Virus Que Convierte Carpetas en Accesos Directos

virus que convierte carpetas en accesos
directos .lnk
Posted by Diego 20 mayo, 20103.182 comentarios
Archivado bajo atributos, Attrib, carpetas a .lnk, cmd, convierte carpetas,
DrivesGuideInfo, eliminar virus, ocultas, pen drive, recuperar archivos
Ayer estaba terminando de hacer un proyecto con un amigo, asi que le di mi memoria
flash para unir todo el proyecto en la compu de el. Pero al revisar mi flash en mi compu,
todas las carpetas que tenia me las habia convertido en accesos directos .lnk, y las
carpetas no aparecian por ningun lado, ni ocultas ni nada, simplemente no aparecian por
ningun lado. Analice con el antivirus y no reconocia nada.
Leyendo x ahi me encontre con unos comandos para revisar la flash desde el Smbolo
de Sistema, que me sirvieron de mucho para arreglar este problema
Lo primero que hacemos es ingresar al cmd, ubicarnos en nuestra memoria (en mi caso
G:), y escribir el siguiente comando
Attrib /d /s -r -h -s *.*
Attrib: Para visualizar o modificar atributos

/d: Para poder procesar carpetas
/s: Para poder procesar subcarpetas
-r: Quitar atributos de solo lectura
-h: Quitar atributos de oculto
-s: Quitar atributos de sistema
*.*: Para archivos de cualquier nombre, con cualquier extension
Y ahora si en mi flash ya aparecen todas las carpetas que tenia, y los virus
(DrivesGuideInfo)
Luego si a desinfectar, y a borrar los accesos directos!!!
Descarga : Unlocker 1.8.9

[EDITADO]
Lo siguiente es un metodo para borrar el virus de su computador, porque si le dieron
doble clic al acceso directo, pues es muy problable que el virus ya este en su
computador
Debidas gracias a Ramon Trujillo
1. instalar unloker.
2. abrir C:\Documents and Settings\xxxxxxx(usuario). y buscar el jodido virus llamado
Youbu.exe
3. den clik con boton derecho sobre el y seleccionen del menu unloker.
4. en la ventana de acciones seleccionen eliminar y listo.
probablemente les diga que no se pudo borrar que se borrara en el siguiente reinicio, den
aceptar y listo
su PC esta libre de ese MALDITO VIRUS. XD XD XD XD XD XD XD !!!!!!!!!!! [Citado textualmente]
[EDITADO: 28-09-2011]
En primer lugar quiero agradecer a todas las personas que me han hecho llegar sus
mensajes, correos y demas felicitaciones por escribir esta entrada.pero al contrario
soy yo quien estoy agradecido con todos uds. por visitar mi blog en tod0 este tiempo y
llenarme de satisfaccin al saber que los pocos conocimientos que poseo les ha sido de
gran utilidad
En el transcurso de estos das ire actualizando el post gracias a sus mensajes y aportes
acerca de este tema
[EDITADO: 17-03-2012]
Escrito por Egogaius:
Bueno yo me encontr al virus en Windows 7 , bajo otra apariencia. Ya prob varias
veces y al parecer lo logr. Las instrucciones originales de Diego fueron buenas para
recuperar la visibilidad de mis archivos en las USB, pero el virus persista y les dejo
aqu la receta que utilic en realidad ser muy tcnico pues me cuestan trabajo los
detalles. Adems soy como el burro que toc la flauta jejeje.
1.- En modo comando (cmd) ejecut el msconfig y explor los programas de inicio
(pestaa apropiada).
2.- Al ordenar los programas por el Autor, encontr uno que deca Desconocido en la
columna autor y adems se ejecutaba con mi usuario y con un nombre extrao, en mi
caso: Zwfyfx.exe.
3.- Deshabilit el programa, tom nota de su nombre y del directorio en donde radicaba.
Todo eso est en la pantalla del msconfig.
4.- Explor la carpeta sealada -en mi caso estaba en windows\mi
usuario\appdata\Roaming. Me fu facil llegar a ella en modo comando solo tuve que
pasar al directorio appdata (cd Appdata) y despus al de Roaming.
5.- Borr el archivo Zwfyfx.exe (del Zwfyfx.exe)
6.- Luego abr el registro (regedit) desde el programa de ejecutar o Run.
7.- En Edicin>Buscar, coloqu el nombre del virus en mi caso Zwfyfx, para que lo
buscara en todo el Registro.
8.- En HKLM encontr una entrada con el nombre del virus, y borr toda la carpeta.
9.- Sal, reinici el equipo y todo OK!
10.- Repas todas mis USB y borr un directorio llamado RECYCLER que el virus cre
en ellas. Una memoria no mostraba contenido, pero con el comando que nos ofreci
Diego : Attrib /d /s -r -h -s *.* pude recuperar la estructura de carpetas.
Listo!! Espero sea de utilidad
Este es un pequeo truco para poder ver de nuevo esas carpetas y archivos
ocultos:
El primer paso es conectar nuestra memoria USB y observar que letra se le
asigna a dicha unidad, en este caso ser la letra F:
Inicio > Ejecutar (tambin podemos presionar las teclas Windows + R)
Escribimos cmd y pulsamos Enter
Ahora escribiremos lo siguiente :
La letra F: habr que cambiarla por la letra de la unidad que ha sido
asignada a tu memoria (Puedes verlo desde mi Mi PC y buscas la letra q
tiene tu usb..)
Pulsamos Enter
attrib -s -h -r f:/*.* /s /d
del
del
del
del
del
del
autorun.inf
*.exe
*.inf
*.lnk
*.scr
*.dll
OjO les va a salir una carpeta llamada Recycler hay q borrarla
Listo!
Ahora podremos ver nuestros archivos y carpetas nuevamente, aunque
siempre lo mas importante es analizar nuestra memoria con un antivirus
actualizado y comprobar que nuestro sistema no esta infectado tambin.
copia esto en un blog de notas ( Windows + R y escribes notepad ) entonces

y lo guardas como .bat
antivirus.bat
La letra F: habr que cambiarla por la letra de la unidad que ha sido
asignada a tu memoria
attrib -s -h -r f:/*.* /s /d
del
del
del
del
autorun.inf
*.lnk
*.scr
*.dll
virus youbu.exe
Aqu un poco de teora sobres los archivos DLL
y no..no espero que se la lean toda jaja pero espero que les sirva
EMPEZEMOS
Qu son los archivos DLL?
Un archivo DLL (Dynamic Library Link) es un mdulo componente de un
programa que ejecuta alguna funcin. Estos archivos DLL son muy tiles,
pero tambin suelen ser causa de errores en Windows.
Los archivos DLL ejecutan acciones o rutinas de uso frecuente en Windows,
y un mismo archivo DLL puede ser usado por varios programas al mismo
tiempo (como el Kernel32.dll). Por ejemplo el procesador de palabras, la
hoja de clculo y otros programas pueden usar un mismo archivo DLL para
desplegar el cuadro dilogo Abrir, cada vez que usted usa el comando Abrir.
Gracias a ese esquema modular (que tambien se usa en el sistema
operativo OS/2), hay muchas funciones que los creadores de software no
tienen que incluir en sus programas; cuando un programa necesita enviar
un documento a la impresora, simplemente llama el archivo DLL respectivo
(que ya Windows instal) para que este cargue y ejecute la tarea. De esa
forma, los programas son ms pequeos y se ahorra espacio en el disco
duro.
El hecho de que estos mdulos de rutinas (Archivos DLL) no sean parte de
programas, sino que se guardan como archivos independientes, tambin
optimiza el uso de la memoria RAM. Un DLL se carga en la memoria RAM y
se ejecuta nicamente cuando un programa lo llama para que realice una
funcin, mientras que otros mdulos de rutinas que s hacen parte del
programa permanecen cargados en la memoria mientras trabaja con un
programa.
Windows incluye muchos archivos DLL que son usados por otros programas
(la mayora en la carpeta c:windowssystem). Pero algunos programas
tambin instalan sus propios archivos DLL (y generalmente los colocan en la
carpeta del disco duro en la que est guardado dicho programa).
Observaciones en el manejo de DLL
Como diferentes programas deben compartir los mismo DLL, si algunos
programas no respetan ciertas reglas del juego se pueden producir errores.
A veces uno instala programas que colocan una versin vieja de un archivo
DLL en la carpeta c:windowssystem y remplazan -sin avisar- la versin ms

reciente del mismo DLL. Al hacer eso, es posible que se produzcan fallas en
los programas que usaban la versin ms reciente del DLL.
Nota: En Windows XP no es posible reemplazar un archivo dll del sistema, ya
que este se dar cuenta y automaticamente copiara el DLL correcto de su
base de datos, Windows XP se protege de esta manera para evitar
conflictos.
No todos los archivos DLL tienen extensin .dll; tambien hay archivos del
mismo tipo con extensiones .ocx, .exe, .drv, .vxd, etc.
Cuando Windows le muestre un mensaje de error que dice que le falta un

DLL, anote el nombre exacto del archivo (incluyendo la extensin), busque
el archivo en cualquiera de los sitios que al final se recomiendan, bjelo y
copilo en la carpeta en la que lo est buscando el programa que gener el
mensaje de error (probablemente c:windowssystem o la carpeta en la que
est almacenado el programa).
Tenga en cuenta que puede haber versiones diferentes de Archivos DLL,
pero con un nombre idntico. Se recomienda no remplazar un DLL por una
versin ms vieja (para saber que versin tiene un DLL, busque el archivo,
d click derecho sobre l, seleccione propiedades y de click en la pestaa
Versin). Lo mejor es que siempre guarde en un diskette o alguna parte de
sus disco duro el DLL que va a reemplazar (incluso aunque sea de una
versin ms vieja). Uno nunca sabe qu programa lo pueda necesitar.
Windows File Protection [WFP]
Windows FIle Protection (WFP) protege los archivos DLL del sistema de ser
actualizadas o borradas por agentes no autorizados. Las aplicaciones no
pueden sustituir las DLLs del sistema. Unicamente los paquetes de
actualizacion del sistema operativo com los SP (Service Packs) pueden hacer
esto.
Los archivos DLL del sistema que pueden ser unicamente actualizadas por
los Service Pack (SP) se denominan DLLs protegidas. Hay aproximadamente
2800 DLLs protegidas en Windows 2000 y XP.
Si intentamos copiar un archivo DLL identico a uno protegido en el directorio
del sistema, el reemplazo del archivo DLL, aparentemente, parecer que es
correcta y no veremos ningun mensaje de error. Pero Windows 2000 y XP
recuperarn el archivo DLL recientemente copiado con el archivo DLL
original silenciosamente.
WFP elimina completamente los errores de los archivos DLL y adems
minimiza los problemas causados por instalacin y/o actualizacin de

aplicaciones.
System File Checker (sfc)
Tip: Para comprobar que los archivos de tu sistema estan en perfecto estado
y completos, ejecuta esta instruccion:
En Windows XP: Ve a Inicio > Ejecutar y escribe esto "sfc /scannow" (sin las
comillas).
DLL's Privadas
Las DLLs privadas son DLLs que son instaladas con una aplicacin especfica
y usadas solo por esa aplicacin.
Por ejemplo, supongamos que yo soy el responsable de un programa
llamada Wilkinsonpc.exe. Yo he 'testeado' ese programa con una versin x.x
de la librera de Microsoft MSVCRT.DLL y una versin y.y de la SA.DLL (por
ejemplo, SA.DLL no es una DLL de Microsoft, pero es una DLL de terceros
distribuida con otras varias aplicaciones). Yo quiero asegurarme que mi
programa Wilkinsonpc.exe siempre usar la MSVCRT.DLL version x.x y la
SA.DLL version y.y. Para hacer esto, mi instalador del producto copia
Wilkinsonpc.exe, MSVCRT.DLL version x.x y SA.DLL version y.y en la
carpeta .Wilkinsonpc. Ademas debo notificar a Windows 2000, que
Wilkinsonpc.exe debe utilizar esas DLLs privadas y unicamente esas (esto
no es posible con Windows 95/98 ME). Cuando Wilkinsonpc.exe se ejecuta
en Windows 2000 XP, este va a mirar en la carpeta .Wilkinsonpc para
localizar las DLLs de version especfica antes de mirar en las carpetas del
sistema y en el path.
Los Service Packs futuros que actualizen al MSVCRT.DLL no harn fallar a la
aplicacion debido a que Wilkinsonpc.exe no utiliza la version compartida de
MSVCRT.DLL. Otras aplicaciones que instalen diferentes versiones de SA.DLL
tampoco afectarn a Wilkinsonpc.exe debido a que este, tiene su versin
privada de SA.DLL.
Las DLLs privadas, se las denomina tambien DLLs unicas, debido a que
utiliza una copia privada de esa DLL en lugar de la generica. Si ejecuitamos
por ejemplos WordPad y Wilkinsonpc concurrentemente, dos copias de la
MSVCRT.DLL sern cargadas en memoria.
Por tanto, como autores de la aplicacin, podriamos registrar cada DLL o
componente de la aplicacion en el directorio de la aplicacion en donde
queremos que resida la copia privada.
Existe un segundo metodo que puede ser utilizado en aplicaciones ya
existentes. Supongamos que c:WilkinsonpcWilkinsonpc.exe es una

aplicacin existente y que la queremos proteger de futuras actualizaciones
de DLLs o incluso de actualizaciones debidas a los Service Packs.
Simplemente copiamos las DLLs que queremos que sean privadas a
Wilkinsonpc.exe a la carpeta .Wilkinsonpc y creamos un archivo vacio en ese
directorio llamado Wilkinsonpc.exe.local. De esta maner el sistema sabe
que cuando Wilkinsonpc.exe quiera cargar una DLL, debe buscarla siempre
primero en donde est ese archivo .local y buscar por tanto las DLLs y
servidores COM en dicho directorio antes que en el path especifico de
Windows.
Ambas soluciones, la version especfica (en nuevas aplicaciones) y .local (en
viejas aplicaciones) tienen las siguientes caracteristicas:
Los archivos DLL que estn en el directorio de la aplicacin son cargados en
lugar de los archivos DLL del sistema, an cuando la funcin "LoadLibrary"
de la aplicacin tenga el camino 'hard-coded'.
No es posible redirigir la 20 KnownDLLs (conocidas DLLs), que estn
referenciadas en
HKEY_LOCAL_MACHINESYSTEMCurrentoControlSetControlSessionManagerKn
ownDLLs. Estas no pueden rodar independientemente ya que necesitan
mantener estados de procesos cruzados. Por ejemplo: kernel32, user32 y
ole32 no pueden ser redirigidas debido a que tienen estados (objetos del
kernel, manejadores de ventanas) que necesitan existir a lo largo de todos
los procesos. En futuras versiones del sistema operativo estas limitaciones
quedarn mas restringidas.
Como Agregar / Instalar o Quitar / Desregistrar archivos .dll .ocx ?
Para agregar ciertos archivos .ocx y/o .dll, abra una ventana de comandos
En Windows 98/ME: Vaya a Inicio > Ejecutar escriba esto "command.com"
(sin las comillas)
En Windows NT/2000/XP: Vaya a Inicio > Ejecutar escriba esto "cmd" (sin las
comillas)
Navegue a traves de los directorios hasta llegar a la carpeta que contiene el
archivo DLL que desee instalar/registrar o desinstalar/desregistrar.
El siguiente es el comando que necesitaras ejecutar para instalar/registrar:
regsvr32 [nombre.dll] [nombre.ocx]
Ejemplo: regsvr32 msvcp60.dll
Para desinstalar/desregistrar un archivo DLL u OCX:
regsvr32 /u [nombre.dll] [nombre.ocx]

Ejemplo: regsvr32 /u msvcp60.dll
Para crear un archivo bat, slo tenemos que abrir el bloq de notas y adentro
escribir el comando que querramos que se realice! (abajo se encuentra una
serie de comandos del ms)
Luego vamos a Guardar Como y donde dice nombre lo guardan con la
extencion .bat(*.bat).
Ahora solo queda ejectarlo y listo!
Esto puede resultar muy til, para automatizar tareas (siempre y cuando
sepan usar los comandos del ms) y tambin para hacer bromas! o incluso
virus!
Digo virus porque con los comandos se puede hacer de todo! hasta
formatear!
Por eso, si ven algun .bat, les recomendaria no abrirlo o hacele click derecho
- editar , asi de ese modo no se les ejecuta y ven el contenido que presenta!
ACA se encuentra una pgina con comando del ms que les puede ayudar:
http://www.ayuda-internet.net/tutoriales/manu-msdos/manu-msdos.html
Ahora slo les queda probar hasta q les salga hacerlo! y divertirse o
renegarte de un rato!
Otro dato importante, a la hora de crear bat, es cuando tenemos que buscar
el directorio, ya que se debe escribir en un cierto cdigo.
Ese cdigo consiste en que cada eslabon del directorio slo debe contener 8
caracteres, entonces aquellos directorios con mas de 8 caracteres, solo se
deben escribir los primeros 6, seguidos por "~1" (sin comillas), hasta llegar
a la unicacion del archivo, imagen ,etc.
Por ejemplo, tengo una imgen llamada hola.jpg ubicada en C ocuments and
SettingsAdministradorMis documentos
entonces abrimos el bloq y escribimos :
Start C ocume~1Admini~1MisDoc~1hola.jpg
(el comando START sirve para iniciar aplicaciones, programas, etc.)
Ni se les ocurra usar el comando FORMAT en su maquina por que se le vas a

borrar todo!!
comandos cmd:
El smbolo del sistema (en ingls Command prompt) es el intrprete de
comandos en OS/2 y sistemas basados en Windows NT (incluyendo Windows

2000, Windows XP, Windows Server 2003, Windows Vista y Windows 7). Es
el equivalente de command.com en MS-DOS y sistemas de la familia
Windows 9x.
A diferencia de su antecesor (command.com), este programa es tan slo
una aplicacin, no es una parte del sistema operativo y no posee la funcin
de cargar la configuracin al arrancar el sistema.
Muchas funciones que se realizan desde la interfaz grfica de algn sistema
operativo son enviadas al cmd que es el encargado de ejecutarlas. Esto no
es del todo cierto en Windows debido a que hay muchas ms opciones
realizables que no son enviadas al cmd y se ejecutan mediante scripts.
Comandos del smbolo del sistema:
Interno:
CD ermite cambiar de un directorio activo a otro.
DATE :Muestra o establece la fecha del sistema.
DEL ermite eliminar archivos.
DEFRAG: Permite desfragmentar un disco duro.
DIR ermite ver todos los archivos y directorios de la ruta en la que nos
encontramos.
FC :Compara dos archivos y verifica que las copias son exactas.
FIND :Busca una cadena de texto en uno o ms archivos.
FINDSTR :Busca cadenas de texto en archivos.
FOR :Ejecuta un comando para cada archivo en un conjunto de archivos.
FORMAT a formato a un disco para usarse con Windows.
FTYPE :Muestra o modifica los tipos de archivo utilizados en una asociacin
de archivos.
GOTO irecciona el intrprete de comandos de Windows a una lnea en un
programa por lotes.
GRAFTABL ermite a Windows mostrar un conjunto de caracteres
extendidos en modo grfico.
HELP roporciona informacin de ayuda para los comandos de Windows.
IF :Ejecuta procesos condicionales en programas por lotes.
LABEL :Crea, cambia o elimina la etiqueta del volumen de un disco.
MD y MKDIR :Crea un directorio.
MODE :Configura un dispositivo de sistema.
MORE :Muestra la informacin pantalla por pantalla.
MOVE :Mueve uno o ms archivos de un directorio a otro en la misma
unidad.
PATH :Muestra o establece una ruta de bsqueda para archivos
ejecutables.
PAUSE :Suspende el proceso de un archivo por lotes y muestra un
mensaje.
POPD :Restaura el valor anterior del directorio actual guardado por PUSHD.
PRINT :Imprime un archivo de texto.

PROMPT :Cambia el smbolo de comando de Windows.
PUSHD :Guarda el directorio actual y despus lo cambia.
RD :Elimina un directorio.
RECOVER :Recupera la informacin legible de un disco daado o
defectuoso.
REGEDIT :Abre el editor de Registro.
REM :Graba comentarios en archivos por lotes o CONFIG.SYS.
REN y RENAME :Cambia el nombre de uno o ms archivos.
REPLACE :Reemplaza archivos.
RMDIR :Elimina un directorio.
SET :Muestra, establece o elimina variables de entorno de Windows.
SETLOCAL :Inicia la localizacin de cambios del entorno en un archivo por
lotes.
SHIFT :Cambia posicin de modificadores reemplazables en archivos por
lotes.
SORT :Ordena las entradas.
START :Inicia otra ventana para ejecutar un programa o comando.
SUBST :Asocia una ruta de acceso con una letra de unidad.
SYS :Crea un disco de sistema.
TIME :Muestra o establece la hora del sistema.
TITLE :Establece el ttulo de la ventana de una sesin de cmd.exe.
TREE :Muestra grficamente la estructura de directorios de una unidad o
ruta de acceso.
TYPE :Muestra el contenido de un archivo de texto.
VER :Muestra la versin de Windows.
VERIFY :Comunica a Windows si debe comprobar que los archivos se
escriben de forma correcta en un disco.
VOL :Muestra la etiqueta del volumen y el nmero de serie del disco.
XCOPY :Copia archivos y rboles de directorios.
Externos:A esta categora pertenecen aquellas rdenes adicionales que
pertenecen a aplicaciones externas y no estn incluidas en el ncleo del
subsistema; como CHKDSK (comprobar disco). Si se instala en el sistema
operativo una aplicacin que permita rdenes por lnea de comandos, entra
a esta categora.
cambiar el archivo .txt de un bolg de notas por un cmd
nos estamos viendo manu
Hola hoy les traigo, como crear una carpeta invisible.

Si tiene algo intimo que no qieren que nadie mas lo vea, sigan los siguientes
pasos.
1) Click derecho, y presionamos nueva carpeta.
2)Click derecho, y ponemos en cambiar nombre, mantenemos presionado
alt y escribimos 0160 con el teclado numerico.
3)Click derecho en la carpeta y pulsamos propiedades, vamos a personalizar
y pulsamos Cambiar icono, ponemos un icono en blanco y ponemos en
aceptar, luego ponemos aplicar y despues aceptar.
Y ahora ya tienen su carpeta invisible para cosas intimas.
Eliminar virus desde CMD [100 % efectivo pasa y pruebalo tu

mismo]
Hola amigos en este pequeo tutorial les voy a ensear a quitar virus a tu
computadora desde el CMD o MS-DOS (CMD), es bastante efectivo y
bastante rapido, bueno lo rapido depende de cuantos files teienes, Vamos a
Inicio -> Ejecutar -> CMD (escriben CMD), bueno unos ves ahi en CMD
teclearemos unos comandos: Seleccionan la unidad USB o su HDD,
Escriben :C , , :E, depende de la leyenda de su USB o Disco Duro bueno
ponen la leyenda, despes, ya una ves selccionado la leyenda ponen ATTRIB
en minsculas o mayusculas da =, despes van ver lo files deben de ver si
algun file a la izquierda dice SHR, ASI
Ahoraque ya saben el nombre del archivo infectado pues lo borran no les va

a parecer en la papelera y si les aparece pues vacian suerte a todos, no
cuesta nada comentar ni poner flecha verde .
0
Enviar
Anuncios Google
Suite de Seguridadwww.hardkeymio.com - Proteccin de

Informacin Sensible, Cifrado de datos y Adm.de Passwords
Dar puntos
1
2
+10
12 Puntos
Votos: 4 - T! score: 3 / 10
Seguir A favoritos
1
Seguidores
16.008
Visitas
El comando DELETE ( puede teclear indistintamente DEL o ERASE), borra

uno o mas archivos de un disco
EL comando DELETE tiene dos parmetros:
DELETE <NOMBRE_ARCHIVO> /P
/P : Pide confirmacin antes de borrar
@El_GremlinHace 1 ao
Mira Lo Que Me Aparece A Mi...
.-EJECUTAS EL CMD
2.-TE POSICIONAS EN EL DISPOSITIVO, ES DECIR, SI TU MEMORIA ES LA
UNIDAD G, ESCRIBES G:, O SI QUIERES BUSCAR EN LA COMPUTADORA
HAZLO CON LA INSTRUCCION DIR/AH
3.-PARA VER LOS ATRIBUTOS DE LOS ARCHIVOS, POR LO GENERAL LOS
VIRUS TIENEN ATRIBUTOS A H R, POR ESOS SE PONE: ATTRIB -A -H -R PARA
ELIMINAR ESOS ATRIBUTOS Y PODERLO ELIMINAR
4.-POR ULTIMO SOLO ELIMINAS EL ARCHIVO CON LA INSTRUCCION
CORRESPONDIENTE CON EL NOMBRE DEL ARCHIVO A ELIMINAR
ESPERO Y TE HAYA RESPONDIDO BIEN, O SI DESEAS VER EL VIDEO DE
NUEVO HAZLO, YA SI DE PLANO NO PUEDES EL VIDEO ESTA MAL FAVOR
DE INFORMARMELO PARA BUSCAR O HACER UNO YO MISMO
Dependiendo del windows que tengas, hay varias alternativas para hacerlo.
Mientras informas que versin de windows intenta lo siguiente:
1 Pulsa F3 y se abrir la ventana de bsqueda
2 Escribes el nombre del virus en este caso "mexicana.exe"
3 Haz click en el botn examinar se abrir una ventana
4 En esa ventana, selecciona Disco C
5 Haz click en el botn "buscar ahora"
6 Dejas que realice la bsqueda, una vez que finaliza la bsqueda, te fijas
en la parte inferior, donde aparece el detalle de lo encontrado, y tomas nota
de la carpeta en que est alojado el programa, en este caso el virus en
cuestin.
7 Abres Mi PC
8 ingresas al disco C, y a la carpeta donde este alojado el virus
9 Posicionas el mouse sobre el nombre, y haz click con el botn derecho, se
abrir una ventana
10 Selecciona "Eliminar"
11 Asunto terminado, reinicia la PC
Si por cualquier razn no lo pudieras eliminar por este camino, ademas de
proporcionar el dato arriba solicitado, transcribe textualmente el mensaje
que ponga en pantalla y en que paso lo muestra, para indicarte la solucin.
Hay varias causas por las que no podrias llegar a borrarlo que seria muy
largo de explicar por la cantidad de alternativas que se presentan.
Conociendo la version de windows se puede ser mas especifico en la forma
de hacerlo.
Saludos y FELIZ AO NUEVO !!!!
p/d
Lamento que algun desubicado o algun ignorante haya dado un voto
negativo a mi respuesta y ni siquiera se tomo el trabajo de responder.
Fuente(s):
Tecnico de PC desde 1978, conocedor de DOS y de todas las versiones de
windows existentes.
Como saber si tengo uno de esos virus

como troyanos o de esos que te roban
las contraseas?
bueno es que en mi compu descargaron una pelcula en ARES -.- quiero
sabes si, por ejemplo tengo un virus de esos como troyanos o de esos que
te roban las contraseas como que sntomas tiene o como se que tiene
esos virus y aparte as me pueden hackear mi cuenta de facebook o cosas
asi?
hace 9 horas
Reportar abusos
The HBO fan
Mejor respuesta - elegida por quien pregunt

Si no tienes un buen antivirus actualizado a la fecha es imposible saberlo y
aunque tengas el mejor no es 100% segura su proteccin ya que no hay
antivirus perfecto pero los hay muy buenos, te coloco una lista de los
mejores que he usado en los ltimos 12 aos:
1. Avast free antivirus, bueno con los virus pero no detecta casi ningn
spyware.
2. ESET 6, de pago pero con excelente proteccin, superior a Avast.
3. Emsisoft o Malwarebytes, son antimalware y a la vez antivirus, sin
embargo te detectan mucho ms que un antivirus encontrando trazas de
registro maliciosas "invisibles" para la mayora de los antivirus.
4. Super antispyware, muy bueno y detecta no solo espas sino keyloggers,
virus y algunos troyanos.
Y, por supuesto, NO usar Ares, este programa en s es un malware que te
crea varias trazas de registro que les permite a los virus daar tu sistema de
mil maneras y no te das cuenta hasta que tu computadora se pone
insoportablemente lenta y empiezan las fallas por el basurero que te baja al
disco, usa Emsisoft para eliminar ese foco infeccioso de tu equipo y baja tus
pelculas de Bittorrent es ms seguro y es un programa ms leal con las
cosas que baja, Ares se conecta a las redes P2P de intercambio de archivos
a nivel mundial por donde se propagan el 90% de los virus que infectan las
computadoras conectadas a Internet ya que son las redes preferidas por
usuarios malintencionados para distribuir sus virus y penetrar en sistemas
ajenos poco protegidos, entindase los hackers, por lo tanto no uses esa
basura, hay cosas mejores como el que te dije antes y el Songr que no se
conecta al P2P, al contrario, descarga la msica desde servidores alternos y

la utilidad de descarga que trae AtubeCatcher son ms seguros.
hace 9 horas
Reportar abusos
Calificacin de la persona que pregunta:

Comentario de la persona que pregunta:
si tienes razn, muchas gracias.
Barra de Accin:
1estrellas - seleccinala por ser: Interesante!
1.
Correo
Comentario (0)
Guardar
o
o
o
Otras respuestas (3)

Ver:
Hola!!
SPYBOT ( http://spybot-search-destroy.softonic.co )
SpyBot Search & Destroy es una herramienta ms para la lucha en
defensa de nuestra propia privacidad contra todo tipo de spyware,
creado por gente sin escrpulos y que, en el mejor de los casos,
"slo" te perjudican quitndote ancho de banda, ensuciando tu disco
duro, o dejndote sin conexin a Internet si los desinstalas
incorrectamente. Casi nada.
SUPERANTISPYWARE ( http://superantispyware.softonic.com/ )
Analiza tu PC y elimina elementos de spyware, adware, troyanos y
dems
MALWAREBYTES ANTI-MALWARE ( http://malwarebytes-antimalware.softoni )

Malwarebytes Anti-Malware escanea los discos y dispositivos de tu
ordenador en busca de todo tipo de malware, y lo elimina. El rpido y
el completo, para un anlisis en profundidad.
Todos Gratuitos en espaol y reconocido mundialemente...
Puedes instalar los tres sin problemas ......para analizar de vez en
cuando,pero si quieres instalar solo algunos este son mis preferidos....
1 MALWAREBYTES ANTI-MALWARE
2SPYBOT
3SUPERANTISPYWARE
Fue un placer ayudarte,te dejo saludos y SUERTE!!!
======================================
o
hace 2 horas
Alerta de virus acerca del gusano

Win32/Conficker
Id. de artculo: 962007 - Ver los productos a los que se aplica este artculo
Expandir todo | Contraer todo
En esta pgina
Resumen
La informacin de este artculo de Knowledge Base est dirigida a entornos
empresariales con administradores de sistemas que pueden implementar
los detalles de este artculo. No hay ningn motivo para usar este artculo si
el programa antivirus est limpiando correctamente el virus y sus sistemas
estn totalmente actualizados. Para confirmar que el sistema est limpio del
virus Conficker, realice un anlisis rpido en la siguiente pgina web:
http://onecare.live.com/site/es-es/default.htm
Para obtener informacin detallada acerca del virus Conficker, visite la
siguiente pgina web de Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?
Name=Win32%2fConficker
Volver al principio | Propocionar comentarios
Sntomas de la infeccin
Si su equipo est infectado con este gusano, es posible que no experimente
sntoma alguno o bien, puede presentarse cualquiera de los siguientes:
Se han desactivado las directivas de bloqueo de cuenta.

Se han deshabilitado las actualizaciones automticas, los servicios de
informe de errores, el Servicio de transferencia inteligente en
segundo plano (BITS) y Windows Defender.
Los controladores de dominio responden con lentitud a las solicitudes

del cliente.
La red est saturada.
No se puede obtener acceso a diversos sitios Web relacionados con la

seguridad.
No se ejecutarn algunas herramientas relacionadas con la seguridad.

Para obtener una lista de herramientas conocidas, visite la siguiente
pgina web de Microsoft y, a continuacin, haga clic en la ficha

Analysis para obtener informacin sobre Win32/Conficker.D. Para
obtener ms informacin, visite la siguiente pgina web de Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm
%3aWin32%2fConficker.D
Para obtener ms informacin acerca del gusano Win32/Conficker, visite la
siguiente pgina web de Microsoft Malware Protection Center (Centro de
proteccin contra malware de Microsoft):
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
Mtodos de propagacin
Win32/Conficker presenta varios mtodos de propagacin. Entre los que se
incluyen:
La explotacin de la vulnerabilidad revisada por la actualizacin de

seguridad 958644 (MS08-067)
El uso de recursos compartidos de red
El uso de la funcin Reproduccin automtica
Por lo tanto, debe tener cuidado al limpiar una red para que la amenaza no
vuelva a introducirse en los sistemas que ya se han desinfectado.
Nota La variante Win32/Conficker.D no se propaga a unidades extrables ni
a carpetas compartidas en una red. Win32/Conficker.D se instala por
variantes anteriores de Win32/Conficker.
Prevencin
Utilice contraseas seguras del administrador que sean nicas para

todos los equipos.
No inicie sesin en equipos utilizando credenciales de administrador
de dominio ni credenciales que tengan acceso a todos los equipos.
Asegrese de que se ha aplicado a todos los sistemas las ltimas

actualizaciones de seguridad.
Deshabilite las funciones de Reproduccin automtica. Para obtener

ms informacin, consulte el paso 3 de la seccin "Crear un objeto de
directivas de grupo".
Quite derechos excesivos a recursos compartidos. Esto incluye quitar

permisos de escritura al directorio raz de cualquier recurso
compartido.
Pasos de mitigacin
Detener la propagacin de Win32/Conficker mediante la
configuracin de directivas de grupo
Notas
Importante Asegrese de que documenta la configuracin actual

antes de realizar los cambios sugeridos en este artculo.
Este procedimiento no elimina el malware de Conficker del sistema.
Con este procedimiento, slo se evita que dicho malware se
propague. Debe usar un antivirus para quitar dicho malware del
sistema. Tambin puede seguir los pasos que se indican en la seccin
"Pasos para eliminar el virus Win32/Conficker de forma manual" de
este artculo de Knowledge Base para quitar el malware del sistema
de forma manual.
Es posible que no pueda instalar correctamente aplicaciones, Service

Packs o cualquier otra actualizacin mientras los cambios de permisos
recomendados en los pasos siguientes estn activados. Esto incluye,
pero no est limitado, a la aplicacin de actualizaciones usando
Windows Update, el servidor Microsoft Windows Server Update
Services (WSUS) y el System Center Configuration Manager (SCCM),
ya que estos productos dependen de los componentes de
Actualizaciones automticas. Asegrese de que cambia los permisos
a su configuracin predeterminada despus de limpiar el sistema.
Para obtener informacin sobre los permisos predeterminados para la

clave del Registro SVCHOST y la carpeta Tareas que se mencionan en
la seccin "Crear un objeto de directivas de grupo", consulte Tabla de
permisos predeterminada al final de este artculo.
Crear un objeto de directivas de grupo

Cree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos
los equipos pertenecientes a una unidad organizativa (OU) determinada, a
un sitio o un dominio, segn sea necesario en su entorno.
Para ello, siga estos pasos:
1. Establezca la directiva de forma que se eliminen los permisos de
escritura de la subclave de registro siguiente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost
De esta forma, se evita que el servicio de malware nombrado
aleatoriamente se cree con el valor de Registro netsvcs.
a.
Abra la Consola de administracin de directivas de grupo
(GPMC).
b. Cree un nuevo GPO. Asgnele el nombre que desee.

c. Abra el nuevo GPO y, a continuacin, desplcese a la carpeta
siguiente:
Configuracin del equipo\Configuracin de
Windows\Configuracin de seguridad\Registro
d.
Haga clic con el botn secundario en Registro y,
despus, haga clic en Agregar clave.
e. En el cuadro de dilogo Seleccionar clave de registro,
ample el Equipo y desplcese hasta la siguiente carpeta:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
f.
Haga clic en Aceptar.
g. En el cuadro de dilogo que aparece, haga clic en la casilla de
verificacin Control total para desactivarla tanto para los
Administradores como para el Sistema.
h. Haga clic en Aceptar.
i.
En el cuadro de dilogo Agregar objeto, haga clic en

Reemplazar los permisos existentes en todas las
subclaves con permisos heredables.
j.
2
Establezca la directiva de forma que se eliminen los permisos de
escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el
malware de Conficker cree tareas programadas que puedan volver a infectar
el sistema.
a. En el mismo GPO que ha creado anteriormente, desplcese
hasta la siguiente carpeta:
Configuracin del equipo\Configuracin de
Windows\Configuracin de seguridad\Sistema de archivos
b.
Haga clic con el botn secundario en Sistema de
archivos y, a continuacin, en Agregar archivo.
c. En el cuadro de dilogo Agregar un archivo o carpeta,
desplcese hasta la carpeta %windir%\Tareas. Asegrese de
que Tareas est resaltada y que aparece en el cuadro de
dilogo Carpeta.
d. Haga clic en Aceptar.
e. En el cuadro de dilogo que se abre, desactive las casillas
Control total, Modificar y Escribir tanto para
Administradores como para Sistema.
f.
g. En el cuadro de dilogo Agregar objeto, haga clic en

Reemplazar los permisos existentes en todas las
subclaves con permisos heredables.
h. Haga clic en Aceptar.
2
Deshabilite las funciones de Reproduccin automtica (Ejecucin
automtica). De esta forma, se evita que se propague el malware de
Conficker mediante las funciones de Reproduccin automticas de Windows.
Nota Para poder deshabilitar correctamente la funcionalidad de la ejecucin
automtica, debe tener instaladas las actualizaciones pertinentes para ello,
que variarn en funcin de la versin de Windows que disponga.
o
Para deshabilitar la funcionalidad en cuestin en Windows Vista

o en Windows Server 2008, debe tener instalada la
actualizacin de seguridad 950582 (descrita en el boletn de
seguridad MS08-038).
Para deshabilitarla en Windows XP, Windows Server 2003 o

Windows 2000, debe tener instalada la actualizacin de
seguridad 950582, o las actualizaciones 967715 o 953252.
Para deshabilitar las funciones de Reproduccin automtica

(Ejecucin automtica), siga estos pasos:
a. En el mismo GPO que ha creado anteriormente, desplcese a
las siguientes carpetas:
Para un dominio de Windows Server 2003 domain,
desplcese a la siguiente carpeta:
Configuracin del equipo\Plantillas
administrativas\Sistma
Para un dominio de Windows 2008, desplcese a la

siguiente carpeta:
Configuracin del equipo\Plantillas
administrativas\Componentes de Windows\Polticas de
reproduccin automtica
b. Abra la directiva Desactivar reproduccin automtica.

c. En el cuadro de dilogo Desactivar reproduccin
automtica, haga clic en Habilitada.
d. Haga clic en Todas las unidades en el men desplegable.
e. Haga clic en Aceptar.
2
Cierre la Consola de administracin de directivas de grupo.
3
Vincule el GPO creado recientemente con la ubicacin en la que
desee que se aplique.
4
Deje pasar el tiempo suficiente para que la configuracin de
directivas de grupo se actualice en todos los equipos. Por norma general, el
proceso de replicacin de esta directiva tarda 5 minutos en replicarse en
cada controlador del dominio y 90 minutos en replicarse en el resto del
sistema. Un par de horas ser suficiente. Sin embargo, es posible que se
necesite ms tiempo en funcin del entorno.
5
Despus de que se haya propagado la configuracin de directivas de
grupo, limpie el malware del sistema.
a. Ejecute anlisis de antivirus completos en todo el equipo.
b. En caso de que el software antivirus no detecte Conficker,
puede usar la Herramienta de eliminacin de software
malintencionado (MSRT) para eliminar dicho malware. Para
obtener ms informacin al respecto, visite la siguiente pgina
web de Microsoft:
http://www.microsoft.com/spain/seguridad/malwareremove/def
ault.mspx
Note Es posible que tenga que seguir algunos pasos manuales
para que desaparezcan por completo los efectos del malware.
Le recomendamos que revise los pasos mencionados en la
seccin "Pasos para eliminar el virus Win32/Conficker de forma
manual" de este artculo para que desaparezcan por completo
los efectos del malware.
Recuperacin
Ejecute la herramienta Malicious Software Removal (MSRT).
Microsoft Malware Protection Center (Centro de proteccin contra malware
de Microsoft) ha actualizado esta herramienta. Se trata de un binario
independiente que puede resultar de utilidad para la eliminacin de
software malintencionado extendido, adems de ayudar a eliminar la familia
de malware Win32/Conficker.
Nota La herramienta MSRT no evita que se vuelva a infectar porque no es
un programa antivirus en tiempo real.
Puede descargar la herramienta MSRT de los siguientes sitios Web de
Microsoft:
http://www.update.microsoft.com
http://support.microsoft.com/kb/890830
Para obtener informacin detallada sobre implementaciones especficas

para MSRT, haga clic en el nmero de artculo siguiente para consultarlo en
Microsoft Knowledge Base:
891716 Implantacin de la Herramienta de eliminacin de software
malintencionado de Microsoft Windows en un entorno empresarial
Nota La herramienta Stand-Alone System Sweeper (Sistema independiente
de limpieza) tambin eliminar esta infeccin. Esta herramienta est
disponible como componente de Microsoft Desktop Optimization Pack 6.0 o
a travs de los Servicios de soporte tcnico y de asistencia al cliente. Para
obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft
siguiente:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Si Windows Live OneCare o Microsoft Forefront Client Security se estn
ejecutando en el sistema, estos programas bloquearn tambin la amenaza
antes de que se instale.
Pasos para eliminar el virus Win32/Conficker de forma manual
Notas
Estos pasos manuales ya no se requieren y slo deberan utilizarse si

no dispone de ningn software antivirus para quitar el virus Conficker.
Dependiendo de la variante de Win32/Conficker con la que est
infectada el equipo, es posible que el virus no haya cambiado algunos
de los valores referidos en esta seccin.
Los pasos detallados siguientes pueden ayudarle a quitar de forma manual

el virus Conficker del sistema:
1. Inicie sesin en el sistema con una cuenta local.
Importante Si es posible, no inicie sesin en el sistema con una
cuenta de dominio. Especialmente, no inicie sesin con una cuenta de
administrador de dominio. El malware suplanta la identidad del
usuario que ha iniciado sesin y obtiene acceso a los recursos de red
mediante las credenciales de este usuario. Este comportamiento
permite que el malware se propague.
2. Detenga el servicio del servidor, lo que permitir eliminar del sistema
los recursos compartidos del administrador e impedir que el
malware se propague mediante este mtodo.
Nota El servicio del servidor slo debe deshabilitarse temporalmente
mientras limpia el malware del entorno. Esto resulta an ms
evidente en los servidores de produccin, ya que este paso afectar a
la disponibilidad de los recursos de red. En cuanto se haya limpiado el
entorno, se puede volver a habilitar el servicio del servidor.
Para detener el servicio del Servidor, utilice el complemento Servicios
de Microsoft Management Console (MMC). Para ello, siga estos pasos:
a. En funcin del sistema que utilice, realice lo siguiente:
En Windows Vista y Windows Server 2008, haga clic en

Inicio, escriba services.msc en el cuadro Iniciar
bsqueda y, a continuacin, haga clic en services.msc
en la lista Programas.
En Windows 2000, Windows XP y Windows Server 2003,

haga clic en Inicio, despus en Ejecutar, escriba
services.msc y, a continuacin, haga clic en Aceptar.
b. Haga doble clic en Servidor.

c. Haga clic en Detener.
d. Seleccione Deshabilitado en el cuadro Tipo de inicio.
e. Haga clic en Aplicar.
2
Elimine todas las tareas programadas creadas mediante AT. Para ello,
escriba AT/Delete/Yes en el smbolo del sistema.
3
Detenga el servicio Programador de tareas.

o
Para detener el servicio Programador de tareas en Windows

2000, Windows XP y Windows Server 2003, utilice el
complemento Servicios de Microsoft Management Console
(MMC) o la utilidad SC.exe.
Para detener el servicio Programador de tareas en Windows

Vista o Windows Server 2008, siga estos pasos.
Importante: esta seccin, mtodo o tarea contiene pasos que
le indican cmo modificar el Registro. Sin embargo, se pueden
producir graves problemas si modifica el Registro
incorrectamente. Por tanto, asegrese de que sigue estos
pasos cuidadosamente. Para obtener ms proteccin, haga una
copia de seguridad del Registro antes de modificarlo. Despus,
puede restaurar el Registro si se produce algn problema. Para
obtener ms informacin acerca de cmo realizar una copia de
seguridad y restaurar el Registro, haga clic en el nmero de
artculo siguiente para verlo en Microsoft Knowledge Base:
322756 Cmo realizar una copia de seguridad, modificar y
restaurar el Registro en Windows XP y Windows Server 2003
Haga clic en Inicio, escriba regedit en el cuadro Iniciar
bsqueda y haga clic en regedit.exe en la lista Programas.
aa Busque la siguiente subclave del Registro y haga clic en
ella:
aa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv
ices\Schedule
En el panel de detalles, haga clic con el botn

secundario del mouse en la entrada Start DWORD
(Iniciar DWORD) y, a continuacin, haga clic en
Modificar.
aa En el cuadro Informacin del valor, escriba 4 y haga
clic en Aceptar.
aa
aa
Cierre el Editor del Registro y reinicie el equipo.

Nota El servicio Programador de tareas slo debe
deshabilitarse temporalmente mientras limpia el
malware del entorno. Esto se aplica especialmente a
Windows Vista y Windows Server 2008, porque este paso
afectar a diversas Tareas programadas integradas. En
cuanto se haya limpiado el entorno, vuelva a habilitar el
servicio del servidor.
2
Descargue e instale manualmente la actualizacin de seguridad
958644 (MS08-067). Para obtener ms informacin al respecto, visite el
siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/security/bulletin/MS08067.mspx
Nota Es posible que este sitio est bloqueado debido a una infeccin
de malware. En ese caso, debe descargar la actualizacin desde un
equipo que no est infectado y transferir a continuacin el archivo de
actualizacin al sistema infectado. Se recomienda que grabe la
actualizacin en un CD, ya que este tipo de soporte no permite su
escritura una vez grabado y, por lo tanto, no puede infectarse. Si no
dispone de una unidad de CD grabable, es posible que la nica forma
de copiar la actualizacin en el sistema infectado sea mediante una
unidad de memoria USB extrable. Si utiliza una unidad extrable,
tenga en cuenta que el malware puede infectarla con el archivo
Autorun.inf. Una vez copiada la actualizacin en una unidad extrable,
asegrese de establecer la unidad en modo de slo lectura, siempre
que esta opcin est disponible para el dispositivo. Si este modo est
disponible, normalmente se habilita mediante un modificador fsico
que se encuentra en el dispositivo. A continuacin, una vez copiado el
archivo de actualizacin en el equipo infectado, compruebe si se ha
escrito el archivo Autorun.inf en la unidad extrable. Si es as, cambie
el nombre de este archivo por otro similar a Autorun.bad de forma
que no se pueda ejecutar cuando la unidad extrable est conectada
al equipo.
3
Restablezca cualquier contrasea de administrador de dominio y de
administrador local para usar una nueva contrasea segura. Para obtener
ms informacin al respecto, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/es-es/library/cc875814.aspx
4
En el Editor del Registro, busque la siguiente subclave del Registro y
haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
5
En el panel de detalles, haga clic con el botn secundario del mouse
en la entrada netsvcs y, a continuacin, haga clic en Modificar.
6
Si el equipo est infectado con el virus Win32/Conficker, se mostrar
un nombre de servicio aleatorio.
Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y
se encontraba en la parte inferior de la lista. Con las variantes ms
recientes, el nombre de servicio puede estar en cualquier lugar de la lista y
puede parecer legtimo. Si el nombre de servicio aleatorio no est en la
parte inferior, compare su sistema con la "Tabla Servicios" de este
procedimiento para determinar el nombre de servicio que ha agregado
Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios"
con un sistema similar que se sabe que no est infectado.
Anote el nombre del servicio de malware. Necesitar esta informacin ms
adelante durante este proceso.
7
Elimine la lnea que contiene la referencia al servicio de malware.
Asegrese de dejar un avance de lnea en blanco debajo de la ltima
entrada vlida que aparece en la lista y, a continuacin, haga clic en
Aceptar.
Notas sobre la tabla Servicios
o
Todas las entradas de la tabla Servicios son entradas vlidas,

excepto para los elementos que estn resaltados en negrita.
Los elementos resaltados en negrita son ejemplos de lo que

puede agregar el virus Win32/Conficker al valor netsvcs en la
clave del Registro SVCHOST.
Es posible que no sea una lista completa de servicios,

dependiendo de lo que est instalado en el sistema.
La tabla Servicios procede de una instalacin predeterminada

de Windows.
La entrada que agrega el virus Win32/Conficker a la lista es una

tcnica de confusin. En la entrada malintencionada resaltada
la primera letra parece ser una "L" minscula. Sin embargo, en
realidad es una "I" mayscula. Debido a la fuente utilizada por
el sistema operativo, la "I" mayscula se parece a una "l"
minscula.
Tabla Servicios
Ampliar esta tabla
Windows
Server 2008
Windows
Windows Vista Server
2003
Windows XP
Windo
ws
2000
AeLookupSvc
AeLookupSvc
AppMgmt 6to4
EventS
ystem
wercplsupport
wercplsupport
AudioSrv
AppMgmt
Ias
Themes
Themes
Browser
AudioSrv
Iprip
CertPropSvc
CertPropSvc
CryptSvc
Browser
Irmon
SCPolicySvc
SCPolicySvc
DMServer CryptSvc
Netma
n
lanmanserver
lanmanserver
EventSyst
DMServer
em
Nwsap
agent
gpsvc
gpsvc
HidServ
DHCP
Rasaut
o
IKEEXT
IKEEXT
Ias
ERSvc
Iaslog
on
AudioSrv
AudioSrv
Iprip
EventSystem
Rasma
n
FastUserSwitchin FastUserSwitchin
Irmon
gCompatibility gCompatibility
Remot
FastUserSwitchin
eacces
gCompatibility
s
Ias
Ias
LanmanSe
HidServ
rver
SENS
Irmon
Irmon
LanmanW
Ias
orkstation
Shared
access
Nla
Nla
Messenger Iprip
Ntmssv
c
Ntmssvc
Ntmssvc
Netman
wzcsvc
Irmon
NWCWorkstation NWCWorkstation Nla
LanmanServer
Nwsapagent
Nwsapagent
Ntmssvc
LanmanWorkstat
ion
Rasauto
Rasauto
NWCWork
Messenger
station
Rasman
Rasman
Nwsapage
Netman
nt
Iaslogon
Iaslogon
Iaslogon Iaslogon
Remoteaccess
Remoteaccess
Rasauto
Nla
SENS
SENS
Rasman
Ntmssvc
Sharedaccess
Sharedaccess
Remoteac
NWCWorkstation
cess
SRService
SRService
Sacsvr
Nwsapagent
Tapisrv
Tapisrv
Schedule
Rasauto
Wmi
Wmi
Seclogon
Rasman
WmdmPmSp
WmdmPmSp
SENS
Remoteaccess
TermService
TermService
Sharedacc
Schedule
ess
wuauserv
wuauserv
Themes
Seclogon
BITS
BITS
TrkWks
SENS
ShellHWDetectio ShellHWDetectio
TrkSvr
n
n
Sharedaccess
LogonHours
LogonHours
W32Time SRService
PCAudit
PCAudit
WZCSVC
Tapisrv
helpsvc
helpsvc
Wmi
Themes
uploadmgr
uploadmgr
WmdmPm
TrkWks
Sp
iphlpsvc
iphlpsvc
winmgmt W32Time
seclogon
seclogon
wuauserv WZCSVC
AppInfo
AppInfo
BITS
msiscsi
msiscsi
ShellHWD
WmdmPmSp
etection
MMCSS
MMCSS
uploadmgr winmgmt
browser
ProfSvc
WmdmPm
TermService
SN
winmgmt
EapHost
xmlprov
Wmi
wuauserv
SessionEnv
winmgmt
AeLookup
BITS
Svc
ProfSvc
schedule
helpsvc
EapHost
SessionEnv
helpsvc
hkmsvc
browser
xmlprov
schedule
hkmsvc
wscsvc
AppMgmt
AppMgmt
WmdmPmSN
sacsvr
ShellHWDetectio
n
hkmsvc
8
En un procedimiento anterior, haba anotado el nombre del servicio
de malware. En este ejemplo, el nombre de la entrada de malware era
"Iaslogon". Con esta informacin, siga estos pasos:
a. En el Editor del Registro, busque la siguiente subclave del
Registro y seleccinela, donde BadServiceName es el nombre
del servicio de malware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi
ces\BadServiceName
Por ejemplo, busque la siguiente subclave del Registro y haga
clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi
ces\Iaslogon
b. Haga clic con el botn secundario del mouse en la subclave
que aparece en el panel de exploracin del nombre del servicio
de malware y, a continuacin, haga clic en Permisos.
c. En el cuadro de dilogo Entrada de permisos para SvcHost,
haga clic en Opciones avanzadas.
d. En el cuadro de dilogo Configuracin de seguridad
avanzada, haga clic para activar las siguientes casillas de
verificacin:
Heredar del objeto primario las entradas de permiso
que se aplican a los objetos secundarios. Incluirlas junto
con las entradas indicadas aqu de forma explcita..
Reemplazar las entradas de permisos en todos los
objetos secundarios con aquellas entradas incluidas
aqu y que sean relativas a los objetos secundarios.
2
Presione F5 para actualizar el Editor del Registro. En el panel de
detalles, podr ver y editar el archivo DLL de malware que se carga como
"ServiceDll". Para ello, siga estos pasos:
a. Haga doble clic en la entrada "ServiceDll".
b. Anote la ruta de acceso al archivo DLL al que se hace
referencia. Necesitar esta informacin ms adelante durante
este proceso. Por ejemplo, la ruta de acceso al archivo DLL en
cuestin puede parecerse a la siguiente:
%SystemRoot%\System32\doieuln.dll
Cambie el nombre de la referencia para que sea similar a:

%SystemRoot%\System32\doieuln.old
c. Haga clic en Aceptar.

2
Elimine la entrada del servicio de malware de la subclave Run del
Registro.
a. En el Editor del Registro, busque las siguientes subclaves del
Registro y seleccinelas:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV
ersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run
b. En las dos subclaves, busque cualquier entrada que comience
por "rundll32.exe" y que haga referencia al archivo DLL de
malware que se carga como "ServiceDll" identificado en el paso
12b. Elimine la entrada.
c. Cierre el Editor del Registro y reinicie el equipo.
2
Busque archivos Autorun.inf en todas las unidades del sistema. Utilice
el Bloc de notas para abrir cada archivo y, a continuacin, compruebe que
se trata de un archivo Autorun.inf vlido. A continuacin, se muestra un
ejemplo de un archivo Autorun.inf vlido normal:
3
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
Un archivo Autorun.inf vlido suele tener un tamao de 1 a 2

kilobytes (KB).
6
7
Elimine cualquier archivo Autorun.inf que no parezca vlido.

Reinicie el equipo.
8
Haga visibles los archivos ocultos. Para ello, escriba el comando
siguiente en el smbolo del sistema:
reg.exe add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advance
d\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
9
Seleccione Mostrar todos los archivos y carpetas ocultos para
poder ver el archivo. Para ello, siga estos pasos:
a. En el paso 12b, ha anotado la ruta de acceso al archivo .dll de
malware al que se hace referencia. Por ejemplo, ha observado
una ruta similar a la siguiente:
%systemroot%\System32\doieuln.dll
En el Explorador de Windows, abra el directorio %systemroot
%\System32 o el directorio que contiene el malware.
b. Haga clic en Herramientas y, a continuacin, en Opciones
de carpeta.
c. Haga clic en la ficha Ver.
d. Active la casilla de verificacin Mostrar todos los archivos y
carpetas ocultos.
e. Haga clic en Aceptar.
2
Seleccione el archivo .dll.
3
Edite los permisos en el archivo para agregar Control total para Todos.
a. Haga clic con el botn secundario del mouse en el archivo .dll
y, a continuacin, haga clic en Propiedades.
b. Haga clic en la ficha Seguridad.
c. Haga clic en Todos y, a continuacin, active la casilla de
verificacin Control total en la columna Permitir.
d. Haga clic en Aceptar.
2
Elimine el archivo .dll de malware al que se hace referencia. Por
ejemplo, elimine el archivo %systemroot%\System32\doieuln.dll.
3
Habilite los servicios de informe de errores, los servicios BITS, las
actualizaciones automticas y Windows Defender mediante el complemento
Servicios de Microsoft Management Console (MMC).
4
Desactive la ejecucin automtica para ayudar a reducir los efectos
de una nueva infeccin. Para ello, siga estos pasos:
a. En funcin del sistema que utilice, instale una de las siguientes
actualizaciones:
Si est ejecutando Windows 2000, Windows XP o

Windows Server 2003, instale la actualizacin 967715.
Para obtener ms informacin, haga clic en el nmero de
artculo siguiente para verlo en Microsoft Knowledge
Base:
967715 Cmo deshabilitar la funcionalidad de la
ejecucin automtica en Windows
Si est ejecutando Windows Vista o Windows Server

2008, instale la actualizacin 950582. Para obtener ms
informacin, haga clic en el nmero de artculo siguiente
para verlo en Microsoft Knowledge Base:
950582 MS08-038: Una vulnerabilidad en el Explorador
de Windows podra permitir la ejecucin remota de
cdigo
b. Nota La actualizacin 967715 y la actualizacin de seguridad

950582 no estn relacionadas con este problema de malware.
Estas actualizaciones deben instalarse para habilitar la funcin
del Registro en el paso 23b.
b. Escriba el siguiente comando en el smbolo del sistema:
reg.exe add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ex
plorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
2
Si el sistema ejecuta Windows Defender, vuelva a habilitar la
ubicacin de inicio automtico de esta aplicacin. Para ello, escriba el
siguiente comando en el smbolo del sistema:
reg.exe add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows
Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows
Defender\MSASCui.exe hide"/f
3
En Windows Vista y sistemas operativos posteriores, el malware
cambia la configuracin global del nivel de ajuste automtico de ventana de
recepcin de TCP a deshabilitado. Para restablecer esta configuracin,
escriba el siguiente comando en el smbolo del sistema:
netsh interface tcp set global autotuning=normal
Si una vez completado este procedimiento, observa que el equipo puede
haberse infectado de nuevo, es posible que se cumpla una de las siguientes
condiciones:
No se ha eliminado una de las ubicaciones de inicio automtico. Por
ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf.
La actualizacin de seguridad de MS08-067 no se ha instalado

correctamente.
Este malware puede cambiar otros valores de configuracin que no se

describen en este artculo. Visite la siguiente pgina web de Microsoft
Malware Protection Center (Centro de proteccin contra malware de
Microsoft) para obtener la informacin ms reciente acerca del gusano
Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
Compruebe que el sistema est desinfectado.
Compruebe que se han iniciado los siguientes servicios:
Actualizaciones automticas (wuauserv)

Servicio de transferencia inteligente en segundo plano (BITS)
Windows Defender (windefend, si procede)
Servicio de informe de errores de Windows
Para ello, escriba los siguientes comandos en el smbolo del sistema.

Presione ENTRAR despus de cada comando:
Sc.exe
Sc.exe
Sc.exe
Sc.exe
query
query
query
query
wuauserv
bits
windefend
ersvc
Una vez ejecutados todos los comandos, aparecer un mensaje similar al

siguiente:
NOMBRE_DE_SERVICIO: wuauserv
TIPO : 20 WIN32_SHARE_PROCESS
ESTADO : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
CDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0)
CDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0)
PUNTO_DE_CONTROL : 0x0
ESPERA : 0x0
En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se est
ejecutando.
Para comprobar el estado de la subclave del Registro SvcHost, siga estos
pasos:
1. En el Editor del Registro, busque la siguiente subclave del Registro y
haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
2. En el panel de detalles, haga doble clic en netsvcs y, a continuacin,

revise los nombres de servicio que aparecen en la lista. Desplcese
hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto
a infectar con Conficker, se mostrar un nombre de servicio aleatorio.
Por ejemplo, en este procedimiento, el nombre del servicio de
malware es "Iaslogon".
Si estos pasos no resuelven el problema, pngase en contacto con el
proveedor del software antivirus. Para obtener informacin adicional acerca
de este problema, haga clic en el nmero de artculo siguiente para verlo en
Microsoft Knowledge Base:
49500 Lista de proveedores de software antivirus
Si no hay ningn proveedor de software antivirus disponible o ste no puede
ayudarle, pngase en contacto con los Servicios de soporte tcnico y de
asistencia al cliente de Microsoft.
Una vez que el entorno se haya desinfectado completamente
Una vez que el entorno se haya desinfectado completamente, siga estos
pasos:
1. Vuelva a habilitar el servicio del servidor y el servicio Programador de
tareas.
2. Restablezca los permisos predeterminados en la clave del Registro
SVCHOST y en la carpeta Tareas. Debera cambiarse a la
configuracin predeterminada usando la configuracin de directivas
de grupo. Si slo se elimina una directiva, es posible que los permisos
predeterminados no vuelvan a cambiarse. Para obtener ms
informacin, consulte la tabla de permisos predeterminados en la
seccin "Pasos de mitigacin".
3. Actualice el equipo mediante la instalacin de las actualizaciones de
seguridad que falten. Para ello, utilice Windows Update, el servidor de
Microsoft Windows Server Update Services (WSUS), Systems
Management Server (SMS), System Center Configuration Manager
(SCCM) o un producto de administracin de actualizaciones de
terceros. Si utiliza SMS o SCCM, primero debe volver a habilitar el
servicio del servidor. De lo contrario, SMS o SCCM no podr actualizar
el sistema.
Identificacin de sistemas infectados

Si tiene problemas para identificar los sistemas que estn infectados con
Conficker, puede ayudar la informacin proporcionada en el siguiente blog
de TechNet:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparsereventcomb-to-find-malware.aspx
Tabla de permisos predeterminada

En la tabla siguiente se muestran los permisos predeterminados para cada
sistema operativo. Estos permisos estn activos antes de aplicar los
cambios que recomendamos en este artculo. Estos permisos pueden diferir
de los permisos establecidos en su entorno. Por tanto, debe anotar la
configuracin antes de realizar cualquier cambio. Debe hacerlo para poder
restaurar la configuracin una vez limpio el sistema.
Ampliar esta tabla
Wind
Sistema ows
operativ Serv
o
er
2008
Wind
ows
Vista
Wind
ows
Serv
er
2003
Wind
ows
XP
Regi Carpe Regi

Configur stro ta
stro
acin
Svch Tarea Svch
ost s
ost
Carpe Regi
ta
stro
Tarea Svch
s
ost
Carpe Regi
ta
stro
Tarea Svch
s
ost
Wind
ows
2000
Carpe Regi
Carpe
ta
stro
ta
Tarea Svch
Tareas
s
ost
Cuenta
Administr
Contr
Contr
Contr
Contr
Contr
adores
Contro
Contro
Contro
Contro
Control
ol
ol
ol
ol
ol
(Grupo
l total
l total
l total
l total
total
total
total
total
total
total
local)
Sistema
Contr
Contr
Contr
Contr
Contr
Contro
Contro
Contro
Contro
Control
ol
ol
ol
ol
ol
l total
l total
l total
l total
total
total
total
total
total
total
Usuarios
no
no
no
no
no
no
no
avanzado
Lectu
Lectu
Lectu
aplica aplica aplica aplica
aplica
aplica
aplicab
s (Grupo
ra
ra
ra
ble
ble
ble
ble
ble
ble
le
local)
Usuarios
no
no
no
no
no
Espec
Espec
Lectu
Lectu
Lectu
(Grupo
aplica
aplica
aplica
aplica
aplicab
ial
ial
ra
ra
ra
local)
ble
ble
ble
ble
le
Se
aplica
a:
Esta
clave
y
subcl
aves
Se
aplica
a:
Esta
clave
y
subcl
aves
Cons
ultar
un
valor
Cons
ultar
un
valor
Enum
erar
las
subcl
aves
Enum
erar
las
subcl
aves
Notifi
car
Notifi
car
Leer
un
contr
ol
Leer
un
contr
ol
Usuarios no
no
no
no
no
no
no
no
Especi
Especi
autentica aplica
aplica
aplic aplica aplic aplica aplic aplicab
al
al
dos
ble
ble
able ble
able ble
able le
Se
aplica
a:
Esta
carpet
a slo
Se
aplica
a:
Esta
carpet
a slo
Recorr
er
carpet
a
Recorr
er
carpet
a
Mostr
ar
carpet
a
Mostr
ar
carpet
a
Leer
Leer
atribut
os
atribut
os
Leer
atribut
os
exten
didos
Leer
atribut
os
exten
didos
Crear
archiv
os
Crear
archiv
os
Leer
permi
sos
Leer
permi
sos
Operador
es de
no
no
no
no
no
no
copia de
Especi
Especi
aplica aplica aplica aplica aplic
aplic
seguridad
al
al
ble
ble
ble
ble
able
able
(Grupo
local)
Se
aplica
a:
Esta
carpet
a slo
Se
aplica
a:
Esta
carpet
a slo
Recorr
er
carpet
a
Recorr
er
carpet
a
Mostr
ar
carpet
a
Mostr
ar
carpet
a
Leer
atribut
os
Leer
atribut
os
Leer
atribut
os
exten
didos
Leer
atribut
os
exten
didos
Todos
Crear
archiv
os
Crear
archiv
os
Leer
permi
sos
Leer
permi
sos
no
no
no
no
no
no
no
no
no
Especi
aplica aplica aplica aplica aplic aplica aplic aplica aplic
al
ble
ble
ble
ble
able ble
able ble
able
Se
aplica
a: Esta
carpet
a,
subcar
petas y
archivo
s
Recorr
er
carpet
a
Mostra
r
carpet
a
Leer
atribut
os
Leer
atribut
os
extend
idos
Crear
archivo
s
Crear
carpet
as
Escribir
atribut
os
Escribir
atribut
os
extend
idos
Leer
permis
os
Propiedades
Id. de artculo: 962007 - ltima revisin: lunes, 07 de septiembre de 2009 Versin: 7.1
La informacin de este artculo se refiere a:
Windows Server 2008 Datacenter without Hyper-V

Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Service Pack 1 para Windows Vista sobre las siguientes plataformas

o
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Windows Vista Enterprise 64-bit edition
Windows Vista Home Basic 64-bit edition
Windows Vista Home Premium 64-bit edition
Windows Vista Ultimate 64-bit edition
Windows Vista Business 64-bit edition
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Windows Vista Enterprise 64-bit edition
Windows Vista Home Basic 64-bit edition
Windows Vista Home Premium 64-bit edition
Windows Vista Ultimate 64-bit edition
Windows Vista Business 64-bit edition
Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes

plataformas
o
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Datacenter Edition for ItaniumBased Systems
Microsoft Windows Server 2003, Enterprise Edition for Itaniumbased Systems
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes

plataformas
o
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003, Datacenter Edition for ItaniumBased Systems
Microsoft Windows Server 2003, Enterprise Edition for Itaniumbased Systems
Microsoft Windows XP Service Pack 2 sobre las siguientes plataformas

o
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Service Pack 3 para Microsoft Windows XP sobre las siguientes

plataformas
o
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Service Pack 4 de Microsoft Windows 2000 sobre las siguientes

plataformas
o
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
kbregistry kbexpertiseinter kbsecurity kbsecvulnerability

Palabras clave: kbsurveynew KB962007
Qu es el virus Conficker
Conficker (conocido tambin con el nombre de Downup, Downandup y
Kido) es un gusano informtico que apareci en octubre del 2008. Hasta la
fecha habra infectado millones de PCs, especialmente en las empresas,
pero tambin en hospitales, la Marina Francesa, la Royal Navy britnica y la
armada alemana. Esta amenaza ha sido tomada en serio e incluso Microsoft
ha ofrecido una recompensa de 250 000 dlares a quien d informacin que
permita arrestar al autor de este gusano.
Conficker, una vez instalado en el PC, desactiva las actualizaciones de
Windows y de algunos programas de seguridad, impidiendo la conexin a
los sitios Web de Microsoft o creadores de antivirus. Luego se conecta a un
servidor, permitiendo que un hacker tome el control del equipo y recabe
informacin personal, instale otros programas maliciosos o realice actos
ilcitos (enviar emails con spam, atacar un sitio Web para ponerlo fuera de
servicio, etc.)
Para saber si tu PC est infectada con este gusano haz clic en este enlace.
Cmo evitar infectarse con Conficker

Para propagarse, esta infeccin explota una falla de Windows. Un parche
corrigiendo esta vulnerabilidad fue publicado el 15 de octubre por Microsoft,
pero como casi siempre, muchos usuarios no lo han instalado. Si
desactivaste las actualizaciones automticas y aun no has instalado este
parche, puedes descargarlo del siguiente enlace: Pgina de Microsoft
Conficker tambin puede propagarse a travs de dispositivos mviles
(memorias USB, discos duros externos, etc.) y dentro de una red abierta o
protegida por contraseas no muy seguras. Utiliza USBFix para vacunar tus
dispositivos mviles, y protege tu red utilizando contraseas seguras.
Desinfectar un PC infectado por Conficker

Pasos previos
Hay que tomar ciertas precauciones para evitar que el virus se propague, y
para impedir volver a infectar el PC cada vez que se intente desinfectar.
Desconecta temporalmente tu PC de la red.

Detn temporalmente el servicio Servidor:
Men Inicio > Ejecutar (o barra de bsqueda en Windows Vista)

> escribe services.msc y presiona Enter. Haz clic derecho sobre
el servicio "Servidor", selecciona "Propiedades". En la ventana
que aparece, haz clic en "Detener", En Tipo de inicio pon
"Deshabilitado", luego dale clic a "Aceptar".
Desinfecta y vacuna todos los discos mviles (memoria USB, discos

duros externos, reproductores mp3, etc.). Ver este articulo
Descarga el parche de Microsoft para corregir la vulnerabilidad

explotada por Conficker: Pgina de Microsoft
Probablemente no lo puedas hacer desde tu PC: en ese caso, hazlo desde

otro y transfiere el parche a un disco mvil vacunado (ver ms abajo).
Eliminar la infeccin
Una vez tomadas todas las precauciones, puedes comenzar con la
desinfeccin. Probablemente no tengas acceso a ningn sitio Web de
creadores de antivirus, ni al sitio de Microsoft...Por lo tanto debers bajar los
programas de desinfeccin desde un PC que no est infectado, y pasarlos al
PC infectado utilizando un dispositivo USB vacunado.
Primero intenta analizar el PC con tu antivirus, o con MalwareBytes

Anti-Malware por ejemplo. Luego puedes postear el informe en el foro
Virus y Seguridad para que alguien te pueda ayudar.
Microsoft ofrece tambin una Herramienta para eliminar programas
malintencionado (MSRT) que te puede ayudar a desinfectar el PC
(puedes encontrar informacin para implementarlo en un entorno
empresarial en el sitio Web de Microsoft.
Luego puedes intentar con herramientas de desinfeccin especificas
creadas por ciertos desarrolladores de antivirus, por ejemplo:
[ Kasprsky], BitDefender, Sophos, F-Secure.
Sin embargo Conficker es bastante difcil de eliminar ya que crea

archivos que se asocian a procesos legtimos de Windows como
Svchost. Por ello, es muy posible que todas las recomendaciones
dadas anteriormente no sean suficientes: en ese caso, no dudes en
poner un mensaje en el foro Virus y Seguridad
win32/AutoRun.IRCBot.CX gusano, lo que hace, si, es volverlo loco a uno, lo

que hace este virus, como lo dice su nombre, es alertar al antivirus, de que
el existe, pero no es todo, el antivirus no te elimina el AutoRun, lo que hace
es lo contrario te aparecen ventanas del antivirus que no dejaran de
aparecer, por que la auto-abre lo que dice su nombre."AutoRun".
Lo que te recomiendo, es que vayas a la memoria conectada y busques un
archivo llamado autorun.exe eliminalo y eliminalo otra vez de la papelera. y
listo.
A mi me ha funcionado
Hola,
como puedo eliminar un gusano llamado Win32/Conficker el q se aloja en la
memoria de mi equiupo como un archivo
system32\xqzhsk.dll, el cual vulnero al Nod32... e probado casi todo,
HijackThis, Hazard Shield.... ayuda porfavor
Qu es una herramienta de desinfeccin?

Una herramienta de desinfeccin es un pequeo archivo ejecutable que sirve para
limpiar un equipo que ha sido infectado por un virus determinado. Por lo tanto, cada
herramienta de desinfeccin es capaz de eliminar un tipo de virus en particular o una
versin particular de un virus.
Las herramientas de desinfeccin que se describen a continuacin no
sustituyen a los programas antivirus. Los antivirus cumplen un rol
preventivo al interceptar los virus antes de que hayan infectado el
equipo. Pero si un equipo se infecta de todas maneras, las utilidades
de desinfeccin que estn disponibles para descargar en este sitio le
ayudarn a tomar medidas correctivas para eliminar al virus.
Cmo se utilizan las utilidades de desinfeccin?

Para eliminar un virus que encontr en su equipo, suponiendo que conoce el virus que
infect el sistema, el mejor mtodo es, en primer lugar, desconectar el equipo de la red y
despus aplicar la respectiva herramienta de desinfeccin.
A continuacin, debe reiniciar el equipo en modo a prueba de errores (a no ser que use
Windows NT) y abrir la herramienta de desinfeccin.
Sin embargo, algunos gusanos se esparcen gracias a una falla de seguridad de Microsoft
Internet Explorer, es decir que su equipo se puede infectar al visitar un sitio infectado.
Para solucionar este problema, se debe descargar el parche para Microsoft Internet
Explorer 5.01 o superior. Por lo tanto, verifique la versin de su navegador y descargue
el parche de ser necesario:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
Descargar las herramientas

Herramienta de
desinfeccin
Editor
Tama Plataform Descar

o
a
ga
AutoUpder
Symantec
159
KB
BadTrans.A
Trend Micro
36 KB DOS
Descar
ga
BadTrans.B
Symantec
121
KB
Windows
Descar
ga
Blaster/MSBlaster/Lovsan
Sophos
/Poza
128
KB
Windows
Descar
ga
Blaster
Symantec
139
KB
Windows
Descar
ga
BleBla
Trend Micro
36 KB
DOS/Windo Descar
ws
ga
BuddyList
Desconocido
208
KB
Windows
CIH
Desconocido 50 KB
CodeRed
Symantec
114
KB
Windows
Descar
ga
DLder
Kazaa
137
KB
Windows
Descar
ga
ExploreZip
Symantec
51 KB DOS
Descar
ga
FunLove
Symantec
29 KB DOS
Descar
ga
Gibe
Symantec
166
KB
Descar
ga
Gigger
Trend Micro
48 KB DOS
Descar
ga
Gozar
Trend Micro
40 KB DOS
Descar
ga
Goner.A
Symantec
405
Descar
Windows
Descar
ga
Descar
ga
DOS/Windo Descar
ws
ga
Windows
Windows
KB
ga
Happy99
Norton
Antivirus
208
KB
Windows
Descar
ga
HapTime.A
Symantec
69 KB Windows
Descar
ga
Hybris
Trend Micro
24 KB DOS
Descar
ga
I Love you
Symantec
24 KB DOS
Descar
ga
I-Worm
Symantec
84 KB DOS
Descar
ga
Kak
Panda
Software
391
KB
Windows
Descar
ga
Kak.B
Norton
125
KB
Windows
Descar
ga
Klez / Elkern
Symantec
142
KB
Windows
Descar
ga
Kriz
Symantec
29 KB DOS
Descar
ga
LifeStages
Symantec
216
KB
Windows
Descar
ga
LoveLetter
Symantec
228
KB
Windows
Descar
ga
Magistr.A
Trend Micro
19 KB DOS
Descar
ga
Magistr.B
Trend Micro
24 KB DOS
Descar
ga
Mtx
Symantec
185
KB
DOS
Descar
ga
MyLife
Symantec
169
KB
Windows
Descar
ga
MyParty
Trend Micro
88 KB DOS
Descar
ga
Navidad
Symantec
205
KB
Descar
ga
Windows
Nimda.A
Symantec
457
KB
Windows
Descar
ga
Nimda.E
Symantec
449
KB
Windows
Descar
ga
Potok
Symantec
70 KB Windows
Descar
ga
Passer
Sophos
79 KB Windows
Descar
ga
Sasser
F-Securec
91 KB Windows
Descar
ga
Shoho
Trend Micro
96 KB DOS
Descar
ga
Sircam
Symantec
74 KB Windows
Descar
ga
Sobig.F
Symantec
176
KB
Windows
Descar
ga
Welch
Symantec
176
KB
Windows
Descar
ga
Zoher
Trend Micro
80 KB Windows
Descar
ga
ESTE VIRUS SE APROVECHA DE UNA VULNERAVILIDAD DEL SISTEMA

OPERATIVO POR LO QUE ES ACONSEJABLE ACTUALIZAR TU S.O.
AMIGO, LA MEJOR FORMA DE ELIMINARLO ES LA SIGUIENE:
1.- DEBES TENER ACTUALIZADO TU SISTEMA OPERATIVO CON TODOS LOS
PARCHES, EN ESPECIAL ESTE "KB958644".
2.- CORRER A MODO A PRUEBA DE FALLOS EL SIGUIENTE PARCHE DE
WINDOWS "kb890830-v2.7".
3.- EN MODO A PRUEBA DE FALLOS CORRER TU ANTIVIRUS, NO IMPORTA
CUAL SEA POR QUE TODOS YA ESTAN ACTUALIZADOS PARA ELIMINAR EL
VIRUS CONFIKER EN SUS 200 VARIACIONES.
4.- ESTE PASO ES OPCIONAL PERO MUY RECOMENDADO EJECTUAR ESTE
SOFTWARE: "stinger10000482", ES UN SOFTWARE GRATIS DE MCAFFE Y LO
DESCARGAS DE ESTA PAGINA: http://vil.nai.com/vil/stinger/
Tipos de Vrus Informticos
Todos los virus tiene en comun una caracteristica, y es que crean efectos perniciosos. A
continuacin te presentamos la clasificacion de los virus informaticos, basada en el dao
que causan y efectos que provocan.
Caballo de Troya:
Es un programa daino que se oculta en otro programa legtimo, y que produce sus
efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros
archivos o soportes, y slo se ejecuta una vez, aunque es suficiente, en la mayora de las
ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya nica finalidad es la de ir consumiendo la memoria del sistema, se

copia asi mismo sucesivamente, hasta que desborda la RAM, siendo sta su nica
accin maligna.
Virus de macros:
Un macro es una secuencia de oredenes de teclado y mouse asignadas a una sola tecla,
smbolo o comando. Son muy utiles cuando este grupo de instrucciones se necesitan
repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen,
haciendose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobreescritura:
Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el

contenido de los mismos.
Virus de Programa:
Comnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN,
.DLL, y .SYS., los dos primeros son atacados ms frecuentemente por que se utilizan
mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el
sector de arranque maestro (Master Boot Record) de los discos duros; tambin pueden
infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automticamente en la memoria de la computadora y desde ella esperan la

ejecucin de algn programa o la utilizacin de algn archivo.
Virus de enlace o directorio:
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los
archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimrficos:
Son virus que mutan, es decir cambian ciertas partes de su cdigo fuente haciendo uso
de procesos de encriptacin y de la misma tecnologa que utilizan los antivirus. Debido
a estas mutaciones, cada generacin de virus es diferente a la versin anterior,
dificultando as su deteccin y eliminacin.
Virus falso o Hoax:
Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes
distribudas a travs del correo electrnico y las redes. Estos mensajes normalmente
informan acerca de peligros de infeccin de virus, los cuales mayormente son falsos y
cuyo nico objetivo es sobrecargar el flujo de informacin a travs de las redes y el
correo electrnico de todo el mundo.
Virus Mltiples:
Son virus que infectan archivos ejecutables y sectores de booteo simultneamente,

combinando en ellos la accin de los virus de programa y de los virus de sector de
arranque.
Para obtener informacion de antivirus para eleminar los diferentes tipo de virus
presentados anteriormente visita software antivirus
INTRODUCCION
Actualmente los virus informticos se han incrementado notablemente; desde la primera
aparicin su crecimiento ha sido sorprendente. En la actualidad se crean cinco virus
diarios aproximadamente, los virus no solamente copian sus cdigos en forma parcial a
otros programas sino que adems lo hacen en reas importantes de un sistema (sector de
arranque, tabla de particin, entre otros).
Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en
memoria y desde all ataque a un determinado tipo de archivo o reas del sistema y lo
infecte. Con Internet se hace ms fcil tener el total control de los virus informticos, lo
que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando las
tcnicas de prevencin, deteccin y eliminacin de virus informticos, tenindose que
llevar a cabo de forma rpida y eficiente .
Como causa de ste crecimiento innumerable de los virus informticos, aparece,
paradjicamente la solucin, mediante las actualizaciones de los antivirus.
HISTORIA DE LOS VIRUS
Desde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy en
da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se agrav con
el advenimiento y auge de Internet. A continuacin, un resumen de la verdadera
historia de los virus que infectan los archivos y sistemas de las computadoras.
1939-1949 Los Precursores
En 1939, el famoso cientfico matemtico John Louis
Von Neumann, de orgen hngaro, escribi un
artculo, publicado en una revista cientfica de New
York, exponiendo su "Teora y organizacin de
autmatas complejos", donde demostraba la
posibilidad de desarrollar pequeos programas que
pudiesen tomar el control de otros, de similar
estructura.
Cabe mencionar que Von Neuman, en 1944
contribuy en forma directa con John Mauchly y
J.Presper Eckert, asesorndolos en la fabricacin de la
ENIAC, una de las computadoras de Primera
Generacin, quienes construyeran adems la famosa
UNIVAC en 1950.
John Louis von Neumann (1903-1957)
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jvenes

programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera
de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la
teora de John Von Neumann, escrita y publicada en 1939.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo
un virus en ArpaNet, la precursora de Internet.
Puesto en la prctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que
finalmente consegua eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigacin como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.
Sin embargo durante muchos aos el CoreWar fue mantenido en el anonimato, debido a
que por aquellos aos la computacin era manejada por una pequea lite de
intelectuales
A pesar de muchos aos de clandestinidad, existen reportes acerca del virus Creeper,
creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360,
emitiendo peridicamente en la pantalla el mensaje: "I'm a creeper... catch me if you
can!" (Soy una enredadera, agrrenme si pueden). Para eliminar este problema se cre el
primer programa antivirus denominado Reaper (segadora), ya que por aquella poca se
desconoca el concepto de los softwares antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de Amrica,
precursora de Internet, emiti extraos mensajes que aparecan y desaparecan en forma
aleatoria, asimismo algunos cdigos ejecutables de los programas usados sufran una
mutacin. Los altamente calificados tcnicos del Pentgono se demoraron 3 largos das
en desarrollar el programa antivirus correspondiente.
Hoy da los desarrolladores de antivirus resuelven un problema de virus en contados
minutos.
1981 La IBM PC
En Agosto de 1981 la International Business Machine lanza al mercado su primera
computadora personal, simplemente llamada IBM PC. Un ao antes, la IBM haban
buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los
derechos de su sistema operativo CP/M, pero ste se hizo de rogar, viajando a Miami
donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".
Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la
Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que
realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el
nombre de PC-DOS se lo vendi a la IBM. Sin embargo, Microsoft retuvo el derecho de
explotar dicho sistema, bajo el nombre de MS-DOS.
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido y
Rstico Sistema Operativo de Disco) y tena varios errores de programacin (bugs).
La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un buen
sistema operativo y como resultado de esa imprevisin todas las versiones del llamado
PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya
que fundamentalmente heredaron muchos de los conceptos de programacin del antiguo
sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una
rutina de apenas 256 bytes, que es ejecutada previamente a la ejecucin de cualquier
programa con extensin EXE o COM.
1983 Keneth Thompson
Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit las teoras
de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo
protagonista de una ceremonia pblica present y demostr la forma de desarrollar un
virus informtico.
1984 Fred Cohen
Al ao siguiente, el Dr. Fred Cohen al ser
galardonado en una graduacin, en su discurso
de agradecimiento incluy las pautas para el
desarrollo de un virus. Este y otros hechos
posteriores lo convirtieron en el primer autor
oficial de los virus, aunque hubo varios autores
ms que actuaron en el anonimato.
El Dr. Cohen ese mismo ao escribi su libro
"Virus informticos: teora y experimentos",
donde adems de definirlos los califica como un
grave problema relacionado con la Seguridad
Nacional. Posteriormente este investigador
escribi "El evangelio segn Fred" (The Gospel
according to Fred), desarroll varias especies
virales y experiment con ellas en un
computador VAX 11/750 de la Universidad de
California del Sur.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
revista BYTE reportaron la presencia y difusin de algunos programas que actuaban
como "caballos de Troya", logrando infectar a otros programas.
Al ao siguiente los mensajes y quejas se incrementaron y fue en 1986 que se
reportaron los primeros virus conocidos que ocasionaron serios daos en las IBM PC y
sus clones.
1986 El comienzo de la gran epidemia
En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusin masiva. Estas 3 especies virales tan
slo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los
virus que infectaban los archivos con extensin EXE y COM.
El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de

los precursores de los virus y recin graduado en Computer Science
en la Universidad de Cornell, difundi un virus a travs de
ArpaNet, (precursora de Internet) logrando infectar 6,000
servidores conectados a la red. La propagacin la realiz desde uno
de los terminales del MIT (Instituto Tecnolgico de
Massashussets).
Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema
operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado
y condenado en la corte de Syracuse, estado de Nueva York, a 4
aos de prisin y el pago de US $ 10,000 de multa, pena que fue
conmutada a libertad bajo palabra y condenado a cumplir 400 horas
de trabajo comunitario.
1991 La fiebre de los virus
En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeaba como
director del Laboratorio de Virologa de la Academia de Ciencias de Bulgaria, escribi
un interesante y polmico artculo en el cual, adems de reconocer a su pas como el
lder mundial en la produccin de virus da a saber que la primera especie viral blgara,
creada en 1988, fue el resultado de una mutacin del virus Vienna, originario de Austria,
que fuera desensamblado y modificado por estudiantes de la Universidad de Sofa. Al
ao siguiente los autores blgaros de virus, se aburrieron de producir mutaciones y
empezaron a desarrollar sus propias creaciones.
En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se
propag por toda Europa y los Estados Unidos hacindose terriblemente famoso por su
ingeniosa programacin, peligrosa y rpida tcnica de infeccin, a tal punto que se han
escrito muchos artculos y hasta ms de un libro acerca de este virus, el mismo que
posteriormente inspir en su propio pas la produccin masiva de sistema generadores
automticos de virus, que permiten crearlos sin necesidad de programarlos.
1995 Los macro virus
A mediados de 1995 se reportaron en diversas ciudades del mundo la aparicin de una
nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin
ser archivos ejecutables podan auto replicarse infectando a otros documentos. Los
llamados macro virus tan slo infectaban a los archivos de MS-Word, posteriormente
apareci una especie que atacaba al Ami Pro, ambos procesadores de textos.
En 1997 se disemina a travs de Internet el primer macro virus que infecta hojas de
clculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma
familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor
informacin srvanse revisar la opcin Macro Virus, en este mismo mdulo.
1999 Los virus anexados (atachados)
A principios de 1999 se empezaron a propagar los virus anexados (atachados) a
mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo ao fue
difundidos a travs de Internet el peligroso CIH y el ExploreZip, entre otros muchos

ms.
A fines de Noviembre de este mismo ao apareci el BubbleBoy, primer virus que
infecta los sistemas con tan slo leer el mensaje de correo, el mismo que se muestra en
formato HTML. En Junio del 2000 se report el VBS/Stages.SHS, primer virus oculto
dentro del shell de la extensin .SHS.
Resultar imposible impedir que se sigan desarrollando virus en todo el mundo, por ser
esencialmente una expresin cultural de "graffiti ciberntico", as como los crackers
jams se detendrn en su intento de "romper" los sistemas de seguridad de las redes e
irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha
del bien y el mal ahora se ha extendido al ciber espacio.
HISTORIA DE LOS VIRUS EN EL PERU
En 1986 se detectan los primeros virus informticos en el Per: Stoned, Bouncing Ball y
Brain
Al igual que la corriente blgara, en 1991 apareci en el Per el primer virus local,
autodenominado Mensaje y que no era otra cosa que una simple mutacin del virus
Jerusalem-B y al que su autor le agreg una ventana con su nombre y nmero
telefnico. Los virus con apellidos como Espejo, Martnez y Aguilar fueron variantes
del Jerusalem-B y prcticamente se difundieron en el mbito nacional.
Continuando con la lgica del tedio, en 1993 empezaron a crearse y diseminarse
especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos
sumamente originales, como los virus Katia, Rogue o F03241 y los polimrficos Rogue
II y Please Wait (que formateaba el disco duro). La creacin de los virus locales ocurre
en cualquier pas y el Per no poda ser la excepcin.
virus!!
DEFINICION DE LOS VIRUS INFORMTICOS
Los virus informticos son programas que utilizan tcnicas sofisticadas, diseados por
expertos programadores, los cuales tienen la capacidad de reproducirse por s mismos,
unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayora
de estas acciones son hechas con mala intencin.
Un virus informtico, ataca en cualquier momento, destruyendo toda la informacin que
no est protegida con un antivirus actualizado.
La mayora de los virus suelen ser programas residentes en memoria, se van copiando
dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras
personas, tambin encontrarn en el interior archivos con virus.
Un virus tiene la capacidad de daar informacin, modificar los archivos y hasta borrar
la informacin un disco duro, dependiendo de su programador o creador.
En la actualidad los virus informticos no solo afectan a los archivos ejecutables de

extensin .EXE y .COM, sino tambin a los procesadores de texto, como los
documentos de Word y hojas de clculo como Excel, esta nueva tcnica de elaboracin
de virus informtico se llama Macro Virus.
POR QU LLAMARLOS VIRUS?
La gran similitud entre el funcionamiento de los virus computacionales y los virus
biolgicos, propici que a estos pequeos programas se les denominara virus.
Los virus en informtica son similares a los que atacan el organismo de los seres
humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo
objetivo es destruir o molestar el "husped".
Al igual que los virus orgnicos, los virus en informtica deben ser eliminados antes de
que causen la "muerte" del husped...
Los virus de las computadoras no son mas que programas; y estos virus casi siempre
los acarrean las copias ilegales o piratas.
Provocan desde la prdida de datos o archivos en los medios de almacenamiento de
informacin (diskette, disco duro, cinta), hasta daos al sistema y, algunas veces,
incluyen instrucciones que pueden ocasionar daos al equipo.
CARACTERSTICAS:
Estos programas tienen algunas caractersticas muy especiales:
Son muy pequeos.
Casi nunca incluyen el nombre del autor, ni el registro o

copyright, ni la fecha de creacin.
Se reproducen a s mismos.
Toman el control o modifican otros programas.
MOTIVOS PARA CREAR UN VIRUS:

A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de
computadora no ocurren en forma natural, cada uno debe ser programado. No existen
virus benficos.
Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando
un mensaje humorstico. En estos casos, el virus no es mas que una molestia. Pero
cuando un virus es malicioso y causa dao real, quin sabe realmente la causa?
Aburrimiento? Coraje? Reto intelectual? Cualquiera que sea el motivo, los efectos
pueden ser devastadores.
Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su

identificacin.
FASES DE INFECCION DE UN VIRUS
Primera Fase (Infeccin)
El virus pasa a la memoria del computador, tomando el control del mismo, despus de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.
El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente
con normalidad, de esta forma el usuario no se da cuenta de que su sistema est siendo
infectado.
Segunda Fase (Latencia)
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
cuando son ejecutados o atacando el

sector de arranque del disco duro.
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.
Tercera Fase (Activacin)
Esta es la ltima fase de la vida de un virus y es la fase en donde el virus se hace
presente.
La activacin del virus trae como consecuencia el despliegue de todo su potencial
destructivo, y se puede producir por muchos motivos, dependiendo de como lo cre su
autor y de la versin de virus que se trate, debido a que en estos tiempo encontramos
diversas mutaciones de los virus.
Algunos virus se activan despus de un cierto nmero de ejecuciones de un programa
infectado o de encender el sistema operativo; otros simplemente esperan a que se
escriba el nombre de un archivo o de un programa.
La mayora de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condicin y por ltimo atacan, el dao que causan depende de su autor.
CLASES DE VIRUS:
VIRUS POLIMORFICOS
o
Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.
Sus instrucciones cambian cada vez que se autoencriptan.
El virus produce varias copias diferentes de s mismo.
Cambian su forma (cdigo) cada vez que infectan un sistema, de esta

manera parece siempre un virus distinto y es ms difcil que puedan ser
detectados por un programa antivirus.
Pero existe un fallo en est tcnica, y es que un virus no puede

codificarse por completo. Por lo menos tiene que quedar la rutina
desencriptadora, es esta rutina la que buscan los antivirus para la
deteccin del virus.
VIRUS ESTATICOS
Tipo de virus ms antiguos y poco frecuentes.
Su medio de propagacin es a travs de programas ejecutables.
Su forma de actuar es sencilla.
Cuando abrimos un archivo infectado, el virus toma el control y contamina otro

archivo que no este todava infectado.
Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.
No permanecen en memoria ms que el tiempo necesario para infectar uno o

varios archivos.
Pueden ser virus destructivos en el caso de que sobrescriban la informacin del

programa principal con su cdigo de manera irreversible.
A veces bloquean el control del sistema operativo, sobrescribindolo.
VIRUS RESIDENTES
Virus que permanecen indefinidamente en memoria incluso despus de haber

finalizado el programa portador del virus.
Una vez ejecutado el programa portador del virus, ste pasa a la memoria del
computador y se queda all hasta que apaguemos el ordenador. Mientras tanto va
infectando todos aquellos programas ejecutables que utilicemos.
VIRUS DESTRUCTIVOS
Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros

datos.
Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco

duro.
Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestin de

segundos inutilizan los datos del disco duro.
VIRUS BIPARTIDOS
Es un virus poco frecuente.
Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su

cdigo (el algoritmo destructivo), de este modo el virus es totalmente
inofensivo. Pero puede haber otra versin del mismo virus que incorpore
ese algoritmo. Si ambos virus coinciden en nuestro computador, y se
unen en uno slo, se convierten en un virus destructivo.
VIRUS COMPAEROS
o
Son los virus ms sencillos de hacer.
Cuando en un mismo directorio existen dos programas ejecutables con el

mismo nombre pero uno con extensin .COM y el otro con extensin
.EXE, el MS-DOS carga primero el archivo con extensin .COM.
Si se crea un archivo .COM oculto, con el mismo nombre que el otro

archivo ejecutable de extensin .EXE. Primero se cargar en la memoria
el archivo .COM que contiene el virus. Despus el virus llamara al
programa original.
El archivo infectado no podra ser visto con un simple comando DIR en

C :\, porque contiene el atributo de oculto.
VIRUS DE BOOT (SECTOR DE ARRANQUE)
Como su nombre lo indica, infecta el sector de arranque del disco

duro.
Dicha infeccin se produce cuando se intenta cargar el sistema

operativo desde un disco infectado.
Infecta los diskettes o discos duros, alojndose en el boot sector.
Cuando se enciende el computador, lo primero que hace la BIOS

es inicializar todo (tarjetas de vdeo, unidades de disco, chequear
memoria, entre otros).
Y entonces lee el primer sector del disco duro, colocndolo en la

memoria.
Normalmente es un pequeo programa que se encarga de preparar al Sistema
Operativo.
a
Lo que hace este tipo de virus es sustituir el boot sector original por el programa
con el virus informtico para que se cargue en el Sistema Operativo.
a
Almacenando el boot sector original en otra parte del disco o simplemente lo

reemplaza en su totalidad.
a
Tambin localiza un sitio en el Disco Duro para guardar la antigua rutina que
haba en el BOOT.
a
AUTOREPLICABLES
Realizan funciones parecidas a los virus biolgicos. Ya que se

autoreplican e infectan los programas ejecutables que se
encuentren en el disco.
Se activan en una fecha, hora programada, cada determinado

tiempo, contando a partir de su ltima ejecucin o simplemente al
sentir que se les trata de detectar.
ESQUEMA DE PROTECCIN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que est protegido

contra escritura.
Tambin se ejecutan cuando se intenta copiar softwares o

programas.
VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
La infeccin se produce al ejecutar el programa que contiene el

virus, en ese momento busca todos los programas cuyas
extensiones sean .COM o .EXE.
Cuando un programa infectado est ejecutndose, el virus puede

permanecer residente en memoria e infectar cada programa que
se ejecute.
Los virus de este tipo tienen dos formas de alojarse en el

ejecutable.
Graban su cdigo de inicio al principio del archivo, realizando un

salto para ejecutar el programa bsico y regresar al programa
infectado.
Sobrescribiendo en los sectores del disco, haciendo prcticamente

imposible su recuperacin, si no cuenta con los originales.
VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo

mediante varias tcnicas.
Pueden modificar el tamao del archivo infectado, para que no se

note que se le ha aadido un virus.
Pueden utilizar varias tcnicas para que no se les pueda encontrar

en la memoria del ordenador engaando a los antivirus.
Normalmente utilizan la tcnica de Stealth o Tunneling.
PROGRAMAS MALIGNOS
Son programas que deliberadamente borran archivos o software
indicados por sus autores eliminndose as mismo cuando terminan de
destruir la informacin.
Entre los principales programas malignos tenemos :
Bombas Lgicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya
Bombas Lgicas y de Tiempo

Son programas ocultos en la memoria del sistema o en el disco, o en los archivos
de programas ejecutables con extensin .COM y .EXE.
a
Una Bomba de Tiempo se activa en una fecha, hora o ao determinado.
Puede formatear el disco duro.
El dao que las bombas de tiempo puedan causar depende de su autor.
Una Bomba Lgica se activa al darse una condicin especfica.
Tanto las bombas lgicas como las bombas de tiempo, aparentan el mal
funcionamiento del computador, hasta causar la prdida de la informacin.
a
Jokes
Son programas desarrollados con el objetivo de hacer bromas, de mal gusto,
ocasionando distraccin y molestias a los usuarios.
a
Simulan el comportamiento de Virus, constituyen Bombas Lgicas o de Tiempo.
Muestran en la pantalla mensajes extraos con la nica intencin de fastidiar al

usuario.
a
Gusanos
aa
Es un programa que se autoreproduce.
No infecta otros programas como lo hara un virus, pero crea copias de l, las
cuales crean ms copias.
aa
Son ms usados para atacar en grandes sistemas informticos mediante una red
de comunicaciones como Intranet o Internet, donde el gusano crear ms copias
rpidamente, obstruyendo el sistema.
aa
aa
Se propagan rpidamente en las computadoras.
Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad

de ste.
aa
Caballos de Troya
Son aquellos programas que se introducen en el sistema bajo una apariencia

totalmente diferente a la de su objetivo final.
aa
aa
Se presentan como informacin perdida o basura sin ningn sentido.
Pero al cabo de un determinado tiempo y esperando la indicacin del programa,

se activan y comienzan a
ejecutarse.
aa
Sus autores lo introducen en los programas ms utilizados o softwares ilegales

como por ejemplo :
aa
Windows 95
aa
No se autoreproducen.
aa
Su misin es destruir toda la informacin que se encuentra en los discos.
TCNICAS DE VIRUS
Las tecnologas de software han evolucionado
asombrosamente en los ltimos tiempos al igual
que las arquitecturas de hardware y continan
hacindolo da a da. De este avance no se podra
dejar de mencionar la creacin de los virus y sus
programas antivirus, lo cual ha motivado que
ahora se empleen nuevas tcnicas y sofisticadas
estrategias de programacin, con el objeto de
lograr especies ms dainas y menos detectables y
por consiguiente los software antivirus tienen que
ser ms acuciosos y astutos.
El lenguaje de programacin por excelencia para
desarrollar virus, es el Assembler pues los
denominados lenguajes de alto nivel como Turbo
Pascal, C, gestores de bases de datos, etc. han sido
diseados para producir software aplicativos. Una
excepcin a la regla son los Macro Virus, tratados
por separado y los virus desarrollados en Java
Scripts, Visual Basic Scripts y de Controles
Activex, a partir de 1999.
Estos hechos demuestran fehacientemente que no
existe ningn impedimento para que se puedan
programar virus en lenguajes diferentes al
assembler, aunque con ninguno de ellos se podra
generar las rdenes directas para tomar control de
las interrupciones, o saltar de un programa
anfitrin (host) o receptor, a otro en forma tan
rpida y verstil.
El autor de virus por lo general vive muy de prisa

y tal pareciera que adems de haber incrementado
sus conocimientos, ha analizado los errores
cometidos por los anteriores programadores de
virus que han permitido que sus especies virales
sean fcilmente detectadas, y es por ello que sin
dejar de lado las formas tradicionales de
programacin, ha creado adems sofisticadas
rutinas y nuevas metodologas.
Han transcurrido ms de 16 aos desde que el Dr.
Fred Cohen expusiese sus conceptos y teoras y
los autores de virus no solamente se han
convertido en ms creativos e ingeniosos, sino que
continuarn apareciendo nuevas Tcnicas de
Programacin, aprovechando de la facilidad de
propagacin de sus especies virales, a causa del
auge de Internet.
Algunas tcnicas y estrategias de programacin de
virus:
INFECTOR RAPIDO
Un virus infector rpido es aquel que cuando est
activo en la memoria infecta no solamente a los
programas cuando son ejecutados sino a aquellos
que son simplemente abiertos para ser ledos.
Como resultado de esto sucede que al ejecutar un
explorador (scanner) o un verificador de la
integridad (integrity checker), por ejemplo, puede
dar como resultado que todos o por lo menos gran
parte de los programas sean infectados.
Esta tcnica usa la funcin 3dh de la
interrupcin 21h para abrir un archivo ejecutable
en forma muy rpida, empezando preferentemente
con el COMMAND.COM y ubicndose en
clusters vacios detrs de un comando interno, por
ejemplo DIR, de tal modo que no solamente no
incrementa el tamao del archivo infectado sino
que adems su presencia es inadvertible.
Puede darse el caso adems, de que cuando se
ejecuta un archivo EXE o COM ste no es
infectado, en cambio sus archivos relacionados
tales como OVL o DBF's son alterados. Si bajo
esta tcnica se ha decidido atacar a las reas del
sistema el cdigo viral reemplaza a los 512 bytes
del sector de arranque y envia el sector original a
otra posicin en el disco, pero a su vez emular al

verdadero, y al ser un "clon" de boot le le ser
muy fcil infectar a la FAT y al Master Boot
Record o a la Tabla de Particiones, imposibilitando
el acceso al disco.
INFECTOR LENTO
El trmino de infector lento se refiere a un virus
que solamente infecta a los archivos en la medida
que stos son ejecutados, modificados o creados,
pero con una salvedad: puede emplear tambin
parte de la tcnica del infector rpido pero sin la
instruccin de alteracin o dao inmediato al
abrirse un archivo. Con la interrupcin 1Ch del
TIMER su autor programa una fecha, la misma
que puede ser especfica o aleatoria (ramdom) para
manifestarse.
Mientras tanto el virus permanece inactivo y
encriptado en el archivo o rea afectada esperando
su tiempo de activacin. Los virus del tipo
"infector lento" suelen emplear rutinas de antideteccin sumamente eficientes, algunas de las
cuales inhabilitan a las vacunas de los antivirus
mas conocidos.
Existen muchsimos software Utilitarios u otras
herramientas Tools), que se obtienen en forma
gratutita por Internet, que muestran las
interrupciones que usan las vacunas al cargarse en
memoria. Una vez conocidos estos IRQ's resultar
muy fcil para un desarrollador de virus encontrar
la forma de deshabilitar o saltear el control de
ciertas vacunas.
ESTRATEGIA PARSE
Esta tcnica consiste en instruir al virus para que
infecte ocasionalmente, por ejemplo, cada 10
veces que se ejecute un programa. Otras veces,
infecta nicamente a los archivos de menor
extensin y al infectarlos en forma ocasional se
minimiza la posibilidad de descubrirlo fcilmente.
Por otro lado, el contador de ejecuciones de los
archivos infectados con virus que emplea esta
modalidad, tiene por lo general ms de una rutina
de auto encriptamiento.
La tcnica "parse" no es tan comunmente usada,

pero sus efectos y estragos son muy lamentables.
MODALIDAD COMPANION (acompaante)
Modalidad Companion (acompaante) es aquella
por la cual el virus en lugar de modificar un
archivo existente, al infectarlo crea un nuevo
archivo del mismo nombre, el cual es inadvertido
por el usuario. Resulta poco menos que imposible
que alguien recuerde el nombre de todos los
archivos de los sub-directorios de su disco duro.
Cuando un programa es ejecutado, por ejemplo
ejemplo WP.EXE, ste invoca al conocido
procesador de textos, pero el virus ya ha creado un
falso WP.COM, de tal modo que ste es ejecutado
en primer lugar, por ser un archivo COM de una
sla imgen (mximo 64k) y puede arrastrar el
cdigo viral sin que el usuario se percate. Y as
continuar hacindolo. Mas an, los verificadores
de integridad (integrity checkers) fallarn en la
accin de detectar este tipo de virus ya que stos
utilitarios solo buscan los archivos existentes.
Debido a que sta no es una tcnica
frecuentemente empleada, algunos investigadores
de virus denominan a los virus ANEXADOS,
como virus COMPANION, que a nuestro criterio
no es su exacto concepto y clasificacin.
ESTILO ARMORED
Tambin conocido como virus blindado, es una
forma muy peculiar de programacin, donde el
autor programa una serie de rutinas que usa como
cubiertas o escudos (shells), en el archivo que
contiene el virus, para que ste no pueda ser
fcilmente "rastreado" y mucho menos
desensamblado.
Pueden ser una o ms rutinas de encriptamiento,
sobrepuestas unas sobre otras. Se les conoce
tambin como "virus anti-debuggers". El Dark
Avenger, producido en Bulgaria en 1987 fu el
primer virus que us conjuntamente las
tecnologas ARMORED y STEALTH. En Junio
del 2000 se report el gusano VBS/Stages.SHS, el
primer virus oculto propagado masivamente a
travs de mensajes de correo electrnico en

Internet.
TECNICA STEALTH
Un virus "stealth" es aquel que cuando est
activado esconde las modificaciones hechas a los
archivos o al sector de arranque que estn
infectados. Esta tcnica hace uso de todos los
medios posibles para que la presencia del virus
pase totalmente desapercibida, anulan efectos tales
como el tamao de los archivos, los cambios de la
fecha, hora o atributo, hasta el decremento de la
memoria RAM. Un ejemplo simple lo constituye
el primer virus (c) Brain que infectaba el sector de
arranque, monitoreando los I/O (entrada y salida)
y redireccionando cualquier intento de leer este
sector infectado.
Cuando un virus "Stealth" est activo en memoria
cualquiera de estos cambios pasarn
desapercibidos al realizar un DIR, por ejemplo, ya
que el virus habr tomado control de todo el
sistema. Para lograr este efecto, sus creadores usan
la interrupcin 21h funcin 57h.
Sin embargo, si se arranca el equipo desde un
diskette de sistema limpio de virus y con la
proteccin contra escritura, al efectuar la misma
orden DIR se detectarn los cambios causados a
los archivos infectados. Un virus de boot
programado con esta tcnica reemplaza
perfectamente al verdadero sector de arranque, que
tiene apenas 512 bytes y al cual mueve hacia otro
lugar del disco pero que con una instruccin de
salto vuelve otra vez a utilizarlo.
Hoy da es posible crear virus con la tcnica
Stealth, en cualquier lenguaje de programacin,
adems del Assembler.
VIRUS POLIMORFICOS (mutantes)
Son quizs los ms difciles de detectar y en
consecuencia de eliminar. Sus valores en la
programacin van cambiando secuencialmente
cada vez que se autoencriptan, de tal forma que
sus cadenas no son las mismas. El virus
polimrfico produce varias, pero diferentes copias
de s mismo, manteniendo operativo su

microcdigo viral.
Un fcil mtodo de evadir a los detectores consiste
en producir rutinas auto encriptadoras pero con
una "llave variable". La tcnica polimrfica o
"mutante" es muy sofisticada y demanda mucho
conocimiento, ingenio y trabajo de programacin
tal como se puede apreciar en el cdigo fuente del
virus DARK AVENGER.
Sin embargo existe uno de los ms ingeniosos
generadores automticos de virus, llamado
"Mutation Engine" (distribuido gratuitamente en
Internet), que emplea un polimorfismo en la
forma de mdulo objeto. Con este generador
cualquier virus puede convertirse en polimrfico
al agregarle ciertas llamadas a su cdigo assembler
y "enlazndolas" al Mutation Engine, por medio
de un generador de nmeros aleatorios.
Los objetivos de ataque pueden ser el Boot,
archivos COM o EXE y cualquier rea vital del
sistema, especialmente el MBR, ya sea
individualmente, en forma combinada o en su
totalidad. Este estilo de programacin tambin
emplea el control de memoria dinmica as como
algoritmos de compresin y descompresin de
datos.
FUNCION DESACTIVADORA o
TUNNELING
Un virus que emplea la tcnica del " tnel"
intercepta los manipuladores de la interrupciones
del DOS y el BIOS y las invoca directamente,
evadiendo de este modo cualquier actividad de
monitoreo de las vacunas antivirus. Aunque no
existen, por ahora, gran cantidad de estas especies
virales, existe la tendencia a incrementarse,
habindose descubierto virus que usan originales
artimaas para infectar a un sistema sin ser
descubiertos. Mencionaremos el caso particular
del blgaro DARK AVENGER-D, el virus
peruano ROGUE II y el chileno CPW Arica.
Todos ellos tienen rutinas que en forma muy
rpida se superponen a los IRQ's ocupados por las
vacunas logrando desactivarlas para acceder
directamente a los servicios del DOS y del BIOS

tomando absoluto control del sistema y sin
restriccin alguna.
Las interrupciones empleadas por las vacunas del
VirusScan de McAfee, MSAV de Microsoft y
otros antivirus son muy conocidas por los
creadores de virus.
Las especies virales tipo "tunneling" emplean estas
rutinas para saltear y sobrepasar a algunas de las
vacunas residentes en memoria. Del mismo modo,
algunos antivirus suelen utilizar esta tcnica en su
necesidad de "by-pasear" un virus nuevo y
desconocido que podra estar activo cuando se est
explorando un sistema.
PROGRAMADORES DEL PPI
La mayora de virus "musicales" y los que afectan
a los perifricos pertenecen a esta categoria.
Recordemos que cuando instalamos un nuevo
dispositivo, ya sea una tarjeta de sonido, un
mdem o CD-ROM por ejemplo, el software
instalador de cada uno de stos se encarga de
programar automticamente el PPI (Interfase
Programable de Perifricos) definiendo un canal
DMA (acceso directo a memoria) y un IRQ
(interrupt request), los cuales son asignados para
ser usados especficamente por cada perifrico,
para evitar que tengan conflictos con otros ya
existentes.
Programar el PPI por medio del lenguaje
assembler es relativamente fcil y si a esta
programacin se le incluye la funcin
correspondiente al TIMER y caracteres de sonido,
se estar creando un virus "musical". Del mismo
modo, pero con otras instrucciones se podr
afectar a las impresoras, tarjetas de sonido, de
redes o mdems, provocando diferentes efectos o
manifestaciones.
Las tcnicas tratadas son enunciativas mas no
limitativas, ello quiere decir que se pueden
programar virus combinando cualquiera de las
modalidades explicadas en este mdulo.
VIRUS ANEXADO
El virus anexado (attached) no es una tcnica de

programacin de virus, es una nueva modalidad de
difundirlo.
Con el incremento del intercambio de informacin
por correo electrnico, a causa de la gran demanda
de uso de los servicios de Internet, los
desarrolladores de virus han hallado una nueva
forma de difundir sus creaciones. Ella consiste en
enviar un mesaje de correo con un archivo
anexado o adjunto, el cual al ser abierto ejecuta el
virus con consecuencias de dao inmediato a los
sistemas de los usuarios, que por motivos de
curiosidad cometan el error de abrir estos
archivos.
Para lograr este propsito de despertar la
curiosidad innata en el ser humano, los autores de
esta modalidad de difusin emplean argumentos
en el cuerpo del mensaje, tales como: "Buenas
nuevas", "Gane dinero", "Te adjunto una
informacin muy interesante que te va a
convenir", etc., etc.
Los virus suelen venir en documentos (.DOC),
archivos comprimidos en formato ZIP, ejecutables
EXE, en controles Activex de archivos HTML,
Visual Basic Scripts o archivos con extensin
.SHS y si adems contienen instrucciones de autoenviarse a la Libreta de Direcciones del software
de correo del usuario, su propagacin tendr un
efecto multiplicador.
Por eso es recomendable que cuando se reciba un
mensaje de este tipo, de orgen totalmente
desconocido se evite aperturar el archivo adjunto y
se proceda a eliminarlo, asi como tambin el
mensaje de orgen.
El virus Melissa, difundido en Marzo de 1999, as
como el virus Papa son muestras de esta
modalidad de difusin y recientemente el
ExploreZip, el LoveLetter y el VBS/Stages,
fueron causantes de serios estragos en cientos de
miles de sistemas en todo el mundo.
VIRUS EN JAVA
En 1991 Sun Microsystems, empez a desarrollar
un proyecto de lenguaje, con el cdigo GREEN,
bajo la direccin de James Goslin, inicialmente

con el propsito de administrar y controlar
interactivamente los dispositivos conectados a las
redes. Surgieron algunas situaciones frustrantes,
pero por suerte, en pocos aos se empez a
popularizar Internet.
Entonces el proyecto se convirti en un intento de
resolver simultneamente, todos los problemas
que se le planteaban a los desarrolladores de
software por la diversidad de arquitecturas
incompatibles, los sistemas operativos y lenguajes
de programacin y la dificultad de crear
aplicaciones distribuidas en Internet.
Java fu inicialemente desarrollado en C++, pero
paulatinamente se fu independizando, escribiendo
su propio lenguaje denominado Oak, que
finalmente termin convirtindose en Java. En 23
de Mayo de 1995 fu lanzado al mercado el
HotJava Browser, y ese mismo ao Netscape
decidi habilitar a Java en su versin 2.0 de 1996.
Es a partir de esa oportunidad que Java empez a
popularirase en todo el mundo.
Las caractersticas mas importantes de Java son:
1. Es de arquitectura portable, neutral y robusta.

2. Es simple, orientada a objeto y muy verstil.
3. Es interpretado. El intrprete Java (system run-time) puede ejecutar

cdigo objeto.
Un Applet de Java es un programa dinmico e
interactivo que puede ser ejecutado dentro de un
archivo HTML y mostrado por un navegador con
capacidad Java. Un programa Java puede ser
ejecutado por s mismo. En todos los casos, bajo
una jerarqua de Clase, Sub-Clase o Super Clase.
Con todas estas caractersticas de un poderoso
lenguaje, los creadores de virus pensaron tambin
en Java, como un medio para producir especies
virales. Debido a ciertas restricciones definidas en
las propiedades de seguridad, tanto de los sistemas
operativos, as como de los navegadores, hasta la
fecha existen solamente 2 virus de Java notables:
Java.Beanhive
La tecnologa empleada en este virus tiene varias
ventajas. La forma multi-componente de infeccin
permite al virus esconder su cdigo en los
archivos infectados: su longitud crece en muy
pequeos valores y despus de una ligera
observacin el cdigo insertado pareciera no ser
daino.
La combinacin del llamado starter-main tambin
le permite a su autor, "actualizar" el virus con
nuevas versiones al reemplazar el cdigo principal
en su servidor. Cabe mencionar que este virus o
cualquier virus de Java se puede propagar y
reproducir en condiciones limitadas. La proteccin
estndar de seguridad de los navegadores cancela
cualquier intento de acceder a las unidades de
disco o recoger (download) archivos como una
aplicacin Java, an en modo remoto.
Consecuentemente el virus puede ser propagado
nicamente cuando es ejecutado en un archivo de
disco, como una aplicacin Java, al usar el Java
machine.
Detalles Tcnicos
El ejecutor del virus es un pequeo programa Java
de apenas 40 lneas de cdigo, que cuando toma el
control de un sistema, se conecta al servidor WEB
remoto, enva (download) el cdigo del virus que
es guardado en el archivo BeanHive.class y se
ejecuta como una sub-rutina. El cdigo viral est
dividido en 6 partes y es almacenado en 6
diferentes archivos Java:
BeanHive.class : bsqueda de archivos en un rbol
de directorio
+--- e89a763c.class : analiza el formateo de
archivo
|--- a98b34f2.class : acceso a las funciones del
archivo
|--- be93a29f.class : preparacin para la infeccin
(parte 1)
|--- c8f67b45.class : preparacin para la infeccin

(parte 2)
+--- dc98e742.class : insertado del virus en el
sistema infectado
Al infectar el virus, analiza los formatos internos
de Java, escribe en el archivo el cdigo de inicio
como una sub-rutina "loadClass" y agrega al
archivo constructor de cdigos, la invocacin para
su sub-rutina loadClass "BeanHive". El parmetro
enviado "BeanHive" apunta al nombre del archivo
remoto en el servidor WEB y empieza la infeccin
con su cdigo viral.
VIRUS EN VBS
Debido al auge de Internet los creadores de virus
han encontrado una forma de propagacin masiva
y espectacular de sus creaciones a travs mensajes
de correo electrnico, que contienen archivos
Visual Basic Scripts, anexados, los cuales tienen
la extensin .VBS
El antiguo D.O.S. empleaba archivos .BAT
(Batch), que eran un conjunto de instrucciones o
comandos en lotes. Con el advenimiento de
Windows 95/98/NT y 2000 este tipo de archivos
dej de ser empleado y fu reemplazado por los
Visual Basic Scripts.
Un Visual Basic Script es un conjunto de
instrucciones lgicas, ordenadas secuencialmente
para realizar una determinada accin al iniciar un
sistema operativo, al hacer un Login en un
Servidor de Red, o al ejecutar una aplicacin,
almacenadas bajo un nombre de archivo y
extensin adecuada.
Los Scripts pueden ser interpretados y ejecutados
por el Sistema Operativo Windows, Novell, etc. o
por una aplicacin mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier
lenguaje y tener determinados objetivos de dao y
algunos simplemente usan las instrucciones Visual
Basic Scripts, como medios de propagacin.
Asimismo, un VBS puede contener instrucciones
que afecten a los sistemas. Tambin es posible

editar instrucciones en la Libreta de Notas
(NotePad) y guardar el archivo con la extensin
.VBS.
Actualmente existen 2 medios de mayor difusin
de virus en VBS:
1. Infeccion de canales IRC (el chat convoca a
una enorme cantidad de "victimas")
El IRC (Internet Relay Chat) es un protocolo
desarrollado para permitir la comunicacin entre
usuarios de Internet en "tiempo real', haciendo uso
de software especiales, llamados "clientes IRC"
(tales como el mIRC, PIRCH, Microsoft Chat).
Mediante un software de chat, el usuario puede
conectarse a uno o mas canales IRC, pero es
necesario que primero se conecte a un servidor
chat, el cual a su vez, est conectado a otros
servidores similares, los cuales conforman una red
IRC. Los programas "clientes IRC" facilitan al
usuario las operaciones de conexin, haciendo uso
del comando /JOIN, para poder conectarse a uno o
mas canales.
Las conversaciones pueden ser pblicas (todo el
canal visualiza lo que el usuario digita) o privadas
(comunicacin entre 2 personas).
Para "cargar" una sesin de chat los usuarios
deben registrarse en un servidor chat, elegir un
canal y un apodo (nickname). Todo esto se hace
mediante un denominado "bachero", que emplea
comandos propios del protocolo IRC, permitiendo
ejecutar estas operaciones de manera intuitiva y
proporcionando al usuario un entorno grafico
amigable.
Como atacan los gusanos (VBS/Worms)
Todos los gusanos del Chat, siguen el mismo
principio de infeccin. Usando el comando SEND
file, envan automticamente una copia del
SCRIPT.INI a todas las personas conectadas al
canal chat, adems de otras instrucciones dentro
de un Visual Basic Script.
Este script que contiene el cdigo viral sobrescribe

al original, en el sistema remoto del usuario,
logrando infectarlo, as como a todos los usuarios
conectados a la vez, en ese mismo canal.
Este tipo de propagacin de archivos infectados,
se debe a la vulnerabilidad de las versiones de
mIRC anteriores a la 5.31 y todas las versiones de
PIRCH, antes de PIRCH98.
2. Re-envio de mensajes de la libreta de
direcciones Microsot Outlook.
Office 95/97 y 2000, respectivamente, integran sus
programas MS Word, Excel, Outlook y Power
Point, haciendo uso del lenguaje Visual Basic for
Aplications, que permiten invocar la ejecucin de
determinadas instrucciones. En MS Word y Excel,
el usuario tiene acceso a un Editor de Visual Basic.
Aunque tambin pueden editar instrucciones y
comandos con el NotePad y archivarlo con la
extensin .VBS
Virus como el W97M/Melissa o el
VBS/Loveletter, al ser escritos en Visual Basic for
Aplications, tienen un fcil y poderoso acceso a
los recursos de otros usuarios de MS Office. El
mas afectado es la libreta de direcciones de MS
Outlook, el cual es controlado por las
instrucciones del VBS y recibe la orden de reenviar el mensaje con el archivo anexado, en
formato VBS, a todos los nombres de la libreta de
direcciones del sistema de usuario infectado.
Estas infecciones tambin se reproducen entre
todos los usuarios de una red, una vez que uno de
sus usuarios ha sido infectado.
VIRUS EN .SHS
La ltima modalidad de propagacin masiva de
virus, a travs de Internet ha surgido a partir de la
creacin de un gusano denominado
VBS/Stages.SHS, el mismo que ya tiene algunas
variantes,
VBS/Stages, si bien es un Visual Basic Script, es
el primer gusano que engaa a los usuarios al
mostrarse como un archivo normal de texto

(LIFE_STAGES.TXT.SHS), pero con la extensin
.SHS
Los archivos con extensin .SHS (Shell Scraps),
son ejecutables de WINDOWS RUNDLL32,
tambin conocidos como Scrap Object Files
(Archivos Objeto Basura).
Un archivo copiado dentro de un documento
abierto de Microsoft Office, y luego copiado y
empastado sobre el Windows Desktop crea un
archivo "Scrap" con la extensin .SHS. Los
archivos Scrap fueron creados desde la primera
versin de Windows 95, para permitir que los
textos y grficos puedan ser arrastrados y
colocados (drag and drop) dentro de las
aplicaciones de Microsoft Office.
Este nuevo archivo Scrap, puede ser renombrado
con cualquier otra extensin y ejecutar el
programa que contiene en forma oculta, al hacerle
un doble click. Cuando es distribuido a travs del
correo electrnico, transferido como mensaje
dentro de la Red u otro medio basado en la Web, la
extensin .SHS se hace visible, pero una vez que
es grabado al disco duro, desaparecer otra vez.
Al tener estas caractersticas, puede ocultar
archivos ejecutables, mayormente usados como
troyanos en Windows 95/98, Millenium, Windows
2000 y NT.
Con esta nueva modalidad de propagacin se
facilita e incrementa el factor de riesgo de
infeccin de virus entre los usuarios de Internet,
quienes a su vez infectarn a los que se conecten
sus estaciones de trabajo, dentro de redes locales o
Intranets.
a
QUE ES UNA MUTACION ?

Se conoce con el nombre de mutacin a la
alteracin intencional o accidental de un virus
informtico que ya fue creado con anterioridad.
Decimos que es una mutacin accidentada cuando

son ocasionadas por programadores que buscan la
eliminacin de estos virus, provocando en sus
investigaciones variaciones en el cdigo original
del virus, dando lugar a nuevas versiones del
mismo virus.
Pero tambin hay mutaciones intencionales
cuando los programadores solo buscan causar
daos perjudiciales a las computadoras, haciendo
que estos virus se vuelvan cada vez ms
peligrosos.
a
SINTOMAS DE UN EQUIPO INFECTADO
Del procedimiento de Deteccin
ElProcedimiento de Deteccin de los virus informticos debe garantizar que la

posible existencia de un virus en un medio magntico u ptico no ingrese directamente
al Sistema.
a
Para ello, el programa de deteccin de

virus debe ser instalado en la memoria, a
fin de que permanentemente se controle
cualquier medio de almacenamiento que
sea utilizado con el equipo de cmputo.
a
Se consideran medios de infeccin por virus a los siguientes :
De un
diskette
infectado
proveniente
de una fuente
exterior al
equipo de
cmputo.
A travs de
la
adquisicin o
movimiento
de mquinas
infectadas en
el centro de
cmputo.
A travs de
los diferentes
tipos de
comunicaci
n entre
equipos de
cmputo.
Cuando un
Sistema
Operativo
est
infectado, se
presenta
cualquiera de
los siguientes
sntomas :
o
El
carga
do de
los
progr
amas
toma
ms
tiemp
o de
lo
norm
al.
Dem
ora
exces
iva en
los
acces
os al
disco,
cuand
o se
efect
an
opera
cione
s
sencil
las de
escrit
ura.
o
Se
produ
cen
inusu
ales
mens
ajes
de
errore
s.
Se
encie
nden
las
luces
de
acces
oa
los
dispo
sitivo
s,
cuand
o no
son
reque
ridos
en
ese
mom
ento.
Dispo
sicin
de
meno
s
mem
oria
de lo
norm
al.
o
Desa
parec
en
progr
amas
o
archi
vos
miste
riosa
ment
e.
Se
reduc
e
repen
tinam
ente
el
espac
io del
disco.
Los
archi
vos
ejecut
ables
camb
ian de
tama
o.
Apar
ecen,
inexp
licabl
emen
te,
algun
os
archi
vos
escon
didos.
Apar
ece
en la
panta
lla
una
serie
de
caract
eres
espec
iales
sin
ningu
na
expli
caci
n
lgic
a.
Algu
nos
coma
ndos
no
puede
n ser
ejecut
ados,
princi
palm
ente
los
archi
vos
con
exten
sin .
COM
y
.EXE
.
A
veces
infect
an
prime
ro el
COM
MAN
D.CO
M,
pero
como
su
funci
n es
la de
segui
r
infect
ando
ste
conti
nuar
opera
ndo.
o
La
razn
por la
que
cierto
s
ejecut
ables
no
puede
n ser
activa
dos
se
debe
a que
simpl
emen
te el
virus
puede
haber
los
borra
do.
Al
prend
er el
equip
o no
se
puede
acces
ar al
disco
duro,
esto
es
debid
oa
que el
virus
ya
malo
gr el
coma
ndo
COM
MAN
D.CO
My
se
muest
ra el
siguie
nte
mens
aje :
<>"bad or missing command i

o Los
archi
vos
ejecut
ables
de los
gesto
res de
bases
de
datos
como
dBas
e,
Clipp
er,
FoxP
ro,
etc.,
estn
opera
tivos,
sin
emba
rgo la
estruc
tura
de los
archi
vos
DBF
estn
averi
ados
o
camb
iados.
Lo
mism
o
puede
ocurri
r con
las
hojas
de
clcul
o
como
Lotus
1-2-3,
QPro,
Excel
, etc.
o
El
siste
ma
empi
eza a
colg
arse.
Pued
e ser
un
virus
con la
orden
de
provo
car
resete
os
aleato
rios.
o
Ciert
o
perif
ricos
tales
como
: la
impre
sora,
mde
m,
tarjet
a de
sonid
o,
entre
otros
no
funci
onan.
El
siste
ma
no
carga
norm
alme
nte o
se
interr
umpe
en los
proce
sos.
Los
archi
vos
ejecut
ables
segui
rn
existi
endo
pero
como
el
cdig
o del
virus
est
prese
nte en
la
mayo
ra de
los
casos
aume
ntar
el
tama
o de
los
archi
vos
infect
ados.
o
La
panta
lla
muest
ra
smb
olos
ASCI
I muy
raros
com
nmen
te
conoc
idos
como
basur
a, se
escuc
han
sonid
os
inter
miten
tes,
se
produ
cen
bloqu
eos
de
cierta
s
teclas
.
o
CO
MO
PRE
VEN
IR
LOS
VIR
US
INF
OR
MAT
ICO
S
C
o
nt
ro
l
d
e
la
I
nf
o
r
m
a
ci
n
I
n
g
re
sa
d
a
:
N
o
d
e
b
e
n
u
ti
li
z
a
rs
e
d
is
k
et
te
s
u
s
a
d
o
s,
p
r
o
v
e
n
ie
n
te
s
d
el
e
x
te
ri
o
r
d
e
la
I
n
st
it
u
ci
n.
U
ti
li
z
a
r
si
e
m
p
r
e
s
o
ft
w
a
r
e
c
o
m
e
r
ci
al
o
ri
g
i
n
al
.
M
a
n
te
n
e
r
la
p
r
o
te
c
ci
n
d
e
e
s
c
ri
t
u
r
a
e
n
t
o
d
o
s
l
o
s
d
is
c
o
s
d
e
p
r
o
g
r
a
m
a
s
o
ri
g
i
n
al
e
s
y
d
e
la
s
c
o
p
ia
s
d
e
s
e
g
u
ri
d
a
d
En
espec
ial de
los
disco
s del
siste
ma
opera
tivo y
de las
herra
mient
as
antivi
rus.
S
i
p
o
r
r
a
z
o
n
e
s
d
e
tr
a
b
aj
o
f
u
e
r
a
n
e
c
e
s
a
ri
o
la
u
ti
li
z
a
ci
n
d
e
u
n
m
e
d
i
o
m
a
g
n
t
ic
o
p
ti
c
o
v
e
n
i
d
o
d
el
e
x
te
ri
o
r,
st
e
d
e
b
e
r
n
e
c
e
s
a
ri
a
m
e
n
te
p
a
s
a
r
p
o
r
l
o
s
c
o
n
tr
o
le
s
si
g
u
ie
n
te
s
:
Identificar
medio de
almacenamiento q
contiene la inform
Los medios magn
u pticos
dealmacenamiento
ettes, cintas, cartu
discos u otros) que
contienen archivos
informacin, debe
estar debidamente
etiquetados, tanto
interna como
externamente.
a
Chequear e
medio magntico
ptico, mediante u
procedimiento de
deteccin de virus
establecido por el
organismo compet
de la Institucin.
a
Registrar e
medio magntico
ptico, su origen y
persona que lo por
a
Los
medi
os de
detec
cin
de
virus
deben
ser
actual
izado
s
mens
ualm
ente,
de
acuer
do a
las
nueva
s
versi
ones
de los
detect
ores
de
virus
que
adqui
era la
Instit
ucin
.
Debe
r
utiliz
arse
progr
amas
antivi
rus
origin
ales.
a
D
el
P
e
r
s
o
n
a
l
U
s
u
a
ri
o
d
e
l
a
s
C
o
m
p
u
t
a
d
o
r
a
s
:
a
l
personal
que tiene
acceso a
las
computa
doras en
forma
monousu
aria,
deber
encargar
se de
detectar
y
eliminar
en los
medios
magntic
os u
pticos,
la
infeccin
o
contagio
con
virus. A
tal
efecto,
utilizar
los
procedi
mientos
estableci
dos por
el rgano
compete
nte de la
Instituci
n.
Este
perso
nal es
respo
nsabl
e del
contr
ol de
los
medi
os
magn
ticos
u
ptic
os
venid
os del
exteri
or as
como
de la
posib
le
introd
ucci
n de
virus
en el
equip
o de
comp
uto.
a
as
computa
doras
conectad
as a una
Red,
preferent
emente,
no
debern
tener
unidades
de
diskettes,
a fin de
prevenir
la
infeccin
de virus
informti
cos. El
uso de
los
diskettes
deber
ser
efectuad
o por el
administ
rador de
red.
O
tr
as
M
e
di
d
as
d
e
P
re
v
e
n
ci
n
C
o
nt
r
a
V
ir
u
s
:
S
emanalm
ente
deber
efectuars
e un
respaldo
de toda
la
informac
in til
que se
encuentr
a
almacen
ada en el
disco
duro.
a
Dicha
activi
dad
ser
realiz
ada
por el
respo
nsabl
e
desig
nado
para
este
fin.
E
n caso de
que se
labore en
red o en
modo
multiusu
ario, el
administ
rador de
la red
har un
respaldo
diario de
la
informac
in til
del
disco.
a
P
or
ningn
motivo
debe
usarse
los
servidore
s de red
como
estacione
s de
trabajo.
a
lo los
archivos
de datos
y no los
program
as
ejecutabl
es
debern
ser
copiados
de una
computa
dora a
otra.
T
odo
diskette
debe,
normalm
ente,
estar
protegid
o contra
escritura
para
evitar su
posible
infeccin
al
moment
o de la
lectura.
a
E
l Sistema
debe
cargarse
desde un
diskette
que sea
original,
o en su
defecto
desde
una
copia,
especial
mente
preparad
ay
verificad
a para
que no
contenga
virus
informti
cos.
a
unca se
debe de
ejecutar
program
as de
origen
desconoc
idos.
N
o se debe
aadir
archivos
de datos
o
program
as a
diskettes
que
contiene
n
program
as
originale
s.
a
E
fectuar
peridica
mente la
depuraci
n de
archivos
en los
discos
duros de
la
computa
dora.
a
11.
DA
OS
DE
LOS
VIR
US.
Defin
iremo
s
dao
como
acci
n una
indes
eada,
y los
clasif
icare
mos
segn
la
canti
dad
de
tiemp
o
neces
aria
para
repar
ar
dicho
s
daos
.
Exist
en
seis
categ
oras
de
daos
hecho
s por
los
virus,
de
acuer
do a
la
grave
dad.
1
AO
S
TRI
VIA
LES.
Sirva
como
ejem
plo la
forma
de
trabaj
o del
virus
FOR
M (el
ms
com
n):
En el
da
18 de
cada
mes
cualq
uier
tecla
que
presi
onem
os
hace
sonar
el
beep.
Desh
acers
e del
virus
impli
ca,
gener
alme
nte,
segun
dos o
minut
os.
2
AO
S
MEN
ORE
S.
Un
buen
ejem
plo
de
este
tipo
de
dao
es el
JERU
SAL
EM.
Este
virus
borra,
los
viern
es 13,
todos
los
progr
amas
que
uno
trate
de
usar
despu
s de
que el
virus
haya
infect
ado la
mem
oria
reside
nte.
En el
peor
de los
casos,
tendr
emos
que
reinst
alar
los
progr
amas
perdi
dos.
Esto
nos
llevar
alred
edor
de 30
minut
os.
3
AO
S
MO
DER
ADO
S.
Cuan
do un
virus
forma
tea el
disco
rgido
,
mezcl
a los
comp
onent
es de
la
FAT
(File
Alloc
ation
Table
,
Tabla
de
Ubica
cin
de
Archi
vos),
o
sobre
scribe
el
disco
rgido
. En
este
caso,
sabre
mos
inme
diata
ment
e qu
es lo
que
est
suced
iendo
,y
podre
mos
reinst
alar
el
siste
ma
opera
tivo y
utiliz
ar el
ltim
o
backu
p.
Esto
quiz
s nos
lleve
una
hora.
4
AO
S
MAY
ORE
S.
Algu
nos
virus,
dada
su
lenta
veloc
idad
de
infec
cin
y su
alta
capac
idad
de
pasar
desap
ercibi
dos,
puede
n
lograr
que
ni
an
restau
rando
un
backu
p
volva
mos
al
ltim
o
estad
o de
los
datos.
Un
ejem
plo
de
esto
es el
virus
DAR
K
AVE
NGE
R,
que
infect
a
archi
vos y
acum
ula la
canti
dad
de
infec
cione
s que
realiz
.
Cuan
do
este
conta
dor
llega
a 16,
elige
un
sector
del
disco
al
azar y
en l
escrib
e la
frase:
"Eddi
e
lives
some
wher
e in
time"
(Eddi
e vive
en
algn
lugar
del
tiemp
o).
Esto
puede
haber
estad
o
pasan
do
por
un
largo
tiemp
o sin
que
lo
note
mos,
pero
el da
en
que
detect
emos
la
prese
ncia
del
virus
y
quera
mos
restau
rar el
ltim
o
backu
p
notar
emos
que
tambi
n l
conti
ene
sector
es
con la
frase,
y
tambi
n los
backu
ps
anteri
ores a
ese.
Pued
e que
llegu
emos
a
encon
trar
un
backu
p
limpi
o,
pero
ser
tan
viejo
que
muy
proba
blem
ente
haya
mos
perdi
do
una
gran
canti
dad
de
archi
vos
que
fuero
n
cread
os
con
poste
riorid
ad a
ese
backu
p.
AO
S
SEV
ERO
S.
Los
daos
sever
os
son
hecho
s
cuand
o un
virus
realiz
a
camb
ios
mni
mos,
gradu
ales y
progr
esivo
s. No
sabe
mos
cund
o los
datos
son
corre
ctos o
han
camb
iado,
pues
no
hay
pistas
obvia
s
como
en el
caso
del
DAR
K
AVE
NGE
R (es
decir,
no
pode
mos
busca
r la
frase
Eddie
lives .
..).
D
AO
S
ILIM
ITAD
OS.
6
Algu
nos
progr
amas
como
CHE
EBA,
VAC
SINA
.44.L
OGI
Ny
GP1
entre
otros,
obtie
nen la
clave
del
admi
nistra
dor
del
siste
ma y
la
pasan
a un
tercer
o.
Cabe
aclara
r que
estos
no
son
virus
sino
troya
nos.
En el
caso
de
CHE
EBA,
crea
un
nuev
o
usuar
io
con
los
privil
egios
mxi
mos,
fijand
o el
nomb
re del
usuar
io y
la
clave.
El
dao
es
enton
ces
realiz
ado
por la
tercer
a
perso
na,
quien
ingre
sar
al
siste
ma y
hara
lo
que
quisie
ra.
LOS
MAC
RO
VIR
US
losma
cro
virus,
son
las
espec
ies
virale
s que
rompi
eron
los
esque
mas
de
progr
amaci
n y
ejecu
cin
de los
virus
tradic
ional
es
Los
macr
o
virus
son
una
nueva
famili
a de
virus
que
infect
an
docu
ment
os y
hojas
de
clcul
o.
Fuero
n
report
ados
a
partir
de
1995,
camb
iando
el
conce
pto
que
los
virus
tan
slo
poda
n
infect
ar o
propa
garse
a
travs
de
archi
vos
ejecut
ables.
Los
daos
que
ocasi
onan
estos
virus
depen
de de
sus
autor
es
siend
o
capaz
desde
camb
iar la
confi
gurac
in
del
Wind
ows,
borra
r
archi
vos
de
nuest
ro
disco
duro,
envia
r por
corre
o
cualq
uier
archi
vo
que
no
nos
demo
s
cuent
a,
mand
ar a
impri
mir
docu
ment
os
inesp
erada
ment
e,
guard
ar los
docu
ment
os
como
planti
llas,
entre
otros.
Los
Macr
o
Virus,
son
capac
es de
tomar
el
contr
ol de
ambi
ente
en el
que
viven
.
1
ARA
CTE
RIST
ICAS
DE
LOS
MAC
RO
VIR
US :
Los
macr
o
virus
tiene
n2
carac
terst
icas
bsic
as :
a
nfectan
nicame
nte
documen
tos de
MSWord o
Ami Pro
y hojas
de
clculo
Excel.
P
oseen la
capacida
d de
infectar
y
propagar
se por s
mismos.
a
Los
macr
o
virus,
no
puede
n
graba
r los
docu
ment
os
infect
ados
en
ning
n otro
forma
to
que
no
sean
las
planti
llas,
el
archi
vo es
conve
rtido
a
planti
lla y
tiend
e a no
permi
tir
graba
r el
archi
vo o
docu
ment
o en
ning
n otro
direct
orio,
usand
o el
coma
ndo
SAV
E AS.
Estos
son
algun
os de
los
virus
ms
conoc
idos
que
afecta
na
las
macr
os :
C
A
P
:
E
s
u
n
c
o
nj
u
nt
o
d
e
di
ez
m
ac
ro
s
e
n
cr
ip
ta
d
os
(e
l
us
u
ar
io
in
fe
ct
a
d
o
n
o
p
u
e
d
e
v
er
lo
s
ni
e
di
ta
rl
os
),
m
u
es
tr
a
el
si
g
ui
e
nt
e
te
xt
o
e
n
la
p
a
nt
al
la
:
C.A.P : Un virus
"j4cKy Qw3rTy
Venezuela, Mara
PD : Que haces
C
u
a
n
d
o
i
n
f
e
ct
a
el
W
o
r
d,
el
v
ir
u
s
m
o
d
if
ic
a
ci
n
c
o
m
e
n
s
e
x
is
te
n
te
s,
r
e
d
ir
e
c
ci
o
n
n
d
o
l
o
s
al
c
d
i
g
o
d
el
v
ir
u
s.
L
o
s
p
r
o
b
le
m
a
s
q
u
e
c
r
e
a
s
o
n
d
if
e
r
e
n
te
s,
d
e
p
e
n
d
ie
n
d
o
d
el
ti
p
o
d
e
i
n
st
al
a
ci
n
y
el
le
n
g
u
aj
e
d
el
W
o
r
d
q
u
e
e
st
e
e
n
u
s
o.
A
l
i
n
f
e
ct
a
r
l
o
s
d
o
c
u
m
e
n
t
o
s,
b
o
rr
a
t
o
d
o
s
l
o
s
m
a
c
r
o
s
p
r
e
e
x
is
te
n
te
s,
p
e
r
o
n
o
ti
e
n
e
u
n
e
f
e
ct
o
d
e
st
r
u
ct
i
v
o
e
n
s
m
is
m
o.
O
c
u
lt
a
e
n
el
m
e
n
d
e
H
e
rr
a
m
ie
n
ta
s
la
o
p
ci
n
M
a
c
r
o
s.
W
M
.
C
O
N
C
E
P
T
:
E
s
u
n
m
a
c
r
o
v
ir
u
s
M
S
W
o
r
d
q
u
e
u
s
a
ci
n
c
o
m
a
c
r
o
s
p
a
r
a
i
n
f
e
ct
ar
,
y
p
r
o
p
a
g
a
rs
e.
L
o
s
m
a
c
r
o
s
s
e
ll
a
m
a
n
:
A
A
A
Z
A
O
,
A
A
A
Z
F
S
,
A
u
t
o
O
p
e
n,
F
il
e
S
a
v
e
s
A
s,
P
a
y
l
o
a
d.
W
A
Z
Z
U
:
E
s
u
n
m
a
c
r
o
v
ir
u
s
q
u
e
i
n
f
e
ct
a
d
o
c
u
m
e
n
t
o
s
d
e
M
ic
r
o
s
o
ft
W
o
r
d
p
a
r
a
W
i
n
d
o
w
s,
s
o
l
o
c
o
n
ti
e
n
e
la
m
a
c
r
o
A
u
t
o
o
p
e
n.
C
u
a
n
d
o
u
n
d
o
c
u
m
e
n
t
o
e
s
a
b
ie
rt
o
el
v
ir
u
s
g
e
n
e
r
a
u
n
n
m
e
r
o
al
e
at
o
ri
o
m
a
y
o
r
a
0
y
m
e
n
o
r
a
1.
S
i
e
st
e
n
m
e
r
o
e
s
m
e
n
o
r
q
u
e
0.
2,
el
v
ir
u
s
m
u
e
v
e
la
p
al
a
b
r
a
a
o
tr
o
l
u
g
a
r
al
a
z
ar
,
d
e
n
tr
o
d
el
m
is
m
o
d
o
c
u
m
e
n
t
o,
si
el
n
m
e
r
o
e
s
m
e
n
o
r
q
u
e
0.
2
5,
el
v
ir
u
s
i
n
s
e
rt
a
r
la
p
al
a
b
r
a
:
"wazzu"
MDMA
: Es un
virus que
borra
archivos
especfic
os de
Window
s 95,
haciendo
uso de la
macro
AutoClo
se, o el
FORMA
T.C, el
virus
dentro de
la macro
AutoOpe
n ordena
formatea
r el disco
duro.
XM.LA
ROUX :
Es el
primer
macro
virus
funciona
l en
EXCEL,
descubie
rto en
julio de
1996. El
cdigo
del
macro
consiste
de dos
macros
llamados
:
Auto_Op
en y
Check_F
iles. Los
macros
son
almacen
ados en
una hoja
de datos
escondid
a,
llamada
Laroux
.
XM.SO
FA :
Descubie
rto en
diciembr
e de
1996, se
propaga
por
medio de
un
archivo
llamado
BOOK.
XLT.
Este
virus
contiene
cuatro
macros :
Auto_Op
en,
Auto_Ra
nge,
Current_
Open y
Auto_Cl
ose.
Cuando
se abre
un
archivo
infectado
, el virus
toma el
control y
cambia
el ttulo
arriba de
la
ventana
a
Microso
fa Excel
en lugar
de
Microso
ft Excel.
M
E
T
O
D
O
D
E
I
N
F
E
C
C
I
O
N
Y
E
F
E
C
T
O
S
D
E
L
O
S
M
A
C
R
O
V
I
R
U
S
INFEC
CIN
Cuando
un
documen
to es
abierto
por
primera
vez, la
aplicaci
n (Word,
Excel,
etc.)
buscan la
presenci
a del
macro
AutoOpe
n, si lo
encuentr
a y la
variable
global
Disable
AutoMa
cros no
est
seleccion
ada,
entonces
Word o
Excel
automti
camente
ejecutan
el macro
AutoOpe
n (sin
notificar
nada al
usuario).
Al igual
sucede
cuando
se cierra
la
aplicaci
n, se
ejecuta
la macro
AutoClo
se si est
presente.
En
Word,
los
macros
son
guardado
s en
archivos
denomin
ados
"plantilla
s", as
que
durante
una
infeccin
, los
macro
virus son
capaces
de
convertir
los
documen
tos a
plantillas
y
copiarse
en ellos.
Al
moment
o de ser
infectado
, los
datos son
mezclad
os con
cdigo
ejecutabl
e, que
normalm
ente
estn
escondid
os a la
vista del
usuario.
Entonces
cuando
se vea el
documen
to, este
estar
infectado
, se
podr
trabajar
normalm
ente pero
la
plantilla
con virus
seguir
infectand
o
documen
tos y las
macros
que
utilice.
Los
macro
Virus
infectan
la macro
global
Normal.
dot y
FileSave
As, las
cuales se
graban
automti
camente
al final
de cada
sesin de
trabajo.
EFECT
OS
Una vez
que se
infecta
un
documen
to u hoja
de
clculo,
los
macro
virus son
capaces
de
aduears
e de las
funcione
s de la
aplicaci
n,
evitando
por
ejemplo,
que el
usuario
guarde la
informac
in que
ha estado
escribien
do por
minutos
u horas,
no se
puede
mandar a
imprimir
, entre
otros.
En el
caso de
Word los
macro
virus se
instalan
en la
plantilla
Normal.
dot, que
es la que
el
usuario
utiliza
para
crear
archivos
nuevos.
Cuando
abramos
un
archivo o
lo
guardem
os,
estaremo
s
infectand
o los
documen
tos. En
Excel
ocurre
algo
similar
con el
archivo
Personal.
XLS. En
el men
de la
Barra de
Herrami
entas
desapare
ce la
opcin
Macros.
Los
macros
virus
ms
conocido
s
actualme
nte son
de
documen
tos de
Microsof
t Word.
Los
macros
son un
conjunto
de
instrucci
ones y
comando
s. El
lenguaje
de
macros,
es una
herramie
nta
poderosa
, nos
permite
ejecutar
tareas
como
por
ejemplo :
copiar
archivos,
ejecutar
program
as,
cambiar
archivos,
etc.
E
L
I
M
I
N
A
C
I
O
N
D
E
U
N
M
A
C
R
O
V
I
R
U
S
M
A
N
U
A
L
M
E
N
T
E
.
El documento
en plantilla.
En el men de
oculta la opci
Para descubrir
Men "Ver" se
de Herramient
Se pulsa el bot
Se escoge la o
despus "Men
Macros"
Se pulsa el bot
Abrimos el me
hacemos click
luego la opci
observaremos
Crear un nuev
Abrir el docum
Seleccionar el
"Edicin", dar
Abrir el Word
men "Edicin
"Pegar".
Guardar el doc
previamente cr
Repetir todos l
los documento
Eliminar todos
infectados.
Borrar la plant
ANTIVI
RUS
QU
ES UN
ANTIVI
RUS?.
No para
toda
enferme
dad
existe
cura,
como
tampoco
existe
una
forma de
erradicar
todos y
cada uno
de los
virus
existente
s.
Es
importan
te aclarar
que todo
antivirus
es un
program
a y que,
como
todo
program
a, slo
funciona
r
correcta
mente si
es
adecuad
o y est
bien
configur
ado.
Adems,
un
antivirus
es una
herramie
nta para
el
usuario y
no slo
no ser
eficaz
para el
100% de
los
casos,
sino que
nunca
ser una
protecci
n total ni
definitiv
a.
La
funcin
de un
program
a
antivirus
es
detectar,
de
alguna
manera,
la
presenci
a o el
accionar
de un
virus
informti
co en
una
computa
dora.
Este es
el
aspecto
ms
importan
te de un
antivirus,
independ
ientemen
te de las
prestacio
nes
adicional
es que
pueda
ofrecer,
puesto
que el
hecho de
detectar
la
posible
presenci
a de un
virus
informti
co,
detener
el trabajo
y tomar
las
medidas
necesaria
s, es
suficient
e para
acotar un
buen
porcentaj
e de los
daos
posibles.
Adiciona
lmente,
un
antivirus
puede
dar la
opcin
de
erradicar
un virus
informti
co de
una
entidad
infectada
.
LOS
ANTIVI
RUS
INFOR
MATIC
OS
Un
antivirus
es
cualquier
metodol
oga,
program
ao
sistema
para
prevenir
la
activaci
n de los
virus, su
propagac
in y
contagio
dentro de
un
sistema y
su
inmediat
a
eliminaci
n y la
reconstru
ccin de
archivos
o de
reas
afectadas
por los
virus
informti
cos.
Los
antivirus
permiten
la
detecci
ny
eliminaci
n de
virus. Un
virus es
identific
ado
mediante
una
cadena
del
antivirus
que
busca,
encuentr
ay
elimina
los
distintos
virus
informti
cos.
El
software
antivirus
contrarre
sta de
varias
maneras
los
efectos
de los
virus
informti
cos para
detectarl
os. La
mayora
de las
solucion
es se
basan en
tres
compone
ntes para
la
detecci
n:
exploraci
n de
acceso,
exploraci
n
requerid
a, y
suma de
comprob
acin.
La
exploraci
n de
acceso :
Inicia
automti
camente
una
exploraci
n de
virus,
cuando
se
accede a
un
archivo,
es decir
al
introduci
r un
disco,
copiar
archivos,
ejecutar
un
program
a, etc.
La
exploraci
n
requerid
a : El
usuario
inicia la
exploraci
n de
virus.
Las
exploraci
ones se
pueden
ejecutar
inmediat
amente,
en un
directori
oo
volumen
determin
ado.
La suma
de
comprob
acin o
comprob
acin de
integrida
d:
Mtodo
por el
que un
producto
antivirus
determin
a si se ha
modifica
do un
archivo.
Como el
cdigo
vrico se
une
fsicame
nte a
otro
archivo,
se puede
determin
ar tal
modifica
cin
guardand
o la
informac
in del
archivo
antes de
la
infeccin
.
La suma
de
comprob
acin es
generalm
ente
exacta y
no
necesita
actualiza
ciones.
Sin
embargo
la suma
de
comprob
acin no
proporci
ona ni el
nombre,
ni el tipo
de virus.
Los
program
as
antivirus
se
compone
n
fundame
ntalment
e de dos
partes :
un
program
a que
rastrea
(SCAN),
si en los
dispositi
vos de
almacen
amiento
se
encuentr
a alojado
algn
virus, y
otro
program
a que
desinfect
a
(CLEAN
) a la
computa
dora del
virus
detectad
o.
TIPOS
DE
ANTIVI
RUS
Antivirus
Detectores o
Rastreadores
Son aquellos
antivirus que
usan tcnicas d
bsqueda y
deteccin
explorando o
rastreando tod
el sistema en
busca de un
virus. Estos
programas se
utilizan para
detectar virus
que pueden es
en la memoria
en el sector de
arranque del
disco duro, en
zona de
particin del
disco y en
algunos
programas.
Dependiendo d
la forma de
analizar los
archivos los
podemos
clasificar a su
vez en antiviru
de patrn y
heurstico.
Antivirus de
Patrn :Realiz
n el anlisis de
los archivos po
medio de la
bsqueda en e
archivo de una
cualidad
particular de lo
virus. Existen
antivirus
especficos par
un determinad
virus,
conociendo su
forma de ataca
y actuar.
Antivirus
Heurstico :Es
antivirus busca
situaciones
sospechosas en
los programas,
simulando la
ejecucin y
observando el
comportamien
del programa.
Limpiadores
Eliminadores
Una vez
desactivada la
estructura del
virus procede
eliminar o
erradicar elviru
de un archivo,
del sector de
arranque de un
disco, en la zo
de particin de
un disco y en
algunos
programas.
Estos
antivirus
deben
tener una
base de
datos
con
informac
in de
cada
virus
para
saber
que
mtodo
de
desinfec
cin
deben
usar para
eliminar
el virus.
Dependi
endo de
los
efectos
de la
especie
viral
proceder
a
reconstru
ir las
partes
afectadas
por el
virus
informti
co.
Protectores o
Inmunizadore
: Es un
programa para
prevenir la
contaminacin
de virus, estos
programas no
son muy usado
porque utilizan
mucha memor
y disminuyen
velocidad de la
ejecucin de
algunos
programas y
hasta del
computador.
Residentes:
Permanecen en
memoria para
reconocimient
de un virus
desde que es
ejecutado. Cad
vez que
cargamos un
programa, el
antivirus lo
analiza para
verificar si el
archivo esta
infectado o no
con algn viru
informtico.
TECNI
CAS DE
LOS
ANTIVI
RUS
Escaneo de
Firmas :La
mayora de los
programas
antivirus utiliz
esta tcnica.
Revisan los
programas par
localizar una
secuencia de
instrucciones
que son nicas
de los virus.
Chequeo de
Integridad:
Utilizan el
Chequeo de
Redundancia
Cclica (CRC)
es decir toman
las instruccion
de un program
como si fuesen
datos y se hace
un clculo, se
graban en un
archivo los
resultados, y
luego se revisa
si el programa
fu modificado
o alterado.
Monitoreo:
Interceptan o
bloquean
instrucciones
sospechosas o
riesgosas, por
ejemplo cuand
un programa
pide cargarse e
memoria y
permanecer
residente, alter
el rea de
arranque o
modificar un
archivo de alg
programa. Esta
tcnica funcion
residente en
memoria
supervisando
continuamente
cuando se
ejecuta un
programa,
entonces
intercepta los
llamados a
funciones
sospechosas.
Anlisis
Heurstico :A
liza cada
programa
sospechoso sin
ejecutar sus
instrucciones,
que hace es
desensamblar
cdigo de
mquina para
saber que hara
el programa si
se ejecuta. Avi
al usuario si el
programa tiene
instrucciones
para hacer algo
raro en un
programa
normal, pero
que es comn
los virus, pued
revisar varios
todos los
programas de
disco, e indica
que puede
suceder algo
raro cuando se
ejecute el
programa.
ANTIVI
RUS
INTER
NACIO
NALES
La
primera
generaci
n de
antivirus
eran
vacunas
TSR o
eliminad
ores para
cada
especie
de virus.
Entre
ellos
estaban
el
BBSTOP
para el
Bouncin
g Ball,
BRSTOP
para el
Brain,
MBSTO
P para el
Marihua
na, los
cuales
deban
instalars
e en el
Autoexe
c.bat
para
poder
proteger
el
sistema
contra
estos
virus.
Cuando
la
program
acin de
virus
aument
se volvi
imposibl
e ubicar
las
diferente
s
vacunas
residente
s en la
memoria
y ello
motiv
la
generaci
n de los
software
s
antivirus.
Uno de
los
primeros
program
as
antivirus
fueron :
FLUSHOT,
VPROT
ECT y
VIRUSC
AN.
Actualm
ente
existen
muchos
program
as
antivirus,
con
diversos
estilos de
program
acin
nombres
como el
Dr.
SOLOM
ONS
Toolkit
de Alan
Solomon
,
NORTO
N
ANTIVI
RUS de
Symante
c, CPAV
de
Central
Point, FPROT de
Fridrik
Skulason
,
VIRUSS
CAN de
McAfee
entre
otros.
A
continua
cin
algunos
antivirus
extranjer
os y sus
caracter
sticas :
TBAV :
THUND
ERBYT
E
ANTIVI
RUS
El
Thunder
byte
Antiviru
s
provee :
Detecci
n por
firmas
(TbScan)
,
chequeo
de
integrida
d por
clculo
(TbSetup
y
TbScan),
bloqueo
de
instrucci
ones
sospecho
sas
(TbMem
, TbFile
y
TbDisk).
F-PROT
ANTIVI
RUS
Brinda
detecci
n de
virus por
firmas y
detecci
n
heurstic
a de
instrucci
ones
sospecho
sas.
ANTIVI
RUS
ANYW
ARE
Protecci
n
permane
nte,
reconoce
y elimina
ms de
11,400
virus,
incluyen
do los
macro
virus.
Detecta
virus no
conocido
s
mediante
el
mtodo
heurstic
o,
analiza
los
archivos
comprim
idos.
VIRUSS
CAN
DE
MCAFE
E
Fcil de
instalar
no ocupa
mucha
memoria
, tiene
una
grande
base de
datos,
incluyen
do los
virus
macros,
permane
ce en
memoria
, se
actualiza
constant
emente
por
Internet.
Entre
otros
antivirus
extranjer
os
tenemos
:
a
Cheyenne
Forefront A
IBM Antiv
Pc-Cillin I
Panda Soft
ANTIVI
RUS
NACIO
NALES
THE
HACKE
R
Hacksoft
es una
empresa
peruana
dedicada
al
desarroll
o de
software
de
segurida
d de
datos.
La
empresa
tiene un
prestigio
ganado
por su
producto
THE
HACKE
R, el
cual
protege,
detecta y
elimina a
virus
informti
cos, esta
empresa
tambin
brinda el
servicio
de
asesoram
iento y
recupera
cin de
la
informac
in.
Las
primeras
investiga
ciones en
el rea se
inician a
finales
de 1,990
la
primera
versin
del
antivirus
THE
HACKE
R es
emitida
en
agosto
de 1,992.
PER
ANTIVI
RUS
En 1,993
se crea
PER
SYSTE
M S.A.,
que tiene
como
principal
servicio
el
desarroll
o de
software
aplicativ
o para
PCs,
haciendo
uso en
primera
instancia
del
Lenguaje
BASIC,
luego del
Quick
BASIC y
posterior
mente
del
Turbo
Pascal.
En
1,985,
inicia sus
investiga
ciones
sobre los
virus
informti
cos
debido a
la
aparicin
en Lima
y rpida
propagac
in de
los virus
(c) Brain
y
Bouncin
g Ball
(Bolita
Saltarina
),
concibie
ndo as
el
antivirus
PER
cumplien
do con
las
expectati
vas de
los
usuarios
de esa
poca,
desarroll
ando
permane
ntemente
estudios
de
investiga
cin
como
aporte
empresar
ial para
la
detecci
n,
eliminaci
n y
prevenci
n de
virus a
las
diferente
s
Instituci
ones y
Entidade
s
Pblicas
como a
usuarios.
CONCL
USION
ES
GENER
ALES
En razn
de lo
expresad
o pueden
extraerse
algunos
concepto
s que
pueden
consider
arse
necesari
os para
tener en
cuenta
en
materia
de virus
informti
cos:
No todo
lo que
afecte el
normal
funciona
miento
de una
computa
dora es
un virus.
TODO
virus es
un
program
a y,
como tal,
debe ser
ejecutad
o para
activarse
.
Es
impresci
ndible
contar
con
herramie
ntas de
detecci
ny
desinfec
cin.
NING
N
sistema
de
segurida
d es
100%
seguro.
Por eso
todo
usuario
de
computa
doras
debera
tratar de
impleme
ntar
estrategi
as de
segurida
d
antivirus,
no slo
para
proteger
su propia
informac
in sino
para no
convertir
se en un
agente
de
dispersi
n de algo
que
puede
producir
daos
graves e
indiscri
minados.
Para
impleme
ntar tales
estrategi
as
deberan
tenerse a
mano los
siguiente
s
elemento
s:
U
N
D
I
S
C
O
D
E
S
I
S
T
E
M
A
P
R
O
T
E
G
I
D
O
C
O
N
T
R
A
E
S
C
R
I
T
U
R
A
Y
L
I
B
R
E
D
E
V
I
R
U
S
:
U
n
d
is
c
o
q
u
e
c
o
n
te
n
g
a
el
si
st
e
m
a
o
p
e
r
at
i
v
o
ej
e
c
u
ta
b
le
(
e
s
d
e
ci
r,
q
u
e
la
m
q
u
i
n
a
p
u
e
d
a
s
e
r
a
rr
a
n
c
a
d
a
d
e
s
d
e
e
st
e
d
is
c
o
)
c
o
n
p
r
o
te
c
ci
n
c
o
n
tr
a
e
s
c
ri
t
u
r
a
y
q
u
e
c
o
n
te
n
g
a,
p
o
r
l
o
m
e
n
o
s,
l
o
s
si
g
u
ie
n
te
s
c
o
m
a
n
d
o
s:
F
O
R
M
A
T
,
F
D
I
S
K
,
M
E
M
y
C
H
K
D
S
K
(
o
S
C
A
N
D
I
S
K
e
n
v
e
rs
i
o
n
e
s
r
e
ci
e
n
te
s
d
el
M
S
D
O
S
).
P
O
R
L
O
M
E
N
O
S
U
N
P
R
O
G
R
A
M
A
A
N
T
I
V
I
R
U
S
A
C
T
U
A
L
I
Z
A
D
O
:
S
e
p
u
e
d
e
c
o
n
si
d
e
r
a
r
a
ct
u
al
iz
a
d
o
a
u
n
a
n
ti
v
ir
u
s
q
u
e
n
o
ti
e
n
e
m
s
d
e
tr
e
s
m
e
s
e
s
d
e
s
d
e
s
u
f
e
c
h
a
d
e
c
r
e
a
ci
n
(
o
d
e
a
ct
u
al
iz
a
ci
n
d
el
a
r
c
h
i
v
o
d
e
st
ri
n
g
s)
.
E
s
m
u
y
r
e
c
o
m
e
n
d
a
b
le
te
n
e
r
p
o
r
l
o
m
e
n
o
s
d
o
s
a
n
ti
v
ir
u
s.
U
N
A
F
U
E
N
T
E
D
E
I
N
F
O
R
M
A
C
I
N
S
O
B
R
E
V
I
R
U
S
E
S
P
E
C
F
I
C
O
S
:
E
s
d
e
ci
r,
al
g
n
p
r
o
g
r
a
m
a,
li
b
r
o
o
a
r
c
h
i
v
o
d
e
te
x
t
o
q
u
e
c
o
n
te
n
g
a
la
d
e
s
c
ri
p
ci
n,
s
n
t
o
m
a
s
y
c
a
r
a
ct
e
r
st
ic
a
s
d
e
p
o
r
l
o
m
e
n
o
s
l
o
s
ci
e
n
v
ir
u
s
m
s
c
o
m
u
n
e
s.
U
N
P
R
O
G
R
A
M
A
D
E
R
E
S
P
A
L
D
O
D
E
R
E
A
S
C
R
T
I
C
A
S
:
A
l
g
n
p
r
o
g
r
a
m
a
q
u
e
o
b
te
n
g
a
r
e
s
p
al
d
o
(
b
a
c
k
u
p
)
d
e
l
o
s
s
e
ct
o
r
e
s
d
e
a
rr
a
n
q
u
e
d
e
l
o
s
d
is
q
u
et
e
s
y
s
e
ct
o
r
e
s
d
e
a
rr
a
n
q
u
e
m
a
e
st
r
o
(
M
B
R
,
M
a
st
e
r
B
o
o
t
R
e
c
o
r
d
)
d
e
l
o
s
d
is
c
o
s
r
g
i
d
o
s.
M
u
c
h
o
s
p
r
o
g
r
a
m
a
s
a
n
ti
v
ir
u
s
i
n
cl
u
y
e
n
f
u
n
ci
o
n
e
s
d
e
e
st
e
ti
p
o.
L
I
S
T
A
D
E
L
U
G
A
R
E
S
D
N
D
E
A
C
U
D
I
R
:
U
n
a
b
u
e
n
a
p
r
e
c
a
u
ci
n
e
s
n
o
e
s
p
e
r
a
r
a
n
e
c
e
si
ta
r
a
y
u
d
a
p
a
r
a
c
o
m
e
n
z
a
r
a
b
u
s
c
a
r
q
u
i
n
p
u
e
d
e
o
fr
e
c
e
rl
a,
si
n
o
ir
el
a
b
o
r
a
n
d
o
u
n
a
a
g
e
n
d
a
d
e
d
ir
e
c
ci
o
n
e
s,
te
l
f
o
n
o
s
y
d
ir
e
c
ci
o
n
e
s
el
e
ct
r
n
ic
a
s
d
e
la
s
p
e
rs
o
n
a
s
y
l
u
g
a
r
e
s
q
u
e
p
u
e
d
a
n
s
e
r
v
ir
n
o
s
m
s
a
d
el
a
n
te
.
Si se
cuenta
con un
antivirus
comercia
lo
registrad
o,
debern
tenerse
siempre
a mano
los
telfonos
de
soporte
tcnico.
U
N
S
I
S
T
E
M
A
D
E
P
R
O
T
E
C
C
I
N
R
E
S
I
D
E
N
T
E
:
M
u
c
h
o
s
a
n
ti
v
ir
u
s
i
n
cl
u
y
e
n
p
r
o
g
r
a
m
a
s
r
e
si
d
e
n
te
s
q
u
e
p
r
e
v
ie
n
e
n
(
e
n
ci
e
rt
a
m
e
d
i
d
a
),
la
i
n
tr
u
si
n
d
e
v
ir
u
s
y
p
r
o
g
r
a
m
a
s
d
e
s
c
o
n
o
ci
d
o
s
a
la
c
o
m
p
u
ta
d
o
r
a.
T
E
N
E
R
R
E
S
P
A
L
D
O
S
:
S
e
d
e
b
e
n
te
n
e
r
r
e
s
p
al
d
a
d
o
s
e
n
d
is
c
o
l
o
s
a
r
c
h
i
v
o
s
d
e
d
at
o
s
m
s
i
m
p
o
rt
a
n
te
s,
a
d
e
m
s,
s
e
r
e
c
o
m
ie
n
d
a
r
e
s
p
al
d
a
r
t
o
d
o
s
l
o
s
a
r
c
h
i
v
o
s
ej
e
c
u
ta
b
le
s.
P
a
r
a
a
r
c
h
i
v
o
s
m
u
y
i
m
p
o
rt
a
n
te
s,
e
s
b
u
e
n
o
te
n
e
r
u
n
r
e
s
p
al
d
o
d
o
b
le
,
p
o
r
si
u
n
o
d
e
l
o
s
d
is
c
o
s
d
e
r
e
s
p
al
d
o
s
e
d
a
a.
L
o
s
r
e
s
p
al
d
o
s
ta
m
b
i
n
p
u
e
d
e
n
h
a
c
e
rs
e
e
n
ci
n
ta
(t
a
p
e
b
a
c
k
u
p
),
a
u
n
q
u
e
p
a
r
a
el
u
s
u
a
ri
o
n
o
r
m
al
e
s
p
r
e
f
e
ri
b
le
h
a
c
e
rl
o
e
n
d
is
c
o
s,
p
o
r
el
c
o
st
o
q
u
e
la
s
u
n
i
d
a
d
e
s
d
e
ci
n
ta
r
e
p
r
e
s
e
n
ta
n.
R
E
V
I
S
A
R
T
O
D
O
S
L
O
S
D
I
S
C
O
S
N
U
E
V
O
S
A
N
T
E
S
D
E
U
T
I
L
I
Z
A
R
L
O
S
:
C
u
al
q
u
ie
r
d
is
c
o
q
u
e
n
o
h
a
y
a
si
d
o
p
r
e
v
ia
m
e
n
te
u
ti
li
z
a
d
o
d
e
b
e
s
e
r
r
e
v
is
a
d
o,
i
n
cl
u
si
v
e
l
o
s
p
r
o
g
r
a
m
a
s
o
ri
g
i
n
al
e
s
(
p
o
c
a
s
v
e
c
e
s
s
u
c
e
d
e
q
u
e
s
e
d
is
tr
i
b
u
y
a
n
d
is
c
o
s
d
e
p
r
o
g
r
a
m
a
s
o
ri
g
i
n
al
e
s
i
n
f
e
ct
a
d
o
s,
p
e
r
o
e
s
f
a
ct
i
b
le
)
y
l
o
s
q
u
e
s
e
d
is
tr
i
b
u
y
e
n
j
u
n
t
o
c
o
n
r
e
v
is
ta
s
d
e
c
o
m
p
u
ta
ci
n.
R
E
V
I
S
A
R
T
O
D
O
S
L
O
S
D
I
S
C
O
S
Q
U
E
S
E
H
A
Y
A
N
P
R
E
S
T
A
D
O
:
C
u
al
q
u
ie
r
d
is
c
o
q
u
e
s
e
h
a
y
a
p
r
e
st
a
d
o
a
al
g
a
m
i
g
o
o
c
o
m
p
a
e
r
o
d
e
tr
a
b
aj
o,
a
n
a
q
u
el
l
o
s
q
u
e
s
l
o
c
o
n
te
n
g
a
n
a
r
c
h
i
v
o
s
d
e
d
at
o
s,
d
e
b
e
n
s
e
r
r
e
v
is
a
d
o
s
a
n
te
s
d
e
u
s
a
rs
e
n
u
e
v
a
m
e
n
te
.
R
E
V
I
S
A
R
T
O
D
O
S
L
O
S
P
R
O
G
R
A
M
A
S
Q
U
E
S
E
O
B
T
E
N
G
A
N
P
O
R
M
D
E
M
O
R
E
D
E
S
:
U
n
a
d
e
la
s
g
r
a
n
d
e
s
v
a
s
d
e
c
o
n
ta
g
i
o
la
c
o
n
st
it
u
y
e
n
I
n
te
r
n
et
y
l
o
s
B
B
S
,
si
st
e
m
a
s
e
n
l
o
s
c
u
al
e
s
e
s
c
o
m
n
la
tr
a
n
sf
e
r
e
n
ci
a
d
e
a
r
c
h
i
v
o
s,
p
e
r
o
n
o
si
e
m
p
r
e
s
e
s
a
b
e
d
e
s
d
e
d
n
d
e
s
e
e
st
r
e
ci
b
ie
n
d
o
i
n
f
o
r
m
a
ci
n.
R
E
V
I
S
A
R
P
E
R
I
D
I
C
A
M
E
N
T
E
L
A
C
O
M
P
U
T
A
D
O
R
A
:
S
e
p
u
e
d
e
c
o
n
si
d
e
r
a
r
q
u
e
u
n
a
b
u
e
n
a
fr
e
c
u
e
n
ci
a
d
e
a
n
l
is
is
e
s,
p
o
r
l
o
m
e
n
o
s,
m
e
n
s
u
al
.
Finalme
nte, es
importan
te tener
en
cuenta
estas
sugerenc
ias
referente
s al
comport
amiento
a tener
en
cuenta
frente a
diferente
s
situacion
es:
Cuando
se va a
revisar o
desinfect
ar una
computa
dora, es
convenie
nte
apagarla
por ms
de 5
segundos
y
arrancar
desde un
disco
con
sistema,
libre de
virus y
protegid
o contra
escritura,
para
eliminar
virus
residente
s en
memoria
. No se
deber
ejecutar
ningn
program
a del
disco
rgido,
sino que
el
antivirus
deber
estar en
el
disquete.
De esta
manera,
existe la
posibilid
ad de
detectar
virus
stealth.
Cuando
un sector
de
arranque
(boot
sector) o
de
arranque
maestro
(MBR)
ha sido
infectado
, es
preferibl
e
restaurar
el sector
desde
algn
respaldo,
puesto
que en
ocasione
s, los
sectores
de
arranque
genrico
s
utilizado
s por los
antivirus
no son
perfecta
mente
compatib
les con
el
sistema
operativ
o
instalado
.
Adems,
los virus
no
siempre
dejan un
respaldo
del
sector
original
donde el
antivirus
espera
encontra
rlo.
Antes de
restaurar
los
respaldo
s es
importan
te no
olvidar
apagar la
computa
dora por
ms de
cinco
segundos
y
arrancar
desde el
disco
libre de
virus.
Cuando
se
encuentr
an
archivos
infectado
s, es
preferibl
e
borrarlos
y
restaurar
los desde
respaldo
s, an
cuando
el
program
a
antivirus
que
usemos
pueda
desinfect
ar los
archivos.
Esto es
porque
no existe
segurida
d sobre
si el
virus
detectad
o es el
mismo
para el
cual
fueron
diseada
s las
rutinas
de
desinfec
cin del
antivirus,
o es una
mutacin
del
original.
Cuando
se va a
formatea
r un
disco
rgido
para
eliminar
algn
virus,
debe
recordars
e apagar
la
mquina
por ms
de cinco
segundos
y
posterior
mente
arrancar
el
sistema
desde
nuestro
disquete
limpio,
donde
tambin
debe
encontra
rse el
program
a que se
utilizar
para dar
formato
al disco.
Cuando,
por
alguna
causa, no
se puede
erradicar
un virus,
deber
buscarse
la
asesora
de un
experto
directam
ente
pues, si
se
pidiera
ayuda a
cualquier
aficionad
o, se
correr
el riesgo
de perder
definitiv
amente
datos si
el
procedi
miento
sugerido
no es
correcto.
Cuando
se ha
detectad
oy
erradicad
o un
virus es
convenie
nte
reportar
la
infeccin
a algn
experto,
grupo de
investiga
dores de
virus,
soporte
tcnico
de
program
as
antivirus,
etc. Esto
que en
principio
parecera
innecesa
rio,
ayuda a
mantener
estadstic
as,
rastrear
focos de
infeccin
e
identific
ar
nuevos
virus, lo
cual en
definitiv
a,
termina
beneficia
ndo al
usuario
mismo.
Ranking
de los
ms
difundid
os
1)
VBS/Lo
veLetter:
Este
virus se
distribuy
ea
travs
del email, en
un
archivo
llamado
LOVE-
LETTER
-FORYOU.TX
T.vbs. El
LoveLett
er worm
se
activa so
bresescri
biendo
archivos
de
imgene
sy
msica
en drives
locales y
de red,
especfic
amente
archivos
con
extensi
n JPG,
JPEG,
MP3 y
MP2
2)
Win32/S
KA: Este
virus
generalm
ente es
enviado
con el
nombre
Happy9
9.exe.
Este
troyano
se
encarga
de enviar
una
copia de
si mismo
a todas
las
personas
a las
cuales se
les enva
un Email.
3)
W97/Me
lissa: El
virus se
propaga
tomando
las
primeras
50
direccion
es del
Outlook
Global
Address
Book del
usuario
4)
Win32/P
retty
Park:
Este
program
a cuando
corre se
copia a
si mismo
al FILES
32.VXD,
Y usa al
VXD va
el
entorno
para
ejecutar
algunos
archivos
ejecutabl
es. Esto
hace que
el virus
se reenva a
si mismo
a toda
la libreta
de
direccion
es
5)
W97M/E
than.A:
es un
virus de
macro de
Word97,
El virus
se
propaga
a
si mismo
por la
Normal.
dot. Hay
3 de 10
chances
que el
virus
modifiqu
e las
propieda
des del
documen
to in
fectado
de
archivos
infectado
s.
HACK
ERS!!
ntivirus
Un antivirus es un programa que detecta y elimina virus, gusanos, troyanos
y otro software malicioso. Es imprescindible que un producto debe ser parte
de la configuracin bsica de cada equipo.
botnet
Una botnet es una red informtica compuesta exclusivamente de los
ordenadores infectados. Detrs de estos es un centro de control de la
computadora que utilizan las computadoras infectadas para atacar a otros
equipos o para enviar spam. A menudo los usuarios de PCs infectados no se
dan cuenta de esta actividad maliciosa, un hecho que fcilmente puede
conducir a que se conviertan en cmplices involuntarios por los
delincuentes cibernticos.
delito ciberntico
Delito Ciberntico (delitos informticos) incluye todos aquellos delitos en los
que los equipos juegan un papel clave. Cibercrimen incluye delitos como el
acceso a los datos personales (tales como contraseas), as como los datos
de tarjetas de crdito y el fraude de banca en lnea.
Drive-By
El drive-by download no tiene conocimiento de la actividad de descarga de
software (por lo general maliciosos) en un equipo. Los equipos de los
usuarios pueden estar infectados con malware con slo visitar un sitio web
que parece fiable.
Exploit
Una explotacin puede ser un programa, una pieza de cdigo o incluso un
conjunto de datos escritos por un hacker o un virus que est diseado para
explotar un bug o una vulnerabilidad en una aplicacin o sistema operativo.
Cifrado
Esta es una forma muy efectiva de proteger sus datos. El uso de un
algoritmo de cifrado que transforma un texto en un cdigo legible. Slo
aquellos que conocen el algoritmo correcto es capaz de descifrar la
informacin secreta y que sea legible. La encriptacin es especialmente
importante para las computadoras porttiles, para proteger esa informacin
comercial confidencial de miradas indiscretas.
GhostNet espionaje electrnico

GhostNet virus es un espa. Parece que se origin en China y ha sido
detectada por investigadores en 2009. Ms de 1000 equipos en las
embajadas, bancos y ministerios en todo el mundo se dice que han sido
infectadas por este virus.
heurstica reconocer cdigos maliciosos (virus, gusanos, troyanos, etc.
Esta es la tcnica utilizada por los antivirus para detectar virus
desconocidos en una computadora.
Keylogger
Un keylogger puede ser utilizado por los ciberdelincuentes para obtener
datos confidenciales (datos de acceso, contraseas, nmeros de tarjetas de
crdito, PINs, etc), interceptando la entrada de teclado de la PC. Troyanos de
puerta trasera suelen estar equipados con un registrador de teclado ..
malware
Este trmino proviene de la unin de las palabras "maliciosas" y "software"
se utiliza para describir todos los programas de ordenador diseado
deliberadamente para causar dao.
hijackers
Los programas "hijackers" son piezas de software que, aunque en realidad
no causa dao, tcnicamente no entran en la descripcin de malware. Estos
programas, sin embargo, a menudo son molestos, ya que pueden, por
ejemplo, cambia la pgina de inicio del navegador o cambiar la
configuracin de bsqueda en Internet.
phishing"
El phishing es un mtodo de fraude generalizado en Internet. El objetivo de
un ataque de phishing es robar contraseas de los usuarios. con el fin de
robar informacin de acceso a cuentas online. El mtodo clsico de
"phishing" involucra el envo de mensajes de correo electrnico falso
diseado para asemejarse lo ms posible a los informes de los bancos o
empresas conocidas. Estos mensajes suelen contener enlaces a sitios web
falsos que contienen malware o estn diseados para robar informacin de

acceso .
Control Parental
El control parental es un componente de seguridad en muchos programas
de seguridad informtica que los padres pueden utilizar para proteger a sus
hijos de los peligros de Internet. incluyen caractersticas de seguridad para
los nios. Adems de utilizar estas funciones para limitar la cantidad de
tiempo que sus hijos pasan en Internet, los padres tambin pueden definir
los sitios web y los programas pueden ser vistos por comprobar todas sus
comunicaciones.
spam
Spam es el trmino utilizado para describir los mensajes no deseados de
correo electrnico. En la actualidad, alrededor del 90 por ciento de todos los
mensajes de correo electrnico a esta categora, muchos de los cuales son
anuncios. El spam tambin se utiliza en los ataques de phishing, y distribuir
el cdigo maligno.
problema no es slo el trfico de correo electrnico, as como mensajera y
aplicaciones para telfonos mviles que pueden ser utilizados para enviar
spam.
troyano
Este es el nombre dado al malware que se disfraza como una aplicacin til,
pero en realidad lleva a cabo funciones dainas en el fondo sin el
conocimiento del usuario. Los troyanos no se propagan a otros ordenadores,
pero por el contrario se puede instalar la "puerta trasera en el PC
vulnerabilidades
Una vulnerabilidad es un error (agujero de seguridad) en un sistema
operativo o las aplicaciones que permite a un hacker o un programador del
virus para obtener acceso no autorizado y el control de la computadora de
un usuario. Para explotar esta vulnerabilidad, un atacante normalmente
escribe un cdigo especfico.
Gusano informticos
Un gusano es un tipo de malware que no slo causa dao, pero tambin es
capaz de propagarse. Su propagacin es a travs de ya sea una red o
memorias USB, como los gusanos son extremadamente flexibles. El gusano

puede, por ejemplo, para explotar agujeros de seguridad en Windows, con el
fin de acceder a la computadora, robo de contraseas y se extendieron a
travs de las direcciones de correo electrnico almacenadas en la libreta de
direcciones del ordenador.
Cules son mas dainos: Los virus (informticos) actuales, o los

antiguos?
Desde que se inici internet, se iniciaron tambin los virus que atacaban las
mquinas sin piedad alguna.
Hoy en da, no slo son las PC, sino los celulares y casi cualquier dispositivo,
son un blanco factible para ellos. Y es que as como la tecnologa y el
mismo internet han evolucionado, tambin los virus.
Es por eso que desde 1989 se reconoce la "potencia criminal" de los virus,
recalca neoteo.com. Por ejemplo el virus Jerusalem, que buscaba atentar
contra el rendimiento del ordenador, es considerado el primer virus
malicioso.
Adems de ese, existieron otros como el Stoned, que solicitaba la
legalizacin de la marihuana, siendo parte de los virus que eran una
especie de broma o prueba de concepto.
Otros que aparecieron fueron Dactacrime y FuManchu, este ltimo una
modificacin del Jerusalem. As tambin surgieron las familias de
virus Vacsina y Yankee, explica el portal viruslist.com
El Vacsina era de extremo peligro, pues iniciaba un formateo del cilindro del
disco duro, que permita la destruccin de tablas FAT y la perdida de datos;
lo que caus una histeria total en el mundo entero. Colombus Day, era el
nombre por el que era conocido en Estados Unidos.
Ms tarde apareci el virus gusano conocido como Wank, que cambiaba
los mensajes del sistema por: "Worms against DecNet Killers" y "Tu sistema
ha sido oficialmente Wanked". As como las contraseas al azar.
Disquetes infectados con un troyano tambin dieron la vuelta al mundo;
eran 20 mil discos que llegaron a varias partes del mundo. Luego de 90
descargas, codificaba los nombres de los archivos y los mantena invisibles
y slo uno accesible, que recomendaba dar dinero a una cuenta especfica.
Fue as como a finales de la dcada de los ochenta, las epidemias de virus

invadieron al mundo, lo que llev a que se iniciaran proyectos para
combatirlos y se diera pauta al negocio de los antivirus, con los que las
personas sienten ms seguridad en sus computadoras y cualquier
dispositivo que est expuesto.
Sin embargo, hoy en da, los virus siguen siendo parte de la configuracin
bsica de cualquier ordenador o dispositivo. Esto porque, a pesar de que
pasan los aos, no se ha podido erradicar el riesgo de infeccin en las PC.
Hoy en da, virus como los que menciona el sitio onlinegratis.tv, son los que
siguen preocupando a los usuarios de la red; tales como el Botnet, el cual
es una red informtica de ordenadores infectados, que busca atacar a otros
equipos enviando spam. La mayora de los usuarios que lo tienen, no se dan
cuenta y lo envan sin saberlo. Seguro te ha tocado verlo cuando alguien,
por ejemplo, por el chat te manda una "conversacin" con un link. Eso
es Botnet.
El Drive-By Download es un tipo de virus que una persona acepta al visitar
una pgina, por ejemplo, que parece de confianza, y acepta descargar algo
sin saber las consecuencias, que es infectarse de malware.
Los Exploit, son aquellas secuencias de comando, pieza de software que
buscan causar un error en cualquier aplicacin, con el nico fin de causar un
comportamiento no deseado en los programas de tu computadora o un
ataque de denegacin de servicio.
El GhostNet es el llamado espionaje electrnico. Se ha detectado en China y

ha sido capaz de infiltrarse en miles de computadoras de bancos,
embajadas y ministerios de todo el mundo. Es decir, se desarrolla en China,
pero tiene informacin del mundo entero.
El Keylogger es un tipo de virus que se utiliza para obtener datos
importantes y confidenciales como contraseas, nmero de tarjetas y pins;
lo hace por medio del registro de pulsaciones que se hacen en el teclado,
que despus enva por internet, lo que permite que otras personas tengan
acceso a tus datos privados.
Lo mismo que pasa con el phishing, que por lo general manda correos con
identidades falsas que te presentan un link de un sitio web falso tambin,
diseados para robar tu informacin.
Otra cosa con la que nos podemos encontrar es con los
programas hijackers, que bsicamente secuestran tu navegador de internet,
cambiando las configuraciones de bsqueda.
Estos son virus que podemos encontrar dentro de las PC, pero tambin
existen para las Macintosh, a diferencia de la creencia popular de que estas
mquinas no tienen virus, s existen. En los ochenta, el antivirus Virex se
cre para detectar y eliminar al Scores, un virus para Mac.
Actualmente, un troyano que se ha difundido por redes sociales y correo

electrnico, afecta el sistema operativo de Mac OS X, public suite101.net.
Es conocido como osx.boonana.a, que luego de instalarse, puede extraer
informacin de tu computadora, extrayendo archivos y enviando
informacin.
Generalmente aparece con la leyenda "Is this you in this video?", a la que si
le das clic, ests asegurando que entre el malware, con el que se
enva spam mediante correo, se modifican ficheros que utilizan password y
bsicamente tendrs a otra persona en tu equipo que tendr acceso a
informacin privada como tarjetas de crdito, contraseas, etctera.
As que lo mejor que puedes hacer es instalar un antivirus, pero debes
tomar en cuenta otras recomendaciones que desde los ochenta son
factibles; tales como: realizar respaldos peridicamente, sospechar de todo
aquello que no conozcas, conocer lo que instalas en tu equipo y estar al
pendiente de correos electrnicos y mensajes en redes sociales. Eres t
contra el virus.
Qu es el phishing y cmo protegerse.
Seguro que estos ltimos meses lleva escuchando en los medios de comunicacin
varias veces la palabra Phishing y adems relacionndolo la mayora de la veces
con la banca por Internet. Debido a la confusin que existe en algunos internautas
noveles y a algn medio de comunicacin, que puede llevar a confusin al
internauta por el tratamiento de las noticias de forma alarmista, donde incluso se
puede deducir que la banca online no es segura, dejando en entredicho la
seguridad de las entidades bancarias. Por todo esto, la Asociacin de Internautas
quiere explicar que es el Phishing y cmo protegerse del mismo.
28-05-2005 - Qu es el Phishing?
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un
usuario sus datos, claves, cuentas bancarias, nmeros de tarjeta de crdito, identidades,
etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
En que consiste?
Se puede resumir de forma fcil, engaando al posible estafado, "suplantando la imagen
de una empresa o entidad publica", de esta manera hacen "creer" a la posible vctima
que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo
es.
Cmo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su telfono
mvil, una llamada telefnica, una web que simula una entidad, una ventana emergente,
y la ms usada y conocida por los internautas, la recepcin de un correo electrnico.
Pueden existir mas formatos pero en estos momentos solo mencionamos los ms
comunes;
- SMS (mensaje corto); La recepcin de un mensaje donde le solicitan sus datos
personales.
- Llamada telefnica; Pueden recibir una llamada telefnica en la que el emisor suplanta
a una entidad privada o pblica para que usted le facilite datos privados. Un ejemplo
claro es el producido estos das con la Agencia Tributaria, sta advirti de que algunas
personas estn llamando en su nombre a los contribuyentes para pedirles datos, como su
cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Pgina web o ventana emergente; es muy clsica y bastante usada. En ella se simula
suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser
las oficiales. El objeto principal es que el usuario facilite sus datos privados. La ms
empleada es la "imitacin" de pginas web de bancos, siendo el parecido casi idntico
pero no oficial. Tampoco olvidamos sitios web falsos con seuelos llamativos, en los
cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un
ejemplo fue el descubierto por la Asociacin de Internautas y denunciado a las fuerzas
del Estado: Web-Trampa de recargas de mviles creada para robar datos bancarios.
http://seguridad.internautas.org/html/1/425.html
Ejemplo de web falsa que simula una entidad bancaria;

http://seguridad.internautas.org/html/1/447.html
- Correo electrnico, el ms usado y ms conocido por los internautas. El procedimiento

es la recepcin de un correo electrnico donde SIMULAN a la entidad o organismo que
quieren suplantar para obtener datos del usuario novel. Los datos son solicitados
supuestamente por motivos de seguridad, mantenimiento de la entidad, mejorar su
servicio, encuestas, confirmacin de su identidad o cualquier excusa, para que usted
facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos
originales, imgenes oficiales, etc., todo para que visualmente sea idntica al sitio web
original. Tambin aprovechan vulnerabilidades de navegadores y gestores de correos,
todo con el nico objetivo de que el usuario introduzca su informacin personal y sin
saberlo lo enva directamente al estafador, para que luego pueda utilizarlos de forma
fraudulenta: robo de su dinero, realizar compras, etc.
Cmo protegerme?
La forma ms segura para estar tranquilo y no ser estafado, es que NUNCA responda a
NINGUNA solicitud de informacin personal a travs de correo electrnico, llamada
telefnica o mensaje corto (SMS).
Las entidades u organismos NUNCA le solicitan contraseas, nmeros de tarjeta de
crdito o cualquier informacin personal por correo electrnico, por telfono o SMS.
Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o
prdida y ellos se lo facilitarn. Ellos NUNCA se lo van a solicitar porque ya los tienen,
es de sentido comn.
Para visitar sitios Web, teclee la direccin URL en la barra de direcciones. NUNCA
POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias
contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la
banca por internet.
Como lo denuncio?
Cuando usted sea vctima de este tipo de intento de estafa informe a las autoridades
competentes, la Asociacin de Internautas cre hace varios meses un conducto a travs
del cual los internautas pueden denunciar los correos que simulan ser entidades
bancarias, web falsas o cualquier tipo de estafa por medio del uso de phishing en
internet.
Para ello solo tiene que mandar un correo a phishing@internautas.org adjuntando el
mail recibido o la web que intenta el robo de datos. Nosotros lo denunciamos a la
empresa u organismo afectado y avisamos a las fuerzas del Estado.
El propsito de la Asociacin de Internautas es evitar y ERRADICAR DE UNA VEZ
los posibles intentos de estafas realizado mediante el uso de phishing.
Realizado por;
Jos Mara Luque Guerrero
Comisin de seguridad en la red.
http://seguridad.internautas.org/ www.seguridadenlared.org Asociacin de Internautas.
www.internautas.org
Volver<<< VolverImprimir
Impresora |
PDF
Compartir este articulo:

Enviar artculo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente
son utilizadas para el envio del correo al destinatario
Tu email:
Tu email
Email de tu amigo:
Email de tu

Virus Que Convierte Carpetas en Accesos Directos

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Virus Que Convierte Carpetas en Accesos Directos

Încărcat de

Drepturi de autor:

Formate disponibile

virus que convierte carpetas en accesos

Attrib: Para visualizar o modificar atributos

/s: Para poder procesar subcarpetas

-r: Quitar atributos de solo lectura

-h: Quitar atributos de oculto

-s: Quitar atributos de sistema

*.*: Para archivos de cualquier nombre, con cualquier extension

Descarga : Unlocker 1.8.9

OjO les va a salir una carpeta llamada Recycler hay q borrarla

copia esto en un blog de notas ( Windows + R y escribes notepad ) entonces

DLL en la carpeta c:windowssystem y remplazan -sin avisar- la versin ms

Cuando Windows le muestre un mensaje de error que dice que le falta un

minimiza los problemas causados por instalacin y/o actualizacin de

existentes. Supongamos que c:WilkinsonpcWilkinsonpc.exe es una

regsvr32 /u [nombre.dll] [nombre.ocx]

Ni se les ocurra usar el comando FORMAT en su maquina por que se le vas a

comandos en OS/2 y sistemas basados en Windows NT (incluyendo Windows

PRINT :Imprime un archivo de texto.

Hola hoy les traigo, como crear una carpeta invisible.

Eliminar virus desde CMD [100 % efectivo pasa y pruebalo tu

Ahoraque ya saben el nombre del archivo infectado pues lo borran no les va

Suite de Seguridadwww.hardkeymio.com - Proteccin de

El comando DELETE ( puede teclear indistintamente DEL o ERASE), borra

Mira Lo Que Me Aparece A Mi...

Saludos y FELIZ AO NUEVO !!!!

Como saber si tengo uno de esos virus

The HBO fan

Mejor respuesta - elegida por quien pregunt

conecta al P2P, al contrario, descarga la msica desde servidores alternos y

Calificacin de la persona que pregunta:

Otras respuestas (3)

MALWAREBYTES ANTI-MALWARE ( http://malwarebytes-antimalware.softoni )

Alerta de virus acerca del gusano

Se han desactivado las directivas de bloqueo de cuenta.

Los controladores de dominio responden con lentitud a las solicitudes

La red est saturada.

No se puede obtener acceso a diversos sitios Web relacionados con la

No se ejecutarn algunas herramientas relacionadas con la seguridad.

pgina web de Microsoft y, a continuacin, haga clic en la ficha

La explotacin de la vulnerabilidad revisada por la actualizacin de

El uso de la funcin Reproduccin automtica

Utilice contraseas seguras del administrador que sean nicas para

Asegrese de que se ha aplicado a todos los sistemas las ltimas

Deshabilite las funciones de Reproduccin automtica. Para obtener

Quite derechos excesivos a recursos compartidos. Esto incluye quitar

Volver al principio | Propocionar comentarios

Importante Asegrese de que documenta la configuracin actual

Es posible que no pueda instalar correctamente aplicaciones, Service

Para obtener informacin sobre los permisos predeterminados para la

Crear un objeto de directivas de grupo

b. Cree un nuevo GPO. Asgnele el nombre que desee.

En el cuadro de dilogo Agregar objeto, haga clic en

Haga clic en Aceptar.

Haga clic en Aceptar.

g. En el cuadro de dilogo Agregar objeto, haga clic en

Para deshabilitar la funcionalidad en cuestin en Windows Vista

Para deshabilitarla en Windows XP, Windows Server 2003 o

Para deshabilitar las funciones de Reproduccin automtica

Para un dominio de Windows 2008, desplcese a la

b. Abra la directiva Desactivar reproduccin automtica.

Cierre la Consola de administracin de directivas de grupo.

Para obtener informacin detallada sobre implementaciones especficas

Estos pasos manuales ya no se requieren y slo deberan utilizarse si

.: Para archivos de cualquier nombre, con cualquier extension