Sección Informática

¿Qué es lo deseable en un Antivirus?

En la actualidad no es difícil suponer que cada vez hay más gente que está consciente de la necesidad de hacer uso de algún antivirus como medida de protección básica.

Tratando de ir a lo fundamental, se tienen comúnmente dos distintos enfoques:

I.- El del administrador de una empresa corporativa que desea prioritariamente tener resuelto el problema de administración centralizada. Es decir desea de un antivirus que posea una consola que permita la instalación remota tanto en una red LAN como en una WAN y no verse obligado a instalar el producto a pie en cada una de las estaciones de trabajo. La experiencia ha demostrado que por lo regular cuando esto se logra no siempre hay la garantía de que la calidad en la detección y la limpieza sea de lo mejor.

II.- El del usuario final al cual lo que le interesa es no infectarse por ningún motivo y que la protección en memoria del producto sea de lo más eficaz, tanto para detectar y remover cualquier virus que pueda presentarse. Pero cuando esto se da, también suele suceder que las prestaciones de dicho antivirus para administrarlo llegan a ser muy limitadas.

Tal parece que lo ideal para una empresa es tener bien estructurado un equipo de personas que procuren entender responsablemente ambos enfoques. Ningún producto en el mercado puede garantizar que se tendrán eficientemente el total de todas las prestaciones deseables. Por ello, más que procurarse el mejor antivirus lo que se necesita es diseñar las mejores estrategias de seguridad acordes a la problemática que se tenga. A veces no basta con una sola elección.

En virtud de lo anterior, al hacer una evaluación es importante tratar de verificar hasta que punto los diversos antivirus que vayamos a considerar cumplen con las siguientes características:

1.- Deben actualizar los patrones o firmas, por lo menos una vez por semana.

2.- La empresa que los promueve debe contar con un equipo de soporte técnico con acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infección.

3.- Deben contar con distintos métodos de verificación y análisis de posibles códigos maliciosos, incluyendo el heurístico, el cual no se basa en firmas vírales sino en el comportamiento de un archivo. Y así poder detener amenazas incluso de posibles virus nuevos.

4.- Se deben poder adaptar a las necesidades de diferentes usuarios.

5.- Deben poder realizar la instalación remota tanto en una red LAN como en una WAN.

6.- Deben constar de alguna consola central en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios.

7.- Deben ser verdaderamente efectivos para efectos de detección y eliminación correcta y exacta de los distintos virus que puedan amenazar a los sistemas.

8.- Deben de permitir la creación de discos de emergencia o de rescate de una manera clara y satisfactoria.

9.- No deben de afectar el rendimiento o desempeño normal de los equipos. De ser preferible lo que se desea es que su residente en memoria sea de lo más pequeño.

10.- El número de falsos positivos que se den tanto en el rastreo normal como en el heurístico debe de ser el mínimo posible.

11.- Su mecanismo de auto-protección debe de poder alertar sobre una posible infección a través de las distintas vías de entrada, ya sea Internet, correo electrónico, red o discos flexibles, etc.

12.- Deben de tener posibilidad de chequear el arranque, así como los posibles cambios en el registro de las aplicaciones.

En base a estos parámetros, puede uno mismo poner a prueba los distintos productos que hay en el mercado y de acuerdo con nuestras prioridades establecer nuestras propias conclusiones.

¡Mi Computadora no está conectada a Internet, por eso no necesito ningún Antivirus!

Esto es totalmente falso, es cierto que después de la aparición de Internet se dio paso a los más peligrosos virus y demás códigos maléficos pero hay que recordar que para cuando Internet nació ya existían los virus, no se propagaban como ahora, por ejemplo: correo electrónico, etc., ellos se propagaban por disquetes, una computadora puede no estar conectada a Internet pero ésta la posibilidad de que se pueda utilizar en ella un disquete previamente infectado, sin conocimiento alguno, y al utilizarlo en esta maquina podría fácilmente quedar a merced del virus que venía en el disquete, sin antivirus esa máquina sencillamente no puede defenderse, ni siquiera sabrá que llego un nuevo visitante a molestarla.
¡Mejor prevenir que lamentar!, instalar en toda máquina un antivirus es lo primero que debe hacerse se tenga o no Internet. Por otro lado existen Virus Macro que utilizan aplicaciones de Office (Word, Excel, PowerPoint, etc.), aquí ya le estoy dando solamente dos razones que para mí serían más que suficientes para ser uso de un buen Antivirus por supuesto actualizado.

Eliminar un Virus Manualmente: (Windows 98)

Esta forma de eliminación se lleva a cabo con los Troyanos o Caballos de Troya, que como dijimos anteriormente no se podían eliminar como cualquier virus.
Generalmente es casi el mismo proceso, en esta oportunidad sólo llegaremos a los puntos más básicos, recuerde que por lo general a la hora eliminar los archivos de los troyanos estos poseen diferentes nombres eso es obvio, el proceso a seguir es el siguiente:

•  Vaya a Botón Inicio .

•  Ejecutar .

•  Escriba en la casilla: Regedit y pulse Enter.

•  En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows

CurrentVersion

Run

•  Pinche sobre la carpeta "Run" .En el panel de la derecha pinche sobre la entrada que coincida con el nombre de algún archivo que sea del virus en cuestión , y pulse la tecla SUPR o DEL . Conteste afirmativamente la pregunta de si desea borrar el archivo.

•  Use "Registro", "Salir" para salir del editor y confirmar los cambios.

•  Reinicie su computadora ( Inicio, Apagar el sistema, Reiniciar ).

Creación de Discos de Rescate o de Emergencia:

Los Discos de Rescate son una muy buena herramienta cuando se presentan situaciones desagradables con virus informáticos, es importante tenerlos a la mano, son muy fáciles de hacer sólo necesitas el Antivirus actualizado que tenga esta opción de discos, por lo general los antivirus, no sé si todos, poseen esta opción, he trabajado con pocos; les recomiendo los Discos de PC-Cillin y los de Panda, por supuesto si el suyo la tiene la opción recomiendo hacer Discos de Rescate pronto.
¿Cómo utilizarlos? Son muy fáciles de utilizar por lo general se coloca el primer disco en la disquetera y se reinicia la máquina, (se arranca desde A:) en el transcurso del proceso se te da las instrucciones a seguir.

Guía de Supervivencia: Consejos para una computadora segura

Hemos elaborado un resumen de los principales consejos que debe tener muy presente. Una verdadera "Guía de supervivencia", que lo ayudará a mantenerse alejado de los riesgos de infecciones virales y ataques de códigos malignos.
En mayor o menor grado, cada uno de estos consejos, le permitirá disfrutar plenamente de una auténtica computación segura.

•  En Windows 95, vaya a Mi PC, Menú Ver, Opciones.

•  En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.

•  En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Los Antivirus no son "Anti-lo-que-sea":

Debemos recordar que los antivirus son programas diseñados para hacer frente contra los virus conocidos por estos, es decir, e l programa no detecta todos los virus, sino sólo los que fueron integrados a la rutina, sólo reconoce los virus que se han podido encontrar a la fecha de elaboración del antivirus o su actualización.
No podemos exigir a un Antivirus que fue actualizado hace una semana que responda de forma rápida a un ataque sorpresa por parte de un Virus que fue creado hace dos días, en Antivirus sencillamente no lo detectará tan rápido como queremos ya que la firma de nuestro antivirus no esta actualizada.

La Liga Antivirus de Ibero América:

México:
Arnoldo Moreno Pérez miru @ prodigy.net.mx , arnoldo@microasist.com.mx
Messenger : arnoldo_58 @ hotmail.com
José E. Anaya Pedrero janaya @ cibersel.com

Uruguay:
José Luis López videosoft @ videosoft.net.uy videosoft @ nativo.com

España:
Bernardo Quintero bernardo @ hispasec.com
Vicente Coll vicente @ avp-es.com

Argentina:
Ignacio M. Sbampato webmaster @ virusattack.com.ar

Tips Informáticos:

• Aplicaciones con Extensiones:
• EXE : Programas ejecutables.
• SCR : Protectores de pantalla.
• OCX : Controles Vbasic.
• PWL : Contienen passwords de acceso a Windows.
• WAB : Libreta de direcciones.
• DBX - MBX : Bases de datos de mensajes.
• CPL: Panel de Control .
• BAIT: son ficheros generalmente vacíos o con instrucciones que no realizan nada que los AV usan para ver todas las posibles mutaciones de un virus.
• RTF( Rich Text Format ) : Se trata de una especificación de documentos que permite interpretar texto estructurado (con formato y gráficos), soportada por varios procesadores de texto en plataformas diferentes. Un RTF no puede contener macros.
• Socket: Canal de comunicación que se abre entre un puerto de nuestra computadora y otra remota a la que puede conectarse), y queda a la espera de la solicitud de conexión del autor del gusano, que de este modo podrá tener acceso al sistema infectado.
• Wsock32.dll : Encargado de las comunicaciones en Windows.
• Prefijos que identifican a los virus informáticos:
• A97M : Macro virus. Sólo infecta bases de datos de Microsoft Access 97.
• Backdoor : Virus capaz de abrir una "puerta trasera" por la que usuarios no deseados puedan entrar al sistema infectado.
• O97M : Macro virus. Infecta archivos de Microsoft Office 97.
• V5M : Infecta archivos de Visio 2000 (versión 5). Están escritos en Visual Basic For Applications.
• VBS : Virus de Visual Basic Script.
• W2K : Capaz de infectar archivos o sectores de booteo. Corre sólo bajo Windows 2000.
• W32 : Capaz de infectar archivos o sectores de booteo. Corre en cualquier ambiente Windows 32 (Windows 95, 98, 2000 y NT).
• W95 ó Win95 : Capaz de infectar archivos o sectores de booteo. Corre en Windows 95 y 98.
• W97M : Macro virus. Infecta documentos de Microsoft Word 97.
• WM : Macro virus. Infecta documentos de Microsoft Word 95.
• WNT : Capaz de infectar archivos o sectores de booteo. Corre sólo bajo Windows NT.
• Worm : Gusanos. Aquellos virus cuya función es reproducirse sin infectar archivos.
• Trojan : Virus Troyanos.
• X97F : Macro virus. Infecta planillas de Microsoft Excel 97 a través de sus fórmulas.
• X97M : Macro virus. Infecta planillas de Microsoft Excel 97 a través de sus macros.
• XF : Macro virus. Infecta planillas de Microsoft Excel 95 a través de sus fórmulas.
• XM : Macro virus. Infecta planillas de Microsoft Excel 95 a través de sus macros.
• Línea de tiempo de los virus informáticos:
• 1980: Primeros experimentos en plataformas VAX, MicroVAX y UNÍX.
• 1984: El DOS y las PCs se vuelven masivas.
• 1985: Primeros virus de PC de dispersión masiva. Ejemplo: Jerusalem. Primera evolución tecnológica al comenzar a infectar sectores de arranques de los diskettes además de archivos ejecutables.
• 1990: Virus mixtos (infectan archivos y sectores de arranque de diskettes).
• Virus de ataque único (actúan una única vez y se borran de memoria para no ser identificados).
• Virus polimórficos (adoptan distintas estructuras cada vez que se reproducen).
• Virus Tunneling (actúan en capas cercanas al hardware y por debajo del sistema operativo).
• Virus de daño progresivo (modifican sutilmente la información en lugar de destruirla).
• Gran producción local de virus.
• Virus de daño dirigido.
• Virus hoax.
• Primeros macro virus.
• 1995: Se comercializa Internet.
• 1996: Se lanza Windows 95.
• Virus en entornos de 32 bits.
• Virus de Applets de Java y ActiveX controls.
• Virus que atacan la privacidad.
• Virus en HTML.
• 1998: Virus de control remoto a través de Internet.
• 1999: Virus que atacan a la confidencialidad.
• Virus embebidos en los mensajes de correo electrónico y en archivos .RTF
• Virus que se actualizan a sí mismos por Internet
• 2000: LoverLetter la infección más importante de la historia de los virus informáticos.
• 2001: Virus más populares:
• Win32.maldal.A
• Nimda
• SirCam
• BadTrans
• Sulfnbk
• Magistr
• Apology
• Ramen
• FunLove
• Hybris
• KAK
• Anna Kournikowa
• Sadmind
• 2002:
• Virus más populares:
• W32.dadinu
• W32.Grade.A
• W32.Klez.I
• W32/Klez.H
• W32/Frethem
• W32/Duni (Kitro)
• I-Worm.Hybris.b
• W32/SirCam.A
• W32/Yaha.E
• W32/Klez.E
• W32/BadTrans.B
• W32/Datom
• W32/Elkern.C
• W32/Magistr.B
• W32/Nimda
• W32/Magistr.A
• Entre otras (esta lista solo es una pequeña selección del mes de julio 2002)
• Vulnerabilidades Detectadas en:
• Norton Personal Internet Firewall
• Outlook Express
• PHP
• Ejecución de archivos al pulsar la tecla CTRL.
• SQL Server
• HP JetDirect
• Internet Explorer
• IE y Office XP en archivos. XLA
• Hackers hacen pública una falla de Norton Antivirus
• Norton detecta erróneamente a NIMDA
• Riesgo de Seguridad con Norton Antivirus y Exchange 2000
• Aparición de virus disfrazados con la extensión.CPL(Extensión del Panel de Control)
• Exploit: Programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para uso malicioso de dicha vulnerabilidad.
• Cached Password Grabber: Contraseñas guardadas en el ordenador.
• Grab Screen: Captura de pantallas.
• Process Manager: Administrador de procesos.
• File Manager: Administrador de archivos.
• Clasificación de los Virus:
• De Archivo Ejecutable : Afectan archivos de extensión EXE, COM, BAT (interpreta las instrucciones del virus a través del COMMAND.COM), SYS y todos los ejecutables de Windows como PIF.
• De sector de arranque : Se copia en el sector de arranque de los dikettes para asegurar su ejecución cuando uno es olvidado en la disquetera y la secuencia de arranque de la computadora comienza con el dispositivo A:.
• Macrovirus: Se desarrollan con el lenguaje de programación de macros de los paquetes de offices.
• De ActivesAgents y Java Applets : Se desarrollan con el lenguaje de programación de estas entidades ejecutables a distancia e infectan a través de una conexión del servicio www de Internet.
• De HTML : Su código ser instala en el archivo HTML y se ejecuta cuando una pantalla es grabada en el caché durante una conexión al servicio WWW de Internet.
• De aplicaciones que generan archivos con código ejecutable : todas las aplicaciones que almacenan los trabajos generados por el usuario en archivos con algún tipo de código ejecutable son susceptibles a soportar virus.
• De fallas en programas de comunicaciones : las fallas e inclusive algunas características de diseño pueden ser utilizadas para generar programas dañinos que permiten penetrar en sistemas en forma remota.
• Trojanos/Worms : Programas diseñados para ocultarse inmediatamente de ser ejecutado y (en general) tomar control de la PC parasitada, se envían generalmente por e-mail.
• Efectos Destructivos de los virus: Los efectos maliciosos que causan los virus son variados, entre éstos se encuentran:
• Formateo completo del disco duro.
• Eliminación de la tabla de partición de disco duro.
• Eliminación de archivos.
• Ralentización del sistema hasta limites exagerados.
• Enlaces de archivos destruidos.
• Corrupción de archivos de datos y de programas.
• Mensajes o efectos extraños en la pantalla.
• Emisión de música o sonidos.
• Revelación de claves de acceso y datos personales a través de Internet.
• Facilitar la intrusión de extraños en el equipo informático.
• Binder: Pequeño programa que simplemente une dos o más archivos en un solo ejecutable. También es conocido como Joiner, Juntador, Trojan-Dropper, Dropper, etc.

•  Dropper (cuenta gotas): Es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

•  Payload: es el efecto de un virus en el sistema.

Páginas Web:

www.vsantivirus.com

virusattack.xnetwork.com.ar

www.zonavirus.com

www.avp-es.com

www.pandasoftware.es

www.seguridad.internautas.org

www.symantec.com/region/mx/avcenter

www.bitdefender-es.com

www.trendmicro.com.mx/Virus_Info/glosario.htm - 32k

www.antivirus.com

www.alertaantivirus.es

www.seguridad-online.net

www.virusprot.com

 

Boletín-Foro:

Entre los boletines que te pueden servir de mucho te recomendamos:

Seguridad en la Red:

www.elistas.net/lista/seguridadenlared

Alta: seguridadenlared-alta@elistas.net

Baja: seguridadenlared-baja@elistas.net

Mensaje: seguridadenlared @ elistas.net

Seguridad Informática Emprende:

www.elistas.net/lista/sipe

Alta: sipe-alta@elistas.net

Baja: sipe-baja@elistas.net

Mensaje: sipe @ elistas.net

Colaborador: Arnoldo Moreno Pérez

Tengo que hacer notar también que en las páginas web anteriormente mencionadas, por cierto excelentes páginas, ofrecen sus boletines que también excelentes.

Bibliografía:

Artículos de:

•  Arnoldo Moreno Pérez.

•  José Anaya.

•  Marcos Rico. ( marcos @ videosoft.net.uy ).

•  José Luis López.

•  Alejandro Germán Rodríguez. ( peligros_en_la_red-owner @ onelist.com ).

•  DareDevil. ( contacto @ seguridad-online.net ).

•  Paulo César Tonetto. ( paulo_tonetto @ trendmicro.com ).

•  Michelle Delio.

•  Pablo Strozza.

•  Pablo Garaizar Sagarminaga.