Sofware de Diagnóstico y Protección

Software de diagnóstico y protección
SOFTWARE MALIGNO
1. EL NUEVO ESCENARIO INFORMÁTICO
Uno de los cambios más sorprendentes del mundo de hoy es la rapidez de las
comunicaciones. Modernos sistemas permiten que el flujo de conocimientos sea
independiente del lugar físico en que nos encontremos. Ya no nos sorprende la
transferencia de información en tiempo real o instantáneo. Se dice que el
conocimiento es poder; para adquirirlo, las empresas se han unido en grandes redes
internacionales para transferir datos, sonidos e imágenes, y realizan el comercio en
forma electrónica, para ser más eficientes. Pero al unirse en forma pública, se han
vuelto vulnerables, pues cada sistema de computadoras involucrado en la red es un
blanco potencial y apetecible para obtener información.
Al unir una red a la Internet se tiene acceso a las redes de otras organizaciones
también unidas. Del universo de varias decenas de millones de computadoras
interconectadas, no es difícil pensar que puede haber más de una persona con
perversas intenciones respecto de una organización. Por eso, se debe tener la red
protegida adecuadamente.
Cada vez es más frecuente encontrar noticias referentes a que redes de importantes
organizaciones han sido violadas por criminales informáticos desconocidos. A pesar de
que la prensa ha publicitado que tales intrusiones son solamente obra de adolescentes
con propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado de
una desafortunada institución. A diario se reciben reportes los ataques a redes
informáticas, los que se han vuelto cada vez más siniestros: los archivos son alterados
subrepticiamente, las computadoras se vuelven inoperativas, se ha copiado
información confidencial sin autorización, se ha reemplazado el software para agregar
"puertas traseras" de entrada, y miles de contraseñas han sido capturadas a usuarios
inocentes.
Página 1 de 19
Los administradores de sistemas deben gastar horas y a veces días enteros volviendo a
cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la
confianza en la integridad del sistema. No hay manera de saber los motivos que tuvo el
intruso, y debe suponerse que sus intenciones son lo peor. Aquella gente que irrumpe
en los sistemas sin autorización, aunque sea solamente para mirar su estructura, causa
mucho daño, incluso sin que hubieran Ya pasaron los tiempos en que la seguridad de
las computadoras era sólo un juego o diversión.
2. ORIGEN DE ESTE TIPO DE SOFWARE
Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon
un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la
computadora), que se convirtió en el pasatiempo de algunos de los programadores de
los laboratorios Bell de AT&T. El juego consistía en que dos jugadores escribieran cada
uno un programa llamado organismo, cuyo hábitat fuera la memoria de la
computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar
una instrucción inválida, ganando el primero que lo consiguiera. Al término del juego,
se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran
severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo
suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera
surgieron los programas destinados a dañar en la escena de la computación.
Uno de los primeros registros que se tienen de una infección data del año 1987,
cuando en la Universidad estadounidense de Delaware notaron que tenían un virus
porque comenzaron a ver "© Brain" como etiqueta de los disquetes. La causa de ello
era Brain Computer Services, una casa de computación paquistaní que, desde 1986,
vendía copias ilegales de software comercial infectadas para, según los responsables
de la firma, dar una lección a los piratas. Ellos habían notado que el sector de booteo
de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez
que la máquina se inicializaba desde un disquete. Lograron reemplazar ese código por
Página 2 de 19
su propio programa, residente, y que este instalara una réplica de sí mismo en cada
disquete que fuera utilizado de ahí en adelante.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un

archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros
archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que podía
infectar cualquier archivo con extensión .COM.
Actualmente, los virus son producidos en cantidades extraordinarias por muchisima

gente alrededor del planeta. Algunos de ellos dicen hacerlo por divertimento, otros
quizás para probar sus habilidades. De cualquier manera, hasta se ha llegado a notar
un cierto grado de competitividad entre los autores de estos programas.
Con relación a la motivación de los autores de virus para llevar a cabo su obra, existe
en Internet un documento escrito por un escritor freelance Markus Salo, en el cual,
entre otros, se exponen los siguientes conceptos:
 Algunos de los programadores de virus, especialmente los mejores, sostienen

que su interés por el tema es puramente científico, que desean averiguar todo
lo que se pueda sobre virus y sus usos.
 A diferencia de las compañías de software, que son organizaciones

relativamente aisladas unas de otras (todas tienen secretos que no querrían
que sus competidores averiguaran) y cuentan entre sus filas con mayoría de
estudiantes graduados, las agrupaciones de programadores de virus están
abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y
pocas limitaciones. Además, son libres de seguir cualquier objetivo que les
parezca, sin temer por la pérdida de respaldo económico.
 El hecho de escribir programas vírales da al programador cierta fuerza

coercitiva, lo pone fuera de las reglas convencionales de comportamiento. Este
factor es uno de los más importantes, pues el sentimiento de pertenencia es
algo necesario para todo ser humano, y es probado que dicho sentimiento
pareciera verse reforzado en situaciones marginales.
 Por otro lado, ciertos programadores parecen intentar legalizar sus actos
poniendo sus creaciones al alcance de mucha gente, (vía Internet, BBS
Página 3 de 19
especializadas, etc.) haciendo la salvedad de que el material es peligroso, por lo

cual el usuario debería tomar las precauciones del caso.
 Existen programadores, de los cuales, generalmente, provienen los virus más

destructivos, que alegan que sus programas son creados para hacer notoria la
falta de protección de que sufren la mayoría de los usuarios de computadoras.
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe
destacar que su existencia no ha sido sólo perjuicios: gracias a ellos, mucha gente ha
tomado conciencia de qué es lo que tiene y cómo protegerlo.
3. PROGRAMAS MALIGNOS
En la siguiente figura tenemos una taxonomía general de los programas malignos. Por
una parte tenemos aquellos que necesitan un programa anfitrión y que son,
básicamente, fragmentos de programas que no tienen existencia independiente de un
programa de aplicación, de utilidad o del sistema. Por otro lado tenemos programas
independientes, es decir, programas que por sí mismos pueden ser planificados y
ejecutados por el sistema operativo.
Taxonomía de los programas malignos
Página 4 de 19
También se puede distinguir entre programas que no se reproducen y los que sí lo

hacen, generando una o más copias de sí mismos que se activarán, más tarde, en el
mismo sistema o en algún otro.
Para complicar la situación, podemos encontrar bombas lógicas o caballos de Troya

dentro de un virus o de un gusano.
Daremos una visión general de este tipo de software para después centrarnos en los
virus y en las medidas para contrarrestarlos:
3.1 TRAMPILLAS
Una trampilla es un punto de entrada a un programa que permite a alguien que la

conozca conseguir el acceso. Son utilizadas por los programadores para depurar y
probar los programas, evitando toda la configuración y autenticación necesarias. El
programador también puede querer asegurarse de que hay un método para activar el
programa en el caso de que algo vaya mal en el procedimiento de autenticación.
Las trampillas se convierten en amenazas cuando las emplean programadores
desaprensivos para conseguir el acceso no autorizado. Además, es difícil implementar

controles para las trampillas en el sistema operativo. Las medidas de seguridad deben
centrarse en el desarrollo de programas y en las actualizaciones del software.
3.2 BOMBA LÓGICA
Es uno de los tipos de amenaza más antiguos, anterior a los virus y gusanos. Se trata de
código incrustado en un programa legítimo que “explota” cuando se cumplen ciertas
condiciones, como la presencia o ausencia de ciertos archivos, un día concreto de la
semana, cuando un usuario en particular ejecuta la aplicación, etc.
Una vez disparada, la bomba podía modificar o borrar datos o archivos enteros, hacer
que la máquina se detuviese o causar algún otro daño.
Página 5 de 19
3.3 CABALLOS DE TROYA O TROYANOS
Técnicamente, los Troyanos no se consideran virus, ya que no se reproducen

infectando otros ficheros. Tampoco se propagan haciendo copias de sí mismo como
hacen los gusanos. Los troyanos son programas, en principio normales, pero que
esconden malas intenciones. A efectos prácticos, son tratados como virus y son
detectados y eliminados por los antivirus.
El objetivo básico de estos virus es la introducción e instalación de otros programas

en el ordenador, para permitir su control remoto desde otros equipos.
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la
mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin
embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el
troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la
capacidad de eliminar ficheros o destruir la información del disco duro. Pero además
pueden capturar y reenviar datos confidenciales a una dirección externa o abrir
puertos de comunicaciones, permitiendo que un posible intruso controle nuestro
ordenador de forma remota.
Vamos a ver el funcionamiento de un troyano con el ejemplo más famoso. Qaz era una
réplica del bloc de notas o notepad.exe de Windows. Escrito en Visual C+. Este troyano
sustituía el archivo original por una “nueva copia”.
La primera vez que lo arrancamos modifica el registro de Windows, para que cada vez
que se lanzase el sistema se ejecutase.
Al ejecutarse se propagaba por todas las unidades compartidas de nuestra red local.
Por si esto fuera poco, mandaba un e-mail a su autor, con nuestra dirección TCP/IP, y
dejaba un puerto TCP abierto.
Con estos datos el autor del virus podía entrar en nuestro sistema de forma remota, y
vagar a sus anchas por nuestro ordenador.
Este troyano se propagó bastante bien por la red, llegando incluso a entrar en la red de
Microsoft. Otros ejemplos de Troyanos: IRC.Sx2, Trifor
Página 6 de 19
3.4 GUSANOS
Son programas que emplean conexiones de la red para extenderse de un sistema a

otro. Una vez activos en un sistema, pueden comportarse como un virus, implantar
caballos de Trolla, etc.
Para reproducirse utilizan algún tipo de vehículo de la red. Por ejemplo:
 Servicio de correo electrónico: el gusano divulga una copia de sí mismo a otros

sistemas a través del correo
 Capacidad de ejecución remota: el gusano ejecuta una copia de sí mismo en

otro sistema.
 Capacidad de conexión remota: el gusano se conecta a un sistema remoto

como un usuario y después emplea órdenes para copiarse a sí mismo de un
sistema a otro.
Igual que los virus, los gusanos muestran una fase latente, una fase de propagación,
una fase de activación y una fase de ejecución.
Este tipo de virus suelen estar programados en Visual Basic Script, o son macros de
programas como Word.
Un gusano muy famoso fue I LOVE YOU. Creado por Onel de Guzmán, un filipino de 24
años. Programad en Visual Basic Script, tenía solamente 275 líneas de código. Su
funcionamiento era extremadamente sencillo, el usuario infectado recibía un correo
electrónico donde como asunto aparecía I LOVE YOU. Casi nadie es capaz de resistirse
a abrir un mensaje así. Este mensaje contenía un fichero vinculado, el I-LOVE-YOU-
LETTER.TXT. Al abrir este archivo, despertábamos el virus, y éste abría nuestra agenda,
y se autoenviaba a todos nuestros contactos de la libreta de direcciones.
El virus se extendió como la pólvora en pocas horas. Los efectos que provocó fue el
colapso total de la red, con millones de e-mails con el virus. Los servidores de correo
tuvieron que desconectarse, para evitar la saturación, colapsando la red por unas
horas. El gusano no era maligno, ya que no destruía ninguna información.
La forma de evitar estos gusanos en evitar abrir correos electrónicos de dudosa

procedencia.
Página 7 de 19
3.5 ZOMBIES
Es un programa que secretamente toma posesión de otro computador conectado a

Internet y lo utiliza para lanzar ataques que hacen difícil detectar a su creador.
3.6 VIRUS
Un virus es un programa con unas características especiales. Toma su nombre porque

su “modus operandi” se asemeja al de los virus biológicos.
Para que entre un virus en su sistema, simplemente tiene que ejecutar un programa
infectado por el virus, añadiendo nuevas “instrucciones” Estas “nuevas instrucciones”
son el propio virus.
Al ejecutar el programa infectado, sin darnos cuenta estamos “despertando” al virus.

Lo primero que hace es buscar una zona de memoria libre, para alojarse en ella y
empezar a trabajar desde ahí.
Una vez que se ha situado en memoria, el objetivo del virus es infectar todos los
programas que pueda. La mayoría de los virus solo afectan ficheros ejecutables. A
partir de este momento todos los programas que ejecute se irán infectando, y estos
atacaran a otros programas, y estos a otros, a otros, etc. La propagación del virus es
muy rápida, y en pocos días tendremos infectado el sistema completo.
Otra zona que suelen atacar es el sector de arranque del disco duro o de discos
flexibles. La estrategia consiste en alterar esta zona, para que nada más arrancar
nuestro sistema operativo, también y sin saberlo despertemos al virus.
Por último, falta el desenlace fatal: la activación de los virus. Todos los virus se activan
al cumplirse una condición, como que sea una determinada fecha, una determinada
hora, etc. Al provocarse la activación del virus puede pasar de todo, tenemos virus
como el 4 de Julio, que se activa el día de la independencia de los EE UU, que toca el
himno del este país, o el Viernes 13, que puede dañar la información de nuestro disco
duro.
Se pueden distinguir tres módulos principales en un virus informático:

Página 8 de 19
 Módulo de Reproducción
 Módulo de Ataque
 Módulo de Defensa
El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de

entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que
el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control
del sistema e infectar otras entidades permitiendo se traslade de una computadora a
otra a través de algunos de estos archivos.
El módulo de ataque es optativo. En caso de estar presente es el encargado de

manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus
Michelangelo, además de producir los daños que se detallarán más adelante, tiene un
módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo.
En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola
inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de

ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo
aquello que provoque la remoción del virus y retardar, en todo lo posible, su
detección.
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios
daños que pueden afectar a los sistemas. Nunca se puede asumir que un virus es
inofensivo y dejarlo "flotando" en el sistema
Página 9 de 19
3.6.1 TIPOS DE VIRUS.
Los virus informáticos se pueden clasificar siguiendo criterios muy diversos, una
posible clasificación es la siguiente:
Virus de fichero.
Utilizan los ficheros ejecutables (.EXE, .COM, .SYS, .OVL, ...) como medio de
transmitirse y tomar el control. Si se instalan en un programa de poco uso, no se carga
en RAM hasta que lo ejecutemos. Si es un virus de acción directa (tipo caballo de
Troya), ya está hecho el daño.
Por el contrario, si es del tipo de virus residente, lo primero que hace es ver si debe
activarse (si es 5 de enero en el caso del Barrotes). Si no es el momento adecuado, se
queda en RAM dedicándose a añadirse a todos los programas que ejecutemos.
Un síntoma de infección viral es el aumento del tamaño de los ficheros. Algunos virus
de fichero se instalan en el fichero infectado sobreescribiendose, por lo que el
programa queda con el mismo tamaño pero inutilizable. Son los llamados virus de
sobreescritura.
Los virus de compañía crean un nuevo fichero con el mismo nombre que el que hemos
ejecutado pero con la extensión .COM (los .COM tienen prioridad de ejecución sobre
los .EXE) en el que instala una copia suya. A continuación le pone el atributo de oculto
para que no se vea.
Los virus compresores se dedican a comprimir el fichero infectado. Estos pierden

tamaño y, además, es más difícil limpiar el virus ya que éste también queda
comprimido.
Un tipo raro de virus son los virus de enlace o de directorio que modifican el directorio
cambiando el número del primer cluster del fichero ejecutado por el de la ubicación
del virus y situando en un pseudodirectorio la dirección real. No se crean nuevas
copias del virus, sino que hace que todos los ficheros infectados pasen primero por la
única copia del virus y posteriormente, a través del pseudodirectorio, ejecuta el
fichero.
Página 10 de 19
Virus de BOOT.
Se instalan en el BOOT y la tabla de particiones de los discos. Se contagia al arrancar

con un disquete contaminado (aunque no sea de arranque). Una vez instalado en el
disco duro, se carga en RAM nada más encender el ordenador y se dedica a contagiar
los dispositivos de almacenamiento que utilicemos. Son altamente dañinos.
Virus de macro.
No infectan programas sino ficheros de datos de WORD (procesador de textos de

Windows). Dado que estos son los ficheros con los que se crean las páginas WEB de
Internet y los que se suelen usar en el correo electrónico, su difusión se ha ampliado
mucho en poco tiempo.
3.6.2 FASES EN LA VIDA DE UN VIRUS
En términos generales podemos considerar tres fases dentro del ciclo de vida de un
virus:
1. Infección: El virus llega al ordenador dentro de un programa contaminado en algún

disquete. El usuario ejecuta el programa y el virus toma el control del sistema
operativo. Si el virus está bien diseñado no afecta al funcionamiento normal del
programa infectado.
2. Latencia: Una vez infectado el sistema operativo comienza la fase de latencia. En

todo momento tiene el control de todo cuanto ocurre en el sistema, contaminando
todos aquellos programas que estén a su alcance (introduciendo una copia suya
dentro de ellos).
3. Activación: Una vez que se da una determinada circunstancia (p.e. una fecha) el
virus se activa y comienza su acción destructora, como puede ser el borrado de
ficheros, formateado de discos, o simplemente la aparición de objetos extraños y
molestos en pantalla.
Página 11 de 19
La etapa más característica es la de latencia, durante la cual se propaga la

infección. Si no fuese por ella, el efecto destructivo delataría demasiado pronto su
existencia, con lo que no tendría tiempo de propagar su especie.
3.6.3 DAÑOS OCASIONADOS POR LOS VIRUS. CLASIFICACIÓN.
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad
de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños
causados por los virus, de acuerdo a la gravedad de los mismos:
DAÑOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de
cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.
DAÑOS MENORES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes
13, todos los programas que uno trate de usar después de que el virus haya infectado
la memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevará alrededor de 30 minutos.
DAÑOS MODERADOS.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En
este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos
reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una
hora.
DAÑOS MAYORES.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar

desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último
estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta
archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega
Página 12 de 19
a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere
in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día
en que detectemos la presencia del virus y queramos restaurar el último backup
notaremos que también él contiene sectores con la frase, y también los backups
anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados
con posterioridad a ese backup.
DAÑOS SEVEROS.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y
progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la
frase Eddie lives ...).
DAÑOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la

clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no
son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los
privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces
realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
4. SÍNTOMAS TÍPICOS DE UNA INFECCIÓN.
Aunque los síntomas pueden ser muy diversos, a continuación se presenta una
pequeña muestra de estos:
 El sistema operativo o un programa toma mucho tiempo en cargar sin razón

aparente.
 El tamaño del programa cambia sin razón aparente.
Página 13 de 19
 El disco duro se queda sin espacio o informa de falta de espacio sin que esto
sea necesariamente así.
 En Windows aparece "32 bit error".
 La luz del disco duro en la CPU continua parpadeando aunque no se esté

trabajando ni haya protectores de pantalla activados. (Se debe tomar este
síntoma con mucho cuidado, porque no siempre es así).
 Aparecen archivos de la nada o con nombres y extensiones extrañas.
 Suena "clicks" en el teclado (este sonido es particularmente aterrador para

quien no está advertido).
 Los caracteres de texto se caen literalmente a la parte inferior de la pantalla

(especialmente en DOS).
 En la pantalla del monitor pueden aparecen mensajes absurdos tales como

"Tengo hambre. Introduce un Big Mac en el Drive A".
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o
con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los
archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles,
por lo que se debe destruir el archivo infectado.
5 PROTECCIÓN Y DESINFECCIÓN FRENTE AL SOFTWARE MALIGNO
Defenderse del ataque de los virus informáticos es una batalla con dos trincheras: el
objetivo principal es evitar el contagio, poniendo los medios necesarios para alejarnos
de cualquier foco de infección. Sin embargo, nunca podemos estar completamente a
salvo del peligro, por lo que debemos prepararnos para, en caso de contagio, atajar la
enfermedad de la manera más rápida posible y minimizar en lo posible sus efectos.
Página 14 de 19
Existen en el mercado multitud de utilidades de ayuda en el combate contra los virus

informáticos. A grandes rasgos, y según su manera de actuar, podemos catalogarlas en
tres grandes grupos: antivirus, comprobadores y vacunas.
Antivirus
Son los programas más conocidos y extendidos, y están dirigidos contra tipos
específicos de virus, siendo capaces de detectar y eliminar un número determinado de
ellos. Un antivirus funciona analizando los ficheros en busca de secuencias de bytes
características de un determinado virus. Si el código de un cierto virus contiene una
determinada cadena de caracteres, podemos explorar los ficheros de un disco en
busca de dicha cadena. Los ficheros que la contengan estarán, posiblemente,
infectados, por lo que el antivirus puede señalar su presencia al usuario.
Los antivirus son útiles para evitar el contagio (ya que podemos analizar cada disquete
que vayamos a introducir en el ordenador antes de ejecutar ninguno de los ficheros
que contenga), para detectar el contagio una vez producido y, en algunos casos, para
eliminar el virus de nuestros ficheros.
Para que un antivirus sea efectivo hay que mantenerlo actualizado.
Los antivirus suelen dividirse en dos programas:
- El antivirus propiamente dicho que podrá ejecutar el usuario cuando lo desee.
- Un centinela o vigilante que permanece residente en memoria vigilando al

sistema y que activa al antivirus en caso de detectar algo anómalo.
El inconveniente de este tipo de programas es que basta con que alguien realice algún
tipo de modificación sobre un virus detectable para que deje de serlo. En cualquier
caso, constituyen una herramienta útil para defendernos de los tipos de virus más
conocidos.
Comprobadores
Un comprobador es un programa que explora los ficheros del sistema o cualesquiera

otros para comprobar si han sido alterados, avisando al usuario en caso positivo. Al
instalar el comprobador, éste efectúa una serie de cálculos con los datos contenidos en
los ficheros, guardando el resultado en un fichero especial. Posteriormente, cada vez
Página 15 de 19
que lo deseemos, podemos volver a pasar el comprobador para ver si los resultados
obtenidos coinciden con los que teníamos guardados de la última vez. Si hay alguna
discrepancia, entonces es que alguien (posiblemente un virus) ha modificado los
ficheros. Este tipo de comprobación es lo que se conoce con el nombre de técnicas de
fotografía.
Los comprobadores, al revés que los antivirus, no son específicos de un virus

determinado, sino que permiten detectar cualquier alteración en un fichero,
independientemente de quien la haya producido. La desventaja que poseen es que
permiten detectar una infección, pero no prevenirla.
Vacunas
Su objetivo es intentar prevenir la infección antes de que llegue a producirse. Para ello,
actúan con las mismas armas con que lo hacen los virus: tomando el control del
sistema operativo.
Un programa vacuna se instala al encender el ordenador y queda residente en

memoria. A partir de ese momento, analiza cualquier acceso al disco que se ejecute
(además de otras operaciones). Si detecta, por ejemplo, que un programa está
intentando modificar el fichero COMMAND.COM, interrumpe su ejecución y nos avisa
de lo que está sucediendo, preguntándonos si autorizamos la operación.
Estos programas son unas de las herramientas más eficaces de lucha contra los virus,
aunque tampoco están exentos de limitaciones. En primer lugar, no pueden hacer
nada frente a virus que no hagan uso de las interrupciones BIOS o DOS (cualquier virus
que acceda de forma directa al hardware del controlador de disco no será detectado);
además, para que la vacuna comience a actuar es necesario ejecutarla antes, y, en
consecuencia, cualquier virus que se ejecute antes de cargar la vacuna no será
detectado por ésta (en particular, las vacunas no pueden hacer nada contra los virus
que infectan el boot record). En tercer lugar, para hacer frente a los virus más
complejos es necesario complicar a su vez la vacuna, para que ésta sea capaz de
supervisar más tipos de posibles síntomas. El incluir un gran número de síntomas como
posibles indicios de la existencia de un virus hace que el detector de la vacuna salte
con mucha frecuencia al ejecutar programas completamente sanos.
Página 16 de 19
6. ALGUNOS ANTIVIRUS
<< a desarrollar por el alumnado – detallado en el enunciado de la práctica >>
7 ALGUNOS VIRUS CURIOSOS
<< a desarrollar por el alumnado – detallado en el enunciado de la práctica >>
8. CONCLUSIONES
En razón de lo expresado pueden extraerse algunos conceptos que pueden

considerarse necesarios para tener en cuenta en materia de virus informáticos:
No todo lo que afecte el normal funcionamiento de una computadora es un virus.
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
Es imprescindible contar con herramientas de detección y desinfección.
NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras
debería tratar de implementar estrategias de seguridad antivirus, no sólo para
proteger su propia información sino para no convertirse en un agente de dispersión de
algo que puede producir daños graves e indiscriminados.
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y LIBRE DE VIRUS: Un disco

que contenga el sistema operativo ejecutable (es decir, que la máquina pueda ser
arrancada desde este disco) con protección contra escritura.
POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO: Se puede considerar

actualizado a un antivirus que no tiene más de tres meses desde su fecha de creación
(o de actualización del archivo de strings).
Página 17 de 19
UNA FUENTE DE INFORMACIÓN SOBRE VIRUS ESPECÍFICOS: Es decir, algún programa,

libro o archivo de texto que contenga la descripción, síntomas y características de por
lo menos los cien virus más comunes.
UN PROGRAMA DE RESPALDO DE ÁREAS CRÍTICAS: Algún programa que obtenga

respaldo (backup) de los sectores de arranque de los disquetes y sectores de arranque
maestro (MBR, Master Boot Record) de los discos rígidos. Muchos programas antivirus
incluyen funciones de este tipo.
LISTA DE LUGARES DÓNDE ACUDIR: Una buena precaución es no esperar a necesitar

ayuda para comenzar a buscar quién puede ofrecerla, sino ir elaborando una agenda
de direcciones, teléfonos y direcciones electrónicas de las personas y lugares que
puedan servirnos más adelante. Si se cuenta con un antivirus comercial o registrado,
deberán tenerse siempre a mano los teléfonos de soporte técnico.
TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos más
importantes, además, se recomienda respaldar todos los archivos ejecutables. Para
archivos muy importantes, es bueno tener un respaldo doble, por si uno de los discos
de respaldo se daña. Los respaldos también pueden hacerse en cinta (tape backup),
aunque para el usuario normal es preferible hacerlo en discos, por el costo que las
unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no
haya sido previamente utilizado debe ser revisado, inclusive los programas originales
(pocas veces sucede que se distribuyan discos de programas originales infectados,
pero es factible) y los que se distribuyen junto con revistas de computación.
REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se haya
prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan
archivos de datos, deben ser revisados antes de usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O REDES: Una
de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales
es común la transferencia de archivos, pero no siempre se sabe desde dónde se está
recibiendo información.
Página 18 de 19
REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se puede considerar que una buena

frecuencia de análisis es, por lo menos, mensual.
Página 19 de 19

Sofware de Diagnóstico y Protección

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sofware de Diagnóstico y Protección

Cargado por

Copyright:

Formatos disponibles

Software de diagnóstico y protección

1. EL NUEVO ESCENARIO INFORMÁTICO

2. ORIGEN DE ESTE TIPO DE SOFWARE

También en 1986, un programador llamado Ralf Burger se dio cuenta de que un

Actualmente, los virus son producidos en cantidades extraordinarias por muchisima

 Algunos de los programadores de virus, especialmente los mejores, sostienen

 A diferencia de las compañías de software, que son organizaciones

 El hecho de escribir programas vírales da al programador cierta fuerza

especializadas, etc.) haciendo la salvedad de que el material es peligroso, por lo

 Existen programadores, de los cuales, generalmente, provienen los virus más

Taxonomía de los programas malignos

También se puede distinguir entre programas que no se reproducen y los que sí lo

Para complicar la situación, podemos encontrar bombas lógicas o caballos de Troya

Una trampilla es un punto de entrada a un programa que permite a alguien que la

Las trampillas se convierten en amenazas cuando las emplean programadores

desaprensivos para conseguir el acceso no autorizado. Además, es difícil implementar

3.2 BOMBA LÓGICA

3.3 CABALLOS DE TROYA O TROYANOS

Técnicamente, los Troyanos no se consideran virus, ya que no se reproducen

El objetivo básico de estos virus es la introducción e instalación de otros programas

Son programas que emplean conexiones de la red para extenderse de un sistema a

Para reproducirse utilizan algún tipo de vehículo de la red. Por ejemplo:

 Servicio de correo electrónico: el gusano divulga una copia de sí mismo a otros

 Capacidad de ejecución remota: el gusano ejecuta una copia de sí mismo en

 Capacidad de conexión remota: el gusano se conecta a un sistema remoto

La forma de evitar estos gusanos en evitar abrir correos electrónicos de dudosa

Es un programa que secretamente toma posesión de otro computador conectado a

Un virus es un programa con unas características especiales. Toma su nombre porque

Al ejecutar el programa infectado, sin darnos cuenta estamos “despertando” al virus.

Se pueden distinguir tres módulos principales en un virus informático:

El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de

El módulo de ataque es optativo. En caso de estar presente es el encargado de

El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de

3.6.1 TIPOS DE VIRUS.

Los virus compresores se dedican a comprimir el fichero infectado. Estos pierden

Se instalan en el BOOT y la tabla de particiones de los discos. Se contagia al arrancar

No infectan programas sino ficheros de datos de WORD (procesador de textos de

3.6.2 FASES EN LA VIDA DE UN VIRUS

1. Infección: El virus llega al ordenador dentro de un programa contaminado en algún

2. Latencia: Una vez infectado el sistema operativo comienza la fase de latencia. En

La etapa más característica es la de latencia, durante la cual se propaga la

3.6.3 DAÑOS OCASIONADOS POR LOS VIRUS. CLASIFICACIÓN.

Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la

4. SÍNTOMAS TÍPICOS DE UNA INFECCIÓN.

 El sistema operativo o un programa toma mucho tiempo en cargar sin razón

 El tamaño del programa cambia sin razón aparente.

 En Windows aparece "32 bit error".

 La luz del disco duro en la CPU continua parpadeando aunque no se esté

 Aparecen archivos de la nada o con nombres y extensiones extrañas.

 Suena "clicks" en el teclado (este sonido es particularmente aterrador para

 Los caracteres de texto se caen literalmente a la parte inferior de la pantalla

 En la pantalla del monitor pueden aparecen mensajes absurdos tales como

5 PROTECCIÓN Y DESINFECCIÓN FRENTE AL SOFTWARE MALIGNO

Existen en el mercado multitud de utilidades de ayuda en el combate contra los virus

Para que un antivirus sea efectivo hay que mantenerlo actualizado.

Los antivirus suelen dividirse en dos programas:

- El antivirus propiamente dicho que podrá ejecutar el usuario cuando lo desee.

- Un centinela o vigilante que permanece residente en memoria vigilando al

Un comprobador es un programa que explora los ficheros del sistema o cualesquiera

Los comprobadores, al revés que los antivirus, no son específicos de un virus

Un programa vacuna se instala al encender el ordenador y queda residente en

<< a desarrollar por el alumnado – detallado en el enunciado de la práctica >>

7 ALGUNOS VIRUS CURIOSOS