ÍNDICE
1. Historia
2. Definición de virus informático
3. Características
4. Acciones
4.1. En hardware
4.2. En software
5. Tipos
5.1. Clasificación por el modo en que actúan
6. Técnicas para la detección de virus informáticos
6.1. Scanning o rastreo
6.2. Comprobación de suma o CRC
6.3. Programas de vigilancia
6.4. Búsqueda heurística
7. Los virus más peligrosos
8. Formas de prevención
8.1. Activos
8.2. Pasivos
9. ¿Qué antivirus elegir para mayor seguridad en el ordenador?
9.1. ¿Qué se debe tener en cuenta para calificar un antivirus?
9.2. Programas Antivirus
9.2.1. Estructura de un programa antivirus
9.2.2. Características que debe poseer un sistema antivirus
9.3. ¿Por qué un antivirus es mejor que otro?
9.4. Comparación de los mejores antivirus
10. Situación Actual de los Virus Referencias Bibliográficas
11. Conclusiones
12. Referencias Bibliográficas1. Historia
Wikipedia (2007), señala que el primer virus atacó a una máquina IBM Serie 360 (y reconocido como tal). Fue llamado Creeper, creado en el año 1972. Este programa emitía periódicamente en la pantalla el mensaje: «I'm a creeper... catch me if you can!» (¡Soy una enredadera... agárrame si tú puedes!). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (cortadora).
No obstante, el término virus no se adoptaría hasta el año 1984, pero éstos ya existían desde antes. Se iniciaron en los laboratorios de Bell Computers. Cuatro programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron un juego llamado Core War, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible.
Luego de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en un correo electrónico.
Machado (2001) indica que:
“Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con el advenimiento y auge de Internet. A continuación, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras.
En 1939, el famoso científico matemático húngaro John Louis Von Neumann, escribió un artículo, que fue publicado en una revista científica de New York, aclarando su "Teoría y organización de autómatas complejos", en la cual demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura.
En 1944 contribuyó en forma directa con John Mauchly y J. Presper Eckert, asesorándolos en la fabricación de la ENIAC, una de las computadoras de Primera Generación, quienes construyeran además la famosa UNIVAC en 1950.
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachusetts Technology Institute (MIT), entre otros.
En Agosto de 1981 la International Business Machine (IBM) lanza al mercado su primera computadora personal (PC), simplemente llamada IBM PC. Un año antes, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".
Es cuando oportunamente aparece Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS.
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs).
La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier programa con extensión EXE o COM.
Keneth Thompson, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un foro de debates de la ahora revista BYTE reportaron la presencia y propagación de algunos programas que habían ingresado a sus computadoras en forma subrepticia, actuando como "caballos de Troya", logrando infectar a otros programas y hasta el propio sistema operativo, principalmente al Sector de Arranque.
En 1986 se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones.
En 1986 se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los diskettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.
El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus, difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massachusetts).
Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario.
Actualmente es un experto en Seguridad y ha escrito innumerables obras sobre el tema.
En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo en el cual, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones.
Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional.
Continuando con la lógica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción.
Los gusanos, troyanos o la combinación de ellos, de origen alemán como MyDoom, Netsky, etc. revolucionaron con su variada técnica.
No podemos dejar de mencionar la famosa "Ingeniería Social", culpable de que millones de personas caigan en trampas, muchas veces ingenuas. Los BOT de IRC y a finales del 2005 los temibles Rootkit.
Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresión cultural de "graffiti cibernético", así como los crackers jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha entre el bien y el mal ahora se ha extendido al ciber espacio”.
2. Definición de Virus Informático
Cohen (1984) señaló que se denomina virus informático a todo programa capaz de infectar a otros programas, a partir de su modificación para introducirse en ellos. A su vez, planteó la imposibilidad de desarrollar un programa que fuera capaz de detectar y eliminar todos los virus informáticos.
Harley (2002) define a los virus informáticos como un malware (software malicioso) que altera el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, normalmente, reemplazan archivos ejecutables por otros infectados con su código. Los virus pueden destruir, de manera intencionada, los datos almacenados en una PC, aunque también existen otros más inofensivos, que solo ocasionan molestias.
Este software constituye una amenaza muy seria; se propaga más rápido de lo que se tarda en solucionarlo. Por ello es necesario que los usuarios se mantengan informados acerca de los virus, huyendo de la ignorancia que les han permitido crecer hasta llegar a ser un grave problema.
Armas (2003) afirma que un virus es un pequeño programa capaz instalarse en la computadora de un usuario sin que este tenga conocimiento o haya autorizado algún permiso. Se dice que es un programa parásito porque ataca a los archivos o sectores de "booteo" y se replica para continuar su esparcimiento.
Algunos solamente se limitan a replicarse, pero hay otros que pueden producir serios daños a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema. Ellos tienen diferentes finalidades. Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: propagarse.
3. Características
Ingaramo (2007) nos señala las siguientes características:
· Los virus pueden infectar múltiples archivos de la computadora infectada (y la red a la que pertenece): Debido a que algunos virus residen en la memoria, tan pronto como un disquete o programa es cargado en la misma, el virus se “suma” o “adhiere” a la memoria misma y luego es capaz de infectar cualquier archivo de la computadora a la que tuvo acceso.
· Pueden ser Polimórficos: Algunos virus tienen la capacidad de modificar su código, lo que significa que un virus puede tener múltiples variantes similares, haciéndolos difíciles de detectar.
· Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un virus es capaz de ser residente, es decir que primero se carga en la memoria y luego infecta la computadora. También puede ser "no residente", cuando el código del virus es ejecutado solamente cada vez que un archivo es abierto.
· Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarán ellos mismos a archivos de la computadora y luego atacarán el ordenador, esto causa que el virus se esparza más rápidamente.
· Los virus pueden traer otros virus: Un virus puede acarrear otro virus haciéndolo mucho mas letal y ayudarse mutuamente a ocultarse o incluso asistirlo para que infecte una sección particular de la computadora.
· Pueden hacer que el sistema nunca muestre signos de infección: Algunos virus pueden ocultar los cambios que hacen, haciendo mucho más difícil que el virus sea detectado.
· Pueden permanecer en la computadora aún si el disco duro es formateado: Si bien son muy pocos los casos, algunos virus tienen la capacidad de infectar diferentes porciones de la computadora como el CMOS o alojarse en el MBR (sector de booteo).
No todos los virus presentarán estas características.
4. Acciones Bello y Alfonso (2003) consideran que las acciones que realizan los virus se da en base al hardware y software.
4.1. En hardware
·Borrar el BIOS (Chernobyl (W95.CIH): Intenta reescribir el BIOS de la PC lo que obliga a cambiar la motherboard.
·Formatear el disco rígido (FormatC): Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rígido.
·Borrar la FAT (tabla de partición de archivos), Chernobyl (W95.CIH): Borra el primer Mb del disco duro, donde se encuentra la FAT. Obliga a formatear el disco duro. Además intenta reescribir el BIOS de la PC lo que obliga a cambiar la motherboard. Se activa el 26 de abril. Michelangelo: Virus del sector de arranque. Se activa el 6 de marzo.
·Sobrescribe la FAT, deja el disco inutilizable.
·Alterar el MBR (Master Boot Record), Troj/Killboot.B. Troyano que borra el MBR llenándolo de ceros.
4.2. En software
·Modificar programas y datos (virus Black Box: agrega un número de bytes a los programas infectados.)
Eliminar programas y datos (Melissa: Macrovirus de Word). Se envía a sí mismo por correo. Daña todos los archivos
·DOC; virus JERUSALEM: borra, los viernes 13, todos los programas que el usuario trate de utilizar después de haberse infectado la memoria residente.
·Agotar el espacio libre del disco rígido.
·Demorar el trabajo del sistema.
·Sustraer información confidencial (Mighty: gusano para Linux: Troj/Backdoor.Netdex.A: troyano, W32/Daboom): gusano de Internet, caballo de Troya tipo RAT.
·Producir mensajes o efectos extraños en pantalla (WinWord.Concept): Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y el WORD funciona incorrectamente.
·Emitir música o ruidos (virus FORM): el día 18 de cada mes cualquier tecla que se presione hace sonar el beep.
Por su parte Harley (2002) indica que los virus realizan las siguientes acciones:
·Los virus se unen a un programa que se encuentra instalado en la PC permitiendo su propagación.
·Muestran en la pantalla mensajes o imágenes humorísticas, que por lo general son causantes de molestias para los usuarios.
·Ralentizan o bloquean el ordenador.
·Destruyen la información almacenada en el disco, en algunos casos vital para el sistema, que impedirá el funcionamiento del equipo.
·Reducen el espacio en el disco.
·Molestan al usuario cerrando ventanas, moviendo el ratón...
5. Tipos
De todos los autores con los que yo he consultado en los diversos portales web, así como en los libros, he considerado conveniente tomar como manera más acertada de clasificar los virus, los siguientes:
Bello y Alfonso (2003) afirman que existen cinco tipos de virus conocidos:
·Virus que infectan archivos: atacan a los archivos de programa. Normalmente infectan el código ejecutable, contenido en archivos .COM y .EXE, por ejemplo. También pueden infectar otros archivos cuando se ejecuta un programa infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus están residentes en memoria. Una vez que la memoria se infecta, cualquier archivo ejecutable que no esté infectado pasará a estarlo.
· Virus del sector de arranque: infectan el área de sistema de un disco, es decir, el registro de arranque de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los que sólo contienen datos) tienen un pequeño programa en el registro de arranque que se ejecuta cuando se inicia el equipo. Los virus del sector de arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos virus están residentes en memoria por naturaleza. La mayoría se crearon para DOS, pero todos los equipos, independientemente del sistema operativo, son objetivos potenciales para este tipo de virus. Para que se produzca la infección basta con intentar iniciar el equipo con un disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estén protegidos contra escritura quedarán infectados al acceder a ellos.
·Virus del sector de arranque maestro: residen en memoria e infectan los discos de la misma forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar en que se encuentra el código vírico. Los virus del sector de arranque maestro normalmente guardan una copia legítima de dicho sector de arranque en otra ubicación.
·Virus múltiples: infectan tanto los registros de arranque como los archivos de programa. Son especialmente difíciles de eliminar. Si se limpia el área de arranque, pero no los archivos, el área de arranque volverá a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del área de arranque, los archivos que se limpiaron volverán a infectarse.
·Virus de macro: atacan los archivos de datos.
En una revista cubana Armas (2003) plantea que existen los siguientes tipos de virus:
·Virus de macros/código fuente. Se adjuntan a los programas fuente de los usuarios y a las macros utilizadas por: procesadores de palabras (Word, Works, WordPerfect), hojas de cálculo (Excel, Quattro, Lotus), etcétera.
·Virus mutantes. Son los que, al infectar, realizan modificaciones a su código, para evitar su de detección o eliminación (NATAS o SATÁN, Miguel Ángel, por mencionar algunos).
·Gusanos. Son programas que se reproducen y no requieren de un anfitrión, porque se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se ubican en una determinada dirección, luego se copian a otro lugar y se borran del que ocupaban y así sucesivamente. Borran los programas o la información que encuentran a su paso por la memoria, causan problemas de operación o pérdida de datos.
·Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y de acuerdo con una indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones.
·Bombas de tiempo. Son los programas ocultos en la memoria del sistema, en los discos o en los archivos de programas ejecutables con tipo COM o EXE, que esperan una fecha o una hora determinada para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que los contiene.
·Autorreplicables. Son los virus que realizan las funciones mas parecidas a los virus biológicos, se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programada o cada determinado tiempo, a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus llamado Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), para evitar que lo detecten.
·Infectores del área de carga inicial. Infectan los disquetes o el disco duro, se alojan inmediatamente en el área de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo.
·Infectores del sistema. Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del sistema operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el sistema operativo y es así como el virus adquiere el control para infectar todo disco que se introduzca a la unidad con la finalidad de copiarlo o simplemente para revisar sus carpetas.
·Infectores de programas ejecutables. Estos son los virus más peligrosos, porque se diseminan fácilmente hacia cualquier programa como hojas de cálculo, juegos, procesadores de palabras.
La infección se realiza al ejecutar el programa que contiene al virus, que, en ese momento, se sitúa en la memoria de la computadora y, a partir de entonces, infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos mediante su autocopia.
Aunque la mayoría de estos virus ejecutables "marcan" con un byte especial los programas infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos, como el de Jerusalén, se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.
5.1. Clasificación por el modo en que actúan
En la literatura revisada, se encontraron distintas clasificaciones según el modo en que los virus infectan:
·Programa: Infectan archivos ejecutables como .com / .exe / .ovl / .drv / .sys / .bin
·Boot: Infectan los sectores Boot Record, Master Boot, FAT y la tabla de partición.
·Múltiples: Infectan programas y sectores de "booteo".
·Bios: Atacan al Bios para desde allí reescribir los discos duros.
·Hoax: Se distribuyen por correo y la única forma de eliminarlos es el uso del sentido común. Al respecto, se trata de virus que no existen y que se utilizan para aterrar a los novatos especialmente en Internet a pesar que los rumores lo muestran como algo muy serio y, a veces, la prensa especializada toma la información. Por lo general, como se expresó, la difusión se hace por cadenas de correo con terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se relacionan una serie de supuestos "virus", por lo que es aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos para continuar con la cadena, porque se crearon precisamente para producir congestionamiento en Internet.
Los virus stealth (invisibles) engañan a los software antivirus. Esencialmente, un virus de este tipo conserva información sobre los archivos que ha infectado y después espera en memoria e intercepta cualquier programa antivirus que busque archivos modificados y le ofrece la información antigua en lugar de la nueva.
Los virus polimórficos se alteran sólo cuando se duplican, de modo que el software antivirus que busca comportamientos específicos no encontrará todas las apariciones de los virus; los que sobreviven pueden seguir duplicándose.
Por su lado Cohen (1984) plantea una manera diferente con respecto a la tipología de virus; argumenta que:
“La clasificación de los virus es muy variada. Pueden agruparse por la entidad que parasitan -sector de arranque o archivos ejecutables-, por su grado de dispersión a escala mundial, por su comportamiento, por su agresividad, por sus técnicas de ataque o por la forma en que se ocultan. Clasificó a los nacientes virus de computadoras en tres categorías:
1. Caballos de Troya (Troyan horses). Son impostores, es decir, archivos que parecen benignos pero que, de hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que estos no se replican. Estos tipos de virus contienen códigos dañinos que, cuando se activan, provocan pérdidas o incluso robo de datos. Para que un caballo de Troya se extienda es necesario dejarlo entrar en el sistema, por ejemplo, al abrir un archivo adjunto de correo.
2. Gusanos (worms); estos son programas que se replican de sistema a sistema, sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga. Normalmente el gusano generará un documento que contendrá la macro del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el documento completo debe considerarse como gusano.
3. Virus”.
6. Técnicas para la detección de virus informáticos
El autor ya antes mencionado, Armas (2003), nos plantea que existen diferentes técnicas para la detección de los virus informáticos:
6.1. Scanning o rastreo: Fue la primera técnica que se popularizó para la detección de virus informáticos, y que todavía se utiliza -aunque cada vez con menos eficiencia. Consiste en revisar el código de todos los archivos ubicados en la unidad de almacenamiento - fundamentalmente los archivos ejecutables - en busca de pequeñas porciones de código que puedan pertenecer a un virus informático.
La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe aislarse por el usuario y enviarse al fabricante de antivirus, la solución siempre será a posteriori: es necesario que un virus informático se disperse considerablemente para que se envíe a los fabricantes de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identifica y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una gran dispersión, lapso en el que puede causar graves daños sin que pueda identificarse.
Otro problema es que los sistemas antivirus deben actualizarse periódicamente debido a la aparición de nuevos virus. Sin embargo, esta técnica permite identificar rápidamente la presencia de los virus más conocidos y, al ser estos los de mayor dispersión, posibilita un alto índice de soluciones.
6.2. Comprobación de suma o CRC (Ciclyc Redundant Check): Es otro método de detección de virus. Mediante una operación matemática que abarca a cada byte del archivo, generan un número (de 16 ó 32 bytes) para cada archivo. Una vez obtenido este número, las posibilidades de que una modificación del archivo alcance el mismo número son muy pocas. Por eso, es un método tradicionalmente muy utilizado por los sistemas antivirus. En esta técnica, se guarda, para cada directorio, un archivo con los CRC de cada archivo y se comprueba periódicamente o al ejecutar cada programa. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca. Además, los virus más modernos, para ocultarse, buscan los ficheros que generan los programas antivirus con estos cálculos de tamaño. Una vez encontrados, los borran o modifican su información.
6.3. Programas de vigilancia: Ellos detectan actividades que podrían realizarse típicamente por un virus, como la sobreescritura de ficheros o el formateo del disco duro del sistema. En esta técnica, se establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad, se efectúa automáticamente una comprobación de suma y, si se detectan programas infectados, no se permite que se ejecuten.
6.4. Búsqueda heurística: Es otra técnica antivirus que evita la búsqueda de cadenas. Con ella, se desensambla el programa y se ejecuta paso a paso, a veces mediante la propia CPU. De ese modo, el programa antivirus averigua qué hace exactamente el programa en estudio y realiza las acciones oportunas. En general, es una buena técnica si se implementa bien, aunque el defecto más importante es la generación de falsas alarmas, que no se tiene la certeza de que un programa sea un virus en función de su comportamiento. La mayoría de los virus nuevos evitan directamente la búsqueda heurística modificando los algoritmos, hasta que el programa antivirus no es capaz de identificarlos.
A pesar de utilizar estas cuatro técnicas, ningún programa puede asegurar la detección del ciento por ciento de los virus.
La calidad de un programa antivirus no sólo se demuestra por el número de virus que es capaz de detectar, sino también por el número de falsas alarmas que produce, es decir, cuando el programa antivirus estima que ha localizado un virus y en realidad se trata de un fichero sano (falso positivo). Puede ocurrir que un fichero presente una combinación de bytes idéntica a la de un virus, y el programa antivirus indicaría que ha detectado un virus y trataría de borrarlo o de modificarlo.
7. Los virus más peligrosos
García (2009) nos ofrece un informe de los virus informáticos más peligrosos de la historia; el primer puesto lo ocupa el virus conocido como 'Viernes 13' o 'Jerusalem', que fue creado en el año 1988 en Israel y tenía como consecuencia que cada vez que un programa se ejecutaba un Viernes 13, automáticamente se eliminaba de la PC. Según Panda (Programa Antivirus): “Supuestamente conmemoraba el cuarenta aniversario del Estado Judío en la ciudad de Jerusalem.” A este, le sigue 'Barrotes', un virus español y probablemente el más popular de aquella nación, aparecido por primera vez en el año 1993. Aunque no hacía su aparición al momento de haberse infectado, el 5 de enero se activaba y comenzaban a aparecer barras en el monitor.
Le sigue el virus nombrado 'Cascade' o 'Falling Letters' que, al activarse, producía que las letras en pantalla comiencen a caer en forma de cascada. Así también, 'CIH' o 'Chernobyl', nacido en el año 1998 en Taiwán, solo tardó una semana en expandirse a miles de ordenadores alrededor del mundo.
Por otro lado, Melissa fue el primer virus que introdujo mensajes sociales, algo que en la actualidad sucede con frecuencia. Apareció en 1999 en Estados Unidos y al llegar al correo leía un mensaje similar a: “Aquí esta el documento que pediste, no se lo enseñes a nadie.” También podemos mencionar IloveYou del año 2000 que logró infectar a millones de ordenadores y hasta al mismísimo Pentágono. Seguido por 'Klez', uno particularmente excéntrico que solo infectaba los días 13 de meses impares. 'Nimda' (“admin” al revés), por otro lado, era capaz de crear privilegios de administrador. SQLSlammer, tal como lo dice su nombre, logró infectar más de medio millón de servidores en cuestión de días... una pesadilla para cualquier empresa.
El décimo puesto le pertenece a 'Blaster', que transmitía un claro mensaje: “Billy Gates, ¿por qué haces posible esto? Para de hacer dinero y arregla tu software.” A este le sigue, Bagle y se conoce por ser uno de los virus con más variantes diferentes. También, Netsky, nacido en Alemania en 2004, lograba explotar una vulnerabilidad en Internet Explorer. Finalmente, llegamos a Conficker, el último de la lista y también el más reciente cronológicamente. Apareció en 2008 y, por alguna razón, si tenías el teclado configurado en ucraniano, no te afectaba. Suponemos que el muchacho era ucraniano y no quería que sus buenos compatriotas sufran lo que sufrió el resto del mundo... ¡o simplemente le pareció divertido y ya!
La lista entera está compuesta por: Jerusalem, Barrotes, Cascade, Chernobyl, Melissa, IloveYou, Klez, Nimda, SQLSlammer, Blaster, Sobig, Bagle, Netsky, Conficker. Estos son los 14 virus más peligrosos de los últimos 20 años, según Panda Security.
8. Formas de prevención
Hernández (2008) determina que una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando que tan confiable es su fuente. Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio de un virus, siendo también una practica ilegal y que hace mucho daño a la industria del software.
Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto último es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema.
Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.
8.1. Activos
· Antivirus: son programas que tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en la carpeta C:\Windows\%System32%\ en segundo plano, ve que es comportamiento sospechoso, salta y avisa al usuario.
· Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.
8.2. Pasivos
·Evitar introducir a tu equipo medios de almacenamiento extraíbles que consideres que pudieran estar infectados con algún virus.
·No instalar software "pirata".
·Evitar descargar software de Internet.
·No abrir mensajes provenientes de una dirección electrónica desconocida.
·No aceptar e-mails de desconocidos.
Generalmente, suelen enviar "fotos" por la web, que dicen llamarse "mifoto.jpg", tienen un ícono cuadrado blanco, con una línea azul en la parte superior. En realidad, no estamos en presencia de una foto, sino de una aplicación Windows (*.exe). Su verdadero nombre es "mifoto.jpg.exe", pero la parte final "*.exe" no la vemos porque Windows tiene deshabilitada (por defecto) la visualización de las extensiones registradas, es por eso que solo vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos abrir (con doble clic) en realidad estamos ejecutando el código de la misma, que corre bajo MS-DOS.
9. ¿Qué antivirus elegir para mayor seguridad en el ordenador?
9.1. ¿Qué se debe tener en cuenta para calificar un antivirus?
Con tanto software maligno dando vuelta por internet, se hace necesario disponer de un buen antivirus que nos proteja continuamente.
A continuación presento las características básicas que Alegsa (2009) toma en cuenta de los mejores antivirus del mercado tanto gratuitos como pagos.
Un antivirus debe ser evaluado por distintas características como son, capacidad de detección de software malignos conocidos y desconocidos, actualización constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades a los expertos y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentación de ayuda.
Simbología de las principales características de cada uno:
*E - Rápido en escaneo/monitor
*A - Buena capacidad de actualización
*D - Buena capacidad de detectar virus
*R - Buena capacidad para remover
*S - Mínimo consumo de recursos al sistema
*H - Muchas herramientas y facilidades disponibles
*G - Versión gratuita personal (no para uso comercial)
Los mejores antivirus de la actualidad:
*KAV (Kaspersky Anti-virus) - E A D R H
*F-Secure - E A D R H
*eScan - E A D R H
*AntiVir - E A D R H
*Microsoft Security Essentials - E A D S G
*BitDefender Prof.+ - A D R H
*NOD32 Anti-Virus - E A D R S H
*McAfee VirusScan - E A H
*G DATA - E A D R H –
*Avast! Home - E A D H G
*AVG Professional - E A S H G
*Norton Anti-Virus - A D R H
*Panda antivirus - E A R H
*F-Prot Anti-Virus - E A S H
*RAV Desktop - A H
*Dr. Web - A H
Se toma en cuenta porcentaje de detección de virus, capacidad para removerlos, velocidad de escaneo, recursos del sistema consumidos, herramientas disponibles, capacidad para estar actualizados.
9.2. Programas Antivirus
9.2.1. Estructura de un programa antivirus
Armas (2003) nos dice que un programa antivirus está compuesto por dos módulos principales: el primero se denomina de control y el segundo de respuesta. A su vez, cada uno de ellos se divide en varias partes:
1. Módulo de control: posee la técnica para la verificación de integridad que posibilita el hallazgo de cambios en los archivos ejecutables y las zonas críticas de un disco rígido, así como la identificación de los virus. Comprende diversas técnicas para la detección de virus informáticos y de códigos dañinos: En caso necesario, busca instrucciones peligrosas incluidas en programas para garantizar la integridad de la información del disco rígido. Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y tratar de ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo de control también efectúa un monitoreo de las rutinas mediante las que se accede al hardware de la computadora (acceso a disco, etc.). Al restringir el uso de estos recursos, -por ejemplo, cuando se impide el acceso a la escritura de zonas críticas del disco o se evita que se ejecuten funciones para su formateo-, se limita la acción de un programa.
2. Módulo de respuesta: la función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático. Se informa la situación mediante un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo.
9.2.2. Características que debe poseer un sistema antivirus
De acuerdo con los diferentes autores consultados, las características esenciales son las siguientes:
*Gran capacidad de detección y de reacción ante un nuevo virus.
*Actualización sistemática.
*Detección mínima de falsos positivos o falsos virus.
*Respeto por el rendimiento o desempeño normal de los equipos.
*Integración perfecta con el programa de correo electrónico.
*Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo electrónico, red o discos flexibles).
*Gran capacidad de desinfección.
*Presencia de distintos métodos de detección y análisis.
*Chequeo del arranque y posibles cambios en el registro de las aplicaciones.
*Creación de discos de emergencia o de rescate.
*Disposición de un equipo de soporte técnico capaz de responder en un tiempo mínimo (ejemplo 48 horas) para orientar al usuario en caso de infección.
Existen sistemas antivirus que tienen además, la característica de trabajar directamente en redes LAN y WAN, así como en servidores proxy.
Ante la masiva proliferación, tanto de virus como de productos dirigidos a su tratamiento, existe la necesidad de que algún organismo reconocido de carácter internacional certifique los productos antivirus y asegure su correcto rendimiento. En un antivirus lo más importante es la detección del virus y, al estudio de tal fin se dedican asociaciones como la ICSA (International Computer Security Association) - anteriormente la NCSA - y la Checkmark. Ambas siguen procedimientos similares. En concreto, para que la ICSA certifique un producto antivirus, ha de ser capaz de detectar el 100 % de los virus incluidos en la Wildlist (lista de virus considerados en circulación) y, al menos, un 90 % de la Zoolist -una colección de varios miles de virus no tan difundidos. La certificación de un producto se realiza cuatro veces al año, sin el conocimiento del fabricante y con una versión totalmente comercial, con lo que se asegura que la versión que se certifica es la que recibe directamente el usuario y no una especialmente preparada para la prueba.
Moreno (2001) nos explica las características que debe tener un sistema antivirus:
*Deben actualizar los patrones o firmas, por lo menos una vez por semana.
*La empresa que los promueve debe contar con un equipo de soporte técnico con acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infección.
*Deben contar con distintos métodos de verificación y análisis de posibles códigos maliciosos, incluyendo el heurístico, el cual no se basa en firmas vírales sino en el comportamiento de un archivo. Y así poder detener amenazas incluso de posibles virus nuevos.
*Se deben poder adaptar a las necesidades de diferentes usuarios.
*Deben poder realizar la instalación remota tanto en una red LAN como en una WAN. *Deben constar de alguna consola central en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios.
*Deben ser verdaderamente efectivos para efectos de detección y eliminación correcta y exacta de los distintos virus que puedan amenazar a los sistemas.
*Deben de permitir la creación de discos de emergencia o de rescate de una manera clara y satisfactoria.
*No deben de afectar el rendimiento o desempeño normal de los equipos. De ser preferible lo que se desea es que su residente en memoria sea de lo más pequeño.
*El número de falsos positivos que se den tanto en el rastreo normal como en el heurístico debe de ser el mínimo posible.
*Su mecanismo de auto-protección debe de poder alertar sobre una posible infección a través de las distintas vías de entrada, ya sea Internet, correo electrónico, red o discos flexibles, etc.
*Deben de tener posibilidad de chequear el arranque, así como los posibles cambios en el registro de las aplicaciones.
Así de esta manera, ponerlos uno mismo a prueba y de acuerdo con nuestras prioridades establecer nuestras propias conclusiones.
9.3. ¿Por qué un antivirus es mejor que otro?
La expresión "cuál es el mejor antivirus", puede variar según los usuarios. Es obvio que para un usuario inexperto el término define casi con seguridad al software que más fácil de instalar y usar se le presenta. Algo totalmente intranscendente para usuarios expertos, administradores de redes, etc.
Sin embargo, los usuarios sin experiencia también son muy propensos a dejarse convencer por lo que las publicaciones especializadas les indican. El tema aquí es que muchas veces este tipo de evaluación no es tan cristalino. No estamos diciendo que necesariamente algunos medios puedan verse influenciados en sus "Selecciones del editor" por el hecho de que ciertos antivirus son sus clientes y contratan publicidad en ellos, pero es un tema delicado que de por si le quita transparencia a estas pruebas, por decirlo de algún modo.
También existe el hecho de que algunos de los reporteros que escriben dichos artículos, no son precisamente expertos en el tema, y por lo tanto sus apreciaciones pueden estar enviciadas por aquello de las apariencias puramente estéticas del producto evaluado, sin entrar en las verdaderas condiciones de un antivirus.
En definitiva, el mejor antivirus debería ser aquel capaz de descubrir y eliminar al 100% de los virus activos ("In-The-Wild"). Esto es lo ideal, pero depende también del usuario, ya que para ello mantener el antivirus actualizado es fundamental.
Otro punto a tener en cuenta, es la habilidad de un antivirus para proteger nuestro PC de otras amenazas como los caballos de Troya, componentes Web maliciosos, scripts, etc.
La posibilidad de limpiar o desinfectar también es muy importante, pero desde el punto de vista de la seguridad la capacidad de detener estas amenazas debe estar en primer término, y luego la de "limpiar" los archivos infectados, teniendo en cuenta que la detección deberá hacerse antes que infecte otros elementos de nuestro PC, y que cuando hablamos de archivos infectados, nos referimos a aquellos que ya recibimos en esas condiciones, y son los que luego podrían propagar la infección en nuestra computadora si no son descubiertos y bloqueados por el antivirus.
La habilidad de poder actualizarse lo más automáticamente posible, es algo que depende mucho del nivel del usuario. Para alguien inexperto, tal vez sea algo fundamental, pero nuestra opinión personal es que debemos crear "conciencia de mantener actualizado el antivirus". Es como si nos entregaran una libreta de conducir para nuestro PC. Deberíamos saber algo más que "arrancar y andar". Y eso incluye como primordial lo de reconocer que mantener actualizado este software es vital. López (2000).
9.4. Comparación de los mejores antivirus
Armas (2003) nos dice que no podemos afirmar que solamente exista un sistema antivirus que presente todas las características que se necesitan para la protección total de las computadoras; algunos fallan en unos aspectos, otros tienen determinados problemas o carecen de ciertas facilidades. Pero las características esenciales son las siguientes:
1. Gran capacidad de detección y de reacción ante un nuevo virus.
2. Actualización sistemática.
3. Detección mínima de falsos positivos o falsos virus.
4. Respeto por el rendimiento o desempeño normal de los equipos.
5. Integración perfecta con el programa de correo electrónico.
6. Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo electrónico, red o discos flexibles).
7. Gran capacidad de desinfección.
8. Presencia de distintos métodos de detección y análisis.
9. Chequeo del arranque y posibles cambios en el registro de las aplicaciones.
10. Creación de discos de emergencia o de rescate.
11. Disposición de un equipo de soporte técnico capaz de responder en un tiempo mínimo (ejemplo 48 horas) para orientar al usuario en caso de infección.
A continuación presento una comparación realizada por las compañías HISPASEC, SECUSYS, VIRUSPROT y VSANTIVIRUS entre algunos de los antivirus más reconocidos a nivel mundial:
10. Situación actual de los Virus Informáticos
Bello y Alfonso (2003) calculan que la cantidad de virus que actualmente circulan en la red no puede precisarse con exactitud. Algunos autores calculan el total de virus existentes en más de 300 000. La mayoría de los virus que forman parte de la historia de la computación se crearon para DOS; un sistema obsoleto en nuestros días.
A pesar de que constantemente se crean nuevos virus, son pocos los que llegan a ser realmente efectivos y logran contaminar un número considerable de usuarios de la red. Los expertos en virus informáticos, respaldan los informes sobre la existencia de no más de 300 virus esparcidos y en libertad. Al repetirse en forma cíclica su proceso de extinción, la cantidad de virus mencionados nunca es mayor y se mantiene aproximadamente igual.
A pesar de los estragos causados por el reciente torrente de ataques de virus, como el mortal "Love Bug", o el famoso "CIH" son muchos los usuarios, individuales e institucionales, que no actualizan regularmente sus programas antivirus.
Se plantea que casi una cuarta parte de los usuarios norteamericanos no actualizan sus programas, al menos, una vez al mes. En Estados Unidos se realizó un examen, a cerca de medio millón de usuarios de PCs y reveló que la mayoría de estos (un 65 %) fueron infectados con, al menos un virus, en los últimos doce meses. De estos, un 57 % perdió un buen número de datos. Un 18 % afirmó que había perdido "moderadas" o "grandes" cantidades de datos y un 14 % sostuvo que había sufrido más de cinco ataques de virus al año. Según Steve Sundermeier, cuando "el público que no adquiere la última protección contra virus, abre un enorme agujero de seguridad. Los usuarios necesitan actualizar sus programas diariamente para salvaguardarse de los virus que los atacan diariamente". Cada día se crean 30 nuevos virus como promedio, desde inofensivos hasta muy peligrosos.
11. Conclusiones
Al haber concluido mi trabajo monográfico, después de una gran investigación, he llegado a concluir lo siguiente:
Precisé en la definición de un virus informático y de esa manera dejé claro lo que es y lo que provocaría si llegaría a infectar una computadora.
Indiqué los diferentes tipos de clasificación de los virus informáticos que existen, según diversos autores, explicando las acciones que realizan y los daños que pueden ocasionar a una computadora
Expliqué las maneras para prevenir que nuestra computadora se infecte de virus así como también propuse diversos sistemas antivirus para que un usuario instale a su computadora teniendo en cuenta el cuadro comparativo de los sistemas antivirus más conocidos observando sus ventajas y desventajas.
Por último analicé sobre la cantidad aproximada de virus que existen en la actualidad y que con frecuencia irán aumentando hasta alcanzar una cifra mayor que la dada anteriormente, así como también detallé cuáles son los virus más peligrosos que existieron en la historia y que posiblemente anden rondando en la red en busca de computadoras que infectar.
