Blog JBeEx

Seguridad digital

Estudio de los virus informáticos

por

admin
en

Estudio de los virus informáticos

Nuevo escenario

Uno de los cambios más sorprendentes del mundo de hoy es la rapidez de las comunicaciones. Modernos sistemas permiten que el flujo de conocimientos sea independiente del lugar físico en que nos encontremos. Ya no nos sorprende la transferencia de información en tiempo real o instantáneo. Se dice que el conocimiento es poder; para adquirirlo, las empresas se han unido en grandes redes internacionales para transferir datos, sonidos e imágenes, y realizan el comercio en forma electrónica, para ser más eficientes.

Pero al unirse en forma pública, se han vuelto vulnerables, pues cada sistema de computadoras involucrado en la red es un blanco potencial y apetecible para obtener información.

El escenario electrónico actual es que las organizaciones están uniendo sus redes internas a la Internet, la que crece a razón de más de un 10% mensual.

Al unir una red a la Internet se tiene acceso a las redes de otras organizaciones también unidas. De la misma forma en que accedemos la oficina del frente de nuestra empresa, se puede recibir información de un servidor en Australia, conectarnos a una supercomputadora en Washington o revisar la literatura disponible desde Alemania.

Del universo de varias decenas de millones de computadoras interconectadas, no es difícil pensar que puede haber más de una persona con perversas intenciones respecto de una organización. Por eso, se debe tener nuestra red protegida adecuadamente.

Cada vez es más frecuente encontrar noticias referentes a que redes de importantes organizaciones han sido violadas por criminales informáticos desconocidos. A pesar de que la prensa ha publicitado que tales intrusiones son solamente obra de adolescentes con propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado de una desafortunada institución.

A diario se reciben reportes los ataques a redes informáticas, los que se han vuelto cada vez más siniestros: los archivos son alterados subrepticiamente, las computadoras se vuelven inoperativas, se ha copiado información confidencial sin autorización, se ha reemplazado el software para agregar puertas traseras de entrada, y miles de contraseñas han sido capturadas a usuarios inocentes.

Los administradores de sistemas deben gastar horas y a veces días enteros volviendo a cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la confianza en la integridad del sistema. No hay manera de saber los motivos que tuvo el intruso, y debe suponerse que sus intenciones son lo peor.

Aquella gente que irrumpe en los sistemas sin autorización, aunque sea solamente para mirar su estructura, causa mucho daño, incluso sin que hubieran leído la correspondencia confidencial y sin borrar ningún archivo.

De acuerdo a un estudio de la Consultora ? Ernst and Young? abarcando más de mil empresas, un 20% reporta pérdidas financieras como consecuencia de intrusiones en sus computadoras . Ya pasaron los tiempos en que la seguridad de las computadoras era sólo un juego o diversión.

¿Cómo nacieron los virus?

Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bellde AT&T.

El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo , cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera.

Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas destinados a dañar en la escena de la computación.

Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la Universidad estadounidense de Delaware notaron que tenían un virus porque comenzaron a ver © Brain como etiqueta de los disquetes.

La causa de ello era Brain Computer Services, una casa de computación paquistaní que, desde 1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la firma, dar una lección a los piratas.

Ellos habían notado que el sector de booteo de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete.

Lograron reemplazar ese código por su propio programa, residente, y que este instalara una réplica de sí mismo en cada disquete que fuera utilizado de ahí en más.

También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con extensión .COM .

Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque boot sector. Para ese entonces, ya se había empezado a diseminar el virusVienna.

Actualmente, los virus son producidos en cantidades extraordinarias por muchísima gente alrededor del planeta. Algunos de ellos dicen hacerlo por divertimento, otros quizás para probar sus habilidades, por la intención de ganar dinero, ya sea engañándolo para que compre y descargue software, o forzándolo a ver anuncios o páginas web. Por ejemplo, el malware -que es un tipo de virus- puede grabar las pulsaciones de teclas, capturando secuencias como contraseñas y números de tarjetas de crédito, lo que permitiría al autor tener acceso a todo tipo de información que se desea mantener en privado. Armado con información personal como esa, el desarrollador del virus podría robar su identidad, acceder a cuentas bancarias y abrir tarjetas de crédito a su nombre.

Entonces, ¿quién crea los virus? Los virus hoy día son creados por organizaciones delictivas que actúan por dinero o con fines políticos. Estos desean dañar una empresa u organización por distintas razones. Si un virus logra insertarse en la red de una organización, puede costarle grandes sumas de dinero. Esto podría ser creado por un empleado descontento u otra persona con una agenda específica.

Existen varias clasificaciones en cuanto al tipo de hackers, pero estas son las dos principales:

  1. Black Hat: Son los villanos de la película. Usan sofisticadas técnicas para acceder a sistemas, apoderarse de ellos y sus datos, destruirlos, venderlos, etc.
  2. White Hat: Son hackers éticos, que trabajan asegurando y protegiendo sistemas de TI. Usualmente se desempeñan en compañías de seguridad informática y dan cuenta de las vulnerabilidades de las empresas para poder tomar medidas correctivas.

Adicionalmente se clasifican por tipos de ataque, estos son los más conocidos:

  • Carders: Experto en fraudes con tarjetas de crédito. Generan números falsos y códigos de acceso que violan exitosamente los sistemas de control para robar y clonar tarjetas.
  • Pharmers: Se dedican a realizar ataques de “phishing”, donde el usuario cree que está entrando a un sitio real y en realidad introduce sus datos en uno creado por el hacker. Posteriormente usan las credenciales para robar fondos de las cuentas de sus víctimas.
  • Defacers: Buscan bugs de páginas web en internet para poder infiltrarse en ellas y así modificarlas.
  • Spammers: Hay empresas que les pagan por la creación de spams de sus principales productos, y en otros casos también lucran con publicidad ilegal.

¿Qué es un virus?

Un virus informático es una aplicación o código malintencionado que se emplea para ejecutar actividades destructivas en un dispositivo o red local. La actividad malintencionada de este código puede dañar el sistema local de archivos, robar datos, interrumpir servicios, descargar más malware o cualquier otra acción que esté codificada en el programa. Muchos virus simulan ser programas legítimos para convencer a los usuarios de que los ejecuten en su dispositivo, insertando así la carga útil del virus.

Este pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o sector es de booteo y se replica a sí mismo para continuar su esparcimiento.

Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado W95/CIH-10xx. o también como CIH.Spacefiller (puede aparecer el 26 de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la PC huésped y cambiar su configuración de tal forma que se requiere cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo flotando en el sistema.

Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de computadoras, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador.

Tienen diferentes finalidades: Algunos sólo infectan, otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE .

Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa .

La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas:

  • Es dañino
  • Es autorreproductor
  • Es subrepticio

El hecho de que la definición imponga que los virus son programas no admite ningún tipo de observación; está extremadamente claro que son programas, realizados por personas. Además de ser programas tienen el fin ineludible de causar daño en cualquiera de sus formas.

Asimismo, se pueden distinguir tres módulos principales de un virus informático:

  • Módulo de Reproducción
  • Módulo de Ataque
  • Módulo de Defensa

El módulo de reproducción se encarga de manejar las rutinas de parasitación de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.

El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo , además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.

El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.

Tipos de virus.

Los virus se clasifican por el modo en que actúan infectando la computadora:

Virus de sector de arranque

El disco duro de su ordenador tiene un sector cuyo único propósito es orientar al sistema operativo, para que este pueda iniciar la interfaz. Un virus de sector de arranque daña o controla el sector de arranque del disco, inutilizando al equipo. Los atacantes suelen diseminar este tipo de virus mediante un dispositivo USB malintencionado. El virus se activa cuando los usuarios conectan el dispositivo USB y arrancan su equipo. Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.

Virus de script

La mayoría de los navegadores tienen defensas contra los scripts malintencionados, pero los navegadores más antiguos u obsoletos tienen vulnerabilidades que pueden permitir a un delincuente cibernético ejecutar código en el dispositivo local.

Secuestrador del navegador

Hay virus que pueden cambiar la configuración de su navegador y funcionan secuestrando los enlaces favoritos de su navegador, la URL de la página de inicio y sus preferencias de búsqueda, para redirigirle a una página malintencionada. La web podría ser una web de phishing o de adware usada para robar datos o para ganar dinero por parte del atacante.

Virus residentes

Estos virus residentes se incrustan en la memoria del ordenador y permanecen ocultos hasta ser activados. Este malware puede permanecer en hibernación hasta una fecha u hora específicas, o hasta que un usuario ejecuta una cierta acción.

Virus de acción directa

Cuando un usuario ejecuta un archivo aparentemente inocuo pero que en realidad contiene código malintencionado, los virus despliegan su carga útil de inmediato. Estos tipos de virus pueden permanecer suspendidos hasta que se toma una acción específica o transcurra un cierto período de tiempo.

Virus polimórfico

Los creadores del malware pueden usar código polimórfico para cambiar la huella del programa y así evitar su detección. Los virus polimórficos les dificultan a los antivirus el detectarlos y eliminarlos.

Virus que infecta archivos

Para persistir en un sistema, el autor de la amenaza emplea virus inyectores con código malintencionado para infectar archivos clave que ejecutan el sistema operativo o programas importantes. Cuando el sistema arranca o se ejecuta el programa, el virus se activa. Infectan archivos ejecutables tales como.com / .exe / .ovl / .drv / .sys / .bin

Virus multipartitos

Estos programas malintencionados se diseminan por las redes de otros sistemas, bien copiándose a sí mismos o inyectando código en recursos informáticos esenciales.

Virus de macros

Los archivos de Microsoft Office pueden ejecutar macros, y estas macros se pueden usar para descargar malware adicional o ejecutar código malintencionado. Los virus macro despliegan su carga útil cuando se abre el archivo y se ejecutan los macros.

Hoax:

Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común.

Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos especialmente en la Internet a pesar que los rumores lo muestran como algo muy serio y a veces la información es tomada por la prensa especializada.

Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con terribles e inopinadas advertencias. En realidad el único virus es el mensaje.

Por último, cabe destacar que los HOAX están diseñados únicamente para asustar a los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma cerebral de Jessica, Jessica Mydek , Anabelle , Ana , Billy y otros personajes imaginarios tampoco son reales como tampoco lo es la dirección ACS@aol.com , ya que fueron creados para producir congestionamiento en la Internet.

Características de los virus.

El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de booteo sea leído.

De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se replique a sí mismo.

Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los programas del sector de booteo, menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huesped es cerrado.

Los virus pueden llegar a camuflarse y esconderse para evitar la detección y reparación. Como lo hacen:

El virus re-orienta la lectura del disco para evitar ser detectado.

Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para evitar que se descubran bytes extra que aporta el virus.

Encriptamiento:

El virus se encripta en símbolos sin sentido para no ser detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable;

Polimorfismo:

Mutan cambiando segmentos del código para parecer distintos en cada nueva generación, lo que los hace muy difíciles de detectar y destruir.

Gatillables:

Se relaciona con un evento que puede ser el cambio de fecha, una determinada combinación de tecleo; un macro o la apertura de un programa asociado al virus (Troyanos).

Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga ejecutables o macros puede ser portador de un virus: Descaregas de programas de lugares inseguros; e-mail con attachments, archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o html NO PUEDEN contener virus, aunque pueden ser dañados por estos.

Los virus de sectores de booteo se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobrescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5 y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste fácil de decir que el más extendido de los virus de este tipo se llama MS Windows 98).

En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo.

Daños de los virus.

Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.

Daños triviales.

Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.

Daños menores.

Un buen ejemplo de este tipo de daño es el JERUSALEM . Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.

Daños moderados.

Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.

Daños mayores.

Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER , que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: Eddie lives somewhere in time (Eddie vive en algún lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.

Daños severos.

Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives … ).

Daños limitados.

Algunos programas como CHEEBA , VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA , crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.

Síntomas típicos de una infección.

Algunas señales de que podría tener un virus informático en el PC son:

  • Ventanas emergentes, incluyendo anuncios (adware) o enlaces a páginas web malintencionadas.
  • La página de inicio de su navegador web es diferente, pero usted no la ha cambiado.
  • Envío automático de correos electrónicos a su lista de contactos o recepción de mensajes de personas en su lista de contactos que le alertan de que su cuenta está enviando mensajes extraños.
  • El ordenador se cuelga con frecuencia, se le agota la memoria con unos pocos programas activos o aparece la pantalla azul de la muerte de Windows.
  • Un bajo rendimiento del ordenador, incluso cuando se ejecutan relativamente pocos programas o se acaba de arrancar el sistema.
  • Se inician programas desconocidos cuando el ordenador arranca o cuando se abren programas específicos.
  • Las contraseñas cambian sin su conocimiento o sin haber interactuado con la cuenta.

Causas de infección de virus

Los virus informáticos son programas normales; la diferencia estriba en que, en vez de ofrecer recursos útiles, estos programas pueden dañar su dispositivo. Para que un atacante pueda infectar un virus en su equipo, usted debe iniciar la ejecución. En algunos casos, un hacker puede ejecutar código malintencionado mediante su navegador o de manera remota desde otro equipo en la red. Los navegadores modernos tienen defensas contra ejecución de código en equipos locales, pero los softwares externos instalados en el navegador podrían tener vulnerabilidades que permiten a los virus ejecutarse localmente.

Las técnicas de infección usadas por los virus informáticos son variadas. Un método común es mediante un correo electrónico de phishing. Otra técnica consiste en alojar malware en un servidor que promete ofrecer un programa legítimo. Se puede instalar mediante macros o inyectando código malintencionado en archivos de software legítimos.

¿Qué es un gusano informático?

Un gusano es un tipo de malware, como un virus, solo que el gusano hace copias de sí mismo y las propaga a otros usuarios. Los gusanos también pueden insertar carga útil y agotar recursos del sistema. Por ejemplo, un gusano de correo electrónico envía una copia de sí mismo a toda la lista de contactos de correo electrónico de un usuario infectado. Cuando llega a las bandejas de entrada de los destinatarios, cualquiera que esté ejecutando el gusano se lo enviará a su lista de contactos. Los gusanos de correo electrónico agotan el espacio de almacenamiento y se diseminan muy rápidamente, por lo que crean problemas diferentes de los que crea un virus.

¿Qué no es un virus?

Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.

Estos no-virus carecen de por lo menos una de las tres características identificatorias de un virus (dañino, autorreproductor y subrepticio).

Veamos un ejemplo de estos no – virus : Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de salutación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario.

Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red.

Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus.

Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no:

BUGS (Errores en programas).

Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs.

Falsa alarma.

Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una falsa alarma luego de correr nuestro programa antivirus.

Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda:

¿Es sólo un archivo el que reporta la falsa alarma? o quizás varios, pero copias del mismo.

¿Solamente un producto antivirus reporta la alarma? Otros productos dicen que el sistema está limpio.

¿Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa.

Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma.

Programas corruptos.

A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.

¿Qué es un antivirus?

No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.

La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora.

Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles.

Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.

El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación.

La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning.

Scanning

Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático.

Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda.

La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña.

Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión.

Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo.

El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori : es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus.

Estos lo analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su programa antivirus.

Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado.

Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.

En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades.

Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee, que se verá más adelante.

En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados.

Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.

Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.

De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático.

Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus.

El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchísimas cosas que no son virus.

Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico.

Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon»s Toolkit.

Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables.

Los programas que realizan esta tarea se denominan chequeadores de integridad.

Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables.

Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.

Modelo antivirus:

La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:

Módulo de control:

Posee la técnica verificación de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de información de un disco rígido que no son modificados a menos que el usuario lo requiera.

Otra opción dentro de este módulo es la identificación de virus, que incluye diversas técnicas para la detección de virus informáticos. Las formas más comunes de detección son el scanning y los algoritmos, como por ejemplo, los heurísticos.

Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la información del disco rígido.

Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.

Finalmente, el módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la acción de un programa restringiéndole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o evitar que se ejecuten funciones de formato del mismo.

Módulo de respuesta:

La función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla.

Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para mantener la operatividad del sistema hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo.

Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.

Detección y prevención.

Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas como la pérdida de performance. De todas maneras la siguiente es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté infectada por alguno de los virus más comunes:

  • Operaciones de procesamiento más lentas.
  • Los programas tardan más tiempo en cargarse.
  • Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido.
  • Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM disponible, en forma constante o repentina.
  • Aparición de programas residentes en memoria desconocidos.

Prevención

La primera medida de prevención a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la única forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al disco rígido de la computadora, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mínimo posible todo tipo de tráfico.

Además de utilizar un sistema antivirus y controlar el tráfico de archivos al disco rígido, una forma bastante eficaz de proteger losarchivos ejecutables es utilizar un programa chequeador de integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes que puedan ser parasitados por un virus convencional, se impediría su accionar.

  • Instale software antivirus: los antivirus se deben ejecutar en cualquier dispositivo que esté conectado a la red. Son su primera línea de defensa contra los virus. El software antivirus evita que los ejecutables de malware se ejecuten en su dispositivo local.
  • Mantenga actualizado su sistema operativo: los desarrolladores de todos los principales sistemas operativos publican parches para remediar errores comunes y vulnerabilidades de seguridad. Mantenga siempre actualizado su sistema operativo y no use sistemas obsoletos (por ejemplo, Windows 8 / 7 o Windows XP).
  • Evite visitar páginas web cuestionables: los navegadores antiguos tienen vulnerabilidades que pueden ser aprovechadas por los delincuentes cibernéticos con tan solo visitar una página específica. Usted siempre debe mantener actualizado su navegador con los parches más recientes, pero si además no visita estas páginas evita posibles descargas o el redireccionamiento a páginas malintencionadas que contienen malware. Borrar la memoria caché de Internet y el historial del navegador. Usar un bloqueador de elementos emergentes en el navegador. Usar la configuración de privacidad del navegador.
  • No use software pirata: siendo gratuito, el software pirateado puede ser muy tentador, pero suelen contener malware. Descargue software solamente desde la página web oficial de los proveedores y evite usar software pirateado y compartido.
  • Usar una aplicación antimalware : instalar una aplicación antimalware y mantenerla actualizada puede ayudar a defender tu PC contra virus y otro malware (software malintencionado). 
  • Microsoft Defender es un software antimalware gratuito que se incluye con Windows y se mantiene actualizado automáticamente a través de Windows Update. También hay productos antimalware hechos por otras empresas entre las que puede elegir. Más, no siempre es mejor Ejecutar varias aplicaciones antimalware al mismo tiempo puede hacer que el sistema sea lento o inestable. Si instalas una aplicación antimalware de otra empresa, Microsoft Defender se desactivará automáticamente. Sin embargo, si instalas dos aplicaciones antimalware de otras empresas, es posible que ambas intenten ejecutarse al mismo tiempo. 
  • No abras los mensajes de correo electrónico de remitentes desconocidos, o los archivos adjuntos de correo electrónico que no reconoce, muchos virus se adjuntan a los mensajes de correo electrónico y se propagan tan pronto como se abre el archivo adjunto. Los archivos adjuntos ejecutables jamás deben abrirse, y los usuarios deben evitar a toda costa ejecutar macros en archivos, tales como los de Microsoft Word o Excel.
  • Usa un bloqueador de elementos emergentes con el navegador de Internet: las ventanas emergentes son pequeñas ventanas del navegador que aparecen en la parte superior del sitio web que estás viendo. A pesar de que la mayoría están creadas por anunciantes, también pueden contener un código malintencionado o inseguro. Un bloqueador de elementos emergentes puede evitar que aparezcan algunas o todas estas ventanas. El bloqueador de ventanas emergentes de Microsoft Edge está activado de forma predeterminada.
  • Si usas Microsoft Edge, asegúrate de que SmartScreen esté activado: SmartScreen en Microsoft Edge le ayuda a protegerse de los ataques de phishing y malware al advertirle si se ha informado de que un sitio web o una ubicación de descarga no son seguros.
  • Prestar atención a las notificaciones de Windows SmartScreen: Tenga cuidado con las aplicaciones no reconocidas que se descargan de Internet. Las aplicaciones no reconocidas tienen más probabilidades de ser inseguras. Cuando descargas y ejecutas una aplicación desde Internet, SmartScreen usa la información sobre la reputación de la aplicación para advertirte si la aplicación no es conocida y puede ser malintencionada.
  • Mantén Windows actualizado: periódicamente, Microsoft publica actualizaciones de seguridad especiales que pueden ayudar a proteger tu PC. Estas actualizaciones pueden evitar virus y otros ataques malintencionados mediante el cierre de posibles carencias de seguridad.

    Windows Update ayuda a asegurarte de que el equipo recibe estas actualizaciones automáticamente, pero es posible que tengas que reiniciar el equipo ocasionalmente para que las actualizaciones se instalen por completo.
  • Usar la configuración de privacidad de tu navegador de Internet: algunos sitios web pueden intentar usar tu información personal para publicidad dirigida, fraude y robo de identidad. Todos los exploradores modernos tienen una configuración de privacidad que puede habilitar para controlar qué sitios pueden ver o hacer.
  • Asegúrate de que el Control de Cuentas de Usuario (UAC) esté activado: cuando se vayan a realizar cambios en tu PC que requieran un permiso de nivel de administrador, el UAC te notificará y te dará la oportunidad de aprobar el cambio. UAC puede ayudar a evitar que los virus realicen cambios no deseados. Para abrir UAC, desliza rápidamente el dedo desde el borde derecho de la pantalla y pulsa en Buscar. (Si utiliza mouse, señale la esquina superior derecha de la pantalla, mueva el puntero hacia abajo y, a continuación, haga clic en Buscar). Escribe uac en el cuadro de búsqueda y luego pulsa o haz clic en Cambiar la configuración del Control de Cuentas de Usuario.
  • Asegúrate de que esté activada la Protección contra alteraciones: en Windows 10 y 11 tenemos una característica denominada Protección contra alteraciones que impide que aplicaciones no autorizadas cambien la configuración de seguridad. Muchos virus y malware intentan deshabilitar el software antimalware u otras opciones de configuración de seguridad cuando están instalados con el fin de evadir la detección.

Conclusiones.

En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:

No todo lo que afecte el normal funcionamiento de una computadora es un virus.

TODO virus es un programa y, como tal, debe ser ejecutado para activarse.

Es imprescindible contar con herramientas de detección y desinfección.

NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede producir daños graves e indiscriminados.

Un disco externo de respaldo de archivos críticos, documentos, fotos, etc conectándolo al sistema para la copia y desconectado del sistema para evitar posible infección futura.

Trabajo realizado por: Lic. Marcelo Manson editado por admin para actualizarlo a 2023.