Virus informáticos

Seguridad informática. Antivirus. Historia. Clasificación. Infección. Síntomas. Daños al ordenador. Prevención. Troyano

  • Enviado por: Anita
  • Idioma: castellano
  • País: República Dominicana República Dominicana
  • 18 páginas
publicidad
publicidad

I. Historia del Virus

Prácticamente, desde que existen los ordenadores existen los virus informáticos. Se dice que el científico húngaro Louis Von Neumann con su "Teoría y organización de autómatas complejos", expuesta en 1939, es el padre de lo que hoy se conoce como virus. En ella demostraba la posibilidad de que un programa tomase el control de otros de naturaleza semejante. A partir de ese momento cabe destacar cuatro momentos históricos que marcan el nacimiento y evolución de los virus:

  • 1949, Programadores de la empresa americana Bell Computer crean un juego basándose en las teorías de Neumann, al que llamaron CoreWar, y que consistía en activar programas dentro de un ordenador de forma que iban agotando poco a poco la memoria del mismo, hasta llegar a su bloqueo total.

  • 1972, Aparece el considerado primer virus, Creeper, creado por Robert Thomas Morris, que atacaba los computadores de la marca IBM, y cuya acción era mostrar en pantalla un mensaje. Como respuesta se crea el primer software antivirus, llamado Reaper, que desinfectaba los ordenadores atacados por este virus.

  • 1983, Keneth Thompson, creador del sistema operativo UNIX, volvió a retomar las teorías de Neumann, demostrando la forma de desarrollar virus informáticos. A partir de ese momento se produce una verdadera revolución en el mundo de la creación de programas de este tipo.

  • 1986, aparecen los primeros virus que infectaban ficheros del tipo EXE y COM. Por esa época empezó a ganar popularidad el sistema precursor de Internet, ARPANET, y comienza la difusión de virus por este medio. Actualmente se manejan cifras de 500 nuevos virus en Internet cada mes.

II. ¿Qué son los virus informáticos?

Definicion

Un virus de computadora, por definición, es cualquier programa (o código) capaz de auto duplicarse. Por lo tanto, los virus también incluyen algo que los torna muy peligrosos: función de destrucción. La función de destrucción es la parte del virus que puede destruir la vida del usuario. Esta puede borrar toda la información de su disco duro, destruir su "boot sector" o cambiar su formato de trabajo de Word o Excel. También puede hacer que su sistema quede bloqueado o crear algunos "efectos especiales" interesantes de ver, como letras que caen por la pantalla del micro. Para poder recuperar el sistema después de un ataque, no es de forma ninguna interesante. Necesitará de mucho trabajo, será caro y tomará mucho tiempo su recuperación. Son programas que se introducen en nuestros computadores de formas muy diversas. Este tipo de programas son especiales ya que pueden producir efectos no deseados y nocivos. Una vez el virus se haya introducido en el computador, se colocará en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que no se ejecuta el programa infectado o se cumple una determinada condición, el virus no actúa. Incluso en algunas ocasiones, los efectos producidos por éste, se aprecian tiempo después de su ejecución (payload).

Síntomas de Virus

Si presenta algunos de los siguientes síntomas la PC, lo más seguro es que tenga un virus. Por lo tanto, debemos tomar medidas como revisar la computadora con un buen antivirus.

a) La velocidad de procesamiento y la perfomance del equipo se vuelve lenta.

b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor extensión, posiblemente también los macro virus, una vez que hayan cumplido con su efecto reproductor o dañino. El COMMAND.COM es infectado en primer lugar, pero como la función del virus es la de seguir infectando, éste continúa operando. Los archivos ejecutables siguen existiendo pero sus cabeceras ya han sido averiadas y en la mayoría de los casos, su extensión se han incrementado en un determinado número de bytes.

c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter".

d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification".

e) Los archivos ejecutables de los gestores de bases de datos como: dBASE, Clipper, FoxPro, etc. están operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador de textos MS-Word, hojas de cáculo de MS-Excel o base de datos de MS-Access (macro virus).

f) La configuración (set-up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como : ExeBug, CMOS-Killer o Anti-CMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS.

g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar "reseteos" aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS que han sido infectados.

h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o tienen un raro comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable Peripheral Interfase).

i) La pantalla muestra símbolos ASCII muy raros comunmente conocidos como "basura", seescuchan sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.

j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán "CASCADA".

k) La memoria RAM decrece.

l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan

Caracterisiticas

Un virus informático actúa y posee las mismas características fundamentales que un virus biológico, de ahí su nombre. Es un programa que tiene la capacidad de copiarse o reproducirse a sí mismo y esta es la cualidad que lo define. Infecta un sistema, se reproduce en sus archivos y se esconde en ellos en estado latente. Cuando esos archivos contacten con un nuevo sistema, aprovechará el momento adecuado para infectarlo y continuar un nuevo ciclo. Están formados por poca cantidad de código, ya que el tener un tamaño mínimo es fundamental para evitar ser detectados y eliminados.

Estos programas tienen por características:

a) Auto-reproducción: Esta es la capacidad del programa de sacar una copia de sí mismo sin consentimiento del usuario.

b) Infección: Esta es la capacidad del programa de alojarse por si mismo en otros programas, diferentes al que lo portaba.

Dependiendo del tipo de virus también pueden:

Dañar archivos Estos archivos siguen existiendo, pero la información que contienen no tiene sentido alguno, o bien no existe.

Dañar discos: Esto va tanto a los disquettes como a los discos duros, existen virus que sobrecalientan los discos, que los aceleran para disminuir su tiempo de vida, que los rayan (a fuerza de tanto leer sobre ellos), etc.

Dañar estructura del disco: Esto es, que ni los archivos, ni los disquettes son dañados de uno por uno, sino que simplemente "formatean" el contenido del disco. Un virus puede destruir la FAT del disco duro, borrarlo total o parcialmente, modificar o destruir ficheros importantes para el ordenador, cambiar algún aspecto gráfico (ej: mostrar una imagen o mensaje en pantalla o cambiar la disposición de los iconos del escritorio), etc... Pero en realidad, no tiene porqué ejecutar una acción directamente dañina para el ordenador infectado, eso depende de las instrucciones que le haya dado su creador. De todos modos, por el simple hecho de replicarse ya resulta perjudicial pues esa acción ira ralentizando el equipo, hasta el punto que la capacidad de proceso se verá seriamente dañada. Cuando el virus se carga en memoria no necesariamente empieza su misión contaminante, muchos de ellos quedan a la espera de que ocurra un evento determinado para su activación. Por ejemplo, el famoso virus Viernes 13, espera a que el reloj interno del ordenador infectado marque un día 13, que sea viernes, para activarse.

Una característica común a todos los virus es que no se activan por sí solos, dependen siempre de un fichero ejecutable, en el que viajan. Cuando este es ejecutado por el usuario o por el sistema, el virus es cargado en memoria y entonces realiza las dos tareas indispensables para él: buscar otros programas ejecutables, discos duros o disquetes a los que infectar y autocopiarse en ellos. Este programa anfitrión del virus puede ser desde un juego hasta una simple macro, pasando por toda la gama de ficheros que contengan código ejecutable. Al principio la vía principal de expansión de los virus eran los disquetes flexibles, incrustados en su sector de arranque, de tal forma que cuando se usaba como disco de inicio, o se arrancaba el ordenador con este introducido en la disquetera, el virus se hacía con el control de equipo. Con la llegada de nuevas tecnologías como los CD Rom empezó la contaminación con ficheros ejecutables, generalmente del tipo .exe, .com o .bat., y últimamente como macros. Finalmente la aparición de internet les ha abierto nuevas vías como el correo electrónico, programas descargados, agujeros de seguridad (bugs) en los sistemas operativos y grandes aplicaciones e incluso aprovechando los lenguajes de internet que permiten la ejecución de secuencias de comandos a nuestras espaldas (VBScript, Activex e incluso JavaScript).

III. Clasificación de los virus

La variedad de virus existentes hoy en día, no sólo prueba que sus autores provienen de una gran lista de expertos en programación, sino que también son altamente creativos.

  • GENERICOS (virus de archivo) Los primeros virus en ganar popularidad fueron los contaminadores "genéricos" (también conocidos como parásitos o virus de archivo). Estos programas son verdaderamente pequeños con menos de 4k de contaminadores genéricos que viven como un parásito dentro de un archivo ejecutable. De hecho, éstos aparecen como infiltrados en algún lugar dentro de un programa. Cuando el programa es copiado, el virus asume el control del sistema y después de asumirlo, generalmente busca otros archivos ejecutables para enviarles una copia de sí mismo. Cuando ataca otro archivo puede anteponerse a éste; o sea, se coloca antes del archivo y agrega una instrucción `jump´; también puede anexarse (colocarse al final del archivo y agregar una instrucción "jump¨al principio) o simplemente puede re-escribir el código de "insertar" dentro del "archivo-víctima". Así mismo, un virus genérico puede propagarse con bastante rapidez y los usuarios ni siquiera percibirán retrasos al momento de cargar sus programas. Como la mayoría de los virus, los genéricos acechan al sistema esperando que alguna condición sea satisfactoria; esta condición puede ser la fecha del sistema o el número de archivos en un disco. Cuando esta condición (conocida como catalisadora) se presenta, el virus inicia su rutina de destrucción. Los virus genéricos son relativamente fáciles de percibir, ya que éstos no se modifican a sí mismos y pueden ser fácilmente localizados a través de un programa rastreador. Además de que éstos dejan rastro; cada vez que un virus genérico infecta otro archivo, el tamaño del archivo puede aumentar.

  • Furtivos (stealth) Los virus furtivos son variaciones de los virus genéricos; estos evitan que sean detectados guardando una copia de la información del archivo en el disco. Cabe mencionar que una vez que el virus esté en la memoria, éste puede provocar una variedad de operaciones. Por lo tanto, cada vez que se teclee "DIR", podrá obtenerse una lista de los archivos anteriores antes de haber sido infectados por el virus. En verdad, las técnicas de los virus furtivos son mucho mas complejas que esto, sin embargo, todos evitan la detección explorando las interrupciones de DOS.

  • Mutantes. La industria anti-virus apenas comienza a verlos en grandes cantidades y apenas pocos desarrolladores de anti-virus han tenido éxito en derrotar los virus mutantes. Los virus mutantes funcionan de la siguiente manera: se ocultan en un archivo y son cargados en la memoria cuando el archivo es ejecutado y en lugar de hacer una copia exacta de éste cuando infecta otro archivo, éste modificará la copia cada vez que sea ejecutado. A través del uso de "aparatos de mutación" (que en verdad son "buscadores de códigos al azar"), los virus mutantes pueden generar millares de copias diferentes de ellos mismos. Ya que la memoria de los programas rastreadores trabajan intentando distinguir patrones consistentes y reconocibles, los virus mutantes han sido capaces de evitarlos. Seguramente, cualquier rastreador de virus producido antes de enero de 1993 no será capaz de detectar los virus mutantes.

  • Recombinables Estos virus que en su mayoría son experimentales pueden constituir una gran amenaza en los próximos años. De la misma manera que un hombre y una mujer combinan su código genético el tener un hijo, estos virus se unen, intercambian sus códigos y crean nuevos virus. La mayoría de estos virus no funcionan directamente (el lenguaje Assembly no tiene los atributos del DNA), mas sin embargo, algunos de éstos contienen rutinas destructivas muy peligrosas o nuevas técnicas de reproducción. Son virus difíciles de ser previstos debido a que cambian constantemente, imitando el proceso de selección natural y evolución biológica. Afortunadamente, muy pocos de este tipo andan sueltos.

  • "Bounty Hunter" o cazador de cabezas Un "bounty hunter" es alguien que ha sido pagado para encontrar y matar a una persona específica. Los virus "bounty hunter" funcionan de la misma manera, sin embargo, en vez de matar personas, se dirigen a un cierto producto anti-virus. Como no es imposible que un autor de virus examine un determinado producto para descubrir alguna debilidad en el producto, éste podrá crear un nuevo virus que aprovechará esta debilidad para dispersarse y hacer estragos.

  • Específicos para redes. Las redes son lugares óptimos para que los virus se dispercen, ya que la mayoría de los virus, de hecho, no consiguen operar en un ambiente de red. Sin embargo, fueron descubiertos algunos virus flotantes que actúan como programas NLM y logran el acceso a la red coleccionando passwords (contraseñas). Después de lograr el acceso se reproducen y dispersan daños rápidamente. Este tipo de virus es extremadamente peligroso.

  • DE "BOOT" (virus de sector de arranque) El virus de "boot" solamente podrá propagarse a través de disquetes. Si hubiera un disquete en el drive A, el sistema intentará cargar a DOS en ese disquete. Los Virus de "boot" se localizan en la sección del disquete que es cargado en la memoria en el momento de la inicialización ("boot"). Así mismo, el virus de "boot" alcanza la memoria antes que otros programas sean cargados. Por lo tanto, nunca deberá "dar el boot" desde un disquete a no ser que se esté absolutamente seguro de que éste esté limpio. Una vez que un virus de "boot" alcance la memoria, identificará las interrupciones de DOS y reinfectará los nuevos disquetes que sean colocados en los drives. Es difícil que el virus de "boot" sea detectado por los usuarios aunque estos puedan ser distinguidos por programas rastreadores con relativa facilidad. El MS-DOS 5.0 introdujo algunas herramientas que pudieran auxiliar a los usuarios a remover estos virus aunque no ofrezcan protección contra infecciones.

  • MULTI-PARTITIVOS Estos virus tienen las características tanto de aquellos del sector "boot" (de arranque) como de aquellos genéricos (de archivos).

  • DE MACRO Estos representan alrededor del 80% de la infección de virus registrados de acuerdo con la "NCSA" (National Computer Security Association) y son los virus de mayor expansión en la historia de la computación. A diferencia de otros tipos de virus, los macro virus no son específicos de un sistema operativo y se dispersan fácilmente a través de consumibles de e-mails como disquetes, redes, copia de archivos, así como de cualquier otra aplicación. Un macro es un conjunto de instrucciones que ejecutan una tarea, generalmente rutinaria y activada por alguna aplicación específica. Los macro virus son específicos para cada aplicación. Estos infectan macro-utilidades que acompañan a dichas aplicaciones como son las de Microsoft Office, por lo que un macro virus de Word no puede infectar un documento Excel y vice-versa, por lo contrario, estos pueden infectar cientos de archivos aún cuando la aplicación esté siendo utilizado, ya que los macro virus viajan entre archivos de datos a través de las aplicaciones. Los macro virus son escritos en cualquier lenguaje de programación de macro (ejemplo: WordBasic y VisualBasic) y son relativamente fáciles de crear. Desde puntos diferentes, estos pueden infectar archivos durante su uso cuando este se abre, salva, cierra o borra. Una grande ventaja de los macro virus sobre los demás, y que explica su expansión, es la facilidad de programación. Una de las tareas más complicadas de la programación de un virus convencional (archivo o arranque) es la búsqueda dentro de la estructura de directorios y apertura de archivos, infectar y controlar el sistema infectado. Con la programación de macros, localizar y abrir un archivo es una operación echa por una única instrucción macro. Otro aspecto muy fuerte, que facilita la programación, es mantenerse residente en memoria para poder controlar el sistema en todo momento. Los virus de macro tienen la facilidad de infectar un solo archivo: NORMAL.DOT, este archivo es la base de funcionamiento de las aplicaciones Microsoft Office, así el control de la aplicación ya está hecho. Los Macro virus están utilizando técnicas avanzadas de Polimorfismo, ocultamiento (stealth) y encriptación. Las macros más utilizadas por los macro virus son: AutoExec, AutoOpen, AutoClose, FileSave y FileSaveAs.

Este tipo de virus, como ya hemos comentado, actúan sobre los documentos, hojas de cálculo o libros, bases de datos y/o presentaciones con macros. Por lo tanto, su objetivo serán los ficheros creados con herramientas que permiten utilizar macros. Esto quiere decir que no existe un sólo tipo de virus de macro, sino uno para cada tipo de herramienta:

  • No obstante, no todos los programas o herramientas que permitan la gestión de macros serán objetivo de este tipo de virus. Las herramientas que son atacadas por los virus de macro, deben cumplir una serie de condiciones:

  • Las macros pueden transportarse (a través de cualquier medio) de un ordenador a otro, por estar incluidas en el propio fichero infectado (documento, hoja de cálculo, presentación, base de datos,...).

  • Se pueden obtener, incluir y utiliza en un fichero las macros que se han creado e incluido en otros.

  • Las macros pueden ejecutarse automáticamente (al abrir o cerrar el fichero, por ejemplo), sin que esto dependa del usuario.

  • IV. Ficha de 7 tipos de virus

    Michelangelo

    Natas

    Jerusalén

    MSWord_Concept

    Jetdb_Access-1

    Byway.A

    Nuevo troyano Back Orifice 2000

    • Michelangelo Es un virus de sector de arranque con 512 bytes. Infecta tanto al sector de arranque de disquetes y "master boot record" de discos duros. Las infecciones ocurren cuando el sistema se incializa desde un disquete infectado previamente; el virus carga su programa virulento en la memoria y una vez residente en la memoria, Michelangelo puede infectar todos los disquetes no protegidos al ser accesados en la computadora. Además de infectar, Michelangelo contiene una rutina destructiva; cada 6 de marzo este virus amenaza con borrar todos los archivos que se encuentren dentro del sistema infectado. Alias: Michelangelo A, Stoned.Michelangelo, Stoned.Daniela, Daniela, Michelangelo-1, Michelangelo-2.

    • Natas. Es un virus polimorfo y multipartitivo con 4744 bytes. Infecta archivos de programas (*.COM y *.EXE), desde los sectores de arranque (boot) a partir de disquetes y "master boot record" a partir del disco duro. La infección toma lugar cuando el sistema es inicializado desde un disquete infectado o al trabajar en un archivo previamente infectado. Una vez que esto ocurre, el virus cargará su programa virulento en la memoria; desde aquí el virus podrá infectar archivos programados y disquetes no protegidos. Las técnicas furtivas también están presentes en Natas, las cuales dificultan a los usuarios detectar sectores de arranque, "master boot record" y archivos al momento de irse infectando. Alias: Satan, Sat_Bug.Natas, Sat_Bug, Natas.4740-4988, Natas.mp4744a, Natas.4744, Natas-1.

    • Jerusalén . Es un virus de archivo, infecta archivos *.COM y *.EXE, tiene entre 1808 y 1923 bytes. La infección ocurre cuando un archivo infectado es ejecutado. El virus está programado para cargar las rutinas virulentas en memoria. Una vez residente en memoria, el virus puede infectar los archivos ejecutables cuando estos son accesados. Los archivos *.COM son incrementados de 1808 bytes. Los *.EXE son incrementados entre 1808 y 1823 bytes siempre que el archivo es utilizado. Esto ocurre hasta que el archivo *.EXE ya no puede ser cargado en la memoria. Jerusalén adiciona dos rutinas en memoria. La primera es ejecutada 30 minutos después de la infección. El virus hace que su máquina sea más lenta progresivamente. La segunda rutina es más maliciosa y borrará cualquier programa iniciado en Viernes 13, de cualquier año. Hay muchas variaciones del virus Jerusalén. Alias: Jerusalén.1808.Estándar, 1813, Friday 13th, Jeru.1808, Israeli, PLO, Anticad.3004.

    • MSWord_Concept Cada vez que un documento infectado es abierto el virus entra para residir añadiendo algunos macros en el ambiente de Word infectando el NORMAL.DOT. Una vez activo el virus, todos los documentos guardados a través del comando "Save as.." serán infectados. Los síntomas incluyen únicamente el poder guardar los archivos en el directorio de machotes (template: *.DOT). El virus abre una caja de diálogo, solamente en la infección inicial, con el número 1 y un botón de OK.

    • Jetdb_Access-1. Este es el primer virus conocido para Microsoft Access Database. Este virus parece haber sido creado el 7 de marzo de 1998, tiene solamente un macro con nombre AUTOEXEC, no está encriptado y tiene 12.288 bytes. El autor del virus se denomina "Jerk1N" y declara ser afiliado a una organización denominada "DIFFUSION Virus Team". Una evaluación del código del virus indica que cuando una base de datos infectada es abierta, el virus buscará todos los archivos MDB y los infectará, sin embargo, no presenta ninguna rutina dañina. Este virus también puede infectar los archivos double-byte Microsoft Access 97 utilizando el lenguaje Chino o Japonés.

    • Byway.A Alias: Amstrad FamilyDir2.Byway, DirII.TheHndv, Byway, Chavez. Es reparable. Su fecha de aparicion fue el 1 de septiembre del 1991 en Venezuela, tiene un tamaño de 2048 Bytes, no esta incluido en la lista de “In The Wild”. Byway es un virus de MS-DOS que infecta ficheros ejecutables con extensiones EXE y COM. Se trata de un virus de enlace, siendo poco común, aunque su propagación es muy rápida debido a la forma que emplea para infectar. La característica más destacable en este sentido es la rapidez con la que infecta todos los ficheros ejecutables que se encuentren en el disco duro. Utiliza técnicas de polimorfismo, stealth y tunneling. Los efectos o payload que produce dependen de la fecha que en ese momento tenga el sistema. Todos los requisitos que se deben cumplir al mismo tiempo para que Byway se active, son los siguientes:

    - Fecha posterior al año 1996.

    - Día del mes igual al doble del numero del mes más dos. Es decir: Día del mes = (Numero de mes * 2 )+2

    - Si ambas condiciones se cumplen, el virus muestra un mensaje por pantalla con un texto, mientras hace sonar un himno cada tres horas en punto. Es decir, en las siguientes horas: 3:00, 6:00, 9:00, 12:00, 15:00, 18:00 y 21:00.

    • Nuevo troyano Back Orifice 2000 En sistemas Windows, BO2K permite la administración remota del PC de otro usuario .Back Orifice 2000, la nueva versión del conocido troyano que, a través de Internet, permite a cualquier atacante robar archivos, passwords y el control total del ordenador, ya se está distribuyendo por el ciberespacio. En principio, todo parece indicar que se trata de una versión preliminar que infecta Windows 95 y 98 y, a diferencia del primer Back Orifice, también se integra en Windows NT.

    Back Orifice es obra de un grupo de hackers que se hace llamar Cult of the Dead Cow (el Culto de la Vaca Muerta). La nueva versión del troyano ha sido presentada en Def Con 7, congreso de hackers y gentes del mundo underground que se ha celebrado en Las Vegas el pasado fin de semana. Justamente, en la edición anterior de Def Con fue cuando Cult of the Dead Cow presentó el primer Back Orifice.

    Back Orifice 2000 puede ser más peligroso que su predecesor. Dado que junto con los binarios está disponible, públicamente, el código fuente del programa, cualquier persona con conocimientos de programación puede modificar este troyano y crear una versión diferente o, incluso, nuevos programas dañinos. Además, y según han anunciado sus creadores, es más difícil de detectar porque hace uso de criptografía fuerte para las comunicaciones. Por este motivo, existen dos versiones de Back Orifice 2000: una para Estados Unidos -en la que se utilizan algoritmos de encriptación TripleDES o uno simple basado en XOR- y otra internacional, en la que sólo está disponible la correspondiente a un algoritmo basado en XOR, debido a las restricciones americanas sobre exportación en materia de criptografía.

    Back Orifice 2000 puede llegar en un mensaje de correo electrónico que lleva anexado un fichero o ser descargado a través del chat, las news, la web o cualquier otro servicio de Internet. Cuando el usuario lo abre, el troyano se instala en el ordenador de la víctima como "servidor". Esta parte del programa maligno, que se instala en el equipo infectado, es totalmente configurable y en él se pueden definir varios parámetros, como los puertos que se utilizarán para acceder a la máquina que actuará como servidor; las passwords que el usuario externo utilizará para acceder al mismo o el tipo de encriptación utilizada (XOR o TripleDES).

    Gracias a Back Orifice 2000, el atacante puede controlar, de forma remota, el equipo infectado cuando ambos se encuentran conectados a Internet. Entre los 70 comandos que el atacante puede realizar de forma remota figuran los siguientes:

    • Ocultar la actividad del servidor, para que el usuario de la máquina atacada no tenga constancia de la actividad del hacker.

    • Borrar el fichero de instalación original, con el objetivo de dificultar la detección del troyano.

    • Reiniciar la máquina remota.

    • Bloquear el ordenador atacado.

    • Listar passwords de usuarios.

    • Recopilar información sobre la máquina atacada: nombre de la misma, usuario en activo, procesador, versión del sistema operativo, memoria y todos los drivers remotos.

    • Listar los recursos compartidos de una red local.

    • Comenzar o parar la ejecución de un proceso.

    • Modificar el registro de Windows.

    • Buscar, copiar, modificar, grabar, borrar, mandar, recibir y ver ficheros y directorios.

    • Abrir/Cerrar el servidor instalado en la máquina remota.

    • Listar, cargar y borrar plugins de Back Orifice.

    A pesar de tratarse de un troyano, la nueva versión de Back Orifice dispone de una opción que permite ejecutar el servidor a la vista, de manera que el programa maligno pueda usarse abiertamente, con conocimiento del usuario.

    V. Como evitar los Virus?

    1. Sospecha de los programas activos todo el tiempo (residentes en memoria). Los virus tienen la mala costumbre de quedarse en memoria para realizar sus fechorías.

    2. Sospecha de cualquier programa gratuito (shareware, freeware; fotos, videos, rutinas, patchs) que bajes de Internet. Los fabricantes de virus colocan frecuentemente en estos sus nocivos productos.

    3. Obtén una lista de los virus mas comunes y verifica contra esta lista cualquier programa nuevo que tengas.

    4. Fíjate en el tamaño de los archivos del sistema [COMMAND.COM principalmente]. Sospecha si es diferente del original.

    5. Haz una copia de la tabla FAT y CMOS si te es posible. Te ahorrará mucho tiempo, dinero y esfuerzo el copiarla de nuevo si algún virus la dañó.

    6. Al estar buscando un virus, y si tienes disco duro, bloquea el acceso a este temporalmente.

    7. Actualiza mensualmente tu AntiVirus. Si no lo tienes puedes conseguir una copia gratuita en: Symantec, McAfee, IBM, por mencionar algunos.

    VI. Los Antivirus

    Una consecuencia del nacimiento y proliferación de los virus ha sido el desarrollo de una gran industria paralela, la de los antivirus. Son programas creados para la búsqueda, localización y eliminación de virus, troyanos y demás software dañino. Es necesario contar con un buen programa antivirus que esté activo y vigilante siempre. Hay que mantenerlo constantemente actualizado pues día a día se descubren nuevos virus. Si un software antivirus nos alerta de que ha encontrado un posible virus, lo mejor que podemos hacer es dejarle que lo elimine, pues es preferible perder algún dato que dejar que nuestro ordenador se infecte totalmente. Hay que tener en cuenta que un programa antivirus no es un arma infalible contra todos los virus. Conviene, si es posible pués tener instalados varios antivirus y complementar su acción por medio de firewalls (programa cortafuegos que limita los accesos de información a nuestro ordenador) y otras aplicaciones de seguridad.

    Pero, a pesar de disponer de todos los sistemas, ninguno de ellos puede garantizarte una fiabilidad completa por lo que el mejor método sigue siendo la prevención, sigue siempre a rajatabla estas reglas:

    • Nunca abras ningún ejecutable que no conozcas, y así y todo, mejor pasarlo antes por un antivirus actualizado.

    • Nunca arranques el ordenador con disquetes introducidos. Cualquier disquete que no sea tuyo y vayas a utilizar, debes analizarlo antes con un antivirus.

    • Nunca abras un correo electrónico de alguien que no conoces, elimínalo, y aún conociéndolo pasa primero tu antivirus antes de abrir cualquier mensaje.

    • Nunca abras ningún archivo descargado de internet sin haberle pasado el antivirus, aunque te hayan garantizado que esta libre de virus.

    • Actualiza tu sistema operativo constantemente. Las empresas y grupos de usuarios van lanzando periódicamente parches que corrigen sus defectos de seguridad. Este proceso de actualización debe incluir también a las aplicaciones más comunes, como Office o los programas de correo electrónico.

    • Si deshabilitas Java cerrarás una de las posibles vías de infección, así como cualquier otro lenguaje que permita la ejecución de secuencias de comandos (VBScript, Activex e incluso JavaScript).A cambio perderás funcionalidad en el sistema, ya que estos comandos son imprescindibles hoy en día para poder ejecutar y/o visualizar multitud de aplicaciones y páginas web.

    VII Concepto y función de Antivirus

    Los programas antivirus son una herramienta específica para combatir el problema virus, pero es muy importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia no combate a los virus. Cuando se piensa en comprar un antivirus, no se debe perderse de vista que, como todo programa, para funcionar correctamente, debe esta bien configurado. Además, un antivirus es una solución para minimizar los riesgos y nunca será una solución definitiva, el principal es mantenerlo actualizado. La única forma de mantener su sistema seguro es mantener su antivirus actualizado y estar constantemente leyendo sobre los virus y las nuevas tecnologías. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Éste es el aspecto más importante de un antivirus, pero, las empresas deben buscar identificar también las características administrativas que el antivirus ofrece. La instalación y administración de un antivirus en una red es una función muy compleja si el producto no lo hace automáticamente, pero eso no es el tema de ese artículo. Es importante tener en claro la diferencia entre "detectar" e "identificar" un virus en una computadora. La detección es la determinación de la presencia de un virus, la identificación es la determinación de qué virus es. Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su capacidad de detección, pues las capacidades de identificación están expuestas a muchos errores y sólo funcionan con virus conocidos. Nunca seremos contaminados por virus cuando abrimos un archivo gráfico, un archivo de texto plano o porque en nuestro ordenador se instalen cookies, pero ante cualquier duda o en atención a los sitios que visitemos debemos actuar con la máxima prudencia.

    Identificación.-

    El modelo más primario de las funciones de un programa antivirus es la detección de la presencia de un virus y, en lo posible, su identificación. La primera técnica que se popularizó en los productos antivirus fuera la técnica de rastreo (scanning). Los rastreadores antivirus representan la mayoría de los productos de actualidad. La desventaja de los rastreadores es que éstos no consiguen reconocer los virus "desconocidos"; o sea, todo nuevo virus necesita ser descubierto y analizado antes de que un rastreador pueda reconocerlo. La velocidad de actualización de un rastreador depende en mucho de los laboratorios de cada fabricante; cuantos mas laboratorios haya en el mundo, mas ingenieros investigadores locales estarán trabajando en la localización de un virus, haciendo así un trabajo mas rápido y eficiente para la solución del antivirus. Rastrear es el método conocido para localizar un virus después de que éste haya infectado un sistema. Cabe mencionar que los rastreadores también pueden identificar los virus por nombre, mientras otros métodos no pueden.

    Detección.-

    Debido a las limitaciones de la técnica de rastreo, los productores de programas antivirus han desarrollado otros métodos para detección de virus informáticos. Estas técnicas buscan identificar los virus por funciones básicas comunes en los virus, reconociendo el virus por su comportamiento y no por una pequeña porción de código como hace los rastreadores. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dañinas pertenecientes a un virus informático. El método de monitoreo del sistema (también conocido como rule-based) es la mejor alternativa de protección en tiempo real para PC´s individuales o para estaciones de trabajo. Estos sistemas antivirus permanecen residentes en la memoria y quedan a la expectativa en caso de actividades virulentas. Por ejemplo, si un programa en memoria intentara infectar un archivo en el disco, un producto antivirus de monitoreo de sistema percibirá dicho intento y alertará al usuario.  

    Cuidados.-

    La configuración mas adecuada para proteger su computadora, es la combinación de un sistema de monitoreo del sistema mismo, acompañado de un rastreador de alta tecnología apoyado por un soporte técnico de ingenieros especializados en combatir virus con un reconocimiento y concepción de actualizaciones lo mas rápidas y eficientes posibles. Algunas características operacionales son muy importantes:

    Monitor en "Real Time"

    El monitor "real time" examina automáticamente todos los archivos que entren y salgan antes que sean abierto o ejecutados. Si encuentra un archivo infectado, podrá limpiarlo automáticamente. El monitor "real time" esta constantemente examinando su sistema mientras usted trabaja normalmente, para detener cualquier virus que se ejecute antes de que pueda producir algún daño.

    Limpieza

    El antivirus debe ofrecer la opción de mantener una copia del archivo infectado durante la limpieza. La limpieza de un virus de un archivo puede causar algún daño y la recuperación puede no ser bien sucedida, con una copia se puede entintar una nueva limpieza o enviar el archivo para un "virus hospital" para ser limpiado por "virus doctors" (www.antivirus.com)

    Rastreo de archivos compactados

    Cuando busca un antivirus identifique cuantos procesos de compactación conoce, es muy importante que el producto conozca el mayor número de métodos posibles.

    Protección para virus de Internet

    Los virus de Internet deben ser una de las principales preocupaciones del usuario. El antivirus debe tener una protección activa cuando esta navegando por la Internet. Esta protección debe impedir el usuario de ejecutar un Java applet o controles ActiveX que pueden causar daños en su sistema.

    A continuación se pondran algunos ejemplos de los mejores Antivirus que existen hoy en día; y su dirección en la web, para que puedas bajar una versión de prueba.

    • El legendario Norton Antivirus, uno de los mejores softwares, para la eliminación de virus informaticos.

    Puedes conseguir una versión de prueba en: www.symantec.com

    • Panda Antivirus, de la compañia Panda Software, catalogado por muchos como "el mejor", posee una excelente interfaz grafica, facil de usar, y se puede actualiazr gratis por internet.

    Puedes bajar una antivirus de prueba en: www.pandasoftware.com

    • Y por último hemos dejado, a uno de los más conocidos softwares antivirus, el Dr Solomon Antivirus Toolkit; ahora en su presentación para windows95 y windows98, también posee protección para internet y correo electronico, sin olvidar la protección bajo modo MS-Dos.

    Puedes bajar una versión de prueba en: www.DrSolomon.com

    4