virus informatico

la siguiente informacion es tomada de la pagina

http://bvs.sld.cu/revistas/aci/vol11_5_03/aci04503.htm recuerden derechos

de autor
Elementos terico-prcticos tiles para conocer los virus informticos

Lic. Ramn Orlando Bello Hernndez1 y Ms C. Ileana R. Alfonso Snchez2

Resumen

El vertiginoso avance de las comunicaciones, la conexin entre las

computadoras, las posibilidades de transmisin de datos entre ellas, as
como del uso de la llamada autopista mundial de informacin, Internet, ha
causado no pocos problemas, tanto a usuarios aislados como a pequeas y
grandes redes. Ellas reciben constantes ataques de los llamados cracker.
Estos producen grandes prdidas en materia de informacin, recursos,
tiempo y dinero; se violan los sistemas de seguridad de los proveedores de
servicios y la red se llena de cdigos malignos; virus o malware (malicious
software). Sin embargo, muchos cibernautas carecen de los conocimientos
mnimos necesarios para comprender los virus y, peor an, para reducir sus
efectos negativos. Se trata un conjunto de aspectos importantes sobre los
virus informticos: historia, conceptos, tipos, entre otros. Se demuestra la
relevancia del uso de las listas de distribucin, as como las experiencias
obtenidas en la educacin de los usuarios de Infomed con la lista Virus-l,
para elevar la educacin de los usuarios en los temas relacionados con la
seguridad de la informacin que circula por la red.

Clasificacin: Artculo docente

Descriptores (DeCS): SEGURIDAD COMPUTACIONAL; MEDIDAS DE

SEGURIDAD; CAPACITACION DE USUARIO DE COMPUTADOR
Descriptores (DeCI): VIRUS INFORMATICO/historia; VIRUS
INFORMATICO/clasificacion; SEGURIDAD COMPUTACIONAL; PROGRAMAS
ANTIVIRUS; EDUCACION USUARIOS

Abstract

The giddy advance of the communications, the connection among the

computers, the data broadcast possibilities among them, as well as, the use
of the so called world freeway of information, Internet, has caused not few
problems to remote users and small and large networks. They receive
constant attacks of the called cracker. They produce large losses of
information, resources, time and money; the systems of security of the
service suppliers are violated and the network become infected with harmful
codes; virus or malware (malicious software). Nevertheless, many
websurfers lack the necessary most minimum knowledge to understand the
virus and, worse still, to reduce its negative effects. An important assembly
of aspects on the data processing virus: history, concepts and types, are
provided. The importance of the use of the lists of distribution is shown, as
well as the experiences obtained in the education of the users of Infomed
with the list Virus l, to elevate the users education in the themes related to
information security.

Classification: Learning article

Subject headings (DeCS): COMPUTER SECURITY; SECURITY MEASURES;

COMPUTER USER TRAINING
Subject headings (DeCI): COMPUTER VIRUS/history; COMPUTER VIRUS/
clasification; COMPUTER SECURITY; ANTIVIRUS PROGRAMS; USER
EDUCATION

El escenario mundial actual en el campo de las redes se caracteriza por un

crecimiento acelerado del nmero de organizaciones y empresas que se
enlazan con Internet.Este crecimiento es actualmente superior al 10 % cada
mes.1 En la medida en que se suman nuevas redes crece el volumen de
informacin disponible. El nmero de computadoras que pueden conectarse
al mismo tiempo es del orden de los millones. Es fcil entonces suponer que
existan, entre millones de usuarios de la red, individuos con perversas
intenciones, dispuestos a penetrar la seguridad de las empresas u
organizaciones o a lanzar ataques contra miles de cibernautas mediante
programas con cdigos malignos.

Los virus informticos son uno de los principales riesgos para los sistemas
informticos actuales, su ritmo de crecimiento es de diez nuevos virus por
da y no existe ningn programa detector de virus que sea perfecto, capaz

de proteger totalmente a un sistema. No existe un algoritmo universal que

permita arreglrnoslas de una vez por todas y para siempre con estos
bichitos.1
El propsito del presente trabajo es tratar ciertos aspectos importantes
relacionados con el surgimiento y desarrollo de los virus informticos; as
como valorar la funcin que realizan las listas de distribucin y los sitios web
que alertan, aconsejan y educan a los usuarios en materia de proteccin
contra los virus informticos.

Los virus informticos

Los virus informticos nacieron al mismo tiempo que las computadoras. En

fecha tan lejana como 1949, el famoso cientfico matemtico John Louis Von
Neumann (1903-1957), escribi un artculo, donde presentaba la posibilidad
de desarrollar pequeos programas que pudiesen tomar el control de otros
con una estructura similar.2 En 1944, Von Neumann ayud a John Mauchly y
J. Presper Eckert, en la fabricacin de la ENIAC, una de las computadoras de
primera generacin. En 1950, construyeron la famosa UNIVAC.3

En su libro "Virus Informticos: teora y experimentos", el doctor Fred Cohen,

quien es reconocido como el primero en definir los virus informticos,
seal: "Se denomina virus informtico a todo programa capaz de infectar a
otros programas, a partir de su modificacin para introducirse en ellos". A su
vez, plante la imposibilidad de desarrollar un programa que fuera capaz de
detectar y eliminar todos los virus informticos.4

En 1984, en su tesis para optar por el ttulo de Doctor en Ingeniera

Elctrica, presentada en la Universidad del Sur de California, Cohen
demostr cmo se poda crear un virus, motivo por el que es considerado
como el primer autor de un virus "autodeclarado".5 En el mismo ao, edit
el libro titulado "Un pequeo curso sobre virus de computadoras".
Posteriormente, escribi y public "The Gospel according to Fred" (El
evangelio de acuerdo a Fred).5

Los virus son capaces de hacer dao y reproducirse, esto precisamente los
ha convertido en una verdadera pesadilla para las redes y sus usuarios.
Pero, no es hasta mucho despus de escrito el libro de Cohen, que
adquieren esa propiedad y, a consecuencia de ello, se les comienza a llamar
virus. Sus posibilidades de autorreproduccin y mutacin, que los asemejan

con los virus biolgicos, todo lo cual parece ser el origen de su nombre. Se
le adjudica a Len Adleman, el haberlos llamado virus por primera vez.1

Antes de la explosin de la microcomputacin se hablaba muy poco sobre

ellos. La computacin estaba slo al alcance de investigadores y cientficos
que trabajaban, tanto en universidades como en instituciones privadas y
estatales, que manejaban fuertes sumas de dinero y podan pagar los altos
costos de sus programas. A su vez, las entidades gubernamentales,
cientficas o militares, que experimentaron ataques de virus, se quedaron
muy calladas, para no demostrar la debilidad de sus sistemas de seguridad,
que costaban millones de dlares a sus contribuyentes. Las empresas
privadas, como los bancos y las grandes corporaciones, tampoco podan
decir nada, para no perder la confianza de sus clientes o accionistas. Por
tanto, puede decirse que entre 1949 y 1987 el conocimiento sobre los virus
informticos estuvo bastante limitado.

El primer antecedente reconocido de los virus actuales es un juego creado

por programadores de la empresa AT&T, Robert Thomas Morris, Douglas
McIlory y Victor Vysottsky, como parte de sus investigaciones y su
entretenimiento. El juego, llamado "Core Wars",6 tena la capacidad de
reproducirse cada vez que se ejecutaba. Este programa dispona de
instrucciones destinadas a destruir la memoria del rival o impedir su
correcto funcionamiento. Al mismo tiempo, desarrollaron un programa
llamado "Reeper", que destrua las copias hechas por Core Wars6 un
antivirus o vacuna, como hoy se le conoce. Conscientes de lo peligroso del
juego, decidieron mantenerlo en secreto, y no hablar ms del tema. No se
sabe si esta decisin fue por iniciativa propia o por rdenes superiores.7

En el ao 1983, el Dr. Keneth Thomson8, uno de los creadores del famoso

sistema operativo UNIX y los programadores de AT&T, que trabajaron en la
creacin de Core Wars,6 rompieron el silencio acordado, informaron la
existencia del programa y ofrecieron detalles sobre su estructura. A
comienzos de 1984, la revista Scientific American, publica la informacin
completa sobre esos programas, con guas para la creacin de virus. Es el
punto de partida de la vida pblica de estos programas, y naturalmente de
su difusin sin control, en las computadoras personales.

Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostracin en la
Universidad de California, donde present un virus informtico residente en
una PC. Al Dr. Cohen se le conoce hoy, como "el padre de los virus".
Paralelamente, aparecieron virus en muchas PCs, se trataba de un virus, con

un nombre similar a Core Wars,6 escrito en Small-C por Kevin Bjorke, que
luego lo cedi al dominio pblico. La cosa comenzaba a ponerse caliente!7

Con posterioridad, los virus se multiplicaron con gran rapidez. Cada da

creci el nmero de virus existentes y hoy son tantos que es imposible
registrarlos todos. Aunque cientos de ellos son prcticamente desconocidos,
otros gozan de gran popularidad, debido a su extensin y daos causados.
Algunos de los virus ms conocidos son:8,9,10

Viernes 13

Es el virus ms conocido dentro y fuera del mundo de la informtica, debido

a su gran difusin y al protagonismo que adquiere en los medios
informativos cada vez que se acerca un viernes con la fecha trece. Su gran
expansin se debe a que respeta las funciones habituales de los programas
que lo albergan. La primera versin fue descubierta en diciembre de 1987
en las computadoras de la Universidad Hebrea de Jerusaln.

El descubrimiento se debi a lo que se supone un fallo en el diseo del

programa. El virus no detectaba los programas .EXE contaminados y, por
tanto, volva a infectarlos. Cada vez, su tamao creca unos 2 Kb, hasta que
estos alcanzaban un tamao imposible de manejar por el sistema operativo
DOS. El resto de los programas ejecutables slo se infectaban una vez. Si un
programa contaminado se ejecutaba, el virus pasaba a la memoria de
trabajo de la computadora y, a partir de ese momento, se contaminaba
cualquier programa que se ejecutase.

El virus, totalmente desconocido, se extendi por Israel rpidamente, debido

principalmente a que este pas dispone de extensas y potentes redes de
computadoras. Las computadoras personales mostraban claros sntomas de
un mal funcionamiento, manifestaban lentitud y largo tiempo de respuesta.
Debido a su tamao, algunos programas no podan ejecutarse por falta de
espacio suficiente en la memoria de trabajo. Estos sntomas llevaron a los
expertos, pertenecientes a la Universidad Hebrea, a investigar el fenmeno,
hasta que a finales de diciembre de 1987, dieron con el virus. Pudieron as,
desactivar la pequea bomba de relojera cuya detonacin estaba
preparada para el 13 de mayo de 1988. Su objetivo era borrar programas
militares y cientficos, as como innumerables programas pertenecientes a
los usuarios de computadoras personales. La vacuna preparada por los
expertos de la Universidad Hebrea redujo considerablemente sus efectos.

Existen dos teoras sobre el origen y el objetivo principal del virus. Ambas
hacen referencia a su fecha de activacin. La primera de ellas, y ms
convincente, se deduce de las instrucciones relativas a la obtencin de la
fecha de la computadora para su comparacin con la fecha de activacin. El
programa ignora todos los posibles viernes con fecha trece que pudieran
existir en 1987, ao en que se dedicara nicamente a la multiplicacin y
propagacin. Esta teora, atribuida a un origen poltico, juega con la
posibilidad de que el virus fuese un nuevo tipo de arma lgica creada contra
el pueblo judo, posiblemente por seguidores palestinos. El l primer viernes
trece del ao 1988 fue en el mes de mayo y coincidi con el cuadragsimo
aniversario del final de la guerra de Yom Kippur. Las consecuencias de dicha
guerra fueron la desaparicin de Palestina y la constitucin del estado de
Israel el 14 de mayo. Por tanto, el 13 de mayo de 1988 se celebraba el
cuadragsimo aniversario del ltimo da de la existencia de Palestina.

La segunda de las teoras, menos difundida, asegura que las especulaciones

de la anterior son pura coincidencia. Basa la existencia del Viernes13, tanto
en Israel como en Estados Unidos, en que ellos son pases con extensas
redes de telecomunicaciones, y no a consecuencia de un objetivo poltico.
Se ampara en que esta fecha es smbolo de la mala suerte para la cultura
anglosajona, como lo es en Espaa, el martes13.

La razn de que el virus no se activase durante el ao 1987 se debe a la

necesidad de una etapa de incubacin. Si el virus hubiera actuado en el
mismo momento en que infect un programa, su efecto sera mnimo.
Adems, al detectarse con rapidez, pudiera haberse descubierto a su
creador. Por eso, su programador extendi el perodo de incubacin a un
ao en espera de que su alcance fuera el mayor posible.

Brain

Brain es uno de los virus ms extendidos entre los usuarios del sistema
operativo DOS. Sus creadores, los hermanos Basit y Alvi Amjad, de Pakistn,
elaboraron una primera versin del virus que se instalaba en el sector de
arranque de los disquetes. Algunos de sus sectores aparecan marcados
como si estuviesen en mal estado. Aparentemente no produca daos.
Cambiaba la etiqueta de volumen de los disquetes de 5,25 pulgadas, que
contenan el sistema operativo, por la de "(c) Brain". No infectaba el disco
duro y slo atacaba los disquetes con el sistema operativo mencionado y
una versin inferior a la 2.0. Destrua pequeas cantidades de datos, slo si

los discos estaban casi o totalmente llenos. Pero, como ocurre con la
mayora de los virus, comenz a volverse molesto. Posteriormente,
surgieron versiones mejoradas que inutilizaban los datos almacenados e
infectaban el disco duro, as como las nuevas versiones del sistema
operativo.

Aunque se establece su creacin en 1986, se hizo pblico el 16 de mayo de

1988 en Estados Unidos, cuando un periodista del Journal-Bulletin de
Providence, Rhode Island, no poda recuperar un fichero almacenado en el
disquete en el que haba guardado el trabajo de varios meses. Llev
entonces el disquete deteriorado a la casa que lo fabricaba, donde un
analista detect que el bloque de inicializacin del disco contena un
programa vrico.

El virus, actualmente activo, se caracteriza por la aparicin de un mensaje

en el primer sector del disquete contaminado. El mensaje, que vara segn
la versin del virus, es similar al siguiente: "Welcome to the Dungeon ... (c)
1986 Brain & Amjads (pvt) Ltd ... VIRUS_SHOE RECORD V9.0 ... Dedicated to
the dynamic memories of millions of virus who are no longer with us today Thanks GOODNESS !! ... BEWARE OF THE er ... VIRUS...".

Su traduccin podra ser: "Bienvenido a la mazmorra ... [Marca del copyright

de los hermanos Amjad], [posible fecha de creacin del virus] 1986 [versin
del programa] ... Dedicado a las memorias dinmicas de los millones de
virus que ya no estn con nosotros [se supone que por haberse detectados
y desactivados] - !GRACIAS A DIOS! ... CUIDADO CON EL ... VIRUS ...".

En algunas versiones, el mensaje menciona un nmero de telfono de una

compaa de computadoras pakistan. El ingeniero de la Providence Journal
Corporation se puso en contacto con dicho telfono, que corresponda a la
empresa de los hermanos Amjad, quienes tras excusarse de los daos
ocasionados, afirmaron que el virus se escribi originalmente para que les
ayudara a seguir el rastro de las copias "pirateadas" del software cuyo
copyright disponan desde 1986. Tambin aseguraron que no comprendan
cmo el virus se haba extendido de esa forma, se haba alejado de las
copias de sus programas, ni cmo haba llegado hasta Europa y Estados
Unidos, porque slo deba afectar a aquellos usuarios que utilizasen alguno
de sus programas de forma pirata.

El gusano de la NASA

El gusano de la NASA y el Pentgono es el caso ms espectacular de

contaminacin informtica producido por un gusano. Su entorno fue la red
ARPANET (Advanced Research Projects Administration Network), con miles
de terminales en varios continentes y en lugares tan estratgicos como el
Pentgono o la NASA.

El 2 de noviembre de 1988, Robert Tappan Morris, hijo de uno de los

precursores de los virus y recin graduado en Computer Science en la
Universidad de Cornell, difundi un virus a travs de ArpaNet, precursora de
Internet. La propagacin se realiz desde una de las teminales del Instituto
Tecnolgico de Massachussets.

Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la

corte de Syracuse, estado de Nueva York, a 4 aos de prisin y el pago de
10 000 dlares de multa, pena que fue conmutada a libertad bajo palabra y
condenado a cumplir 400 horas de trabajo comunitario.

Los hechos pudieron ocurrir de la siguiente manera: tras meses de estudio y

preparacin, en la primera semana de noviembre de 1988, Robert T. Morris
decidi hacer la prueba final. Con la intencin de ocultar un programa en la
red a la que perteneca su universidad, puso manos a la obra la noche de un
mircoles. Cuando termin de cenar y volvi a sentarse frente a su terminal
con la intencin de averiguar lo que ocurra con su programa, descubri que
la prueba se haba desbordado: el programa activaba el correo electrnico,
se copiaba en la memoria de las computadoras y se "autoenviaba" a todas
las terminales que aparecan en su lista de correo. Esta operacin, al
repetirse en cada computadora, haca que se volviera a enviar y copiar,
incluso en aquellas computadoras por los que haba pasado. En pocas horas,
el programa viaj, ida y vuelta, por las mismas computadoras miles de
veces y se copiaba una vez ms en cada computadora. Esto supuso una
saturacin de las lneas de comunicacin y de las memorias de las
computadoras conectadas a la red, que quedaron bloqueadas.

Ms de 6 000 computadoras quedaron infectadas. Entre ellas, las del

Pentgono, la NASA, el Mando Areo Estratgico (SAC), la Agencia Nacional
de Seguridad (NSA), el Ministerio de Defensa, los Laboratorios Lawrence
Livermore de Berkeley (California), donde se desarrollaban varios
componentes de la Iniciativa de Defensa estratgica, tambin llamada
"guerra de las galaxias", y en las universidades de Princenton, Yale,
Columbia, Harvard, Illinois, Purdue, Wisconsin y el Instituto de Tecnologa de

Massachussets. Incluso se infectaron computadoras de la Repblica Federal

de Alemania y de Australia.

La legislacin que existe para sancionar estos delitos es inmadura. Pero no

por ello Robert T. Morris, qued exento de culpa y se le tom como "cabeza
de turco" para impedir que se realizaran posteriores prcticas similares. Fue
acusado de violar el cdigo de Integridad Acadmica de la Universidad de
Cornell, y es juzgado por ello en la actualidad.

Clasificacin

La clasificacin de los virus es muy variada. Pueden agruparse por la

entidad que parasitan -sector de arranque o archivos ejecutables-, por su
grado de dispersin a escala mundial, por su comportamiento, por su
agresividad, por sus tcnicas de ataque o por la forma en que se ocultan. En
1984, el Dr. Fred Cohen clasific a los nacientes virus de computadoras en
tres categoras:3,11

Caballos de Troya (Troyan horses)

Los caballos de Troya son impostores, es decir, archivos que parecen
benignos pero que, de hecho, son perjudiciales. Una diferencia muy
importante con respecto a los virus reales es que no se replican. Los
caballos de Troya contienen cdigos dainos que, cuando se activan,
provocan prdidas o incluso robo de datos. Para que un caballo de Troya se
extienda es necesario dejarlo entrar en el sistema, por ejemplo, al abrir un
archivo adjunto de correo.
Gusanos (worms)
Los gusanos son programas que se replican de sistema a sistema, sin
utilizar un archivo para hacerlo. En esto se diferencian de los virus, que
necesitan extenderse mediante un archivo infectado. Aunque los gusanos
generalmente se encuentran dentro de otros archivos, a menudo
documentos de Word o Excel, existe una diferencia en la forma en que los
gusanos y los virus utilizan el archivo que los alberga. Normalmente el
gusano generar un documento que contendr la macro del gusano dentro.
Todo el documento viajar de un equipo a otro, de forma que el documento
completo debe considerarse como gusano.
Virus

Un virus informtico es un pequeo programa creado para alterar la forma

en que funciona un equipo sin el permiso o el conocimiento del usuario. Un
virus debe presentar dos caractersticas:

Debe ser capaz de autoejecutarse. A menudo coloca su propio cdigo en la

ruta de ejecucin de otro programa.
Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos
ejecutables con una copia del archivo infectado.
Los virus pueden infectar tanto equipos de escritorio como servidores de
red.

A partir de 1988, los virus empezaron a infectar y daar archivos con

diferentes extensiones: DLL, DBF, BIN, VBS, VBE, HTM, HTML, etctera. Hoy,
los virus no infectan reas del sistema o tipos de archivos en forma
especfica y limitada. Sucede de acuerdo con cmo lo deseen sus creadores,
dejando a un lado las clasificaciones tradicionales. Los virus requieren
ejecutarse para lograr sus objetivos y por esa razn buscan adherirse a los
archivos .COM, .EXE, .SYS, .DLL y .VBS, entre otros o a las reas vitales del
sistema: sector de arranque, memoria, tabla de particiones o al MBR. Una
vez activados atacarn a otros archivos ejecutables o reas, haciendo
copias de s mismos, sobrescribindolos o alterando archivos de cualquier
otra extensin, no ejecutables. Los ficheros con extensiones diferentes a
.COM, .EXE, .SYS, .DLL, .VBS y otras, slo servirn de receptores pasivos, no
activos,y pueden quedar alterados o inutilizados, pero jams contagiarn a
otros archivos.3

Existen cinco tipos de virus conocidos:11

Virus que infectan archivos: atacan a los archivos de programa.

Normalmente infectan el cdigo ejecutable, contenido en archivos .COM y
.EXE, por ejemplo. Tambin pueden infectar otros archivos cuando se
ejecuta un programa infectado desde un disquete, una unidad de disco duro
o una red. Muchos de estos virus estn residentes en memoria. Una vez que
la memoria se infecta, cualquier archivo ejecutable que no est infectado
pasar a estarlo.
Virus del sector de arranque: infectan el rea de sistema de un disco, es
decir, el registro de arranque de los disquetes y los discos duros. Todos los
disquetes y discos duros (incluidos los que slo contienen datos) tienen un
pequeo programa en el registro de arranque que se ejecuta cuando se
inicia el equipo. Los virus del sector de arranque se copian en esta parte del

disco y se activan cuando el usuario intenta iniciar el sistema desde el disco

infectado. Estos virus estn residentes en memoria por naturaleza. La
mayora se crearon para DOS, pero todos los equipos, independientemente
del sistema operativo, son objetivos potenciales para este tipo de virus. Para
que se produzca la infeccin basta con intentar iniciar el equipo con un
disquete infectado. Posteriormente, mientras el virus permanezca en
memoria, todos los disquetes que no estn protegidos contra escritura
quedarn infectados al acceder a ellos.
Virus del sector de arranque maestro: residen en memoria e infectan los
discos de la misma forma que los virus del sector de arranque. La diferencia
entre ambos tipos de virus es el lugar en que se encuentra el cdigo vrico.
Los virus del sector de arranque maestro normalmente guardan una copia
legtima de dicho sector de arranque en otra ubicacin.
Virus mltiples: infectan tanto los registros de arranque como los archivos
de programa. Son especialmente difciles de eliminar. Si se limpia el rea de
arranque, pero no los archivos, el rea de arranque volver a infectarse.
Ocurre lo mismo a la inversa. Si el virus no se elimina del rea de arranque,
los archivos que se limpiaron volvern a infectarse.
Virus de macro: atacan los archivos de datos.
Con la aparicin de los virus Macro, a mediados de 1995, y en 1998 con los
virus de Java, Visual Basic Scripts, Controles ActiveX y HTML, se hizo
necesario, adems, una clasificacin por sus tcnicas de programacin.12

Una de las ltimas tcnicas empleadas es la llamada Ingeniera social. En

ella no se emplea ningn software o elemento de hardware, slo grandes
dosis de ingenio, sutileza y persuasin para lograr que otra persona revele
informacin importante con la que, adems, el atacante puede daar su
computadora.

En la prctica, los creadores de virus utilizan esta tcnica para que sus
ingenios se propaguen rpidamente. Para ello, atraen la atencin del
usuario inexperto y consiguen que realice alguna accin, como la de abrir
un fichero, que es el que ejecuta la infeccin, mediante la alusin a un
fichero o pgina con explcitas referencias erticas, personajes famosos,
relaciones amorosas, alternativas para encontrar parejas, juegos, entre
otros.

Algunos virus que utilizan la tcnica de ingeniera social son:

W32/Hybris: reclama la curiosidad de los usuarios mediante un mensaje

sugerente sobre una posible versin ertica del cuento de Blancanieves y
los siete enanitos.
W32/Naked: atrae la atencin del usuario al intentar mostrarle un archivo
cuyo nombre (NakedWife.exe) sugiere la imagen de una mujer desnuda.
"AnnaKournikova" alias VBS/SST.A o "I-Worm/Lee.O"-: trata de engaar al
usuario hacindole creer que le ha recibido un fichero con la fotografa de la
tenista Anna Kournikova.
Trojan.Butano: aprovecha la imagen del conocido locutor de radio Jos Mara
Garca, para esconder un programa que elimina todos los archivos
existentes en el directorio raz del disco duro.
VBS/Monopoly: se autoenva por correo electrnico en un mensaje que tiene
como asunto "Bill Gates joke" ("Broma sobre Bill Gates"), y como cuerpo
"Bill Gates is guilty of monopoly. Here is the proof.:" (Bill Gates es culpable
de monopolio).
I-Worm/Pikachu: se enva por correo electrnico en un mensaje cuyo asunto
es "Pikachu Pokemon", en clara referencia al popular personaje infantil de
videojuegos y series de animacin.
W32/Matcher: utiliza como reclamo -en el cuerpo del mensaje en el que se
enva- un texto que ofrece una alternativa para encontrar pareja.
VBS/LoveLetter -alias "Iloveyou"-: se enva por correo electrnico en un
mensaje cuyo asunto es "ILOVEYOU" y el fichero que incluye se denomina
"LOVE-LETTER-FOR-YOU.TXT.VBS". Dicho fichero utiliza doble extensin para
engaar a los usuarios de Windows, porque este sistema no emplea las
extensiones de los archivos.
Los virus pueden causar diferentes daos y molestias, como son:

En software

Modificar programas y datos (virus Black Box: agrega un nmero de bytes a

los programas infectados.)
Eliminar programas y datos (Melissa: Macrovirus de Word). Se enva a s
mismo por correo. Daa todos los archivos
DOC; virus JERUSALEM: borra, los viernes 13, todos los programas que el
usuario trate de utilizar despus de haberse infectado la memoria residente.
Agotar el espacio libre del disco rgido.

Demorar el trabajo del sistema.

Sustraer informacin confidencial (Mighty: gusano para Linux:,
Troj/Backdoor.Netdex.A: trojano, W32/Daboom): gusano de Internet, caballo
de Troya tipo RAT.
Producir mensajes o efectos extraos en pantalla (WinWord.Concept):
Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la
pantalla y el WORD funciona incorrectamente.
Emitir msica o ruidos (virus FORM): el da 18 de cada mes cualquier tecla
que se presione hace sonar el beep.
En hardware

Borrar el BIOS (Chernobyl (W95.CIH): Intenta reescribir el BIOS de la PC lo

que obliga a cambiar la motherboard.
Formatear el disco rgido (FormatC): Troyano que infecta el Word, al abrir un
archivo infectado formatea el disco rgido.
Borrar la FAT (tabla de particin de archivos), Chernobyl (W95.CIH): Borra el
primer Mb del diso duro, donde se encuentra la FAT. Obliga a formatear el
disco duro. Adems intenta reescribir el BIOS de la PC lo que obliga a
cambiar la motherboard. Se activa el 26 de abril. Michelangelo: Virus del
sector de arranque. Se activa el 6 de marzo.
Sobreescribe la FAT, deja el disco inutilizable.
Alterar el MBR (Master Boot Record), Troj/Killboot.B. Trojano que borra el
MBR llenndolo de ceros.
Cuando alguno de estos daos ocurre en una computadora aislada, las
prdidas pueden ser insignificantes, pero cuando se trata de una gran
empresa, universidad, banco, institucin militar, centro de salud,
aeropuerto, proveedor de servicios de Internet u otro, los daos pueden ser
incalculables e irreparables.

Ahora bien, es oportuno sealar que los virus son controlables y que, si se
cumplen una serie de normas, que no varan mucho, establecidas por las
entidades que se dedican a la proteccin de las redes y sus usuarios, puede
lograrse una proteccin aceptable. Baste con recordar que ningn virus es
capaz de hacer dao alguno, si antes no se ejecuta.

Situacin actual

La cantidad de virus que circulan actualmente en la red no puede precisarse

con exactitud. Algunos autores calculan el total de virus existentes en ms
de 300 000.13 La mayora de los virus que forman parte de la historia de la
computacin se crearon para DOS; un sistema obsoleto en nuestros das.

A pesar de la creacin constante de nuevos virus, son pocos los que llegan a
ser realmente efectivos y logran contaminar un nmero considerable de
usuarios de la red. Los expertos en virus informticos, respaldan los
informes sobre la existencia de no ms de 300 virus esparcidos y en
libertad.15 Al repetirse en forma cclica su proceso de extincin, la cantidad
de virus mencionados nunca es mayor y se mantiene aproximadamente
igual.

A pesar de los estragos causados por el reciente torrente de ataques de

virus, como el mortal "Love Bug", o el famoso "CIH" son muchos los
usuarios, individuales e institucionales, que no actualizan regularmente sus
programas antivirus.

Se plantea que casi una cuarta parte de los usuarios norteamericanos no

actualizan sus programas, al menos, una vez al mes. Un examen, realizado
a cerca de medio milln de usuarios de PCs en los Estados Unidos, revel
que la mayora de estos (un 65 %) fueron infectados con, al menos un virus,
en los ltimos doce meses. De estos, un 57 % perdi un buen nmero de
datos. Un 18 % afirm que haba perdido "moderadas" o "grandes"
cantidades de datos y un 14 % sostuvo que haba sufrido ms de cinco
ataques de virus al ao. Segn Steve Sundermeier, cuando "el pblico que
no adquiere la ltima proteccin contra virus, abre un enorme agujero de
seguridad. Los usuarios necesitan actualizar sus programas diariamente
para salvaguardarse de los virus que los atacan diariamente".13 Cada da se
crean 30 nuevos virus como promedio, desde inofensivos hasta muy
peligrosos.14

Los softwares antivirus, lderes en el combate de virus, pueden

descontaminar distintas cifras de cdigos malignos. Por ejemplo, Norton
Antivirus, 63 076, McAfee, 64 686, AVP, 64 156, SAV, 513 y F-Prot, 73
350.16-19

Uno de estos productos, el SAV, comercializado por la firma Segurmtica, y

que descontamina los virus identificados en la isla, es el resultado de las

necesidades nacionales, surgidas como resultado del amplio programa de

informatizacin desplegado por Cuba durante los ltimos aos.

Sin embargo, como los planes de informatizacin del pas, son cada vez ms
abarcadores, el nfasis fundamental debe situarse no slo en la creacin y
la adquisicin de los recursos tcnicos y humanos, sino en el desarrollo de
una cultura informtica que permita a los usuarios prepararse para
enfrentar los peligros de la red, en especial, para minimizar los efectos
dainos de los virus informticos que provocan prdidas considerables de
tiempo, esfuerzo y recursos de gran valor.

Las listas de discusin o distribucin de informacin

El conocimiento adquirido por los usuarios de la red para enfrentar los virus
es el resultado, en gran medida, de la creacin de boletines y listas que los
alertan sobre la aparicin de nuevos virus y la forma de eliminarlos, adems
de las medidas aprendidas para el uso correcto del correo y la navegacin
en el web.

Las listas son muchas y tienen un lugar muy importante en la educacin de

los usuarios. Entre las listas dedicadas a la difusin oportuna de informacin
sobre los virus informticos, se encuentran:

VSAntivirus: El boletn diario de VSANTIVIRUS - http://www.vsantivirus.com

(Uruguay).
Virus Attack: Un excelente sitio para obtener informacin en la lucha contra
los virus. http://www.virusattack.com.ar (Argentina).
AlertaVirus: Un servicio gratuito de AlertaVirus.com.
http://www.alertavirus.com (Chile).
Per Systems: Boletn sobre alerta de virus. http://www.perantivirus.com/
(Per).
Alerta - Antivirus: Centro de Alerta Temprana sobre Virus y Seguridad
Informtica http://www.alerta-antivirus.es/ (Espaa).
VirusProt: Boletn sobre seguridad informtica. http://www.virusprot.com/
(Espaa).

Infovirus: Boletn que informa sobre lo ltimo en virus informticos.

http://www.espanadir.com/drwebsp/index.shtml (Espaa).
Virus-l: Boletn sobre virus informticos.
http://www.sld.cu/mailman/listinfo/virus-l (Cuba).
Dichas listas alertan a sus usuarios mediante boletines diarios, semanales o
mensuales y su objetivo principal es mantener informados a lectores sobre
los nuevos virus, as como sobre la forma de eliminarlos, adems de ofrecer
consejos, publicar estadsticas, realizar encuestas comparativas sobre
programas antivirus, etctera.

Virus-l, por ejemplo, es la lista sobre virus de la Red Telemtica de Salud en

Cuba (Infomed). Cuenta con 1 199 miembros.20 Su objetivo esencial es la
educacin de sus miembros en materia de proteccin de los sistemas.
Comprende desde el mdico o tcnico de la salud que se conecta desde su
casa va telefnica hasta los centros e instituciones, como los hospitales,
facultades, policlnicos, y otros, que requieren de una seguridad mayor,
debido a su importancia.

Infomed brinda servicios a una gran cantidad de profesionales del sector de

la salud, crece muy rpidamente y tiene ms de 9000 usuarios directos. Los
planes del gobierno en el sector de la salud se proponen conectar todos sus
centros e instituciones en el pas.

Fidel Castro Ruz, Primer Secretario del Comit Central del Partido Comunista
de Cuba y Presidente de los Consejos de Estado y de Ministros, en el acto de
inauguracin de obras del extraordinario programa de salud ya en marcha,
que se realiza en Cuba, efectuado en el Teatro Astral, el 7 de abril del 2003,
expres:

"Algo de gran trascendencia ser la creacin, ya iniciada, de Infomed, un

servicio Intranet que comunicar a todos los centros de salud, hospitales,
policlnicos, hogares de ancianos, farmacias, etctera, a travs de una
densa red de computadoras que posibilitar la comunicacin, consultas e
intercambio cientfico entre todos los mdicos, enfermeros y tcnicos, y el
acceso a todas las bases de datos e informacin mdica con el empleo de
miles de equipos de computacin".21

De aqu, la importancia de una seguridad informtica amplia y poderosa.

Dentro de ella, la lucha contra los virus es un aspecto muy relevante. Es

entonces necesario, desarrollar una cultura informtica que permita estar

preparados contra cualquier ataque proveniente de un programa o cdigo
maligno.

Virus-l dispone de un boletn semanal que divulga informacin sobre los

virus ms peligrosos, selecciona y promueve la consulta de artculos sobre
el tema ubicados en distintos sitios, se alerta sobre fallos en sistemas o
agujeros de seguridad y las formas de eliminarlos. Por supuesto, como en
todas las listas de este tema no falta en cada boletn, una serie de consejos
tiles para evitar la posibilidad de contaminarse por un virus informtico.

La lista cuenta adems, con un espacio en el servicio de FTP de la red donde

se apoya su trabajo con material educativo sobre el tema, herramientas
para eliminar ciertos virus y la posibilidad de descargar programas
instaladores de antivirus y sus actualizaciones. Todo ello ha posibilitado
elevar el nivel de proteccin de una gran parte de los usuarios de la red.

Por encuestas realizadas mediante la propia lista se han podido conocer

cules antivirus utilizan los usuarios de Infomed, con qu frecuencia los
actualizan, cmo actan ante una infeccin y otros aspectos que han
permitido trazar estrategias de trabajo para mejorar su proteccin.

Ante la pregunta, cmo usted. acta ante un mensaje con un fichero

adjunto?, el 45 % de los 103 suscriptores encuestados el da 10 de junio del
2002, respondieron "Abro slo ficheros adjuntos enviados por personas
conocidas" y el 33 %, "No abro ningn adjunto sin revisarlo antes con un
antivirus". Por su parte, a la pregunta, qu hace si descubre que su PC est
infectada?, el 48 % de los 139 usuarios consultados el da 28 de agosto del
2002, seleccionaron "Utilizo un antivirus y sigo las instrucciones de mi lista".
Entre los 104 suscriptores consultados el da 22 de noviembre del 2002, el
54 % respectivamente dijeron utilizar como antivirus el AVP y el NAV. Este
mismo da, cuando se pregunt, cada cunto tiempo actualiza su
antivirus?, del total de encuestados, el 65 % respondi "Una vez por
semana" y el 23 % "Dos o tres veces por mes"

Para apoyar su tarea educativa de la lista, se imparte mensualmente una

clase donde se orienta a los alumnos-usuarios sobre cmo evitar o eliminar
las infecciones por virus. En ellas, se ofrecen tambin una serie de consejos
prcticos relacionados con el tema.

Consideraciones finales

Como se ha tratado de evidenciar a lo largo de este trabajo, los virus

informticos no son un simple riesgo de seguridad. Son muchos los
programadores en el mundo que se dedican a la creacin de cdigos
malignos por distintos motivos, que causan prdidas anuales millonarias en
gastos de seguridad a las empresas. El verdadero peligro de los virus es su
forma indiscriminada de ataque contra cualquier sistema informtico, algo
realmente lamentable.

Es muy difcil prever la propagacin de los virus y cules mquinas

infectarn. De ah, la importancia de comprender cmo funcionan
regularmente y tomar las medidas pertinentes para evitarlos.

La educacin de los usuarios de la red es la mejor forma de controlar una

infeccin. Es importante saber qu hacer en el momento justo para frenar
un avance que podra extenderse y hacer colapsar una red. La consulta de
las ltimas noticias sobre el tema es una forma importante de mantenerse
actualizado sobre su evolucin y riesgos inmediatos.

Referencias bibliogrficas

Moreno Prez A. La historia interminable- La gnesis y el devenir de los

virus. [sitio en Internet]. Disponible en:
http://www.zonavirus.com/Detalle_Articulo.asp?Articulo=20. Consultado: 18
de febrero de 2003.
Von Neumann JL. Tutorial sobre virus informticos. - nivel bsico - [sitio en
Internet]. Disponible en:
http://sapiens.ya.com/herminiapaissan/virus/historia.htm. Consultado: 16 de
febrero de 2003.
Machado J. Breve historia de los virus informticos. [sitio en Internet].
Disponible en: http://www.perantivirus.com/sosvirus/general/histovir.htm .
Consultado: 4 de Marzo de 2003.
Cohen F. "Virus Informticos: teora y experimentos" [sitio en Internet].
Disponible en: http://www.monografias.com/. Consultado: 16 de febrero de
2003.

Machado J. Fred Cohen el primer autor de virus. [sitio en Internet].

Disponible en: http://www.perantivirus.com/sosvirus/hackers/cohen.htm .
Consultado: 4 de marzo de 2003.
Red Telemtica de Salud en Cuba (Infomed). Versin adaptada a PC del
juego COREWAR, precursor de los virus [sitio en Internet]. Disponible en:
ftp://ftp.sld.cu/pub/antivirus/miscelaneas/corewar.zip . Consultado: 4 de
Marzo de 2003.
Vanden Bosch L, Waisman N, Rojas F. "Virus informticos". [sitio en Internet].
Disponible en:
http://www.monografias.com/trabajos5/virusinf/virusinf.shtml#historia .
Consultado: 6 de marzo de 2003.
Jones Encyclopedia - Media & Information Technology. [sitio en Internet].
Disponible en: http://www.digitalcentury.com/encyclo/thompson.html.
Consultado: 12 de marzo de 2003.
Judgment in U.S. vs. Robert Tappan Morris. [sitio en Internet]. Disponible en:
http://www.rbs2.com/morris.htm . Consultado: 10 de marzo de 2003.
Bihar.net. [sitio en Internet]. Disponible en:
http://www.biar.net/HistoriaInf/anecdotas.html . Consultado: 18 de febrero
de 2003.
Symantec. Diferencias entre virus, gusanos y caballos de Troya. Disponible
en:
http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/la_docid/pf/20010
921095248905
Consultado: 10 de abril del 2003
Machado J. Cmo se clasifican los virus?. [sitio en Internet]. Disponible en:
http://www.perantivirus.com/sosvirus/pregunta/clasific.htm . Consultado: 17
de febrero de 2003.
Machado J. Cuntos virus existen?.[sitio en Internet]. Disponible en:
http://www.perantivirus.com/sosvirus/pregunta/cuantos.htm . Consultado: 9
de Marzo de 2003
Zona Virus. Muchos usuarios ignoran el riesgo de los virus. [sitio en
Internet]. Disponible en:http://www.zonavirus.com/Detalle_ARTICULO.asp?
ARTICULO=6 . Consultado: 6 de Marzo de 2003.
Synmatec Segurity Responce. Virus definition added. [sitio en Internet].
Disponible
en:http://securityresponse.symantec.com/avcenter/defs.added.html .
Consultado: 14 de febrero de 2003.

Networks Associates Technology. Top Selling Services. [sitio en Internet].

Disponible en:http://www.mcafee.com . Consultado: 25 de febrero de 2003.
Kaspersky Lab. Anti-Virus Updates. [sitio en Internet]. Disponible en:
http://www.kaspersky.com/updates.html . Consultado: 25 de febrero de
2003.
Segurmtica. Consultora y Seguridad Informtica. [sitio en Internet].
Disponible en:
http://www.segurmatica.co.cu . Consultado: 18 de febrero de 2003.
FRISK Software Internacional. F-Prot Antivirus latest version and latest virus
signature files. [sitio en Internet]. Disponible en: http://www.fprot.com/currentversions.html. Consultado: 14 de febrero de 2003.
Virus-l mailing list administration General Options Section. [sitio en
Internet].
Disponible en: http://www.sld.cu/mailman/admin/virus-l . Consultado: 13 de
marzo
de 2003.
Castro Ruz F. La idea esencial es acercar los servicios bsicos a los
ciudadanos. Discurso pronunciado el da 7 de abril en el Teatro Astral.
Disponible en:
http://www.granma.cubaweb.cu/2003/04/08/nacional/articulo01.html
Consultado: 8 de abril del 2003.
Recibido: 9 de junio del 2003. Aprobado: 16 de julio del 2002.
Lic. Ramn Orlando Bello Hernndez. Departamento Atencin a Usuarios.
Red Telemtica de Salud en Cuba (Infomed).
Calle 27 No.110 e/ M y N. El Vedado. Plaza de la Revolucin. Ciudad de La
Habana, Cuba. CP 10 400. AP 6520.
Correo electrnico: bello@infomed.sld.cu
Anlisis comparativo de los principales sistemas antivirus

Lic. Luis Armas Montesino1

Resumen

Con el objetivo de comprender los virus informticos, as como de analizar y

comparar los principales sistemas antivirus existentes, se procedi a revisar
algunas de las comparativas principales publicadas en sitios y fuentes de
reconocido prestigio en este tema. Se trat un grupo de elementos tericos
sobre los virus y los sistemas antivirus: definiciones, clasificaciones,
caractersticas, estructura, etctera. Se analiz y compar un conjunto de
sistemas antivirus, ubicados entre los ms poderosos y populares en la
literatura consultada: Norton Antivirus, McAfee VirusScan, Sophos, Norman
Virus Control 5.0, Panda Platinum 6.22, F-Secure, PC-Cillin 7.5 y AVP. Para el
trabajo en redes, se recomienda el uso de F-Secure, PC-Cillin, y el Norman
Antivirus. Para usuarios independientes, Norton Antivirus, McAfee VirusScan,
AVP y Panda. Ningn sistema antivirus ofrece una proteccin completa, pero
el uso correcto de estas herramientas produce una sensible reduccin de los
daos y prdidas provocadas por este flagelo en la red.

Clasificacin: Artculo docente

Descriptores (DeCS): SEGURIDAD COMPUTACIONAL

Descriptores (DeCI): VIRUS INFORMATICO/evolucin; CRIMEN INFORMATICO;
PROGRAMAS ANTIVIRUS/ventajas; SEGURIDAD COMPUTACIONAL

Abstract

Aimed at understanding informatic viruses, and analyzing and comparing

the main antivirus systems avalilable a review of some comparative analysis
published in sites and services of recognized prestige in this subject was
carried out. A group of theorical elements on virus and antivirus systems:
definitions, classification, features, structure was studied. A set of antivirus
systems was analyzed and compared located among the most powerful and
used in the reviewed literature: Norton Antivirus, McAfee VirusScan, Sophos,
Norman Virus Control 5.0, Panda Platinum 6.22, F-Secure, PC-Cillin 7.5 and
AVP. We recommend the use of F-Secure, PC-Cillin and Norman Antivirus to
work in networks. For independent users, Norton Antivirus, McAfee
VirusScan, AVP and Panda are the best choice. Although any antivirus
system offers a complete protection we recommend the correct use of these
tools to achieve a sensible reduction of the damages and losses caused by
this flagellum in the network.

Classification: Learning article

Subject headings (DeCS): COMPUTER SECURITY

Subject headings (DeCI): COMPUTER VIRUS/evolution; COMPUTER CRIME;
ANTIVIRUS PROGRAMS/advantages; COMPUTER SECURITY

En los aos 50, los especialistas del rea de la computacin discutieron, por
primera vez, la posibilidad de generar un programa capaz de duplicarse y
extenderse entre las computadoras. Pero, no fue hasta 1983, que se cre un
software de virus real, cuando un estudiante en la Universidad de California,
Fred Cohen, elabor una tesis de doctorado sobre el tema.

Hace algunos aos cuando se hablaba de las infecciones por virus, algunas
empresas argumentaban que ellas no presentaban ese problema;
consideraban que al extraer las torres de discos de las estaciones de trabajo
de sus usuarios, evitaran que ellos invadieran su red de computadoras.
Hoy, todos saben muy bien que el problema de los virus no se resuelve tan
simplemente, porque dichos usuarios disponen, adems, de acceso a
Internet y a correo electrnico. Un usuario puede recibir un correo infectado
con un virus desde cualquier parte del mundo, y en pocos minutos, su red
estar totalmente infectada.1

Normalmente las empresas piden a los administradores de redes que

comparen los antivirus existentes para determinar cules son capaces de
reconocer y eliminar la mayor cantidad de virus posibles.2 Cada da crece el
nmero de virus informticos que circulan por las redes, fundamentalmente
mediante el correo electrnico y desde Internet. Crece, por lo tanto, la
necesidad de proteger los recursos de software y en especial la informacin.

El objetivo del presente trabajo es revisar los sistemas antivirus ms

empleados a escala mundial con el objetivo de determinar cul o cules son
los ms convenientes para la proteccin de los recursos de informacin de
una organizacin o empresa de acuerdo con las caractersticas particulares
de cada una de ellas.

MARCO TERICO

Qu es un virus?

Un virus es un pequeo programa capaz instalarse en la computadora de un

usuario sin su conocimiento o permiso. Se dice que es un programa parsito
porque ataca a los archivos o sectores de "booteo" y se replica para
continuar su esparcimiento.3

Algunos se limitan solamente a replicarse, mientras que otros pueden

producir serios daos a los sistemas. Nunca se puede asumir que un virus es
inofensivo y dejarlo "flotando" en el sistema. Ellos tienen diferentes
finalidades. Algunos slo 'infectan', otros alteran datos, otros los eliminan,
algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el
mismo: propagarse.

Clasificacin general de los virus

Existen diferentes tipos de virus:1

Virus de macros/cdigo fuente. Se adjuntan a los programas fuente de los

usuarios y a las macros utilizadas por: procesadores de palabras (Word,
Works, WordPerfect), hojas de clculo (Excell, Quattro, Lotus), etctera.
Virus mutantes. Son los que, al infectar, realizan modificaciones a su cdigo,
para evitar su de deteccin o eliminacin (NATAS o SATN, Miguel Angel, por
mencionar algunos).
Gusanos. Son programas que se reproducen y no requieren de un anfitrin,
porque se "arrastran" por todo el sistema sin necesidad de un programa que
los transporte.
Los gusanos se cargan en la memoria y se ubican en una determinada
direccin, luego se copian a otro lugar y se borran del que ocupaban y as
sucesivamente. Borran los programas o la informacin que encuentran a su
paso por la memoria, causan problemas de operacin o prdida de datos.
Caballos de Troya. Son aquellos que se introducen al sistema bajo una
apariencia totalmente diferente a la de su objetivo final; esto es, que se
presentan como informacin perdida o "basura", sin ningn sentido. Pero al
cabo de algn tiempo, y de acuerdo con una indicacin programada,
"despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas
intenciones.

Bombas de tiempo. Son los programas ocultos en la memoria del sistema,

en los discos o en los archivos de programas ejecutables con tipo COM o
EXE, que esperan una fecha o una hora determinada para "explotar".
Algunos de estos virus no son destructivos y solo exhiben mensajes en las
pantallas al momento de la "explosin". Llegado el momento, se activan
cuando se ejecuta el programa que los contiene.
Autorreplicables. Son los virus que realizan las funciones mas parecidas a
los virus biolgicos, se autorreproducen e infectan los programas
ejecutables que se encuentran en el disco. Se activan en una fecha u hora
programada o cada determinado tiempo, a partir de su ltima ejecucin, o
simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es
el virus llamado Viernes 13, que se ejecuta en esa fecha y se borra (junto
con los programas infectados), para evitar que lo detecten.
Infectores del rea de carga inicial. Infectan los disquetes o el disco duro, se
alojan inmediatamente en el rea de carga. Toman el control cuando se
enciende la computadora y lo conservan todo el tiempo.
Infectores del sistema. Se introducen en los programas del sistema, por
ejemplo COMMAND.COM y otros que se alojan como residentes en memoria.
Los comandos del sistema operativo, como COPY, DIR o DEL, son programas
que se introducen en la memoria al cargar el sistema operativo y es as
como el virus adquiere el control para infectar todo disco que se introduzca
a la unidad con la finalidad de copiarlo o simplemente para revisar sus
carpetas.
Infectores de programas ejecutables. Estos son los virus ms peligrosos,
porque se diseminan fcilmente hacia cualquier programa como hojas de
clculo, juegos, procesadores de palabras.
La infeccin se realiza al ejecutar el programa que contiene al virus, que, en
ese momento, se sita en la memoria de la computadora y, a partir de
entonces, infectar todos los programas cuyo tipo sea EXE o COM, en el
instante de ejecutarlos, para invadirlos mediante su autocopia.

Aunque la mayora de estos virus ejecutables "marcan" con un byte especial

los programas infectados --para no volver a realizar el proceso en el mismo
disco--, algunos de ellos, como el de Jerusaln, se duplican tantas veces en
el mismo programa y en el mismo disco, que llegan a saturar su capacidad
de almacenamiento.

Clasificacin por el modo en que actan

En la literatura revisada, se encontraron distintas clasificaciones segn el

modo en que los virus infectan:3

Programa: Infectan archivos ejecutables como .com / .exe / .ovl / .drv /

.sys / .bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la tabla de
particin.
Mltiples: Infectan programas y sectores de "booteo".
Bios: Atacan al Bios para desde all reescribir los discos duros.
Hoax: Se distribuyen por correo y la nica forma de eliminarlos es el uso del
sentido comn. Al respecto, se trata de virus que no existen y que se
utilizan para aterrar a los novatos especialmente en Internet a pesar que los
rumores lo muestran como algo muy serio y, a veces, la prensa
especializada toma la informacin. Por lo general, como se expres, la
difusin se hace por cadenas de correo con terribles e inopinadas
advertencias. En realidad el nico virus es el mensaje. A continuacin se
relacionan una serie de supuestos "virus", por lo que es aconsejable ignorar
los mensajes que aparecen y no ayudar a replicarlos para continuar con la
cadena, porque se crearon precisamente para producir congestionamiento
en Internet.
Los virus stealth (invisibles) engaan a los software antivirus.
Esencialmente, un virus de este tipo conserva informacin sobre los
archivos que ha infectado y despus espera en memoria e intercepta
cualquier programa antivirus que busque archivos modificados y le ofrece la
informacin antigua en lugar de la nueva.

Los virus polimrficos se alteran slo cuando se duplican, de modo que el

software antivirus que busca comportamientos especficos no encontrar
todas las apariciones de los virus; los que sobreviven pueden seguir
duplicndose.

La funcin de un programa antivirus es detectar, de alguna manera, la

presencia o el accionar de un virus informtico en una computadora. Este es
el aspecto ms importante de un antivirus, independientemente de las
prestaciones adicionales que pueda ofrecer, porque el hecho de detectar la
posible presencia de un virus informtico, detener el trabajo y tomar las
medidas necesarias, es suficiente para eliminar un buen porcentaje de los
daos posibles. Adicionalmente, un antivirus puede dar la opcin de
erradicar un virus informtico de una entidad infectada.3

Tcnicas para la deteccin de virus informticos

Existen diferentes tcnicas para la deteccin de los virus informticos.3

Scanning o rastreo: Fue la primera tcnica que se populariz para la

deteccin de virus informticos, y que todava se utiliza -aunque cada vez
con menos eficiencia. Consiste en revisar el cdigo de todos los archivos
ubicados en la unidad de almacenamiento - fundamentalmente los archivos
ejecutables - en busca de pequeas porciones de cdigo que puedan
pertenecer a un virus informtico.
La primera debilidad de este sistema radica en que al detectarse un nuevo
virus, este debe aislarse por el usuario y enviarse al fabricante de antivirus,
la solucin siempre ser a posteriori: es necesario que un virus informtico
se disperse considerablemente para que se enve a los fabricantes de
antivirus. Estos lo analizarn, extraern el trozo de cdigo que lo identifica y
lo incluirn en la prxima versin de su programa antivirus. Este proceso
puede demorar meses a partir del momento en que el virus comienza a
tener una gran dispersin, lapso en el que puede causar graves daos sin
que pueda identificarse.

Otro problema es que los sistemas antivirus deben actualizarse

peridicamente debido a la aparicin de nuevos virus. Sin embargo, esta
tcnica permite identificar rpidamente la presencia de los virus ms
conocidos y, al ser estos los de mayor dispersin, posibilita un alto ndice de
soluciones.

Comprobacin de suma o CRC (Ciclyc Redundant Check): Es otro mtodo de

deteccin de virus. Mediante una operacin matemtica que abarca a cada
byte del archivo, generan un nmero (de 16 32 bytes) para cada archivo.
Una vez obtenido este nmero, las posibilidades de que una modificacin
del archivo alcance el mismo nmero son muy pocas. Por eso, es un mtodo
tradicionalmente muy utilizado por los sistemas antivirus. En esta tcnica,
se guarda, para cada directorio, un archivo con los CRC de cada archivo y se
comprueba peridicamente o al ejecutar cada programa. Los programas de
comprobacin de suma, sin embargo, slo pueden detectar una infeccin
despus de que se produzca. Adems, los virus ms modernos, para
ocultarse, buscan los ficheros que generan los programas antivirus con
estos clculos de tamao. Una vez encontrados, los borran o modifican su
informacin.

Programas de vigilancia: Ellos detectan actividades que podran realizarse

tpicamente por un virus, como la sobreescritura de ficheros o el formateo
del disco duro del sistema. En esta tcnica, se establecen capas por las que
debe pasar cualquier orden de ejecucin de un programa. Dentro del
caparazn de integridad, se efecta automticamente una comprobacin de
suma y, si se detectan programas infectados, no se permite que se
ejecuten.
Bsqueda heurstica: Es otra tcnica antivirus que evita la bsqueda de
cadenas. Con ella, se desensambla el programa y se ejecuta paso a paso, a
veces mediante la propia CPU. De ese modo, el programa antivirus averigua
qu hace exactamente el programa en estudio y realiza las acciones
oportunas. En general, es una buena tcnica si se implementa bien, aunque
el defecto ms importante es la generacin de falsas alarmas, que no se
tiene la certeza de que un programa sea un virus en funcin de su
comportamiento. La mayora de los virus nuevos evitan directamente la
bsqueda heurstica modificando los algoritmos, hasta que el programa
antivirus no es capaz de identificarlos.
A pesar de utilizar estas cuatro tcnicas, ningn programa puede asegurar
la deteccin del ciento por ciento de los virus.

La calidad de un programa antivirus no slo se demuestra por el nmero de

virus que es capaz de detectar, sino tambin por el nmero de falsas
alarmas que produce, es decir, cuando el programa antivirus estima que ha
localizado un virus y en realidad se trata de un fichero sano (falso positivo).
Puede ocurrir que un fichero presente una combinacin de bytes idntica a
la de un virus, y el programa antivirus indicara que ha detectado un virus y
tratara de borrarlo o de modificarlo.

Programas antivirus

Estructura de un programa antivirus

Un programa antivirus est compuesto por 2 mdulos principales: el primero

denominado de control y el segundo de respuesta. A su vez, cada uno de
ellos se divide en varias partes:3

Mdulo de control: posee la tcnica para la verificacin de integridad que

posibilita el hallazgo de cambios en los archivos ejecutables y las zonas
crticas de un disco rgido, as como la identificacin de los virus.

Comprende diversas tcnicas para la deteccin de virus informticos y de

cdigos dainos: En caso necesario, busca instrucciones peligrosas incluidas
en programas para garantizar la integridad de la informacin del disco
rgido. Esto implica descompilar (o desensamblar) en forma automtica los
archivos almacenados y tratar de ubicar sentencias o grupos de
instrucciones peligrosas. Finalmente, el mdulo de control tambin efecta
un monitoreo de las rutinas mediante las que se accede al hardware de la
computadora (acceso a disco, etc.). Al restringir el uso de estos recursos,
-por ejemplo, cuando se impide el acceso a la escritura de zonas crticas del
disco o se evita que se ejecuten funciones para su formateo-, se limita la
accin de un programa.
Mdulo de respuesta: la funcin alarma se encuentra incluida en todos los
programas antivirus y consiste en detener la accin del sistema ante la
sospecha de la presencia de un virus informtico. Se informa la situacin
mediante un aviso en pantalla. Algunos programas antivirus ofrecen, una
vez detectado un virus informtico, la posibilidad de erradicarlo.
Caractersticas que debe poseer un sistema antivirus

La expresin "cul es el mejor antivirus", puede variar de un usuario a otro.

Es evidente que para un usuario inexperto el trmino define casi con
seguridad al software que es ms fcil de instalar y utilizar, algo totalmente
intranscendente para usuarios expertos, administradores de redes, etc.4

No se puede afirmar que exista un solo sistema antivirus que presente todas
las caractersticas necesarias para la proteccin total de las computadoras;
algunos fallan en unos aspectos, otros tienen determinados problemas o
carecen de ciertas facilidades. De acuerdo con los diferentes autores
consultados, las caractersticas esenciales son las siguientes:5,6

Gran capacidad de deteccin y de reaccin ante un nuevo virus.

Actualizacin sistemtica.
Deteccin mnima de falsos positivos o falsos virus.
Respeto por el rendimiento o desempeo normal de los equipos.
Integracin perfecta con el programa de correo electrnico.
Alerta sobre una posible infeccin por las distintas vas de entrada (Internet,
correo electrnico, red o discos flexibles).
Gran capacidad de desinfeccin.

Presencia de distintos mtodos de deteccin y anlisis.

Chequeo del arranque y posibles cambios en el registro de las aplicaciones.
Creacin de discos de emergencia o de rescate.
Disposicin de un equipo de soporte tcnico capaz de responder en un
tiempo mnimo (ejemplo 48 horas) para orientar al usuario en caso de
infeccin.
Existen sistemas antivirus que tienen adems, la caracterstica de trabajar
directamente en redes LAN y WAN, as como en servidores proxy.

Ante la masiva proliferacin, tanto de virus como de productos dirigidos a su

tratamiento, existe la necesidad de que algn organismo reconocido de
carcter internacional certifique los productos antivirus y asegure su
correcto rendimiento. En un antivirus lo ms importante es la deteccin del
virus y, al estudio de tal fin se dedican asociaciones como la ICSA
(International Computer Security Association) - anteriormente la NCSA - y la
Checkmark. Ambas siguen procedimientos similares. En concreto, para que
la ICSA certifique un producto antivirus, ha de ser capaz de detectar el 100
% de los virus incluidos en la Wildlist (lista de virus considerados en
circulacin) y, al menos, un 90 % de la Zoolist -una coleccin de varios miles
de virus no tan difundidos. La certificacin de un producto se realiza cuatro
veces al ao, sin el conocimiento del fabricante y con una versin
totalmente comercial, con lo que se asegura que la versin que se certifica
es la que recibe directamente el usuario y no una especialmente preparada
para la prueba.

MTODOS

Existen distintos estudios comparativos sobre el tema, realizados por

organizaciones competentes no vinculadas a ningn productor de antivirus.

Se revisaron fundamentalmente los siguientes estudios comparativos:

Hispasec, editado por la revista especializada PC Actual, de gran prestigio y

seriedad.4
Vsantirus, de VideoSoft BBS.

Dos comparaciones publicadas por la revista especializada PC World,

tambin de gran renombre mundial.
Un artculo publicado sobre el tema y disponible en el sitio
www.monografas.com, algo antiguo, pero con datos muy interesantes sobre
los diferentes sistemas antivirus.3
Adems, se consultaron las siguientes:5

Comparacin de HISPASEC

SECUSYS, Tests des Anti-Virus

www.hispasec.com
www.secusys.com/laboratoire.htm

Comparacin de VIRUSPROT

Vsantivirus de VideoSoft BBS

www.virusprot.com
www.vsantivirus.com/comparativa.htm

En las comparaciones analizadas, pudo apreciarse resultados contradictorios

con respecto a un sistema antivirus especfico. Por ello, se revisaron
cuidadosamente los resultados de cada uno de los estudios con respecto a
cada uno de los diferentes sistemas evaluados con el objetivo de validarlos.

Los softwares antivirus analizados en este trabajo fueron certificados por la

ICSA.
Los sitios de los antivirus estudiados se encuentran referidos al final del
artculo (anexo).

Valoracin de los diferentes sistemas antivirus

NORTON ANTIVIRUS
Segn la comparacin publicada M Mansn,3 este antivirus posee una
proteccin automtica en segundo plano. Detiene prcticamente todos los
virus conocidos y desconocidos, mediante una tecnologa propia,
denominada NOVI, que implica el control de las actividades tpicas de un
virus. Protege la integridad del sistema, acta antes de que causen algn

dao o prdida de informacin, con una amplia lnea de defensa, que

combina bsqueda, deteccin de virus e inoculacin. Utiliza diagnsticos
propios para prevenir infecciones en sus propios archivos y de archivos
comprimidos. El rastreo puede realizarse manual o automticamente a
partir de la planificacin de la fecha y la hora. Tambin, posibilita reparar los
archivos infectados por virus desconocidos. Incluye informacin sobre
muchos de los virus que detecta y permite establecer una contrasea para
aumentar as la seguridad.

La lista de virus conocidos puede actualizarse peridicamente (sin cargo)

mediante servicios en lnea como Internet, Amrica On Line, Compuserve,
The Microsoft Network o el BBS propio de Symantec, entre otros.

Segn la comparacin de Hispasec,7 entre las caractersticas destacables

del Norton Antivirus se encuentra la opcin LiveUpdate que automatiza la
actualizacin del motor y de las nuevas definiciones de virus de forma
simultnea por Internet. Con la compra del producto, se obtiene Soporte
Gold durante un ao, que integra lnea gratuita de soporte help-desk y
actualizaciones de firmas.

El men principal se divide en estado del sistema, estado de correo

electrnico, bsqueda de virus, un apartado de informes y un mdulo de
programacin para planificar tareas. Cabe destacar la existencia de un
mdulo para el anlisis de los correo que entran, as como las opciones
cuarentena y soporte de muestras sospechosas con el mismo programa.

En las pruebas, Norton se ha mostrado dbil en la deteccin de troyanos y

backdoors, indicador que aun se agrava ms en el apartado de muestras de
la coleccin Internet. En el resto de las pruebas, aparece en un nivel medio,
que decae de nuevo en el apartado de formatos de compresin o en la
prueba de instalacin en un sistema con virus. Destaca de forma especial en
la prueba de deteccin en correo, donde es la mejor solucin de las
probadas. En un producto tan integrado en Internet, resulta atrayente la
falta de una proteccin especfica a nivel del navegador.

Los resultados de este anlisis con respecto al Norton Antivirus presentan

algunas contradicciones con los publicados en otro por la revista PC World
(www.pcworld.com).8 Segn esta ltima, Norton es el que mejores
resultados ha ofrecido en las pruebas. Tal vez, demora algo ms en

completar el proceso de anlisis, pero detect el 100 % de los virus

utilizados, con un porcentaje muy bajo de falsos positivos.

La interfaz de usuario es muy buena, muy sencilla y fcil de utilizar. Desde

un nico programa se controlan todas las funciones, sin escatimar
informacin. Aunque se puede llamar independientemente al mdulo de
actualizacin de nuevas versiones, tambin puede hacerse desde un icono
en la pantalla principal.

Despus de un proceso de instalacin algo tedioso, y que realiza un primer

anlisis exhaustivo de todos los ficheros, el sistema queda configurado con
todas las opciones de anlisis activadas. Adems de mantener activado el
anlisis heurstico, tambin queda activado el escner manual sobre todo
tipo de ficheros, y es precisamente esta la causa de la tardanza en el
anlisis inicial.

Segn este estudio, Norton Antivirus result el mejor en la comparacin.

El nmero de opciones que pueden configurarse es muy elevado, y el

proceso es simple. El centro de desinfeccin de Symantec, llamado SARC
(Symantec AntiVirus Research Center), recibe los ficheros infectados y,
segn los distribuidores, es cuestin de horas, obtener una respuesta con un
fichero limpio y una nueva actualizacin.

Por otra parte, Norton Antivirus reconoce perfectamente las cuentas de

correo que se utilizan y permite protegerlas individualmente. Adems,
pueden configurarse alertas para enviar un mensaje a otras cuentas de
correo o a otro usuario de la red.

Finalmente, la actualizacin de nuevas versiones es un claro ejemplo de

simplicidad. No hace falta conectarse a un sitio web y seleccionar cmo
queremos actualizar el producto. Lo nico que se debe hacer es clic sobre el
icono de LiveUpdate y el programa se conecta a Internet y se actualiza
automticamente. Adems, la licencia no est limitada en tiempo. Symantec
ofrece actualizaciones de por vida (anexo).

McAFEE VIRUSSCAN

Segn M. Mansn,3 el antivirus de McAfee Associates es uno de los ms

famosos. Trabaja por el sistema de escaneo descrito anteriormente, y es el
mejor en su estilo. Para escanear, hace uso de dos tcnicas propias: CMS
(Code Matrix Scanning, Escaneo de Matriz de Cdigo) y CTS (Code Trace
Scanning, Escaneo de Seguimiento de Cdigo).

Una de las principales ventajas de este antivirus es que la actualizacin de

las bases de datos de strings es muy fcil de realizar. Ello, sumado a su
condicin de programa shareware, lo coloca al alcance de cualquier usuario.
Es bastante flexible en cuanto a la configuracin de cmo detectar, reportar
y eliminar virus.

En la comparacin de Hispasec,7 publicada por la revista PC Actual, en abril

del 2001, McAfee VirusScan es uno de los clsicos entre los productos
antivirus y segn ella, suele ocupar siempre los puestos punteros en sus
estudios. La compaa Network Associates adquiri McAfee y el doctor
Solomons integr este producto con nuevas tecnologas para analizar los
protocolos de Internet, de forma que el mdulo VShield permite analizar el
trfico con los navegadores Netscape Navigator e Internet Explorer, as
como con los clientes de Outlook Express, Eudora, Netscape Mail, Microsoft
Exchange, Outlook y Lotus cc:Mail. El producto incluye 90 das de asistencia
telefnica y actualizaciones gratuitas durante un ao.

VirusScan se presenta actualmente con una nueva interfaz algo ms

futurista, con una imagen que huye de las tpicas aplicaciones Windows,
donde, sin embargo falta la extrema sencillez y claridad de la anterior
interfaz minimalista, basada en pestaas. En lo que a opciones se refiere,
adems del men de exploracin, se encuentra un planificador de tareas y
una seccin de cuarentena que permite aislar los archivos infectados y
sospechosos y enviarlos de forma automtica a los laboratorios AVERT para
su anlisis.

En las pruebas, sin llegar a destacarse de forma especial, se comporta de

forma adecuada, tanto a nivel de deteccin como heurstico, y en el resto de
pruebas se sita en un punto intermedio. No se ha encontrado mejora
significativa alguna en el motor con respecto a otros aos, sigue entre los
antivirus que menos formatos de compresin soporta. En definitiva, nueva
cara para VirusScan y opciones adicionales, si bien se encuentra algo
estancado en la tecnologa de su motor antivirus donde otros productos han
realizado avances significativos.

Segn la comparacin de PC World,8 McAfee VirusScan es el antivirus ms

extendido mundialmente. Anuncia en su publicidad que se han vendido ms
de 70 millones de copias, seguido del Norton Antivirus. Es, curiosamente, el
programa antivirus seleccionado por Microsoft para utilizarlo dentro de su
webmail: hotmail.com.

En su nueva versin ofrece una interfaz nada convencional; sin embargo,

incluye los controles en el men del botn derecho del ratn, para
seleccionar los ficheros que se desean revisar. Tambin mantiene dos iconos
pequeos en la esquina derecha de la barra de tareas.

La interfaz de usuario no se ajusta a los estndares actuales de ventanas,

produce cierta confusin en su uso.
Los resultados de las pruebas no fueron muy buenos. Fue capaz de detectar
el 94 % de los virus y slo present un 3 % de falsos positivos. En los virus
del tipo macro, la desinfeccin fue muy satisfactoria, al conservarse las
macros operativas.

El factor ms desfavorable en su evaluacin fue en la deteccin en correo.

En algunos casos, cuando se adjunt un fichero infectado con virus a un
mensaje, el programa lo detect hasta que se guard en el disco.

La documentacin sobre los virus no se encuentra en el CD, sino que es

necesario estar conectado a Internet para poder acceder a ella. Esto supone
un problema para cualquier usuario de un equipo que no est conectado a
Internet.

Por otra parte, McAfee ofrece un servicio de desinfeccin para nuevos virus,
tambin a partir de una conexin a Internet. Puede enviarse un fichero en
formato comprimido y McAfee se compromete a limpiarlo y devolverlo en
cuestin de horas desde los laboratorios AVERT Labs. Mientras tanto, puede
colocarse en cuarentena, para evitar su difusin a otros equipos.

Las actualizaciones del escner y del fichero de patrones se hacen tambin

por Internet. Se puede configurar la interfaz para arrancar una actualizacin
al hacer clic con el botn derecho del ratn. Las actualizaciones pueden
hacerse de por vida. El resto de los servicios son de carcter indefinido. Es
el programa ms econmico de la esta comparacin.

SOPHOS
Sophos, con centro en Reino Unido, es uno de los fabricantes de antivirus
que ms se destaca por su especializacin en entornos corporativos y por la
cantidad de plataformas que soporta. Junto con el software, el usuario
adquiere el servicio de actualizaciones peridicas, alertas y emergencias
tcnicas va correo electrnico y soporte por telfono e Internet. Nada ms
activar Sophos, se accede a una sencilla interfaz. Mediante tres pestaas,
puede accederse a la exploracin inmediata, a la agenda para planificar
tareas y, por ltimo, a la configuracin de InterCheck, el mdulo residente.
En la barra de herramientas, pueden iniciarse las exploraciones o
detenerlas, entrar en el apartado de configuracin, alarmas y diccionario de
virus. Incluye una relacin de todos los virus detectados, con sus
propiedades.7

Segn el estudio de Hispasec,7 si bien este software ofrece un nivel de

soporte alto, se trata sin duda del peor producto antivirus de los evaluados
en el aspecto tcnico. Adems de ser uno de los productos que obtiene los
ndices ms bajos de deteccin, es el nico que no es capaz de desinfectar
ejecutables, una opcin que hoy por hoy no se concibe en antivirus
profesionales. En su lugar, este antivirus recomienda que se eliminen los
ficheros afectados y que se reemplace por una copia limpia.

Segn la comparacin de PC World,8 la interfaz de usuario no es intuitiva, el

simple hecho de analizar un directorio obliga a adentrarse en la opcin de
configuracin, y marcar exactamente los tipos de fichero que se desea
analizar, porque las opciones de anlisis de ficheros comprimidos aparecen
deshabilitadas.

La configuracin del escner es compleja, obliga a editar un fichero de

configuracin, algo que nunca podr hacer un usuario "no experto". Sin
embargo, en las pruebas, ha obtenido resultados muy buenos.

Slo necesita 3 MB de espacio en disco, porque el resto de la

documentacin la mantiene en el CD.
Las funciones de soporte de programas de correo son escasas y el servicio
de actualizacin no est integrado en el programa.

La principal ventaja de Sophos es su capacidad para trabajar en distintos

entornos, como Lotus Notes, Exchange, Novell, etc. Esto lo convierte en una
seria opcin para sistemas hetereogneos.

NORMAN VIRUS CONTROL 5.0

Norman Data Defense es su productora. Hace unos aos se integr con
ThunderByte, uno de los antivirus mticos de la poca MS-Dos por el uso de
tcnicas heursticas.

En Norman Virus Control 5.0, la interfaz se renov completamente, con una

filosofa basada en tareas, mdulo de cuarentena y con la posibilidad de
actualizar las firmas de virus desde el mismo programa por Internet, como
mejoras ms relevantes a primera vista en comparacin con las versiones
anteriores.

Segn Hispasec,7 en las pruebas se ha comportado con un nivel medio en

general. Se destac en pruebas como la de soporte telefnico y obtuvo los
peores resultados en la consulta por Internet. En la parte tcnica, fue muy
eficiente en la prueba de instalacin en un sistema infectado, donde ha
compartido el primer puesto junto con AVP. Sin embargo, carece de una
heurstica efectiva para los nuevos formatos y mdulos de proteccin
especficos para Internet y requiere mejoras en el soporte de formatos de
compresin.

Segn PC World,8 la interfaz de Norman es interesante. Permite una

configuracin muy extensa en cuanto a nmero de opciones. Esto es muy
beneficioso para un usuario avanzado, pero puede resultar un poco confuso
para un principiante. La versin que se comercializa actualmente se
encuentra en ingls.

Al igual que ocurre con el programa de McAfee, se presenta un icono en la

esquina derecha de la barra de tareas, con el que puede accederse a un
men desde el que es posible lanzar todas las funciones.

El producto ha obtenido un porcentaje de aciertos del 93 %, bastante

elevado. El nmero de falsos positivos fue del 15 %, con el que clasifica en
un lugar mucho ms bajo que el resto de productos en este aspecto. Los
mejores resultados de Norman fueron en el tratamiento y la deteccin de

virus de tipo macro. El factor ms negativo en la evaluacin del producto es

la falta de integracin con Outlook, que obliga a escanear manualmente
cada uno de los ficheros que se recibe.

El producto se divide en siete programas distintos. Esto dificulta

sensiblemente su uso, porque el usuario tiene que saber para qu se utiliza
cada uno y seleccionarlo cuando lo crea oportuno. No es fcil saber cundo
se est infectado y, por eso, tampoco lo es, decidir si utilizar un programa
de anlisis especfico sobre un fichero.

El programa principal es el que se emplea para hacer el anlisis manual de

los ficheros. Tambin se puede acceder desde este programa a la
configuracin de cada una de las opciones.

Existen otros programas, como Smart Behavior Blocker, cuya misin es la de

analizar el comportamiento de algn programa posiblemente infectado. A
nuestro juicio, este programa debera de integrarse en la interfaz principal,
para que el usuario no se vea obligado a averiguar para qu sirve y cmo
tiene que utilizarlo.

El sistema de ayuda tambin se encuentra ntegramente en Internet. De

hecho, si se selecciona la opcin de ayuda, se obtiene una pgina HTML
desde la que es posible bajar de Internet todos los manuales del producto
en formato PDF.

El control que ofrece Norman Virus Control es superior al resto de los

programas probados. Adems de permitir configurar el programa con una
mayor cantidad de opciones, y de incluir programas especficos para
analizar virus de tipo Troyano, tambin puede incluso seleccionarse
fragmentos de cdigo que nos interese que el programa no entre a analizar.

El costo del programa es razonable, y su licencia se renueva anualmente. El

laboratorio de desinfeccin est en Noruega y el envo del programa
infectado tambin se realiza mediante la pgina web de Norman.

PANDA PLATINUM 6.22

Panda Software, muy popular en Espaa, lucha fuerte por imponerse a nivel
internacional con un producto avanzado y una nueva concepcin de
servicios aadidos. Con la adquisicin de su producto, el usuario obtiene
durante un ao soporte telefnico 24 horas x 365 das, servicio de
desinfeccin de virus nuevos en 24 horas, actualizaciones diarias del fichero
de firmas, as como del software de la aplicacin.

A primera vista, Panda Platinum conserva la misma interfaz que se destaca

por ser similar en su concepcin a la de Outlook, sus componentes
multimedia, y su integracin en los clientes de correo. Uno de los cambios
ms significativos experimentados por ella no se puede observarse a simple
vista, y se encuentra en un renovado interior para integrarse de lleno con
las nuevas especificaciones de Windows 2000.

Segn Hispasec,7 es la nica solucin con soporte telefnico real 24 x 365.

En el resto de pruebas de soporte y respuesta ante un virus nuevo tambin
destaca con respecto a la media obtenida por los productos evaluados. Si
bien este ao, en relacin a comparaciones anteriores, lo ms sorprendente
son sus resultados en las pruebas de deteccin con unos indicadores, donde
destaca, en especial, un primer puesto en la coleccin de troyanos y
backdoors. Tambin es una de las pocas soluciones que contempla mdulos
especficos para Internet con anlisis a nivel de los diferentes protocolos,
incluido el web, correo entrante y saliente, ftp y noticias. Sin embargo, se ha
visto algo empaado en la prueba de correo al no soportar la desinfeccin
en Outlook Express. Otro punto a mejorar es el soporte de compresores de
ejecutables.

Segn PC World,8 Panda es posiblemente el programa antivirus de mayor

difusin en Espaa, hecho perfectamente lgico, si se considera que es una
empresa espaola, con una estructura comercial grande y con un servicio
tcnico en espaol.

Panda es uno de los programas ms completos y que ha obtenido mejores

resultados en esta comparacin. El porcentaje de virus detectados fue el
segundo ms elevado, justo despus del Norton Antivirus, y el nmero de
falsos positivos fue el menor.

Llama la atencin la presentacin del producto, con ms manuales muy bien

editados y con mucha ms informacin que el resto. As, el usuario no
depende tanto de una conexin a Internet para obtener ayuda, que por

cierto es muy extensa y clara y, adems, en el mismo paquete incluye una

breve documentacin de todos los virus que se conocen.

Evidentemente, para realizar actualizaciones del programa, es necesario

conectarse a Internet, aunque tambin existe un servicio de actualizaciones
por CD.

Panda tambin comercializa otros productos relacionados con Platinum 6.0,

como el Seguro Antivirus Global, para Exchange, Lotus Notes, Firewall y
proxy.

Cuando se instala el programa, la opcin de anlisis heurstico queda

deshabilitada. Esto es un poco contradictorio, porque un usuario novato la
mantendr as indefinidamente y el programa no ser capaz de ofrecer su
mximo potencial de anlisis.

La integracin con Outlook es buena, as como con el software de

transferencia de ficheros. El usuario puede configurar el producto para
analizar los ficheros segn se descarguen de Internet. De esta forma, ningn
fichero se quedar en el disco duro sin analizarse.

Dentro de un nico programa principal, puede seleccionarse la opcin de

planificacin de actividades. En esta opcin, puede indicarse cmo se desea
que se realicen las actualizaciones del programa, o bien cundo se quiere
que se proceda con los anlisis.

En los materiales utilizados para el manual y las fichas tcnicas incluye un

par de disquetes de emergencia, y el sistema de ayuda es mucho ms
extenso que el de otros antivirus estudiados.

F-SECURE
Segn Hispasec,7 es el detector por excelencia, es el nico producto que
integra varios motores antivirus de forma paralela, AVP y F-Prot, ambos de
reconocido prestigio. Junto con el software, el usuario recibe tres meses de
soporte tcnico, actualizaciones de firmas va Internet, y acceso al
laboratorio para el envo y solucin ante virus nuevos.

La interfaz de F-Secure se mantiene con respecto a aos anteriores, basada

en tareas predefinidas y en la posibilidad de aadir o editar nuevos trabajos
de anlisis, ello permite una distribucin y gestin centralizada,
especialmente til para redes corporativas.

Una vez ms, como es habitual, F-Secure obtuvo los mayores resultados en
las pruebas de deteccin, fruto de sumar la potencia de AVP y F-Prot en sus
anlisis. Se ha apreciado una mejora en la velocidad a la hora de escanear
grandes colecciones de virus, donde en comparaciones pasadas era
particularmente lento. En el apartado de compresin recoge los frutos del
motor de AVP que incorpora. No ha destacado en ninguna de las pruebas de
soporte, no contempla la potencia heurstica que llega a demostrar AVP en
su producto, y llama la atencin la ausencia de un mdulo especfico para
Internet que hace que caiga en los resultados de este apartado.

Por ahora, slo se ha traducido al idioma espaol el procedimiento de

instalacin del producto. Los manuales y la pgina web tambin se
encuentran en ingls.

Segn PC World,8 F-Secure es un antivirus con una gran experiencia. La

nueva versin se ha simplificado sensiblemente en cuanto a la interfaz de
usuario, pero ahora resulta poco intuitiva. Para encontrar la manera de
configurar el producto no hay que acudir al men de Inicio de Windows, sino
que es necesario seleccionar el icono que se encuentra en la esquina
derecha de la barra de tareas, y a continuacin pinchar en el botn de
Propiedades.

En F-Secure, la interfaz de usuario es excesivamente simple. No incluye un

panel de control.

Desde el men de inicio de Windows slo pueden iniciarse los anlisis del
disco, de disquete o de un determinado directorio. Una vez comenzado el
anlisis, el usuario debe tomar una decisin sobre cada uno de los virus que
encuentre. No puede seleccionarse una opcin para continuar hasta el final
sin arreglar los problemas, por que, si se escoge Cancelar, se detiene el
proceso de anlisis.

Desde las opciones, pueden seleccionarse los mtodos de anlisis a utilizar.

Se combinaron distintas opciones y, aun as, se obtuvo un resultado algo
inferior al resto de los programas analizados en el estudio. No obstante, el
resultado es ptimo, y por eso es un producto certificado por ICSA, que
asegura que es capaz de detectar ms de un 95% de los virus de la Wild
List.

El costo final del programa es algo elevado. Si se compara con el resto,

puede llegar a valer el doble de cualquier otro sistema antivirus. Por
ejemplo, en Espaa en todos los casos, el costo de los sistemas es inferior a
10.000 pesetas, en el caso de F-Secure asciende a 24.900.

El soporte y la actualizacin de producto son muy buenos. Para actualizarlo,

es necesario conectarse a Internet.

PC-CILLIN 7.5
PC-Cillin es la solucin para estaciones de trabajo Windows que propone
Trend Micro, una multinacional conocida por la calidad de sus soluciones
antivirus en el terreno de los servidores, toda una garanta para los usuarios
domsticos. Junto con el software, el usuario accede al servicio de
actualizaciones de patrones de virus y motor antivirus, puede inscribirse en
un servicio de noticias sobre virus junto con un calendario mediante un
Active Desktop que le mantendr informado en todo momento.

El interfaz de PC-Cillin es similar a Outlook en su concepcin, con una barra

de botones vertical que permite acceder a las distintas opciones. Se destaca
la posibilidad de poder enviar muestras sospechosas a partir de la misma
aplicacin y un mdulo para chequear el correo entrante.

Segn Hispasec,7 en las pruebas de deteccin PC-Cillin ha obtenido buenos

resultados, como era de esperar en un producto que utiliza las bases de
firmas de Trend Micro. Sin embargo, el resultado en el resto de pruebas fue
discreto; qued en los ltimos lugares en la prueba de instalacin en un
sistema infectado, no consigui detectar la muestra en el apartado de
heurstica, y se detectaron algunos problemas en el mdulo de anlisis por
Internet, en especial cuando se realiza a travs de un proxy por puertos no
estndares.

Lo primero que llama la atencin de este producto es la cantidad de

versiones para distintos entornos incluidas en el mismo CD. Ofrece
versiones para Solaris, Windows NT, Lotus Notes, Exchange, etc. Es un
producto multiplataforma.

Tambin dispone de diversos programas dentro de los CD de instalacin. Por

un lado, se instala el antivirus PC-Cillin, pero adems se encuentran
productos como ServerProtect, InterScan WebManager, ScanMail e InterScan
VirusWall. Todos ellos ofrecen una solucin conjunta para la seguridad de la
red.

En PC World,8 despus de realizar las pruebas, se obtuvo una respuesta alta

en lo relativo al nmero de virus detectados. De la misma manera, el
nmero de falsos positivos fue bastante bajo, y, en general, obtuvo una
buena valoracin en cuanto a fiabilidad.

La interfaz de usuario es muy amigable. Se parece un poco a Outlook, en

cuanto al sistema de mens de la izquierda de la ventana, al presentar una
barra de iconos grandes y distintas lengetas para seleccionar las opciones.

El producto se integra muy bien con el cliente de correo. Despus de la

instalacin, se activa la opcin de anlisis de los POP3 del equipo, por lo que
se analizar todo mensaje que llegue a partir de ese momento, sin importar
el cliente de correo que se emplee. En la versin de Exchange, la
integracin es todava mayor, porque se analizan los ficheros adjuntos a los
mensajes antes de que los reciba el usuario. Por otra parte, el Virus Wall es
capaz de analizar en tiempo real el trfico SMTP y FTP para buscar virus.
Evidentemente, este anlisis debe combinarse con el anlisis heurstico
durante el rastreo de un posible virus, pero, para entonces, no ser
necesario el anlisis de patrones.

PC-Cillin es un producto a considerar cuando conviven equipos UNIX y

Windows 2000 dentro de una empresa.

AVP
Fabricado por Kaspersky Lab, el AVP, de origen ruso, es uno de los productos
ms apreciados entre los entendidos por la potencia de su motor antivirus
en lo que toca a deteccin y desinfeccin. Junto con el software, se obtiene

soporte tcnico por correo electrnico y actualizaciones diarias de las bases

de virus durante un ao.

Segn Hispasec,7 AVP se destaca por presentar una de las interfaces ms

sencillas y prcticas. A su ya conocida potencia como motor antivirus, se
suman unos resultados excelentes a nivel de soporte, al ser el primero en
aportar una solucin para una infeccin por virus, as como ganar en la
contestacin a una consulta realizada mediante el correo, en ambos casos
con tiempos de respuesta sorprendentes. Su peor resultado fue en el
indicador de asistencia telefnica.

En el apartado tcnico, AVP volvi a obtener buenos resultados en las

pruebas de deteccin, tal y como ocurri en comparaciones pasadas. Fue,
junto con Norman, el primero en resolver con xito la instalacin en un
sistema infectado. Su heurstica tambin se ha mostrado acertada las veces
que se ha puesto a prueba, y su dominio en el apartado de soporte de
formatos de compresin es absoluto, muy por encima del resto en la prueba
de compresores de ejecutables. Su sencillez y potencia tiene en contra un
punto dbil que este ao qued demostrada: la ausencia de mdulos
especficos para analizar las vas de entrada desde Internet, con el
agravante de su conflicto con Outlook Express.

El estudio de PC World,8 no consider en su anlisis el AVP. Sin embargo, se

incluy en el presente trabajo, porque adems de que los resultados
obtenidos en Hispasec, fueron muy satisfactorios, se sabe que es un
antivirus muy utilizado a escala mundial, como se ha constatado en la
bibliografa consultada en Internet, y se encuentra muy difundido en Cuba,
donde cuenta con la aceptacin de muchos usuarios. Por ejemplo, en la
comparacin realizada por Calzn Fiestero en julio del 2002, basada en las
opiniones de los usuarios, expres "Si Kaspersky logra corregir de forma
eficiente el problema de la demora que su antivirus provoca, probablemente
vuelva a ser el lder indiscutible que para muchos fue su "anciano padre", el
AVP Gold."9

Existen muchos otros sistemas antivirus, algunos de ellos de renombre

internacional, como el Inoculate IT y AVG, pero al analizar la bibliografa
consultada sobre ellos,4,7,10 no se consider de importancia su inclusin en
este trabajo por no estar a la altura de los comparados. Por ejemplo, del
AVG se comenta lo siguiente: "En definitiva; un gil y aceptable antivirus
gratuito que poco tiene para envidiarle a otros que cobran por su licencia,
aunque an est algo lejos de los principales productos del gnero."9

Como resultado de la revisin efectuada con los estudios utilizados y otras

pginas especializadas, se pudo constatar que:

Los sistemas antivirus que mayor poder de deteccin han demostrado son:
Norton Antivirus (100 %), AVP (ms del 95 %), Panda (95 %), McAfee (94 %)
y Norman AV (93 %).
En cuanto a la deteccin de falsos positivos, los mejores fueron, el Norton
que no mostr ninguno y el McAfee con un 3 %. Sin embargo, hay otros con
un alto porcentaje, como el Norman AV que obtuvo un 15 %.
En cuanto a la integracin con el correo electrnico e Internet, se encuentra
el Norton, McAfee, aunque presenta algunos errores en la deteccin por
correo, el Panda, con mdulos especficos para correo e Internet, aunque
con algunos problemas de interaccin con Outlook Express. Sin embargo,
otros como el AVP, no presentan una buena integracin con Outlook Express
y para el anlisis de las vas de entrada desde Internet; el PC- Cillin tambin
presenta problemas con el mdulo de anlisis de Internet, el F-Secure no
tiene mdulo para el anlisis de Internet y el Norman no tiene integracin
con el correo.
A continuacin se resumen las caractersticas ms significativas de los
sistemas evaluados.

Sistema antivirus Ventajas

Desventajas

Norton
Es el segundo ms vendido en el mundo.
Mejor porcentaje de deteccin.
Interfaz sencilla.
Buena integracin con el correo y los navegadores de Internet.
Licencia del producto de por vida.
Al instalarse queda con todas las opciones habilitadas.
Respuesta rpida ante nuevos virus.
Algo dbil en la deteccin de troyanos y backdoors.
Problemas con la instalacin en sistemas infectados.
McAfee

Es el primero en ventas en el mundo.

Alta deteccin de virus con un 94 % de la Wildlist.
Buena integracin con el correo e Internet.
Rpida respuesta ante nuevos viru
Falta de sencillez en la interfaz, que puede confundir al usuario.
Presenta algunos fallos en la deteccin en correo
Sophos
Especializado en entornos corporativos.
Soporta varias plataformas
Interfaz sencilla.
Indice muy bajo de deteccin.
Es el nico sistema que no es capaz de desinfectar ejecutables.
Interfaz de configuracin compleja.
Funciones escasas de soporte por correo.
Norman AV
Se destaca en la instalacin sobre un sistema infectado.
Deteccin aceptable (93 %).
Al presentar una gran cantidad de productos especializados permite un gran
control cuando se utiliza por expertos.
Detect un 15 % de falsos positivos.
Interfaz de configuracin extensa y compleja.
Falta de integracin al correo.
Panda
Alta deteccin de virus, (segundo despus de Norton).
Mdulos especficos para correo e Internet con buena deteccin.
Menor porcentaje de deteccin de falsos positivos.
Problemas con Outlook Express.
Al instalarse, la opcin de anlisis heurstico queda deshabilitada y debe ser
el usuario quien la habilite.

F-Secure
Alta deteccin (> 95 %).
Util para redes corporativas, porque permite una distribucin y gestin
centralizada.
Interfaz muy simple, poco intuitiva.
No se destaca en diferentes plataformas.
No posee mdulo especfico para Internet.
El usuario debe tomar una decisin en cada virus encontrado.
El costo del producto es muy elevado y dobla el costo de casi todos los
dems sistemas.

PC-Cillin
Alta deteccin y bajo por ciento de falsos positivos.
Existen diferentes versiones para distintos entornos (multiplataforma).
Buena integracin con el correo.
Buenos resultados cuando se combina UNIX y Windows 2000 dentro de una
empresa.
Problemas en su instalacin en un sistema infectado.
Problemas en el mdulo de anlisis de Internet.
AVP (Karpesky)
Interfaz sencilla y prctica.
Alta deteccin de virus (ms del 95 %).
Se destaca en la instalacin sobre sistemas infectados.
Es altamente apreciado por la potencia de su motor de deteccin y
desinfeccin.
Excelente nivel de respuesta y rapidez en la solucin ante nuevos virus.
Ausencia de un mdulo especfico para analizar las vas de entrada desde
Internet.
Conflictos con Outlook Express.

Conclusiones

De acuerdo con el propsito de una empresa determinada en relacin con la

forma de trabajo de sus computadoras, es decir, el trabajo en redes o en
estaciones de trabajo independientes, puede concluirse:

Para el trabajo en redes, puede recomendarse el uso de los siguientes

sistemas antivirus: F-Secure, PC-Cillin, y el Norman Antivirus.
Para el uso de usuarios independientes, se recomienda: Norton Antivirus,
McAfee VirusScan, AVP y Panda.
No se recomienda el uso de Sophos por el bajo ndice de deteccin con
respecto a los dems sistemas evaluados. Adems, no es capaz de
desinfectar ficheros ejecutables, cualidades ambas de gran importancia en
cualquier sistema antivirus.
Anexo. Sitios de los fabricantes de los antivirus comparados el trabajo.

AntiViral Toolkit Pro (AVP) [Sitio en Internet]. Disponible en:

http://www.kaspersky.com
F-Secure Anti-Virus [Sitio en Internet]. Disponible en: http://www.fsecure.com
McAfee VirusScan [Sitio en Internet]. Disponible en: http://www.mcafee.com
Norman Virus Control [Sitio en Internet]. Disponible en:
http://www.norman.no
Norton Antivirus [Sitio en Internet]. Disponible en: http://www.symantec.com
Panda Platinum [Sitio en Internet]. Disponible en:
http://www.pandasoftware.es
PC-Cillin (Trend Micro) [Sitio en Internet]. Disponible en:
http://www.trendmicro.com
Sophos Antivirus [Sitio en Internet]. Disponible en: http://www.sophos.com

Referencias bibliogrficas

Pereira JE Sabas qu es un virus? Disponible en:

http://www.toptutoriales.com/underground/virus/virus2.htm# Acceso: 10 de
enero del 2003.
Periodismo en Internet. Suplemento Informtica 2.0. Disponible en:
http://old.clarin.com/suplementos/informatica/2003/04/23/f-549045.htm
Acceso: 10 de enero del 2003.
Mansn M. Estudio sobre virus informticos. Disponible en: http:
http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml
Acceso: 10 de enero del 2003.
Lpez JL. Cul antivirus elegir? Disponible en:
http://www.vsantivirus.com/comparativa.htm Acceso: 10 de enero del 2003.
Moreno Prez A. Conozca los distintos antivirus. Disponible en:
http://www.vsantivirus.com/am-conozcaav.htm Acceso: 10 de enero del
2003.
Programas antivirus McAfee VirusScan 95 v3, Norton Antivirus 4.0, Panda
Antivirus 5.0, Antivirus Anyware, F-PROT Professional 3.01, ThunderByte
Antivirus 8.03 y Dr. Solomon's Anti-Virus Toolkit. Disponible en:
http://www.idg.es/pcworld/articulo.asp?id=46864 Acceso: 10 de enero del
2003.
Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus Abril 2001.
Disponible en: http://www.hispasec.com Acceso: 10 de enero del 2003.
Contreras Mejuto G. Antivirus: no salga a Internet sin ellos F-Secure AntiVirus 5.0, McAfee VirusScan 5.15, Norman Virus Control 5.0, Panda Antivirus
Platinum 6.0, Symantec Norton Antivirus 2001, Sophos Anti-Virus Febrero
2001 y Trend Micro PC-cillin 7.5. Disponible en:
http://www.idg.es/pcworld/articulo.asp?id=119462 Acceso: 10 de enero del
2003.
Fiestero C. Comparativa antivirus para Space Saturn. Disponible en:
http://www.terra.es/personal/spsaturn/pr-Cmp_Sp1.htm Acceso: 6 de febrero
del 2003.
Comparativas software anti-virus. Diciembre 2002. Disponible en:
http://www.virusprot.com/Companti.html#Diciembre2002 Acceso: 6 de
febrero del 2003.
CIAO. Comparaciones. El mejor software anti-virus [Sitio en Internet]
Disponible en: http://www.ciao.es/ranking/El_Mejor_Software_Anti-Virus.html
Acceso: 6 de febrero del 2003.
AVG Antivirus. Disponible en:
http://ciudadfutura.com/mundopc/freeware/articulos/avg/avg1.htm Acceso:
2 de febrero del 2003.

Recibido: 7 de julio del 2003. Aprobado: 20 de julio del 2003

Lic. Luis Armas Montesino. Director Centro Territorial de Informacin de
Ciencias Mdicas, Artemisa, La Habana.
Hospital General Docente "Ciro Redondo" Calle 33 e/ 24 y 26, Artemisa, La
Habana, Cuba.
Correo electrnico: cpicmar@infomed.sld.cu
https://sites.google.com/site/sistemaoperativositcpop/virus-informatico