INTRODUCCION

Actualmente los virus informticos se han incrementado notablemente; desde

la primera aparicin su crecimiento ha sido sorprendente. En la actualidad se
crean cinco virus diarios aproximadamente, los virus no solamente copian sus
cdigos en forma parcial a otros programas sino que adems lo hacen en reas
importantes de un sistema (sector de arranque, tabla de particin, entre otros).
Un virus no necesariamente tiene que auto reproducirse, pues basta con que
se instale en memoria y desde all ataque a un determinado tipo de archivo o
reas del sistema y lo infecte. Con Internet se hace ms fcil tener el total
control de los virus informticos, lo que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando
las tcnicas de prevencin, deteccin y eliminacin de virus informticos,
tenindose que llevar a cabo de forma rpida y eficiente .
Como causa de ste crecimiento innumerable de los virus informticos,
aparece, paradjicamente la solucin, mediante las actualizaciones de los
antivirus.
HISTORIA DE LOS VIRUS
Desde la aparicin de los virus informticos en 1984 y tal como se les concibe
hoy en da, han surgido muchos mitos y leyendas acerca de ellos. Esta
situacin se agrav con el advenimiento y auge de Internet. A continuacin, un
resumen de la verdadera historia de los virus que infectan los archivos y
sistemas de las computadoras.
1939-1949 Los Precursores
Virus informticos
En 1939, el famoso cientfico matemtico John Louis Von Neumann, de orgen
hngaro, escribi un artculo, publicado en una revista cientfica de New York,
exponiendo su "Teora y organizacin de autmatas complejos", donde
demostraba la posibilidad de desarrollar pequeos programas que pudiesen
tomar el control de otros, de similar estructura.
Cabe mencionar que Von Neuman, en 1944 contribuy en forma directa con
John Mauchly y J. Presper Eckert, asesorndolos en la fabricacin de la ENIAC,
una de las computadoras de Primera Generacin, quienes construyeran
adems la famosa UNIVAC en 1950.
John Louis von Neumann (1903-1957)
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3
jvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor
Vysottsky, a manera de entretenimiento crearon un juego al que denominaron
CoreWar, inspirados en la teora de John Von Neumann, escrita y publicada en
1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.

Puesto en la prctica, los contendores del CoreWar ejecutaban programas que

iban paulatinamente disminuyendo la memoria del computador y el ganador
era el que finalmente consegua eliminarlos totalmente. Este juego fue motivo
de concursos en importantes centros de investigacin como el de la Xerox en
California y el Massachussets Technology Institute (MIT), entre otros.
Sin embargo durante muchos aos el CoreWar fue mantenido en el anonimato,
debido a que por aquellos aos la computacin era manejada por una pequea
lite de intelectuales
A pesar de muchos aos de clandestinidad, existen reportes acerca del virus
Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas
IBM 360, emitiendo peridicamente en la pantalla el mensaje: "I'm a creeper...
catch me if you can!" (Soy una enredadera, agrrenme si pueden). Para
eliminar este problema se cre el primer programa antivirus denominado
Reaper (segadora), ya que por aquella poca se desconoca el concepto de los
softwares antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de
Amrica, precursora de Internet, emiti extraos mensajes que aparecan y
desaparecan en forma aleatoria, asimismo algunos cdigos ejecutables de los
programas usados sufran una mutacin. Los altamente calificados tcnicos del
Pentgono se demoraron 3 largos das en desarrollar el programa antivirus
correspondiente.
Hoy da los desarrolladores de antivirus resuelven un problema de virus en
contados minutos.
1981 La IBM PC
En Agosto de 1981 la International Business Machine lanza al mercado su
primera computadora personal, simplemente llamada IBM PC. Un ao antes, la
IBM haban buscado infructuosamente a Gary Kildall, de la Digital Research,
para adquirirle los derechos de su sistema operativo CP/M, pero ste se hizo de
rogar, viajando a Miami donde ignoraba las continuas llamadas de los
ejecutivos del "gigante azul".

Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y

adquiere a la Seattle Computer Products, un sistema operativo desarrollado por
Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos
ligeros cambios y con el nombre de PC-DOS se lo vendi a la IBM. Sin embargo,
Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MSDOS.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido
y Rstico Sistema Operativo de Disco) y tena varios errores de programacin
(bugs).

La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un

buen sistema operativo y como resultado de esa imprevisin todas las
versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente
vulnerables a los virus, ya que fundamentalmente heredaron muchos de los
conceptos de programacin del antiguo sistema operativo CP/M, como por
ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que
es ejecutada previamente a la ejecucin de cualquier programa con extensin
EXE o COM.

1983 Keneth Thompson

Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit
las teoras de Von Neumann y la de los tres programadores de la Bell y en 1983
siendo protagonista de una ceremonia pblica present y demostr la forma de
desarrollar un virus informtico.

1984 Fred Cohen

Virus informticos

Al ao siguiente, el Dr. Fred Cohen al ser galardonado en una graduacin, en su

discurso de agradecimiento incluy las pautas para el desarrollo de un virus.
Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los
virus, aunque hubo varios autores ms que actuaron en el anonimato.

El Dr. Cohen ese mismo ao escribi su libro "Virus informticos: teora y

experimentos", donde adems de definirlos los califica como un grave
problema relacionado con la Seguridad Nacional. Posteriormente este
investigador escribi "El evangelio segn Fred" (The Gospel according to Fred),
desarroll varias especies virales y experiment con ellas en un computador
VAX 11/750 de la Universidad de California del Sur.

La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de
la revista BYTE reportaron la presencia y difusin de algunos programas que
actuaban como "caballos de Troya", logrando infectar a otros programas.

Al ao siguiente los mensajes y quejas se incrementaron y fue en 1986 que se

reportaron los primeros virus conocidos que ocasionaron serios daos en las
IBM PC y sus clones.

1986 El comienzo de la gran epidemia

En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que
fueron las primeras especies representativas de difusin masiva. Estas 3
especies virales tan slo infectaban el sector de arranque de los disckettes.
Posteriormente aparecieron los virus que infectaban los archivos con extensin
EXE y COM.

Virus informticos

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los

precursores de los virus y recin graduado en Computer Science en la
Universidad de Cornell, difundi un virus a travs de ArpaNet, (precursora de
Internet) logrando infectar 6,000 servidores conectados a la red. La
propagacin la realiz desde uno de los terminales del MIT (Instituto
Tecnolgico de Massashussets).

Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo.

Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte
de Syracuse, estado de Nueva York, a 4 aos de prisin y el pago de US $
10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado
a cumplir 400 horas de trabajo comunitario.

1991 La fiebre de los virus

En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeaba

como director del Laboratorio de Virologa de la Academia de Ciencias de
Bulgaria, escribi un interesante y polmico artculo en el cual, adems de
reconocer a su pas como el lder mundial en la produccin de virus da a saber

que la primera especie viral blgara, creada en 1988, fue el resultado de una
mutacin del virus Vienna, originario de Austria, que fuera desensamblado y
modificado por estudiantes de la Universidad de Sofa. Al ao siguiente los
autores blgaros de virus, se aburrieron de producir mutaciones y empezaron a
desarrollar sus propias creaciones.

En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad",

se propag por toda Europa y los Estados Unidos hacindose terriblemente
famoso por su ingeniosa programacin, peligrosa y rpida tcnica de infeccin,
a tal punto que se han escrito muchos artculos y hasta ms de un libro acerca
de este virus, el mismo que posteriormente inspir en su propio pas la
produccin masiva de sistema generadores automticos de virus, que permiten
crearlos sin necesidad de programarlos.

1995 Los macro virus

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparicin

de una nueva familia de virus que no solamente infectaban documentos, sino
que a su vez, sin ser archivos ejecutables podan auto replicarse infectando a
otros documentos. Los llamados macro virus tan slo infectaban a los archivos
de MS-Word, posteriormente apareci una especie que atacaba al Ami Pro,
ambos procesadores de textos.

En 1997 se disemina a travs de Internet el primer macro virus que infecta

hojas de clculo de MS-Excel, denominado Laroux, y en 1998 surge otra
especie de esta misma familia de virus que ataca a los archivos de bases de
datos de MS-Access. Para mayor informacin srvanse revisar la opcin Macro
Virus, en este mismo mdulo.

1999 Los virus anexados (atachados)

A principios de 1999 se empezaron a propagar los virus anexados (atachados)

a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo ao fue
difundidos a travs de Internet el peligroso CIH y el ExploreZip, entre otros
muchos ms.

A fines de Noviembre de este mismo ao apareci el BubbleBoy, primer virus

que infecta los sistemas con tan slo leer el mensaje de correo, el mismo que

se muestra en formato HTML. En Junio del 2000 se report el VBS/Stages.SHS,

primer virus oculto dentro del shell de la extensin .SHS.

Resultar imposible impedir que se sigan desarrollando virus en todo el mundo,

por ser esencialmente una expresin cultural de "graffiti ciberntico", as como
los crackers jams se detendrn en su intento de "romper" los sistemas de
seguridad de las redes e irrumpir en ellas con diversas intencionalidades.
Podemos afirmar que la eterna lucha del bien y el mal ahora se ha extendido al
ciber espacio.

HISTORIA DE LOS VIRUS EN EL PERU

En 1986 se detectan los primeros virus informticos en el Per: Stoned,

Bouncing Ball y Brain

Al igual que la corriente blgara, en 1991 apareci en el Per el primer virus

local, autodenominado Mensaje y que no era otra cosa que una simple
mutacin del virus Jerusalem-B y al que su autor le agreg una ventana con su
nombre y nmero telefnico. Los virus con apellidos como Espejo, Martnez y
Aguilar fueron variantes del Jerusalem-B y prcticamente se difundieron en el
mbito nacional.

Continuando con la lgica del tedio, en 1993 empezaron a crearse y

diseminarse especies nacionales desarrolladas con creatividad propia, siendo
alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y
los polimrficos Rogue II y Please Wait (que formateaba el disco duro). La
creacin de los virus locales ocurre en cualquier pas y el Per no poda ser la
excepcin.

virus!!

DEFINICION DE LOS VIRUS INFORMTICOS

Los virus informticos son programas que utilizan tcnicas sofisticadas,

diseados por expertos programadores, los cuales tienen la capacidad de
reproducirse por s mismos, unirse a otros programas, ejecutando acciones no

solicitadas por el usuario, la mayora de estas acciones son hechas con mala
intencin.

Un virus informtico, ataca en cualquier momento, destruyendo toda la

informacin que no est protegida con un antivirus actualizado.

La mayora de los virus suelen ser programas residentes en memoria, se van

copiando dentro de nuestros softwares. De esta manera cada vez que
prestamos softwares a otras personas, tambin encontrarn en el interior
archivos con virus.

Un virus tiene la capacidad de daar informacin, modificar los archivos y

hasta borrar la informacin un disco duro, dependiendo de su programador o
creador.

En la actualidad los virus informticos no solo afectan a los archivos

ejecutables de extensin .EXE y .COM, sino tambin a los procesadores de
texto, como los documentos de Word y hojas de clculo como Excel, esta nueva
tcnica de elaboracin de virus informtico se llama Macro Virus.

POR QU LLAMARLOS VIRUS?

La gran similitud entre el funcionamiento de los virus computacionales y los

virus biolgicos, propici que a estos pequeos programas se les denominara
virus.

Los virus en informtica son similares a los que atacan el organismo de los
seres humanos. Es decir son "organismos" generalmente capaces de auto
reproducirse, y cuyo objetivo es destruir o molestar el "husped".

Al igual que los virus orgnicos, los virus en informtica deben ser eliminados
antes de que causen la "muerte" del husped...

Los virus de las computadoras no son mas que programas; y estos virus casi
siempre los acarrean las copias ilegales o piratas.

Provocan desde la prdida de datos o archivos en los medios de

almacenamiento de informacin (diskette, disco duro, cinta), hasta daos al
sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daos
al equipo.

CARACTERSTICAS:

Estos programas tienen algunas caractersticas muy especiales:

Son muy pequeos.

Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha

de creacin.

Se reproducen a s mismos.

Toman el control o modifican otros programas.

MOTIVOS PARA CREAR UN VIRUS:

A diferencia de los virus que causan resfriados y enfermedades en humanos,

los virus de computadora no ocurren en forma natural, cada uno debe ser
programado. No existen virus benficos.

Algunas veces son escritos como una broma, quiz para irritar a la gente
desplegando un mensaje humorstico. En estos casos, el virus no es mas que
una molestia. Pero cuando un virus es malicioso y causa dao real, quin sabe
realmente la causa? Aburrimiento? Coraje? Reto intelectual? Cualquiera que
sea el motivo, los efectos pueden ser devastadores.

Los fabricantes de virus por lo general no revelan su identidad, y algunos retan

a su identificacin.

FASES DE INFECCION DE UN VIRUS

Primera Fase (Infeccin)

El virus pasa a la memoria del computador, tomando el control del mismo,

despus de intentar inicializar el sistema con un disco, o con el sector de
arranque infectado o de ejecutar un archivo infectado.

El virus pasa a la memoria y el sistema se ejecuta, el programa funciona

aparentemente con normalidad, de esta forma el usuario no se da cuenta de
que su sistema est siendo infectado.

Segunda Fase (Latencia)

Durante esta fase el virus, intenta replicarse infectando otros archivos del
sistema cuando son ejecutados o atacando el Virus informticos
sector de arranque del disco duro.

De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos
del sistema. Si durante esta fase utilizamos discos flexibles no protegidos
contra escritura, dichos discos quedan infectados y listos para pasar el virus a
otro computador e infectar el sistema.

Tercera Fase (Activacin)

Esta es la ltima fase de la vida de un virus y es la fase en donde el virus se

hace presente.

La activacin del virus trae como consecuencia el despliegue de todo su

potencial destructivo, y se puede producir por muchos motivos, dependiendo
de como lo cre su autor y de la versin de virus que se trate, debido a que en
estos tiempo encontramos diversas mutaciones de los virus.

Algunos virus se activan despus de un cierto nmero de ejecuciones de un

programa infectado o de encender el sistema operativo; otros simplemente
esperan a que se escriba el nombre de un archivo o de un programa.

La mayora de los virus se activan mediante el reloj del sistema para

comprobar la fecha y activar el virus, dependiendo de la fecha u hora del
sistema o mediante alguna condicin y por ltimo atacan, el dao que causan
depende de su autor.

CLASES DE VIRUS:

VIRUS POLIMORFICOS

Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.

Sus instrucciones cambian cada vez que se autoencriptan.

El virus produce varias copias diferentes de s mismo.

Cambian su forma (cdigo) cada vez que infectan un sistema, de esta manera
parece siempre un virus distinto y es ms difcil que puedan ser detectados por
un programa antivirus.

Pero existe un fallo en est tcnica, y es que un virus no puede codificarse por
completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta
rutina la que buscan los antivirus para la deteccin del virus.

VIRUS ESTATICOS

Tipo de virus ms antiguos y poco frecuentes.

Su medio de propagacin es a travs de programas ejecutables.

Su forma de actuar es sencilla.

Cuando abrimos un archivo infectado, el virus toma el control y contamina otro

archivo que no este todava infectado.

Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.

No permanecen en memoria ms que el tiempo necesario para infectar uno o

varios archivos.

Pueden ser virus destructivos en el caso de que sobrescriban la informacin del

programa principal con su cdigo de manera irreversible.

A veces bloquean el control del sistema operativo, sobrescribindolo.

VIRUS RESIDENTES

Virus que permanecen indefinidamente en memoria incluso despus de haber

finalizado el programa portador del virus.

Una vez ejecutado el programa portador del virus, ste pasa a la memoria del
computador y se queda all hasta que apaguemos el ordenador. Mientras tanto
va infectando todos aquellos programas ejecutables que utilicemos.

VIRUS DESTRUCTIVOS

Microprogramas muy peligrosos para la integridad de nuestro sistema y

nuestros datos.

Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco

duro.

Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestin de

segundos inutilizan los datos del disco duro.

VIRUS BIPARTIDOS

Es un virus poco frecuente.

Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su cdigo

(el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero
puede haber otra versin del mismo virus que incorpore ese algoritmo. Si
ambos virus coinciden en nuestro computador, y se unen en uno slo, se
convierten en un virus destructivo.

VIRUS COMPAEROS

Son los virus ms sencillos de hacer.

Cuando en un mismo directorio existen dos programas ejecutables con el

mismo nombre pero uno con extensin .COM y el otro con extensin .EXE, el
MS-DOS carga primero el archivo con extensin .COM.

Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo
ejecutable de extensin .EXE. Primero se cargar en la memoria el archivo
.COM que contiene el virus. Despus el virus llamara al programa original.

El archivo infectado no podra ser visto con un simple comando DIR en C :\,
porque contiene el atributo de oculto.

VIRUS DE BOOT (SECTOR DE ARRANQUE)

Como su nombre lo indica, infecta el sector de arranque del disco duro.

Dicha infeccin se produce cuando se intenta cargar el sistema operativo

desde un disco infectado.

Infecta los diskettes o discos duros, alojndose en el boot sector.

Cuando se enciende el computador, lo primero que hace la BIOS es inicializar

todo (tarjetas de vdeo, unidades de disco, chequear memoria, entre otros).

Y entonces lee el primer sector del disco duro, colocndolo en la memoria.

Normalmente es un pequeo programa que se encarga de preparar al Sistema

Operativo.

Lo que hace este tipo de virus es sustituir el boot sector original por el
programa con el virus informtico para que se cargue en el Sistema Operativo.

Almacenando el boot sector original en otra parte del disco o simplemente lo

reemplaza en su totalidad.

Tambin localiza un sitio en el Disco Duro para guardar la antigua rutina que
haba en el BOOT.

AUTOREPLICABLES

Realizan funciones parecidas a los virus biolgicos. Ya que se autoreplican e

infectan los programas ejecutables que se encuentren en el disco.

Se activan en una fecha, hora programada, cada determinado tiempo,

contando a partir de su ltima ejecucin o simplemente al sentir que se les
trata de detectar.

ESQUEMA DE PROTECCIN

No son virus destructivos.

Se activan cuando se intenta copiar un archivo que est protegido contra

escritura.

Tambin se ejecutan cuando se intenta copiar softwares o programas.

VIRUS INFECTORES DE PROGRAMAS EJECUTABLES

La infeccin se produce al ejecutar el programa que contiene el virus, en ese

momento busca todos los programas cuyas extensiones sean .COM o .EXE.

Cuando un programa infectado est ejecutndose, el virus puede permanecer

residente en memoria e infectar cada programa que se ejecute.

Los virus de este tipo tienen dos formas de alojarse en el ejecutable.

Graban su cdigo de inicio al principio del archivo, realizando un salto para

ejecutar el programa bsico y regresar al programa infectado.

Sobrescribiendo en los sectores del disco, haciendo prcticamente imposible su

recuperacin, si no cuenta con los originales.

VIRUS INVISIBLES

Este tipo de virus intenta esconderse del Sistema Operativo mediante varias
tcnicas.

Pueden modificar el tamao del archivo infectado, para que no se note que se
le ha aadido un virus.

Pueden utilizar varias tcnicas para que no se les pueda encontrar en la

memoria del ordenador engaando a los antivirus.

Normalmente utilizan la tcnica de Stealth o Tunneling.

PROGRAMAS MALIGNOS

Son programas que deliberadamente borran archivos o software indicados por

sus autores eliminndose as mismo cuando terminan de destruir la
informacin.

Entre los principales programas malignos tenemos :

Bombas Lgicas

Bombas de Tiempo

Jokes

Gusanos

Caballos de Troya

Virus informticos
Bombas Lgicas y de Tiempo

Son programas ocultos en la memoria del sistema o en el disco, o en los

archivos de programas ejecutables con extensin .COM y .EXE.

Una Bomba de Tiempo se activa en una fecha, hora o ao determinado.

Puede formatear el disco duro.

El dao que las bombas de tiempo puedan causar depende de su autor.

Una Bomba Lgica se activa al darse una condicin especfica.

Tanto las bombas lgicas como las bombas de tiempo, aparentan el mal
funcionamiento del computador, hasta causar la prdida de la informacin.

Jokes

Son programas desarrollados con el objetivo de hacer bromas, de mal gusto,

ocasionando distraccin y molestias a los usuarios.

Simulan el comportamiento de Virus, constituyen Bombas Lgicas o de Tiempo.

Muestran en la pantalla mensajes extraos con la nica intencin de fastidiar al

usuario.

Gusanos

Es un programa que se autoreproduce.

No infecta otros programas como lo hara un virus, pero crea copias de l, las
cuales crean ms copias.

Son ms usados para atacar en grandes sistemas informticos mediante una

red de comunicaciones como Intranet o Internet, donde el gusano crear ms
copias rpidamente, obstruyendo el sistema.

Se propagan rpidamente en las computadoras.

Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad

de ste.

Caballos de Troya

Son aquellos programas que se introducen en el sistema bajo una apariencia

totalmente diferente a la de su objetivo final.

Se presentan como informacin perdida o basura sin ningn sentido.

Pero al cabo de un determinado tiempo y esperando la indicacin del

programa, se activan y comienzan a
ejecutarse.

Sus autores lo introducen en los programas ms utilizados o softwares ilegales

como por ejemplo :

Windows 95

No se autoreproducen.

Su misin es destruir toda la informacin que se encuentra en los discos.

TCNICAS DE VIRUS

Las tecnologas de software han evolucionado asombrosamente en los ltimos

tiempos al igual que las arquitecturas de hardware y continan hacindolo da
a da. De este avance no se podra dejar de mencionar la creacin de los virus
y sus programas antivirus, lo cual ha motivado que ahora se empleen nuevas
tcnicas y sofisticadas estrategias de programacin, con el objeto de lograr
especies ms dainas y menos detectables y por consiguiente los software
antivirus tienen que ser ms acuciosos y astutos.

El lenguaje de programacin por excelencia para desarrollar virus, es el

Assembler pues los denominados lenguajes de alto nivel como Turbo Pascal, C,
gestores de bases de datos, etc. han sido diseados para producir software
aplicativos. Una excepcin a la regla son los Macro Virus, tratados por separado
y los virus desarrollados en Java Scripts, Visual Basic Scripts y de Controles
Activex, a partir de 1999.

Estos hechos demuestran fehacientemente que no existe ningn impedimento

para que se puedan programar virus en lenguajes diferentes al assembler,
aunque con ninguno de ellos se podra generar las rdenes directas para tomar
control de las interrupciones, o saltar de un programa anfitrin (host) o
receptor, a otro en forma tan rpida y verstil.

El autor de virus por lo general vive muy de prisa y tal pareciera que adems
de haber incrementado sus conocimientos, ha analizado los errores cometidos
por los anteriores programadores de virus que han permitido que sus especies
virales sean fcilmente detectadas, y es por ello que sin dejar de lado las
formas tradicionales de programacin, ha creado adems sofisticadas rutinas y
nuevas metodologas.

Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus
conceptos y teoras y los autores de virus no solamente se han convertido en
ms creativos e ingeniosos, sino que continuarn apareciendo nuevas Tcnicas
de Programacin, aprovechando de la facilidad de propagacin de sus especies
virales, a causa del auge de Internet.

Algunas tcnicas y estrategias de programacin de virus:

INFECTOR RAPIDO

Un virus infector rpido es aquel que cuando est activo en la memoria infecta
no solamente a los programas cuando son ejecutados sino a aquellos que son
simplemente abiertos para ser ledos. Como resultado de esto sucede que al
ejecutar un explorador (scanner) o un verificador de la integridad (integrity
checker), por ejemplo, puede dar como resultado que todos o por lo menos
gran parte de los programas sean infectados.

Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo
ejecutable en forma muy rpida, empezando preferentemente con el
COMMAND.COM y ubicndose en clusters vacios detrs de un comando interno,
por ejemplo DIR, de tal modo que no solamente no incrementa el tamao del
archivo infectado sino que adems su presencia es inadvertible.

Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM
ste no es infectado, en cambio sus archivos relacionados tales como OVL o
DBF's son alterados. Si bajo esta tcnica se ha decidido atacar a las reas del
sistema el cdigo viral reemplaza a los 512 bytes del sector de arranque y
envia el sector original a otra posicin en el disco, pero a su vez emular al
verdadero, y al ser un "clon" de boot le le ser muy fcil infectar a la FAT y al
Master Boot Record o a la Tabla de Particiones, imposibilitando el acceso al
disco.

INFECTOR LENTO

El trmino de infector lento se refiere a un virus que solamente infecta a los

archivos en la medida que stos son ejecutados, modificados o creados, pero
con una salvedad: puede emplear tambin parte de la tcnica del infector
rpido pero sin la instruccin de alteracin o dao inmediato al abrirse un
archivo. Con la interrupcin 1Ch del TIMER su autor programa una fecha, la
misma que puede ser especfica o aleatoria (ramdom) para manifestarse.

Mientras tanto el virus permanece inactivo y encriptado en el archivo o rea

afectada esperando su tiempo de activacin. Los virus del tipo "infector lento"
suelen emplear rutinas de anti-deteccin sumamente eficientes, algunas de las
cuales inhabilitan a las vacunas de los antivirus mas conocidos.

Existen muchsimos software Utilitarios u otras herramientas Tools), que se

obtienen en forma gratutita por Internet, que muestran las interrupciones que
usan las vacunas al cargarse en memoria. Una vez conocidos estos IRQ's
resultar muy fcil para un desarrollador de virus encontrar la forma de
deshabilitar o saltear el control de ciertas vacunas.

ESTRATEGIA PARSE

Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por
ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta
nicamente a los archivos de menor extensin y al infectarlos en forma
ocasional se minimiza la posibilidad de descubrirlo fcilmente.

Por otro lado, el contador de ejecuciones de los archivos infectados con virus
que emplea esta modalidad, tiene por lo general ms de una rutina de auto
encriptamiento.

La tcnica "parse" no es tan comunmente usada, pero sus efectos y estragos

son muy lamentables.

MODALIDAD COMPANION (acompaante)

Modalidad Companion (acompaante) es aquella por la cual el virus en lugar de

modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo
nombre, el cual es inadvertido por el usuario. Resulta poco menos que
imposible que alguien recuerde el nombre de todos los archivos de los subdirectorios de su disco duro.

Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, ste invoca al

conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de
tal modo que ste es ejecutado en primer lugar, por ser un archivo COM de una
sla imgen (mximo 64k) y puede arrastrar el cdigo viral sin que el usuario
se percate. Y as continuar hacindolo. Mas an, los verificadores de
integridad (integrity checkers) fallarn en la accin de detectar este tipo de
virus ya que stos utilitarios solo buscan los archivos existentes.

Debido a que sta no es una tcnica frecuentemente empleada, algunos

investigadores de virus denominan a los virus ANEXADOS, como virus
COMPANION, que a nuestro criterio no es su exacto concepto y clasificacin.

ESTILO ARMORED

Tambin conocido como virus blindado, es una forma muy peculiar de

programacin, donde el autor programa una serie de rutinas que usa como
cubiertas o escudos (shells), en el archivo que contiene el virus, para que ste
no pueda ser fcilmente "rastreado" y mucho menos desensamblado.

Pueden ser una o ms rutinas de encriptamiento, sobrepuestas unas sobre

otras. Se les conoce tambin como "virus anti-debuggers". El Dark Avenger,
producido en Bulgaria en 1987 fu el primer virus que us conjuntamente las
tecnologas ARMORED y STEALTH. En Junio del 2000 se report el gusano
VBS/Stages.SHS, el primer virus oculto propagado masivamente a travs de
mensajes de correo electrnico en Internet.

TECNICA STEALTH

Un virus "stealth" es aquel que cuando est activado esconde las

modificaciones hechas a los archivos o al sector de arranque que estn
infectados. Esta tcnica hace uso de todos los medios posibles para que la
presencia del virus pase totalmente desapercibida, anulan efectos tales como
el tamao de los archivos, los cambios de la fecha, hora o atributo, hasta el
decremento de la memoria RAM. Un ejemplo simple lo constituye el primer
virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O
(entrada y salida) y redireccionando cualquier intento de leer este sector
infectado.

Cuando un virus "Stealth" est activo en memoria cualquiera de estos cambios

pasarn desapercibidos al realizar un DIR, por ejemplo, ya que el virus habr
tomado control de todo el sistema. Para lograr este efecto, sus creadores usan
la interrupcin 21h funcin 57h.

Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de

virus y con la proteccin contra escritura, al efectuar la misma orden DIR se
detectarn los cambios causados a los archivos infectados. Un virus de boot
programado con esta tcnica reemplaza perfectamente al verdadero sector de
arranque, que tiene apenas 512 bytes y al cual mueve hacia otro lugar del
disco pero que con una instruccin de salto vuelve otra vez a utilizarlo.

Hoy da es posible crear virus con la tcnica Stealth, en cualquier lenguaje de

programacin, adems del Assembler.

VIRUS POLIMORFICOS (mutantes)

Son quizs los ms difciles de detectar y en consecuencia de eliminar. Sus

valores en la programacin van cambiando secuencialmente cada vez que se
autoencriptan, de tal forma que sus cadenas no son las mismas. El virus
polimrfico produce varias, pero diferentes copias de s mismo, manteniendo
operativo su microcdigo viral.

Un fcil mtodo de evadir a los detectores consiste en producir rutinas auto

encriptadoras pero con una "llave variable". La tcnica polimrfica o "mutante"
es muy sofisticada y demanda mucho conocimiento, ingenio y trabajo de
programacin tal como se puede apreciar en el cdigo fuente del virus DARK
AVENGER.

Sin embargo existe uno de los ms ingeniosos generadores automticos de

virus, llamado "Mutation Engine" (distribuido gratuitamente en Internet), que
emplea un polimorfismo en la forma de mdulo objeto. Con este generador
cualquier virus puede convertirse en polimrfico al agregarle ciertas llamadas a
su cdigo assembler y "enlazndolas" al Mutation Engine, por medio de un
generador de nmeros aleatorios.

Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier
rea vital del sistema, especialmente el MBR, ya sea individualmente, en forma
combinada o en su totalidad. Este estilo de programacin tambin emplea el
control de memoria dinmica as como algoritmos de compresin y
descompresin de datos.

FUNCION DESACTIVADORA o TUNNELING

Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este
modo cualquier actividad de monitoreo de las vacunas antivirus. Aunque no
existen, por ahora, gran cantidad de estas especies virales, existe la tendencia
a incrementarse, habindose descubierto virus que usan originales artimaas
para infectar a un sistema sin ser descubiertos. Mencionaremos el caso
particular del blgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno
CPW Arica.

Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's
ocupados por las vacunas logrando desactivarlas para acceder directamente a
los servicios del DOS y del BIOS tomando absoluto control del sistema y sin
restriccin alguna.

Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV
de Microsoft y otros antivirus son muy conocidas por los creadores de virus.

Las especies virales tipo "tunneling" emplean estas rutinas para saltear y
sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo,
algunos antivirus suelen utilizar esta tcnica en su necesidad de "by-pasear"
un virus nuevo y desconocido que podra estar activo cuando se est
explorando un sistema.

PROGRAMADORES DEL PPI

La mayora de virus "musicales" y los que afectan a los perifricos pertenecen

a esta categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya
sea una tarjeta de sonido, un mdem o CD-ROM por ejemplo, el software
instalador de cada uno de stos se encarga de programar automticamente el
PPI (Interfase Programable de Perifricos) definiendo un canal DMA (acceso
directo a memoria) y un IRQ (interrupt request), los cuales son asignados para
ser usados especficamente por cada perifrico, para evitar que tengan
conflictos con otros ya existentes.

Programar el PPI por medio del lenguaje assembler es relativamente fcil y si a

esta programacin se le incluye la funcin correspondiente al TIMER y
caracteres de sonido, se estar creando un virus "musical". Del mismo modo,
pero con otras instrucciones se podr afectar a las impresoras, tarjetas de
sonido, de redes o mdems, provocando diferentes efectos o manifestaciones.

Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que
se pueden programar virus combinando cualquiera de las modalidades
explicadas en este mdulo.

VIRUS ANEXADO

El virus anexado (attached) no es una tcnica de programacin de virus, es una

nueva modalidad de difundirlo.

Con el incremento del intercambio de informacin por correo electrnico, a

causa de la gran demanda de uso de los servicios de Internet, los
desarrolladores de virus han hallado una nueva forma de difundir sus
creaciones. Ella consiste en enviar un mesaje de correo con un archivo anexado
o adjunto, el cual al ser abierto ejecuta el virus con consecuencias de dao
inmediato a los sistemas de los usuarios, que por motivos de curiosidad
cometan el error de abrir estos archivos.

Para lograr este propsito de despertar la curiosidad innata en el ser humano,

los autores de esta modalidad de difusin emplean argumentos en el cuerpo
del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una
informacin muy interesante que te va a convenir", etc., etc.

Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato

ZIP, ejecutables EXE, en controles Activex de archivos HTML, Visual Basic
Scripts o archivos con extensin .SHS y si adems contienen instrucciones de
auto-enviarse a la Libreta de Direcciones del software de correo del usuario, su
propagacin tendr un efecto multiplicador.

Por eso es recomendable que cuando se reciba un mensaje de este tipo, de

orgen totalmente desconocido se evite aperturar el archivo adjunto y se
proceda a eliminarlo, asi como tambin el mensaje de orgen.

El virus Melissa, difundido en Marzo de 1999, as como el virus Papa son

muestras de esta modalidad de difusin y recientemente el ExploreZip, el
LoveLetter y el VBS/Stages, fueron causantes de serios estragos en cientos de
miles de sistemas en todo el mundo.

VIRUS EN JAVA

En 1991 Sun Microsystems, empez a desarrollar un proyecto de lenguaje, con

el cdigo GREEN, bajo la direccin de James Goslin, inicialmente con el
propsito de administrar y controlar interactivamente los dispositivos
conectados a las redes. Surgieron algunas situaciones frustrantes, pero por
suerte, en pocos aos se empez a popularizar Internet.

Entonces el proyecto se convirti en un intento de resolver simultneamente,

todos los problemas que se le planteaban a los desarrolladores de software por
la diversidad de arquitecturas incompatibles, los sistemas operativos y
lenguajes de programacin y la dificultad de crear aplicaciones distribuidas en
Internet.

Java fu inicialemente desarrollado en C++, pero paulatinamente se fu

independizando, escribiendo su propio lenguaje denominado Oak, que
finalmente termin convirtindose en Java. En 23 de Mayo de 1995 fu lanzado
al mercado el HotJava Browser, y ese mismo ao Netscape decidi habilitar a
Java en su versin 2.0 de 1996. Es a partir de esa oportunidad que Java
empez a popularirase en todo el mundo.

Las caractersticas mas importantes de Java son:

1. Es de arquitectura portable, neutral y robusta.

2. Es simple, orientada a objeto y muy verstil.

3. Es interpretado. El intrprete Java (system run-time) puede ejecutar

directamente el cdigo objeto.

Un Applet de Java es un programa dinmico e interactivo que puede ser

ejecutado dentro de un archivo HTML y mostrado por un navegador con
capacidad Java. Un programa Java puede ser ejecutado por s mismo. En todos
los casos, bajo una jerarqua de Clase, Sub-Clase o Super Clase.

Con todas estas caractersticas de un poderoso lenguaje, los creadores de virus

pensaron tambin en Java, como un medio para producir especies virales.
Debido a ciertas restricciones definidas en las propiedades de seguridad, tanto
de los sistemas operativos, as como de los navegadores, hasta la fecha
existen solamente 2 virus de Java notables:

Java.Beanhive

La tecnologa empleada en este virus tiene varias ventajas. La forma multicomponente de infeccin permite al virus esconder su cdigo en los archivos
infectados: su longitud crece en muy pequeos valores y despus de una ligera
observacin el cdigo insertado pareciera no ser daino.

La combinacin del llamado starter-main tambin le permite a su autor,

"actualizar" el virus con nuevas versiones al reemplazar el cdigo principal en
su servidor. Cabe mencionar que este virus o cualquier virus de Java se puede
propagar y reproducir en condiciones limitadas. La proteccin estndar de
seguridad de los navegadores cancela cualquier intento de acceder a las
unidades de disco o recoger (download) archivos como una aplicacin Java, an
en modo remoto.

Consecuentemente el virus puede ser propagado nicamente cuando es

ejecutado en un archivo de disco, como una aplicacin Java, al usar el Java
machine.

Detalles Tcnicos

El ejecutor del virus es un pequeo programa Java de apenas 40 lneas de

cdigo, que cuando toma el control de un sistema, se conecta al servidor WEB
remoto, enva (download) el cdigo del virus que es guardado en el archivo
BeanHive.class y se ejecuta como una sub-rutina. El cdigo viral est dividido
en 6 partes y es almacenado en 6 diferentes archivos Java:

BeanHive.class : bsqueda de archivos en un rbol de directorio

+--- e89a763c.class : analiza el formateo de archivo

|--- a98b34f2.class : acceso a las funciones del archivo

|--- be93a29f.class : preparacin para la infeccin (parte 1)

|--- c8f67b45.class : preparacin para la infeccin (parte 2)

+--- dc98e742.class : insertado del virus en el sistema infectado

Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo

el cdigo de inicio como una sub-rutina "loadClass" y agrega al archivo
constructor de cdigos, la invocacin para su sub-rutina loadClass "BeanHive".
El parmetro enviado "BeanHive" apunta al nombre del archivo remoto en el
servidor WEB y empieza la infeccin con su cdigo viral.

VIRUS EN VBS

Debido al auge de Internet los creadores de virus han encontrado una forma de
propagacin masiva y espectacular de sus creaciones a travs mensajes de
correo electrnico, que contienen archivos Visual Basic Scripts, anexados, los
cuales tienen la extensin .VBS

El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de

instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT
y 2000 este tipo de archivos dej de ser empleado y fu reemplazado por los
Visual Basic Scripts.

Un Visual Basic Script es un conjunto de instrucciones lgicas, ordenadas

secuencialmente para realizar una determinada accin al iniciar un sistema

operativo, al hacer un Login en un Servidor de Red, o al ejecutar una

aplicacin, almacenadas bajo un nombre de archivo y extensin adecuada.

Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo

Windows, Novell, etc. o por una aplicacin mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados

objetivos de dao y algunos simplemente usan las instrucciones Visual Basic
Scripts, como medios de propagacin. Asimismo, un VBS puede contener
instrucciones que afecten a los sistemas. Tambin es posible editar
instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la
extensin .VBS.

Actualmente existen 2 medios de mayor difusin de virus en VBS:

1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de

"victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la

comunicacin entre usuarios de Internet en "tiempo real', haciendo uso de
software especiales, llamados "clientes IRC" (tales como el mIRC, PIRCH,
Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas

canales IRC, pero es necesario que primero se conecte a un servidor chat, el
cual a su vez, est conectado a otros servidores similares, los cuales
conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las
operaciones de conexin, haciendo uso del comando /JOIN, para poder
conectarse a uno o mas canales.

Las conversaciones pueden ser pblicas (todo el canal visualiza lo que el

usuario digita) o privadas (comunicacin entre 2 personas).

Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor
chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un
denominado "bachero", que emplea comandos propios del protocolo IRC,

permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando

al usuario un entorno grafico amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infeccin. Usando el
comando SEND file, envan automticamente una copia del SCRIPT.INI a todas
las personas conectadas al canal chat, adems de otras instrucciones dentro
de un Visual Basic Script.

Este script que contiene el cdigo viral sobrescribe al original, en el sistema

remoto del usuario, logrando infectarlo, as como a todos los usuarios
conectados a la vez, en ese mismo canal.

Este tipo de propagacin de archivos infectados, se debe a la vulnerabilidad de

las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH,
antes de PIRCH98.

2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook.

Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel,

Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications,
que permiten invocar la ejecucin de determinadas instrucciones. En MS Word
y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque tambin
pueden editar instrucciones y comandos con el NotePad y archivarlo con la
extensin .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic

for Aplications, tienen un fcil y poderoso acceso a los recursos de otros
usuarios de MS Office. El mas afectado es la libreta de direcciones de MS
Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de
re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los
nombres de la libreta de direcciones del sistema de usuario infectado.

Estas infecciones tambin se reproducen entre todos los usuarios de una red,
una vez que uno de sus usuarios ha sido infectado.

VIRUS EN .SHS

La ltima modalidad de propagacin masiva de virus, a travs de Internet ha

surgido a partir de la creacin de un gusano denominado VBS/Stages.SHS, el
mismo que ya tiene algunas variantes,

VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaa a

los usuarios al mostrarse como un archivo normal de texto
(LIFE_STAGES.TXT.SHS), pero con la extensin .SHS

Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto
Basura).

Un archivo copiado dentro de un documento abierto de Microsoft Office, y

luego copiado y empastado sobre el Windows Desktop crea un archivo "Scrap"
con la extensin .SHS. Los archivos Scrap fueron creados desde la primera
versin de Windows 95, para permitir que los textos y grficos puedan ser
arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft
Office.

Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin
y ejecutar el programa que contiene en forma oculta, al hacerle un doble
click. Cuando es distribuido a travs del correo electrnico, transferido como
mensaje dentro de la Red u otro medio basado en la Web, la extensin .SHS se
hace visible, pero una vez que es grabado al disco duro, desaparecer otra vez.

Al tener estas caractersticas, puede ocultar archivos ejecutables, mayormente

usados como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.

Con esta nueva modalidad de propagacin se facilita e incrementa el factor de

riesgo de infeccin de virus entre los usuarios de Internet, quienes a su vez
infectarn a los que se conecten sus estaciones de trabajo, dentro de redes
locales o Intranets.

QUE ES UNA MUTACION ?

Se conoce con el nombre de mutacin a la alteracin intencional o accidental

de un virus informtico que ya fue creado con anterioridad.Virus informticos

Decimos que es una mutacin accidentada cuando son ocasionadas por

programadores que buscan la eliminacin de estos virus, provocando en sus
investigaciones variaciones en el cdigo original del virus, dando lugar a
nuevas versiones del mismo virus.

Pero tambin hay mutaciones intencionales cuando los programadores solo

buscan causar daos perjudiciales a las computadoras, haciendo que estos
virus se vuelvan cada vez ms peligrosos.

SINTOMAS DE UN EQUIPO INFECTADO

Del procedimiento de Deteccin

El Procedimiento de Deteccin de los virus informticos debe garantizar que la

posible existencia de un virus en un medio magntico u ptico no ingrese
directamente al Sistema.

Para ello, el programa de deteccin de virus debe ser instalado en la memoria,

a fin de que permanentemente se controle cualquier medio de
almacenamiento que sea utilizado con el equipo de cmputo.

Se consideran medios de infeccin por virus a los siguientes :

De un diskette infectado proveniente de una fuente exterior al equipo de

cmputo.

A travs de la adquisicin o movimiento de mquinas infectadas en el centro

de cmputo.

A travs de los diferentes tipos de comunicacin entre equipos de cmputo.

Cuando un Sistema Operativo est infectado, se presenta cualquiera de los

siguientes sntomas :

El cargado de los programas toma ms tiempo de lo normal.

Demora excesiva en los accesos al disco, cuando se efectan operaciones

sencillas de escritura.

Se producen inusuales mensajes de errores.

Se encienden las luces de acceso a los dispositivos, cuando no son requeridos

en ese momento.

Disposicin de menos memoria de lo normal.

Desaparecen programas o archivos misteriosamente.

Se reduce repentinamente el espacio del disco.

Los archivos ejecutables cambian de tamao.

Aparecen, inexplicablemente, algunos archivos escondidos.

Aparece en la pantalla una serie de caracteres especiales sin ninguna

explicacin lgica.

Algunos comandos no pueden ser ejecutados, principalmente los archivos con

extensin .COM y .EXE.

A veces infectan primero el COMMAND.COM, pero como su funcin es la de

seguir infectando ste continuar operando.

La razn por la que ciertos ejecutables no pueden ser activados se debe a que
simplemente el virus puede haberlos borrado.

Al prender el equipo no se puede accesar al disco duro, esto es debido a que el

virus ya malogr el comando COMMAND.COM y se muestra el siguiente
mensaje :

<>"bad or missing command interpreter"

Los archivos ejecutables de los gestores de bases de datos como dBase,

Clipper, FoxPro, etc., estn operativos, sin embargo la estructura de los
archivos DBF estn averiados o cambiados. Lo mismo puede ocurrir con las
hojas de clculo como Lotus 1-2-3, Q-Pro, Excel, etc.

El sistema empieza a colgarse. Puede ser un virus con la orden de provocar

reseteos aleatorios.

Cierto perifricos tales como : la impresora, mdem, tarjeta de sonido, entre

otros no funcionan.

El sistema no carga normalmente o se interrumpe en los procesos.

Los archivos ejecutables seguirn existiendo pero como el cdigo del virus est
presente en la mayora de los casos aumentar el tamao de los archivos
infectados.

La pantalla muestra smbolos ASCII muy raros comnmente conocidos como

basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas
teclas.

COMO PREVENIR LOS VIRUS INFORMATICOS

Control de la Informacin Ingresada :

No deben utilizarse diskettes usados, provenientes del exterior de la

Institucin.

Utilizar siempre software comercial original.

Mantener la proteccin de escritura en todos los discos de programas

originales y de las copias de seguridad

En especial de los discos del sistema operativo y de las herramientas antivirus.

Si por razones de trabajo fuera necesario la utilizacin de un medio magntico

u ptico venido del exterior, ste deber necesariamente pasar por los
controles siguientes :

Identificar el medio de almacenamiento que contiene la informacin. Los

medios magnticos u pticos de almacenamiento(diskettes, cintas, cartuchos,
discos u otros) que contienen archivos de informacin, deben estar
debidamente etiquetados, tanto interna como externamente.

Chequear el medio magntico u ptico, mediante un procedimiento de

deteccin de virus, establecido por el organismo competente de la Institucin.

Registrar el medio magntico u ptico, su origen y la persona que lo porta.

Los medios de deteccin de virus deben ser actualizados mensualmente, de

acuerdo a las nuevas versiones de los detectores de virus que adquiera la
Institucin. Deber utilizarse programas antivirus originales.

Del Personal Usuario de las Computadoras :

El personal que tiene acceso a las computadoras en forma monousuaria,

deber encargarse de detectar y eliminar en los medios magnticos u pticos,
la infeccin o contagio con virus. A tal efecto, utilizar los procedimientos
establecidos por el rgano competente de la Institucin.

Este personal es responsable del control de los medios magnticos u pticos

venidos del exterior as como de la posible introduccin de virus en el equipo
de computo.

Las computadoras conectadas a una Red, preferentemente, no debern tener

unidades de diskettes, a fin de prevenir la infeccin de virus informticos. El
uso de los diskettes deber ser efectuado por el administrador de red.

Otras Medidas de Prevencin Contra Virus :

Semanalmente deber efectuarse un respaldo de toda la informacin til que

se encuentra almacenada en el disco duro.

Dicha actividad ser realizada por el responsable designado para este fin.

En caso de que se labore en red o en modo multiusuario, el administrador de la

red har un respaldo diario de la informacin til del disco.

Por ningn motivo debe usarse los servidores de red como estaciones de
trabajo.

Slo los archivos de datos y no los programas ejecutables debern ser copiados
de una computadora a otra.

Todo diskette debe, normalmente, estar protegido contra escritura para evitar
su posible infeccin al momento de la lectura.

El Sistema debe cargarse desde un diskette que sea original, o en su defecto

desde una copia, especialmente preparada y verificada para que no contenga
virus informticos.

Nunca se debe de ejecutar programas de origen desconocidos.

No se debe aadir archivos de datos o programas a diskettes que contienen

programas originales.

Efectuar peridicamente la depuracin de archivos en los discos duros de la

computadora.

11. DAOS DE LOS VIRUS.

Definiremos dao como accin una indeseada, y los clasificaremos segn la

cantidad de tiempo necesaria para reparar dichos daos. Existen seis
categoras de daos hechos por los virus, de acuerdo a la gravedad.

DAOS TRIVIALES.

Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el
da 18 de cada mes cualquier tecla que presionemos hace sonar el beep.
Deshacerse del virus implica, generalmente, segundos o minutos.

DAOS MENORES.

Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar despus de que el virus
haya infectado la memoria residente. En el peor de los casos, tendremos que
reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos.

DAOS MODERADOS.

Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT

(File Allocation Table, Tabla de Ubicacin de Archivos), o sobrescribe el disco
rgido. En este caso, sabremos inmediatamente qu es lo que est sucediendo,
y podremos reinstalar el sistema operativo y utilizar el ltimo backup. Esto
quizs nos lleve una hora.

DAOS MAYORES.

Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de

pasar desapercibidos, pueden lograr que ni an restaurando un backup
volvamos al ltimo estado de los datos. Un ejemplo de esto es el virus DARK
AVENGER, que infecta archivos y acumula la cantidad de infecciones que
realiz. Cuando este contador llega a 16, elige un sector del disco al azar y en
l escribe la frase: "Eddie lives somewhere in time" (Eddie vive en algn
lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero
el da en que detectemos la presencia del virus y queramos restaurar el ltimo
backup notaremos que tambin l contiene sectores con la frase, y tambin los
backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que
muy probablemente hayamos perdido una gran cantidad de archivos que
fueron creados con posterioridad a ese backup.

DAOS SEVEROS.

Los daos severos son hechos cuando un virus realiza cambios mnimos,
graduales y progresivos. No sabemos cundo los datos son correctos o han
cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es
decir, no podemos buscar la frase Eddie lives ...).

DAOS ILIMITADOS.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros,

obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe
aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un

nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la
clave. El dao es entonces realizado por la tercera persona, quien ingresar al
sistema y hara lo que quisiera.

LOS MACRO VIRUS

los macro virus, son las especies virales que rompieron los esquemas de
programacin y ejecucin de los virus tradicionales

Los macro virus son una nueva familia de virus que infectan documentos y
hojas de clculo. Fueron reportados a partir de 1995, cambiando el concepto
que los virus tan slo podan infectar o propagarse a travs de archivos
ejecutables.

Los daos que ocasionan estos virus depende de sus autores siendo capaz
desde cambiar la configuracin del Windows, borrar archivos de nuestro disco
duro, enviar por correo cualquier archivo que no nos demos cuenta, mandar a
imprimir documentos inesperadamente, guardar los documentos como
plantillas, entre otros.

Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.

CARACTERISTICAS DE LOS MACRO VIRUS :

Los macro virus tienen 2 caractersticas bsicas :

Infectan nicamente documentos de MS-Word o Ami Pro y hojas de clculo

Excel.

Poseen la capacidad de infectar y propagarse por s mismos.

Los macro virus, no pueden grabar los documentos infectados en ningn otro
formato que no sean las plantillas, el archivo es convertido a plantilla y tiende
a no permitir grabar el archivo o documento en ningn otro directorio, usando
el comando SAVE AS.

Estos son algunos de los virus ms conocidos que afectan a las macros :

CAP : Es un conjunto de diez macros encriptados (el usuario infectado no puede

verlos ni editarlos), muestra el siguiente texto en la pantalla :

C.A.P : Un virus social...Y ahora digital...

"j4cKy Qw3rTy" (jqw3rty@hotmail.com)
Venezuela, Maracay, Dic 1996

PD : Que haces gochito ? Nunca sers Simn Bolvar...Bolsa !

Cuando infecta el Word, el virus modifica cinco mens existentes,

redireccionndolos al cdigo del virus. Los problemas que crea son diferentes,
dependiendo del tipo de instalacin y el lenguaje del Word que este en uso. Al
infectar los documentos, borra todos los macros preexistentes, pero no tiene
un efecto destructivo en s mismo. Oculta en el men de Herramientas la
opcin Macros.

WM.CONCEPT : Es un macro virus MS-Word que usa cinco macros para infectar,
y propagarse. Los macros se llaman :

AAAZAO, AAAZFS, AutoOpen, FileSavesAs, Payload.

WAZZU : Es un macro virus que infecta documentos de Microsoft Word para

Windows, solo contiene la macro Autoopen. Cuando un documento es abierto el
virus genera un nmero aleatorio mayor a 0 y menor a 1. Si este nmero es
menor que 0.2, el virus mueve la palabra a otro lugar al azar, dentro del mismo
documento, si el nmero es menor que 0.25, el virus insertar la palabra :

"wazzu"

MDMA : Es un virus que borra archivos especficos de Windows 95, haciendo

uso de la macro AutoClose, o el FORMAT.C, el virus dentro de la macro
AutoOpen ordena formatear el disco duro.

XM.LAROUX :Es el primer macro virus funcional en EXCEL, descubierto en julio

de 1996. El cdigo del macro consiste de dos macros llamados : Auto_Open y
Check_Files. Los macros son almacenados en una hoja de datos escondida,
llamada Laroux.

XM.SOFA : Descubierto en diciembre de 1996, se propaga por medio de un

archivo llamado BOOK.XLT. Este virus contiene cuatro macros :

Auto_Open, Auto_Range, Current_Open y Auto_Close.

Cuando se abre un archivo infectado, el virus toma el control y cambia el ttulo

arriba de la ventana a Microsofa Excel en lugar de Microsoft Excel.

METODO DE INFECCION Y EFECTOS DE LOS MACRO VIRUS

INFECCIN

Cuando un documento es abierto por primera vez, la aplicacin (Word, Excel,

etc.) buscan la presencia del macro AutoOpen, si lo encuentra y la variable
global DisableAutoMacros no est seleccionada, entonces Word o Excel
automticamente ejecutan el macro AutoOpen (sin notificar nada al usuario). Al
igual sucede cuando se cierra la aplicacin, se ejecuta la macro AutoClose si
est presente.

En Word, los macros son guardados en archivos denominados "plantillas", as

que durante una infeccin, los macro virus son capaces de convertir los
documentos a plantillas y copiarse en ellos.

Al momento de ser infectado, los datos son mezclados con cdigo ejecutable,
que normalmente estn escondidos a la vista del usuario. Entonces cuando se
vea el documento, este estar infectado, se podr trabajar normalmente pero
la plantilla con virus seguir infectando documentos y las macros que utilice.

Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automticamente al final de cada sesin de trabajo.

EFECTOS

Una vez que se infecta un documento u hoja de clculo, los macro virus son
capaces de aduearse de las funciones de la aplicacin, evitando por ejemplo,
que el usuario guarde la informacin que ha estado escribiendo por minutos u
horas, no se puede mandar a imprimir, entre otros.

En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que

es la que el usuario utiliza para crear archivos nuevos. Cuando abramos un
archivo o lo guardemos, estaremos infectando los documentos. En Excel ocurre
algo similar con el archivo Personal.XLS. En el men de la Barra de
Herramientas desaparece la opcin Macros.

Los macros virus ms conocidos actualmente son de documentos de Microsoft

Word.

Los macros son un conjunto de instrucciones y comandos. El lenguaje de

macros, es una herramienta poderosa, nos permite ejecutar tareas como por
ejemplo : copiar archivos, ejecutar programas, cambiar archivos, etc.

ELIMINACION DE UN MACRO VIRUS MANUALMENTE.

El documento infectado se convierte en plantilla.

En el men de herramientas el virus oculta la opcin "Macros".

Para descubrirlo :

Men "Ver" se escoge la opcin "Barra de Herramientas"

Virus informticos

Se pulsa el botn "personalizar".

Virus informticos

Se escoge la opcin "Herramientas", despus "Men" y por ltimo "Lista de

Macros"

Virus informticos

Se pulsa el botn "Agregar".

Abrimos el men "Herramientas", hacemos click en la opcin Macros, luego la

opcin Normal.dot, ah observaremos las macros del virus.

Virus informticos

Virus informticos

Crear un nuevo directorio de archivos.

Abrir el documento infectado.

Seleccionar el documento y en el men "Edicin", darle la opcin copiar.

Abrir el Word Pad o el Write y en el men "Edicin" escoger la opcin "Pegar".

Guardar el documento en el directorio previamente creado.

Repetir todos los pasos anteriores con los documentos infectados.

Eliminar todos los documentos infectados.

Borrar la plantilla "Normal.dot".

Virus informticos

ANTIVIRUS

QU ES UN ANTIVIRUS?.

No para toda enfermedad existe cura, como tampoco existe una forma de
erradicar todos y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo

programa, slo funcionar correctamente si es adecuado y est bien
configurado. Adems, un antivirus es una herramienta para el usuario y no slo
no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin
total ni definitiva.

La funcin de un programa antivirus es detectar, de alguna manera, la

presencia o el accionar de un virus informtico en una computadora.

Este es el aspecto ms importante de un antivirus, independientemente de las

prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la
posible presencia de un virus informtico, detener el trabajo y tomar las
medidas necesarias, es suficiente para acotar un buen porcentaje de los daos
posibles. Adicionalmente, un antivirus puede dar la opcin de erradicar un virus
informtico de una entidad infectada.

LOS ANTIVIRUS INFORMATICOS

Un antivirus es cualquier metodologa, programa o sistema para prevenir la

activacin de los virus, su propagacin y contagio dentro de un sistema y su

inmediata eliminacin y la reconstruccin de archivos o de reas afectadas por

los virus informticos.

Los antivirus permiten la deteccin y eliminacin de virus. Un virus es

identificado mediante una cadena del antivirus que busca, encuentra y elimina
los distintos virus informticos.

El software antivirus contrarresta de varias maneras los efectos de los virus

informticos para detectarlos. La mayora de las soluciones se basan en tres
componentes para la deteccin : exploracin de acceso, exploracin requerida,
y suma de comprobacin.

La exploracin de acceso : Inicia automticamente una exploracin de virus,

cuando se accede a un archivo, es decir al introducir un disco, copiar archivos,
ejecutar un programa, etc.

La exploracin requerida : El usuario inicia la exploracin de virus. Las

exploraciones se pueden ejecutar inmediatamente, en un directorio o volumen
determinado.

La suma de comprobacin o comprobacin de integridad : Mtodo por el que

un producto antivirus determina si se ha modificado un archivo.

Como el cdigo vrico se une fsicamente a otro archivo, se puede determinar

tal modificacin guardando la informacin del archivo antes de la infeccin.

La suma de comprobacin es generalmente exacta y no necesita

actualizaciones. Sin embargo la suma de comprobacin no proporciona ni el
nombre, ni el tipo de virus.

Los programas antivirus se componen fundamentalmente de dos partes : un

programa que rastrea (SCAN), si en los dispositivos de almacenamiento se
encuentra alojado algn virus, y otro programa que desinfecta (CLEAN) a la
computadora del virus detectado.

TIPOS DE ANTIVIRUS

Antivirus Detectores o Rastreadores : Son aquellos antivirus que usan tcnicas

de bsqueda y deteccin explorando o rastreando todo el sistema en busca de
un virus. Estos programas se utilizan para detectar virus que pueden estar en
la memoria, en el sector de arranque del disco duro, en la zona de particin del
disco y en algunos programas. Dependiendo de la forma de analizar los
archivos los podemos clasificar a su vez en antivirus de patrn y heurstico.

Antivirus de Patrn : Realizan el anlisis de los archivos por medio de la

bsqueda en el archivo de una cualidad particular de los virus. Existen antivirus
especficos para un determinado virus, conociendo su forma de atacar y actuar.

Antivirus Heurstico : Este antivirus busca situaciones sospechosas en los

programas, simulando la ejecucin y observando el comportamiento del
programa.

Limpiadores o Eliminadores : Una vez desactivada la estructura del virus

procede a eliminar o erradicar el virus de un archivo, del sector de arranque de
un disco, en la zona de particin de un disco y en algunos programas.

Estos antivirus deben tener una base de datos con informacin de cada virus
para saber que mtodo de desinfeccin deben usar para eliminar el virus.

Dependiendo de los efectos de la especie viral proceder a reconstruir las

partes afectadas por el virus informtico.

Protectores o Inmunizadores: Es un programa para prevenir la contaminacin

de virus, estos programas no son muy usados porque utilizan mucha memoria
y disminuyen la velocidad de la ejecucin de algunos programas y hasta del
computador.

Residentes: Permanecen en memoria para el reconocimiento de un virus desde

que es ejecutado. Cada vez que cargamos un programa, el antivirus lo analiza
para verificar si el archivo esta infectado o no, con algn virus informtico.

TECNICAS DE LOS ANTIVIRUS

Escaneo de Firmas : La mayora de los programas antivirus utilizan esta

tcnica. Revisan los programas para localizar una secuencia de instrucciones
que son nicas de los virus.

Chequeo de Integridad: Utilizan el Chequeo de Redundancia Cclica (CRC), es

decir toman las instrucciones de un programa como si fuesen datos y se hace
un clculo, se graban en un archivo los resultados, y luego se revisa si el
programa fu modificado o alterado.

Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas, por

ejemplo cuando un programa pide cargarse en memoria y permanecer
residente, alterar el rea de arranque o modificar un archivo de algn
programa. Esta tcnica funciona residente en memoria supervisando
continuamente cuando se ejecuta un programa, entonces intercepta los
llamados a funciones sospechosas.

Anlisis Heurstico : Analiza cada programa sospechoso sin ejecutar sus

instrucciones, lo que hace es desensamblar el cdigo de mquina para saber
que hara el programa si se ejecuta. Avisa al usuario si el programa tiene
instrucciones para hacer algo raro en un programa normal, pero que es comn
en los virus, puede revisar varios o todos los programas de un disco, e indica
que puede suceder algo raro cuando se ejecute el programa.

ANTIVIRUS INTERNACIONALES

La primera generacin de antivirus eran vacunas TSR o eliminadores para cada

especie de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP
para el Brain, MBSTOP para el Marihuana, los cuales deban instalarse en el
Autoexec.bat para poder proteger el sistema contra estos virus. Cuando la
programacin de virus aument se volvi imposible ubicar las diferentes
vacunas residentes en la memoria y ello motiv la generacin de los softwares
antivirus.

Uno de los primeros programas antivirus fueron : FLU-SHOT, VPROTECT y

VIRUSCAN.

Actualmente existen muchos programas antivirus, con diversos estilos de

programacin nombres como el Dr. SOLOMONS Toolkit de Alan Solomon,
NORTON ANTIVIRUS de Symantec, CPAV de Central Point, F-PROT de Fridrik
Skulason, VIRUSSCAN de McAfee entre otros.

A continuacin algunos antivirus extranjeros y sus caractersticas :

TBAV : THUNDERBYTE ANTIVIRUS

El Thunderbyte Antivirus provee : Deteccin por firmas (TbScan), chequeo de

integridad por clculo (TbSetup y TbScan), bloqueo de instrucciones
sospechosas (TbMem, TbFile y TbDisk).

F-PROT ANTIVIRUS

Brinda deteccin de virus por firmas y deteccin heurstica de instrucciones

sospechosas.

ANTIVIRUS ANYWARE

Proteccin permanente, reconoce y elimina ms de 11,400 virus, incluyendo los

macro virus. Detecta virus no conocidos mediante el mtodo heurstico, analiza
los archivos comprimidos.

VIRUSSCAN DE MCAFEE

Fcil de instalar no ocupa mucha memoria, tiene una grande base de datos,
incluyendo los virus macros, permanece en memoria, se actualiza
constantemente por Internet.

Entre otros antivirus extranjeros tenemos :

Cheyenne Antivirus

Forefront Antivirus

IBM Antivirus

Pc-Cillin II

Panda Software

ANTIVIRUS NACIONALES

THE HACKER

Hacksoft es una empresa peruana dedicada al desarrollo de software de

seguridad de datos.

La empresa tiene un prestigio ganado por su producto THE HACKER, el cual

protege, detecta y elimina a virus informticos, esta empresa tambin brinda el
servicio de asesoramiento y recuperacin de la informacin.

Las primeras investigaciones en el rea se inician a finales de 1,990 la primera

versin del antivirus THE HACKER es emitida en agosto de 1,992.

PER ANTIVIRUS

Virus informticos

En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el
desarrollo de software aplicativo para PCs, haciendo uso en primera instancia
del Lenguaje BASIC, luego del Quick BASIC y posteriormente del Turbo Pascal.

En 1,985, inicia sus investigaciones sobre los virus informticos debido a la

aparicin en Lima y rpida propagacin de los virus (c) Brain y Bouncing Ball
(Bolita Saltarina), concibiendo as el antivirus PER cumpliendo con las
expectativas de los usuarios de esa poca, desarrollando permanentemente
estudios de investigacin como aporte empresarial para la deteccin,
eliminacin y prevencin de virus a las diferentes Instituciones y Entidades
Pblicas como a usuarios.

CONCLUSIONES GENERALES

En razn de lo expresado pueden extraerse algunos conceptos que pueden

considerarse necesarios para tener en cuenta en materia de virus informticos:

No todo lo que afecte el normal funcionamiento de una computadora es un

virus.

TODO virus es un programa y, como tal, debe ser ejecutado para activarse.

Es imprescindible contar con herramientas de deteccin y desinfeccin.

NINGN sistema de seguridad es 100% seguro. Por eso todo usuario de

computadoras debera tratar de implementar estrategias de seguridad
antivirus, no slo para proteger su propia informacin sino para no convertirse
en un agente de dispersin de algo que puede producir daos graves e
indiscriminados.

Para implementar tales estrategias deberan tenerse a mano los siguientes

elementos:

UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y LIBRE DE VIRUS: Un

disco que contenga el sistema operativo ejecutable (es decir, que la mquina
pueda ser arrancada desde este disco) con proteccin contra escritura y que

contenga, por lo menos, los siguientes comandos: FORMAT, FDISK, MEM y

CHKDSK (o SCANDISK en versiones recientes del MS-DOS).

POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO: Se puede considerar

actualizado a un antivirus que no tiene ms de tres meses desde su fecha de
creacin (o de actualizacin del archivo de strings). Es muy recomendable
tener por lo menos dos antivirus.

UNA FUENTE DE INFORMACIN SOBRE VIRUS ESPECFICOS: Es decir, algn

programa, libro o archivo de texto que contenga la descripcin, sntomas y
caractersticas de por lo menos los cien virus ms comunes.

UN PROGRAMA DE RESPALDO DE REAS CRTICAS: Algn programa que

obtenga respaldo (backup) de los sectores de arranque de los disquetes y
sectores de arranque maestro (MBR, Master Boot Record) de los discos rgidos.
Muchos programas antivirus incluyen funciones de este tipo.

LISTA DE LUGARES DNDE ACUDIR: Una buena precaucin es no esperar a

necesitar ayuda para comenzar a buscar quin puede ofrecerla, sino ir
elaborando una agenda de direcciones, telfonos y direcciones electrnicas de
las personas y lugares que puedan servirnos ms adelante.

Si se cuenta con un antivirus comercial o registrado, debern tenerse siempre

a mano los telfonos de soporte tcnico.

UN SISTEMA DE PROTECCIN RESIDENTE: Muchos antivirus incluyen programas

residentes que previenen (en cierta medida), la intrusin de virus y programas
desconocidos a la computadora.

TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos

ms importantes, adems, se recomienda respaldar todos los archivos
ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble,
por si uno de los discos de respaldo se daa. Los respaldos tambin pueden
hacerse en cinta (tape backup), aunque para el usuario normal es preferible
hacerlo en discos, por el costo que las unidades de cinta representan.

REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco

que no haya sido previamente utilizado debe ser revisado, inclusive los
programas originales (pocas veces sucede que se distribuyan discos de
programas originales infectados, pero es factible) y los que se distribuyen junto
con revistas de computacin.

REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se
haya prestado a algn amigo o compaero de trabajo, an aquellos que slo
contengan archivos de datos, deben ser revisados antes de usarse
nuevamente.

REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MDEM O REDES:

Una de las grandes vas de contagio la constituyen Internet y los BBS, sistemas
en los cuales es comn la transferencia de archivos, pero no siempre se sabe
desde dnde se est recibiendo informacin.

REVISAR PERIDICAMENTE LA COMPUTADORA: Se puede considerar que una

buena frecuencia de anlisis es, por lo menos, mensual.

Finalmente, es importante tener en cuenta estas sugerencias referentes al

comportamiento a tener en cuenta frente a diferentes situaciones:

Cuando se va a revisar o desinfectar una computadora, es conveniente

apagarla por ms de 5 segundos y arrancar desde un disco con sistema, libre
de virus y protegido contra escritura, para eliminar virus residentes en
memoria. No se deber ejecutar ningn programa del disco rgido, sino que el
antivirus deber estar en el disquete. De esta manera, existe la posibilidad de
detectar virus stealth.

Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha

sido infectado, es preferible restaurar el sector desde algn respaldo, puesto
que en ocasiones, los sectores de arranque genricos utilizados por los
antivirus no son perfectamente compatibles con el sistema operativo instalado.
Adems, los virus no siempre dejan un respaldo del sector original donde el
antivirus espera encontrarlo.

Antes de restaurar los respaldos es importante no olvidar apagar la

computadora por ms de cinco segundos y arrancar desde el disco libre de
virus.

Cuando se encuentran archivos infectados, es preferible borrarlos y

restaurarlos desde respaldos, an cuando el programa antivirus que usemos
pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si el
virus detectado es el mismo para el cual fueron diseadas las rutinas de
desinfeccin del antivirus, o es una mutacin del original.

Cuando se va a formatear un disco rgido para eliminar algn virus, debe

recordarse apagar la mquina por ms de cinco segundos y posteriormente
arrancar el sistema desde nuestro disquete limpio, donde tambin debe
encontrarse el programa que se utilizar para dar formato al disco.

Cuando, por alguna causa, no se puede erradicar un virus, deber buscarse la

asesora de un experto directamente pues, si se pidiera ayuda a cualquier
aficionado, se correr el riesgo de perder definitivamente datos si el
procedimiento sugerido no es correcto.

Cuando se ha detectado y erradicado un virus es conveniente reportar la

infeccin a algn experto, grupo de investigadores de virus, soporte tcnico de
programas antivirus, etc. Esto que en principio parecera innecesario, ayuda a
mantener estadsticas, rastrear focos de infeccin e identificar nuevos virus, lo
cual en definitiva, termina beneficiando al usuario mismo.