarea simple dar con cadenas de bytes que permitan su identificación única como ocurre con los virus.
Las puertas traseras más difundidas como son Back Orifice y NetBus están incorporadas en algunos programas legítimos que se comercializan pública y abiertamente; suelen venir en programas de comunicaciones, servidores de fax, monitores de red y otros más que contribuyen a dificultar la distinción entre aplicaciones seguras y aquellas que ocultan malas intenciones. Esto significa que aún si un antivirus le reporta la presencia de una puerta trasera en una aplicación que usted compró e instaló, eso no implica que alguien pretenda infiltrar su sistema y perjudicarlo, significa solo que existe esa posibilidad.

Aniquiladores: El Golpe Final

Una categoría más, poco conocida, pero no nueva ni rara, es la de los aniquiladores (Nukers). Se trata del tipo de software más siniestro y cobarde que se haya creado. El aniquilador es un programa diseñado para la muerte súbita, el ataque por sorpresa, traidor porque explota las debilidades de los sistemas operativos y de la seguridad en las redes. No hay arma ni defensa alguna que valga o prevenga el ataque de un aniquilador salvo, quizá, los firewalls que se instalan en las corporaciones. Aún en ese caso, podemos quedar protegidos tras el firewall, pero el firewall mismo está a merced de un aniquilador dirigido específicamente contra él.
Los aniquiladores se distinguen de los troyanos en dos aspectos: no vienen en archivos que el usuario ejecuta, sino que son programas ejecutados desde sitios distantes por saboteadores, por esa razón no pueden ser detectados ni removidos por la víctima; la segunda diferencia consiste en que el troyano por lo general está diseñado para destruir información y archivos de todo tipo, el aniquilador en cambio está diseñado para cortar repentinamente el funcionamiento de la máquina atacada. Esto no siempre implica la destrucción de la información, sino la paralización del sistema. Un ejemplo ya clásico es el "Ping de la Muerte" ("Ping o'Dead"), un programa que ejecuta llamadas interminables a una dirección de red cualquiera hasta que la red se desquicia por saturación y falla. La máquina queda fuera de la red y se suspende todo proceso que dependa de ella. Ya que existen múltiples sites en Internet que irresponsablemente ponen aniquiladores de todo tipo a disposición de quien desee tomarlos, la posibilidad de sufrir un ataque de esta naturaleza está siempre latente, solo se requiere alguien decidido a "pasar un rato divertido" para sabotear incluso las redes más protegidas.

Virus que no son virus

Para nuestras pruebas hemos empleado una completa muestra de virus, muy superior a la usada en cualquier otra comparativa similar. Muchos de estos virus provienen de diversas fuentes, coleccionismo, amigos, Internet, BBSs, etc.
La gran diversidad de fuentes ha dado lugar a un hecho curioso, la detección de virus que no son virus. Los usuarios de BBS, Internet, etc., conocerán que en numerosas ocasiones los ficheros que se bajan comprimidos se acompañan de un pequeño fichero ejecutable, conocido por intro, que promociona el lugar del que se ha bajado el programa. Estas «demos» son archivos totalmente inofensivos e inocuos, y nos los encontramos sea cual sea el tipo de material que se reciba.
También son bastante conocidas por muchos usuarios las «bromas residentes». Programas sin ningún efecto dañino, que lo único que hacen es quedarse residentes hasta que ha pasado un tiempo o se pulsa una determinada tecla. Con lo que tampoco merecen el calificativo de virus.
Sorprendentemente en nuestro análisis hemos descubierto como la gran mayoría de las firmas y productos analizados califican a este tipo de programas como virus. Hemos desarrollado también una tabla con el número de falsos virus detectados, en esta tabla al contrario que en las demás, el producto con mayor índice puede ser calificado como peor, o como «más mentiroso». Como se puede ver en este aspecto el peor parado es Panda.
Panda por ejemplo, llega a detectar un gráfico en modo texto de una BBS como el «virus Kool-Aid». Al solicitar información sobre éste virus, no recibimos ninguna, pues el programa no es virus. Sophos por ejemplo detecta el programa «ANZUELO.COM» como «Troj/Anzuelo». Se trata de un COM que al ejecutarlo muestra en pantalla «Soy un COM infectado!!», pero no hace nada más que eso, mostrar un mensaje en pantalla. Dr.Solomons por ejemplo detecta «april.exe » como «QScreen3 virus», se trata de una graciosa aplicación que simula un MSDOS, el cual al pulsar cualquier tecla nos muestra líneas de caracteres ininteligibles junto con sonidos. Con solo pulsar la tecla «ESC» saldremos de esta broma. El nuevo VirusScan parece heredar este defecto de Dr.Solomons.
Por otra parte AVP y ThunderByte solucionan la papeleta detectando el archivo pero avisando que es totalmente inofensivo. Por último felicitar a Command en este aspecto, a pesar de unos cuantos falsos positivos es el que mejor se ha portado con diferencia.    

 

¿Quiénes escriben los virus?

Según Graham Cluley (Jefe de Comunicaciones Corporativas de Sopho, empresa fabricante de soluciones antivirus y encryption):
Los virus son creados, generalmente, por jóvenes adolescentes varones entre edades comprendidas de 14 a 24 años, que cuando se cansan dejan su labor. ¡Parece ser que a las chicas no les interesa crear virus!

Puertas de Entradas para los Virus

•  Estaciones de trabajo

Cuando hablamos de estaciones de trabajo siempre debemos tener en mente que son herramientas de trabajo del usuario final. El propio nombre lo dice por sí sólo: "usuario", alguien que no tiene la obligación de conocer los sistemas de programación ni todos los recursos que ofrecen las herramientas que utiliza. El usuario es simplemente un usuario. Los virus fueron creados con técnicas muy avanzadas con el objeto de engañar hasta a los más expertos analistas y programadores. ¡Imagínese lo que pueden hacer con el usuario!.
Un usuario intercambiará información con un compañero de trabajo y recibirá correos electrónicos de otras filiales, así como de amigos distantes. No podemos garantizar que el usuario accionará los sistemas de seguridad para impedir que un virus tome o controle su estación de trabajo y consecuentemente, a la red de la empresa. El usuario tiene como tarea ejecutar las funciones para lo cual fue contratado; por ejemplo, una secretaria no fue contratada para rastrear disquetes ni buscar virus de computadora, no sabe qué es eso, ni le interesa saberlo; lo que le interesa es teclear el texto que su jefe le solicitó lo más rápido posible.
Debemos tener en cuenta que el usuario final es quien más sufre con una invasión de virus, ya que su trabajo se destruye y su tiempo de dedicación es afectado ( usuario de una empresa ). Debemos aceptar que el usuario siempre será el más perjudicado con una invasión de virus, por lo que un administrador de redes debe pensar siempre en el usuario cuando estudia un sistema de antivirus. Éste deberá ser un sistema simple, automático e invisible, que solamente actúe cuando se presente un caso de virus. El usuario debe quedar exento de la responsabilidad de tener que accionar el antivirus para garantizar su protección; el antivirus deberá estar activado el tiempo necesario o durante el periodo que el usuario esté trabajando con su máquina sin tener que preocuparse por nada.

•  Servidores de datos

Los servidores de datos son los más importantes para un administrador de redes ya que en éstos se encuentran las aplicaciones y los datos del usuario. Una invasión de virus que afecte un servidor de datos podrá causar daños terribles en todo el sistema, que dependiendo del tipo de virus, podrán llegar al grado de paralizar la red entera.
Cuando hablamos de servidores de datos estamos hablando de toda la información vital de una empresa y a pesar de que aparentemente la amenaza de un virus no pareciera tan real, ésta ya merece una protección adicional sólo por representar el bien más preciado de la empresa: "la información". Es fácil concluir esto pues nunca veremos que un servidor de datos sea administrado por una recepcionista en un lugar de fácil acceso porque, normalmente el servidor será la máquina más grande de la empresa y estará ubicada en una sala de máxima seguridad a puerta cerrada y con acceso restringido de personal. Ya que tratamos nuestro servidor con tanta seguridad, ¿por qué no proteger la información contenida en él con un antivirus que garantice su seguridad tanto a nivel digital como físico? Proteger un servidor de datos es fundamental, ya que es el alma de la red y merece toda la protección que esta posición exige.

•  Servidores de correos

Hoy en día los virus macro representan el 80% de los problemas de infecciones que el mundo de la informática sufre diariamente. El medio de propagación más eficiente de los virus macro es: ¡el correo electrónico!.

•  Gateways Internet

Actualmente Internet es la mayor, mejor y más rápida fuente de información para las empresas, puesto que cualquier tipo de datos puede ser localizado por este medio. El camino más rápido, económico y práctico para las empresas es el uso de gateways y proxys, que son máquinas dedicadas a mantener la conexión con Internet. Con este tipo de conexión se agilizará el trabajo y se minimizarán los costos de hardware y de conexión.
Por otra parte, el mundo de Internet deja la puerta abierta a los hackers. Con un firewall (muralla de fuego) la empresa se protege contra la entrada de personas indeseables, sin embargo, esto no impide que el usuario tenga acceso a una página que contenga rutinas malignas que de pronto comprometan a la red entera. Preocuparse por proteger los sistemas SMTP, HTTP y FTP de Internet es por demás importante. En los tres puertos tenemos caminos libres para la entrada de virus y, a través de cualquiera, podemos acceder y traer hacia nuestra red virus o agentes altamente destructivos. La seguridad en una red estará altamente comprometida si su gateway o proxy no tuviera un buen antivirus.
Podemos concluir que existen cuatro puertas para la entrada de un virus: estaciones de trabajo, servidores de datos, servidores de correos y gateways de Internet . Cualquiera de ellas, sin la debida protección, pondrá en riesgo la seguridad de su red.

El peor gusano de la Historia! Klez!

Virus Klez: ¡hola ma!, somos los número uno

Con siete encarnaciones virtuales, el virus "W32/KLEZ.H" es, hoy por hoy, el gusano más peligroso de toda la historia de los virus informáticos, superando, incluso, al legendario "SirCam". Expandiéndose por más de 130 países refleja el alcance de la epidemia "Klez". El virus en cuestión se propaga a través del correo electrónico, aprovechando un agujero de seguridad del sistema operativo Windows. El secreto del "Klez" es la permanencia y no el daño inmediato. "El Klez logró triplicar su factor de molestia usando a la industria antivirus para su beneficio". "Las firmas AV han estado aprovechando la función de auto respuesta como una forma gratuita de publicidad por años. A veces creo que la industria antivirus es la peor enemiga de sí misma".

Opciones de Protección y Defensa contra Virus:

Firewall, Corta Fuegos ó Muralla de Fuego:

Se trata de una solución sencilla y barata para proteger un pequeño sistema.

Funcionamiento de un Corta Fuegos:

Filtrado de paquetes:

Teníamos que nuestro ordenador es un bloque de pisos identificado por su dirección (IP), y que en ese bloque tenemos varias casas (programas) identificadas por su número de puerta (puerto). ¿Cómo encaja en esta estructura un cortafuegos?.
Bien, podemos imaginar que el cortafuegos es el portero del bloque. Este portero está vigilando continuamente quién sale y quién entra del edificio, para ello pregunta a todo el mundo de dónde viene y a dónde va. Es decir, mira las cabeceras de todos los paquetes que entran y salen de nuestro ordenador, comprobando su dirección IP y puerto de origen, y su dirección IP y puerto destino.
Este portero es realmente eficaz. Le podemos decir que cuando el cartero traiga un envío de tal dirección no le deje pasar. Si el envío es de esa otra dirección que lo deje pasar, pero solo si es de la puerta 25 del otro edificio y es para el vecino de la puerta 1031 de nuestro bloque. O que no admita nada que no sea una respuesta a algo que hemos pedido previamente. Y así vamos definiendo las "reglas" mediante las cuales el cortafuegos controlará qué tráfico entra y sale de nuestro PC... realmente sencillo.
Además de este servicio de "filtro de paquetes" que nos presta nuestro "portero", los cortafuegos actuales suelen incorporar algunas opciones más. Por ejemplo, le podríamos dar a nuestro portero la foto de alguien (la identificación de un troyano) y decirle que si lo ve aparecer por el portal del edificio (entrando o saliendo) no le deje moverse del sitio y nos avise. Otras veces los niños que juegan en la calle llaman a todas las puertas para ver quien está en casa (un escáner de puertos). En este caso podemos desviar los timbres para que sea el portero el que compruebe si el que llama es alguien serio o está jugando.

Recomendaciones:

De entre los cortafuegos para Windows que se pueden encontrar en Internet el que está causando furor es "ZoneAlarm" Su sencillez de manejo y su tremenda eficacia lo colocan a la cabeza de este tipo de protecciones. ZoneLabs produce dos versiones de este programa. Una versión gratuita para uso personal, "ZoneAlarm", perfectamente valida para proteger un ordenador doméstico. Y una versión algo más completa, "ZoneAlarm Pro", que básicamente proporciona un poco más de control sobre la configuración del programa.

 

Antivirus:

Se dividen en:

Programas de Prevención.

Son aquellos diseñados para interceptar el intento de acceso de un virus a la computadora mediante el monitoreo de la memoria, el sector de arranque y el área de archivos de modificaciones involuntarias.

Programas de detección.

Utilizan el proceso de identificación de un virus en la memoria, en el sector de arranque o en el área de archivos mostrando en pantalla el nombre del virus, si existe alguno o bien, indicarlo que existe y no es conocido.

Programas correctivos.

Son aquellos que eliminan el virus, ya sea de la memoria, del sector de arranque o del área de los archivos.

Antivirus en el mercado:

CA eTrust InoculateIT Workgroup

La propuesta de Computer Associates posee una interfaz realmente intuitiva para el usuario que se asemeja bastante al Explorador de Windows, de forma que todas las opciones son muy visibles. Lo cual evita el tener que dar varias pasadas como ocurre con otros antivirus. Técnicamente, el motor que emplea cuenta con unas características muy especiales, ya que permite escanear en las particiones de tipo NTFS los Alternate Data Streams (ADS), unos lugares en los que los virus se podían ocultar hasta ahora sin que ningún programa pudiese descubrirlos.

Para ello, emplea una acertada herramienta que, al chequear estos sistemas de ficheros, «cachea» un registro a fondo. Éste no vuelve a ser examinado de nuevo hasta que no sufra alguna modificación. Su ratio de detección se sitúa en una zona media. Sin embargo, dispone de una interesante opción llamada Virus-Wall incoming Mode , que impide la sobre-escritura de ciertos archivos especificados por el usuario, haciendo más difícil así que un patógeno tome el control sobre ellos. En cualquier caso, si la ponzoña se encuentra activa en memoria, esta opción no resulta de mucha utilidad, y siempre será más práctico mantener activo el monitor en background . Finalmente, anotaremos el correcto módulo de heurística.

Eset Nod32 Antivirus System

Este antivirus procedente de la antípoda australiana destaca entre otros por la cantidad de opciones de configuración que ofrece para elementos de correo. Si bien eso no le convierte en el más integrado con, por ejemplo, Outlook, sí que permite configurar diferentes alarmas para mandar mensajes al administrador o enviar correos de aviso a diferentes sitios .

La característica donde aventaja sin duda alguna al resto de las aplicaciones es en la velocidad de escaneo, ya que supera en mucho a las de otros motores con más experiencia en el mercado.
L a celeridad que muestra a la hora de explorar la máquina es tan envidiable como la que adquiere al actualizarse. Frente a otros productos que deben bajarse la última actualización completa de engines víricos, Nod32 únicamente se descarga lo necesario, ocupando un archivo de tan sólo unos 24 Kbytes. Por último mencionar que la interfaz de usuario tiene cierta estética «Giger», el diseñador de la película Alíen. De esta forma se separa de las aburridas apariencias de la competencia.

F-Secure Anti-Virus Personal

Este paquete ha destacado enormemente en la fase de detección masiva de virus. Pero, un detalle que podría resultar muy atractivo, la actualización automática de la que hace gala, se ha implementado, bajo nuestro punto de vista, de forma incorrecta.

Las actualizaciones se realizan intervalos de una hora sin ningún control del usuario, no siendo posible detenerlas ni configurar nada de ellas. Esto puede ser realmente útil en países como Finlandia (de donde procede esta solución) en los que la tónica general sea una conexión rápida y continua a Internet. Desgraciadamente el usuario medio se conecta mediante una línea de módem. Ello provoca que, si se desea bajar cualquier archivo coincidiendo con el proceso de actualización, se invierta un tiempo excesivo, ya que al estar las dos conexiones funcionando a la vez el ancho de banda se divide. Así, vemos cómo puede no ser una buena idea esta forma de actuar, a pesar de que la prioridad de bajada se ponga al mínimo, como es el caso. Por otro lado, la parte más negativa de F-Secure es el precio, que supera con creces el de otras firmas, llegando incluso a doblarlo. Lo cierto es que no vemos que los resultados sean tan increíbles como para explicar este incremento.

Kaspersky Antivirus Personal

Este software de procedencia rusa ha demostrado tener unos ratios de detección altísimos en los ataques masivos, así como contar con unos motores realmente bien programados.
La parte correspondiente a la detección de virus típicos de correo, como el creado para la ocasión, la ejecutó mediante el motor de heurística, siendo caso aparte la base de virus KAV, con la que no tuvo mucho éxito, llegando incluso a bloquear el mensaje. Bajo nuestro punto de vista, ésta es la única tarea pendiente que le falta a AVP, ya que en el resto de las detecciones se comporta de una forma impecable.

En efecto, parece que mientras que su motor es realmente potente en cuanto a las amenazas clásicas, flojea a los nuevos medios de propagación que impone Internet. Como agravante, tenemos que el propio soporte técnico informó de que el fichero enviado, con anticipación en una prueba, por correo no estaba infectado. Realmente no comprendemos cómo es posible que hayan cometido este error, ya que en otras ocasiones, ante nuevos códigos víricos, siempre han respondido con acierto.
Como detalle adicional, Kaspersky nos ofrece un manual de instrucciones realmente completo, algo que últimamente no es habitual. Parece que cada vez se pone mas moda el ofrecer documentación en línea o en archivos «.pdf» dentro del propio CD.

NAI McAfee VirusScan 6.0

A pesar de la sencillez de instalación, el manejo resulta ligeramente enrevesado. Las opciones no están situadas de una forma clara y evidente, por lo que, al principio, las configuraciones son difíciles de encontrar. En cualquier caso, con un poco de práctica no tendremos ninguna dificultad.

Como característica a remarcar, sobresale la inclusión de una herramienta para los mensajes del Outlook. La opción HAWK ( Hosti-le Activity Watch Kernel ) nos permite estar al tanto de posibles problemas con venenos totalmente desconocidos pero que sigan unas pautas determinadas.
Se podría asemejar, en otro nivel, con las comprobaciones heurísticas, ya que sin conocer nada del virus, se basan en comportamientos típicos para suponer que algo va mal en el sistema. Así, se da cuenta de cuándo un virus se intenta reenviar a gran parte de la Libreta de direcciones, o cuándo comienza a mandar muchos correos seguidos, por poner dos ejemplos.
A pesar de estas avanzadas características, no tiene nada que nos proteja de una forma especial de los ataques que se introducen vía Outlook, con lo que podemos suponer que para otros lectores de correo mucho menos. Como servicio a mejorar, está la desinfección cuando existe en memoria algún elemento vírico, ya que además de no ser capaz de limpiarlo, aconseja al usuario eliminar los archivos dañados y sustituirlos por otros, lo cual crea incertidumbre.

Norman Virus Control

La peor característica de este antivirus noruego es su interfaz. Es difícil llegar hasta las funciones más simples, como escanear una carpeta o un archivo determinado. Ése es un punto a revisar, aunque el problema es que supondría una remodelación completa de la interfaz, ya que el resto de las utilidades, aunque muy completas, están dispuestas en la misma forma caótica.

Lo único que sí se ha simplificado al máximo es la opción de escanear todos los discos duros o disquetes, siendo accesible esta operación desde el menú principal. Pese a su sencillez de instalación, no parecía 100% adaptado a Windows XP, ya que registraba una serie de errores al intentar analizar ciertos ficheros que estaban siendo utilizados por Windows que no deberían haber existido.
En lo que se refiere al test de detección masiva, quedó en una posición intermedia, que parece más que suficiente.
De otro lado, Norman dispone de un servicio de soporte telefónico que está activo las 24 horas, lo cual siempre es de agradecer.
Por último, queremos reseñar que, además del antivirus, paquete incluye un firewall personal y un encriptador. De esta forma, por el mismo precio, tenemos una protección ante ataques de intrusos no deseados, así como un método para cifrar nuestros datos.

Panda Antivirus Titanium

Este antivirus 100% español ha sido uno de los mejores en cuanto a detección masiva de virus, colocándose en tercera posición. Una de las cosas que más nos llamó la atención fue su sencillez de manejo. La instalación se realiza de una forma muy intuitiva, dando el propio programa la opción de crear discos de emergencia. Sin embargo, mientras el antivirus está escaneando, no se permite el acceso a otras utilidades, pensando que la opción de heurística debería quedar activada por defecto.
Panda sigue en su filosofía de cuanto más fácil y efectivo, mejor. No se complica con configuraciones de servidores POP ni SMTP, detectando sencillamente los virus cuando intentan acceder a través del correo. En esta característica destaca sobre otros, ya que antes de que se grabe el correo en la Bandeja de entrada lo detecta e informa al usuario.

Recordemos también que reconoció sin dilación alguna al virus modificado que generamos, sabiendo incluso la forma de desinfectarlo.
Como contrariedad, diremos que el soporte técnico, a pesar de ser 24x7, funciona a través de un número 906. En cualquier modo, el soporte vía e-mail obviamente está a disposición de cualquier usuario registrado. Por otra parte, la caja se presenta con unos manuales más bien pequeños, pero que cumplen su función, ya que el producto es realmente sencillo de utilizar y no requiere de ningún conocimiento.

Symantec Norton Antivirus 2002

El proceso de instalación del Norton Antivirus es ligeramente más largo que el de otros paquetes, pese a que no encierra ninguna dificultad. Cabe destacar que la integración con Windows XP es perfecta. De hecho, la carpeta de sistema C : Windows System Information , a la que en XP no se puede acceder directamente, la introduce en las exclusiones a comprobar.

Así, el motor vírico, cuando vaya a escanear dicha carpeta y vea que está dentro de las exclusiones, no actuará, evitando generar errores que si bien no son peligrosos en modo alguno, sí podrían haber confundido al usuario con sus mensajes.
Como pequeñísimo detalle a revisar por estos californianos, cuando se queda la opción de Auto-Protect minimizada, no es posible salir de ella, siendo necesario matarla ejecutando «ctrl. + Alt. + supr.», escogiendo esa tarea y terminándola. Este mismo inconveniente lo hemos detectado también en Norman.
Digna de mención es la total integración con cualquier cliente de correo que se utilice. Normalmente, los antivirus se integran únicamente con el de Microsoft, Outlook Express, o como mucho con Eudora. Al utilizar Norton, el cliente da exactamente igual, ya que el antivirus se sitúa en un lugar tan cercano al propio sistema operativo que intercepta cualquier correo entrante, vaya dirigido al programa que vaya.

Trend Micro PC-Cillin 2002

Con una interfaz de usuario muy intuitiva y una buena integración en el sistema, PC-Cillin logró unos resultados ligeramente por encima de la media en las pruebas de detección masiva de virus. Igualmente, al medir su reacción frente a los patógenos existentes en Outlook, constatamos que lo hizo realmente bien, eliminando el virus del archivo adjunto cuando se intentaba grabar en la Bandeja de entrada . También se hizo con la medalla de plata, el oro fue para el producto de Kaspersky, en la fase de la localización de muestras escondidas en compresores típicos. En cambio, falló en la detección del virus modificado.

También hay que darle una puntuación baja en cuanto al soporte, ya que si bien nos contestaron a las pocas horas de enviar la muestra infectada, fue una respuesta negativa, no ofreciendo otra solución que la actualización. Asimismo, flojeó en la atención telefónica hasta el punto que no conseguimos hablar con ningún técnico. Esto se debe a cierta desorganización motivada por los dos canales de venta del producto (en la Web y a través de distribuidores actualizados), que confunden al usuario, quien no sabe dónde dirigirse. Al hablar directamente con la casa japonesa, nos confirmaron que ellos no daban soporte directo, sino que tendríamos que llamar a la empresa que lo distribuía.

Su actualización y cada cuanto tiempo:

¿Cómo actualizarlo? Mediante un ordenador conectado a Internet se podrá fácilmente actualizar; la mayoría de l os fabricantes ofrecen actualizaciones de sus productos de forma regular (diariamente, semanalmente, mensualmente) en l os sites de los antivirus.
Diariamente cientos de virus son creados, por tal motivo nuestro antivirus debe ser actualizado lo más rápido posible, lo recomendable sería diariamente.

Seguir leyendo...

Última Edición jueves, 06 septiembre 2007 @ 05:00 CLT; 501 Hits