virus informatico

la siguiente informacion es tomada de la pagina

http://bvs.sld.cu/revistas/aci/vol11_5_03/aci04503.htm recuerden derechos de autor

Elementos terico-prcticos tiles para conocer los virus informticos

Lic. Ramn Orlando Bello Hernndez1 y Ms C. Ileana R. Alfonso Snchez2

Resumen

El vertiginoso avance de las comunicaciones, la conexin entre las computadoras, las

posibilidades de transmisin de datos entre ellas, as como del uso de la llamada autopista
mundial de informacin, Internet, ha causado no pocos problemas, tanto a usuarios aislados
como a pequeas y grandes redes. Ellas reciben constantes ataques de los llamados cracker.
Estos producen grandes prdidas en materia de informacin, recursos, tiempo y dinero; se
violan los sistemas de seguridad de los proveedores de servicios y la red se llena de cdigos
malignos; virus o malware (malicious software). Sin embargo, muchos cibernautas carecen de
los conocimientos mnimos necesarios para comprender los virus y, peor an, para reducir sus
efectos negativos. Se trata un conjunto de aspectos importantes sobre los virus informticos:
historia, conceptos, tipos, entre otros. Se demuestra la relevancia del uso de las listas de
distribucin, as como las experiencias obtenidas en la educacin de los usuarios de Infomed
con la lista Virus-l, para elevar la educacin de los usuarios en los temas relacionados con la
seguridad de la informacin que circula por la red.

Clasificacin: Artculo docente

Descriptores (DeCS): SEGURIDAD COMPUTACIONAL; MEDIDAS DE SEGURIDAD; CAPACITACION

DE USUARIO DE COMPUTADOR

Descriptores (DeCI): VIRUS INFORMATICO/historia; VIRUS INFORMATICO/clasificacion;

SEGURIDAD COMPUTACIONAL; PROGRAMAS ANTIVIRUS; EDUCACION USUARIOS

Abstract
The giddy advance of the communications, the connection among the computers, the data
broadcast possibilities among them, as well as, the use of the so called world freeway of
information, Internet, has caused not few problems to remote users and small and large
networks. They receive constant attacks of the called cracker. They produce large losses of
information, resources, time and money; the systems of security of the service suppliers are
violated and the network become infected with harmful codes; virus or malware (malicious
software). Nevertheless, many websurfers lack the necessary most minimum knowledge to
understand the virus and, worse still, to reduce its negative effects. An important assembly of
aspects on the data processing virus: history, concepts and types, are provided. The
importance of the use of the lists of distribution is shown, as well as the experiences obtained
in the education of the users of Infomed with the list Virus l, to elevate the users education in
the themes related to information security.

Classification: Learning article

Subject headings (DeCS): COMPUTER SECURITY; SECURITY MEASURES; COMPUTER USER

TRAINING

Subject headings (DeCI): COMPUTER VIRUS/history; COMPUTER VIRUS/ clasification;

COMPUTER SECURITY; ANTIVIRUS PROGRAMS; USER EDUCATION

El escenario mundial actual en el campo de las redes se caracteriza por un crecimiento

acelerado del nmero de organizaciones y empresas que se enlazan con Internet.Este
crecimiento es actualmente superior al 10 % cada mes.1 En la medida en que se suman nuevas
redes crece el volumen de informacin disponible. El nmero de computadoras que pueden
conectarse al mismo tiempo es del orden de los millones. Es fcil entonces suponer que
existan, entre millones de usuarios de la red, individuos con perversas intenciones, dispuestos
a penetrar la seguridad de las empresas u organizaciones o a lanzar ataques contra miles de
cibernautas mediante programas con cdigos malignos.

Los virus informticos son uno de los principales riesgos para los sistemas informticos
actuales, su ritmo de crecimiento es de diez nuevos virus por da y no existe ningn programa
detector de virus que sea perfecto, capaz de proteger totalmente a un sistema. No existe un
algoritmo universal que permita arreglrnoslas de una vez por todas y para siempre con estos
bichitos.1

El propsito del presente trabajo es tratar ciertos aspectos importantes relacionados con el
surgimiento y desarrollo de los virus informticos; as como valorar la funcin que realizan las
listas de distribucin y los sitios web que alertan, aconsejan y educan a los usuarios en materia
de proteccin contra los virus informticos.
Los virus informticos

Los virus informticos nacieron al mismo tiempo que las computadoras. En fecha tan lejana
como 1949, el famoso cientfico matemtico John Louis Von Neumann (1903-1957), escribi
un artculo, donde presentaba la posibilidad de desarrollar pequeos programas que pudiesen
tomar el control de otros con una estructura similar.2 En 1944, Von Neumann ayud a John
Mauchly y J. Presper Eckert, en la fabricacin de la ENIAC, una de las computadoras de primera
generacin. En 1950, construyeron la famosa UNIVAC.3

En su libro "Virus Informticos: teora y experimentos", el doctor Fred Cohen, quien es

reconocido como el primero en definir los virus informticos, seal: "Se denomina virus
informtico a todo programa capaz de infectar a otros programas, a partir de su modificacin
para introducirse en ellos". A su vez, plante la imposibilidad de desarrollar un programa que
fuera capaz de detectar y eliminar todos los virus informticos.4

En 1984, en su tesis para optar por el ttulo de Doctor en Ingeniera Elctrica, presentada en la
Universidad del Sur de California, Cohen demostr cmo se poda crear un virus, motivo por el
que es considerado como el primer autor de un virus "autodeclarado".5 En el mismo ao,
edit el libro titulado "Un pequeo curso sobre virus de computadoras". Posteriormente,
escribi y public "The Gospel according to Fred" (El evangelio de acuerdo a Fred).5

Los virus son capaces de hacer dao y reproducirse, esto precisamente los ha convertido en
una verdadera pesadilla para las redes y sus usuarios. Pero, no es hasta mucho despus de
escrito el libro de Cohen, que adquieren esa propiedad y, a consecuencia de ello, se les
comienza a llamar virus. Sus posibilidades de autorreproduccin y mutacin, que los asemejan
con los virus biolgicos, todo lo cual parece ser el origen de su nombre. Se le adjudica a Len
Adleman, el haberlos llamado virus por primera vez.1

Antes de la explosin de la microcomputacin se hablaba muy poco sobre ellos. La

computacin estaba slo al alcance de investigadores y cientficos que trabajaban, tanto en
universidades como en instituciones privadas y estatales, que manejaban fuertes sumas de
dinero y podan pagar los altos costos de sus programas. A su vez, las entidades
gubernamentales, cientficas o militares, que experimentaron ataques de virus, se quedaron
muy calladas, para no demostrar la debilidad de sus sistemas de seguridad, que costaban
millones de dlares a sus contribuyentes. Las empresas privadas, como los bancos y las
grandes corporaciones, tampoco podan decir nada, para no perder la confianza de sus clientes
o accionistas. Por tanto, puede decirse que entre 1949 y 1987 el conocimiento sobre los virus
informticos estuvo bastante limitado.

El primer antecedente reconocido de los virus actuales es un juego creado por programadores
de la empresa AT&T, Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, como parte
de sus investigaciones y su entretenimiento. El juego, llamado "Core Wars",6 tena la
capacidad de reproducirse cada vez que se ejecutaba. Este programa dispona de instrucciones
destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. Al mismo
tiempo, desarrollaron un programa llamado "Reeper", que destrua las copias hechas por Core
Wars6 un antivirus o vacuna, como hoy se le conoce. Conscientes de lo peligroso del juego,
decidieron mantenerlo en secreto, y no hablar ms del tema. No se sabe si esta decisin fue
por iniciativa propia o por rdenes superiores.7

En el ao 1983, el Dr. Keneth Thomson8, uno de los creadores del famoso sistema operativo
UNIX y los programadores de AT&T, que trabajaron en la creacin de Core Wars,6 rompieron
el silencio acordado, informaron la existencia del programa y ofrecieron detalles sobre su
estructura. A comienzos de 1984, la revista Scientific American, publica la informacin
completa sobre esos programas, con guas para la creacin de virus. Es el punto de partida de
la vida pblica de estos programas, y naturalmente de su difusin sin control, en las
computadoras personales.

Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostracin en la Universidad de
California, donde present un virus informtico residente en una PC. Al Dr. Cohen se le conoce
hoy, como "el padre de los virus". Paralelamente, aparecieron virus en muchas PCs, se trataba
de un virus, con un nombre similar a Core Wars,6 escrito en Small-C por Kevin Bjorke, que
luego lo cedi al dominio pblico. La cosa comenzaba a ponerse caliente!7

Con posterioridad, los virus se multiplicaron con gran rapidez. Cada da creci el nmero de
virus existentes y hoy son tantos que es imposible registrarlos todos. Aunque cientos de ellos
son prcticamente desconocidos, otros gozan de gran popularidad, debido a su extensin y
daos causados. Algunos de los virus ms conocidos son:8,9,10

Viernes 13

Es el virus ms conocido dentro y fuera del mundo de la informtica, debido a su gran difusin
y al protagonismo que adquiere en los medios informativos cada vez que se acerca un viernes
con la fecha trece. Su gran expansin se debe a que respeta las funciones habituales de los
programas que lo albergan. La primera versin fue descubierta en diciembre de 1987 en las
computadoras de la Universidad Hebrea de Jerusaln.

El descubrimiento se debi a lo que se supone un fallo en el diseo del programa. El virus no

detectaba los programas .EXE contaminados y, por tanto, volva a infectarlos. Cada vez, su
tamao creca unos 2 Kb, hasta que estos alcanzaban un tamao imposible de manejar por el
sistema operativo DOS. El resto de los programas ejecutables slo se infectaban una vez. Si un
programa contaminado se ejecutaba, el virus pasaba a la memoria de trabajo de la
computadora y, a partir de ese momento, se contaminaba cualquier programa que se
ejecutase.

El virus, totalmente desconocido, se extendi por Israel rpidamente, debido principalmente a

que este pas dispone de extensas y potentes redes de computadoras. Las computadoras
personales mostraban claros sntomas de un mal funcionamiento, manifestaban lentitud y
largo tiempo de respuesta. Debido a su tamao, algunos programas no podan ejecutarse por
falta de espacio suficiente en la memoria de trabajo. Estos sntomas llevaron a los expertos,
pertenecientes a la Universidad Hebrea, a investigar el fenmeno, hasta que a finales de
diciembre de 1987, dieron con el virus. Pudieron as, desactivar la pequea bomba de relojera
cuya detonacin estaba preparada para el 13 de mayo de 1988. Su objetivo era borrar
programas militares y cientficos, as como innumerables programas pertenecientes a los
usuarios de computadoras personales. La vacuna preparada por los expertos de la Universidad
Hebrea redujo considerablemente sus efectos.

Existen dos teoras sobre el origen y el objetivo principal del virus. Ambas hacen referencia a su
fecha de activacin. La primera de ellas, y ms convincente, se deduce de las instrucciones
relativas a la obtencin de la fecha de la computadora para su comparacin con la fecha de
activacin. El programa ignora todos los posibles viernes con fecha trece que pudieran existir
en 1987, ao en que se dedicara nicamente a la multiplicacin y propagacin. Esta teora,
atribuida a un origen poltico, juega con la posibilidad de que el virus fuese un nuevo tipo de
arma lgica creada contra el pueblo judo, posiblemente por seguidores palestinos. El l primer
viernes trece del ao 1988 fue en el mes de mayo y coincidi con el cuadragsimo aniversario
del final de la guerra de Yom Kippur. Las consecuencias de dicha guerra fueron la desaparicin
de Palestina y la constitucin del estado de Israel el 14 de mayo. Por tanto, el 13 de mayo de
1988 se celebraba el cuadragsimo aniversario del ltimo da de la existencia de Palestina.

La segunda de las teoras, menos difundida, asegura que las especulaciones de la anterior son
pura coincidencia. Basa la existencia del Viernes13, tanto en Israel como en Estados Unidos, en
que ellos son pases con extensas redes de telecomunicaciones, y no a consecuencia de un
objetivo poltico. Se ampara en que esta fecha es smbolo de la mala suerte para la cultura
anglosajona, como lo es en Espaa, el martes13.
La razn de que el virus no se activase durante el ao 1987 se debe a la necesidad de una
etapa de incubacin. Si el virus hubiera actuado en el mismo momento en que infect un
programa, su efecto sera mnimo. Adems, al detectarse con rapidez, pudiera haberse
descubierto a su creador. Por eso, su programador extendi el perodo de incubacin a un ao
en espera de que su alcance fuera el mayor posible.

Brain

Brain es uno de los virus ms extendidos entre los usuarios del sistema operativo DOS. Sus
creadores, los hermanos Basit y Alvi Amjad, de Pakistn, elaboraron una primera versin del
virus que se instalaba en el sector de arranque de los disquetes. Algunos de sus sectores
aparecan marcados como si estuviesen en mal estado. Aparentemente no produca daos.
Cambiaba la etiqueta de volumen de los disquetes de 5,25 pulgadas, que contenan el sistema
operativo, por la de "(c) Brain". No infectaba el disco duro y slo atacaba los disquetes con el
sistema operativo mencionado y una versin inferior a la 2.0. Destrua pequeas cantidades de
datos, slo si los discos estaban casi o totalmente llenos. Pero, como ocurre con la mayora de
los virus, comenz a volverse molesto. Posteriormente, surgieron versiones mejoradas que
inutilizaban los datos almacenados e infectaban el disco duro, as como las nuevas versiones
del sistema operativo.

Aunque se establece su creacin en 1986, se hizo pblico el 16 de mayo de 1988 en Estados

Unidos, cuando un periodista del Journal-Bulletin de Providence, Rhode Island, no poda
recuperar un fichero almacenado en el disquete en el que haba guardado el trabajo de varios
meses. Llev entonces el disquete deteriorado a la casa que lo fabricaba, donde un analista
detect que el bloque de inicializacin del disco contena un programa vrico.

El virus, actualmente activo, se caracteriza por la aparicin de un mensaje en el primer sector

del disquete contaminado. El mensaje, que vara segn la versin del virus, es similar al
siguiente: "Welcome to the Dungeon ... (c) 1986 Brain & Amjads (pvt) Ltd ... VIRUS_SHOE
RECORD V9.0 ... Dedicated to the dynamic memories of millions of virus who are no longer
with us today - Thanks GOODNESS !! ... BEWARE OF THE er ... VIRUS...".

Su traduccin podra ser: "Bienvenido a la mazmorra ... [Marca del copyright de los hermanos
Amjad], [posible fecha de creacin del virus] 1986 [versin del programa] ... Dedicado a las
memorias dinmicas de los millones de virus que ya no estn con nosotros [se supone que por
haberse detectados y desactivados] - !GRACIAS A DIOS! ... CUIDADO CON EL ... VIRUS ...".
En algunas versiones, el mensaje menciona un nmero de telfono de una compaa de
computadoras pakistan. El ingeniero de la Providence Journal Corporation se puso en contacto
con dicho telfono, que corresponda a la empresa de los hermanos Amjad, quienes tras
excusarse de los daos ocasionados, afirmaron que el virus se escribi originalmente para que
les ayudara a seguir el rastro de las copias "pirateadas" del software cuyo copyright disponan
desde 1986. Tambin aseguraron que no comprendan cmo el virus se haba extendido de esa
forma, se haba alejado de las copias de sus programas, ni cmo haba llegado hasta Europa y
Estados Unidos, porque slo deba afectar a aquellos usuarios que utilizasen alguno de sus
programas de forma pirata.

El gusano de la NASA

El gusano de la NASA y el Pentgono es el caso ms espectacular de contaminacin informtica

producido por un gusano. Su entorno fue la red ARPANET (Advanced Research Projects
Administration Network), con miles de terminales en varios continentes y en lugares tan
estratgicos como el Pentgono o la NASA.

El 2 de noviembre de 1988, Robert Tappan Morris, hijo de uno de los precursores de los virus y
recin graduado en Computer Science en la Universidad de Cornell, difundi un virus a travs
de ArpaNet, precursora de Internet. La propagacin se realiz desde una de las teminales del
Instituto Tecnolgico de Massachussets.

Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse,
estado de Nueva York, a 4 aos de prisin y el pago de 10 000 dlares de multa, pena que fue
conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario.

Los hechos pudieron ocurrir de la siguiente manera: tras meses de estudio y preparacin, en la
primera semana de noviembre de 1988, Robert T. Morris decidi hacer la prueba final. Con la
intencin de ocultar un programa en la red a la que perteneca su universidad, puso manos a la
obra la noche de un mircoles. Cuando termin de cenar y volvi a sentarse frente a su
terminal con la intencin de averiguar lo que ocurra con su programa, descubri que la prueba
se haba desbordado: el programa activaba el correo electrnico, se copiaba en la memoria de
las computadoras y se "autoenviaba" a todas las terminales que aparecan en su lista de
correo. Esta operacin, al repetirse en cada computadora, haca que se volviera a enviar y
copiar, incluso en aquellas computadoras por los que haba pasado. En pocas horas, el
programa viaj, ida y vuelta, por las mismas computadoras miles de veces y se copiaba una vez
ms en cada computadora. Esto supuso una saturacin de las lneas de comunicacin y de las
memorias de las computadoras conectadas a la red, que quedaron bloqueadas.

Ms de 6 000 computadoras quedaron infectadas. Entre ellas, las del Pentgono, la NASA, el
Mando Areo Estratgico (SAC), la Agencia Nacional de Seguridad (NSA), el Ministerio de
Defensa, los Laboratorios Lawrence Livermore de Berkeley (California), donde se desarrollaban
varios componentes de la Iniciativa de Defensa estratgica, tambin llamada "guerra de las
galaxias", y en las universidades de Princenton, Yale, Columbia, Harvard, Illinois, Purdue,
Wisconsin y el Instituto de Tecnologa de Massachussets. Incluso se infectaron computadoras
de la Repblica Federal de Alemania y de Australia.

La legislacin que existe para sancionar estos delitos es inmadura. Pero no por ello Robert T.
Morris, qued exento de culpa y se le tom como "cabeza de turco" para impedir que se
realizaran posteriores prcticas similares. Fue acusado de violar el cdigo de Integridad
Acadmica de la Universidad de Cornell, y es juzgado por ello en la actualidad.

Clasificacin

La clasificacin de los virus es muy variada. Pueden agruparse por la entidad que parasitan -
sector de arranque o archivos ejecutables-, por su grado de dispersin a escala mundial, por su
comportamiento, por su agresividad, por sus tcnicas de ataque o por la forma en que se
ocultan. En 1984, el Dr. Fred Cohen clasific a los nacientes virus de computadoras en tres
categoras:3,11

Caballos de Troya (Troyan horses)

Los caballos de Troya son impostores, es decir, archivos que parecen benignos pero que, de
hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que
no se replican. Los caballos de Troya contienen cdigos dainos que, cuando se activan,
provocan prdidas o incluso robo de datos. Para que un caballo de Troya se extienda es
necesario dejarlo entrar en el sistema, por ejemplo, al abrir un archivo adjunto de correo.

Gusanos (worms)

Los gusanos son programas que se replican de sistema a sistema, sin utilizar un archivo para
hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo
infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a
menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y
los virus utilizan el archivo que los alberga. Normalmente el gusano generar un documento
que contendr la macro del gusano dentro. Todo el documento viajar de un equipo a otro, de
forma que el documento completo debe considerarse como gusano.

Virus

Un virus informtico es un pequeo programa creado para alterar la forma en que funciona un
equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos
caractersticas:

Debe ser capaz de autoejecutarse. A menudo coloca su propio cdigo en la ruta de ejecucin
de otro programa.

Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con
una copia del archivo infectado.

Los virus pueden infectar tanto equipos de escritorio como servidores de red.

A partir de 1988, los virus empezaron a infectar y daar archivos con diferentes extensiones:
DLL, DBF, BIN, VBS, VBE, HTM, HTML, etctera. Hoy, los virus no infectan reas del sistema o
tipos de archivos en forma especfica y limitada. Sucede de acuerdo con cmo lo deseen sus
creadores, dejando a un lado las clasificaciones tradicionales. Los virus requieren ejecutarse
para lograr sus objetivos y por esa razn buscan adherirse a los archivos .COM, .EXE, .SYS, .DLL
y .VBS, entre otros o a las reas vitales del sistema: sector de arranque, memoria, tabla de
particiones o al MBR. Una vez activados atacarn a otros archivos ejecutables o reas,
haciendo copias de s mismos, sobrescribindolos o alterando archivos de cualquier otra
extensin, no ejecutables. Los ficheros con extensiones diferentes a .COM, .EXE, .SYS, .DLL,
.VBS y otras, slo servirn de receptores pasivos, no activos,y pueden quedar alterados o
inutilizados, pero jams contagiarn a otros archivos.3

Existen cinco tipos de virus conocidos:11

Virus que infectan archivos: atacan a los archivos de programa. Normalmente infectan el
cdigo ejecutable, contenido en archivos .COM y .EXE, por ejemplo. Tambin pueden infectar
otros archivos cuando se ejecuta un programa infectado desde un disquete, una unidad de
disco duro o una red. Muchos de estos virus estn residentes en memoria. Una vez que la
memoria se infecta, cualquier archivo ejecutable que no est infectado pasar a estarlo.

Virus del sector de arranque: infectan el rea de sistema de un disco, es decir, el registro de
arranque de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los
que slo contienen datos) tienen un pequeo programa en el registro de arranque que se
ejecuta cuando se inicia el equipo. Los virus del sector de arranque se copian en esta parte del
disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos
virus estn residentes en memoria por naturaleza. La mayora se crearon para DOS, pero todos
los equipos, independientemente del sistema operativo, son objetivos potenciales para este
tipo de virus. Para que se produzca la infeccin basta con intentar iniciar el equipo con un
disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los
disquetes que no estn protegidos contra escritura quedarn infectados al acceder a ellos.

Virus del sector de arranque maestro: residen en memoria e infectan los discos de la misma
forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar
en que se encuentra el cdigo vrico. Los virus del sector de arranque maestro normalmente
guardan una copia legtima de dicho sector de arranque en otra ubicacin.

Virus mltiples: infectan tanto los registros de arranque como los archivos de programa. Son
especialmente difciles de eliminar. Si se limpia el rea de arranque, pero no los archivos, el
rea de arranque volver a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del
rea de arranque, los archivos que se limpiaron volvern a infectarse.

Virus de macro: atacan los archivos de datos.

Con la aparicin de los virus Macro, a mediados de 1995, y en 1998 con los virus de Java, Visual
Basic Scripts, Controles ActiveX y HTML, se hizo necesario, adems, una clasificacin por sus
tcnicas de programacin.12

Una de las ltimas tcnicas empleadas es la llamada Ingeniera social. En ella no se emplea
ningn software o elemento de hardware, slo grandes dosis de ingenio, sutileza y persuasin
para lograr que otra persona revele informacin importante con la que, adems, el atacante
puede daar su computadora.

En la prctica, los creadores de virus utilizan esta tcnica para que sus ingenios se propaguen
rpidamente. Para ello, atraen la atencin del usuario inexperto y consiguen que realice alguna
accin, como la de abrir un fichero, que es el que ejecuta la infeccin, mediante la alusin a un
fichero o pgina con explcitas referencias erticas, personajes famosos, relaciones amorosas,
alternativas para encontrar parejas, juegos, entre otros.

Algunos virus que utilizan la tcnica de ingeniera social son:

W32/Hybris: reclama la curiosidad de los usuarios mediante un mensaje sugerente sobre una
posible versin ertica del cuento de Blancanieves y los siete enanitos.

W32/Naked: atrae la atencin del usuario al intentar mostrarle un archivo cuyo nombre
(NakedWife.exe) sugiere la imagen de una mujer desnuda.
"AnnaKournikova" alias VBS/SST.A o "I-Worm/Lee.O"-: trata de engaar al usuario hacindole
creer que le ha recibido un fichero con la fotografa de la tenista Anna Kournikova.

Trojan.Butano: aprovecha la imagen del conocido locutor de radio Jos Mara Garca, para
esconder un programa que elimina todos los archivos existentes en el directorio raz del disco
duro.

VBS/Monopoly: se autoenva por correo electrnico en un mensaje que tiene como asunto
"Bill Gates joke" ("Broma sobre Bill Gates"), y como cuerpo "Bill Gates is guilty of monopoly.
Here is the proof.:" (Bill Gates es culpable de monopolio).

I-Worm/Pikachu: se enva por correo electrnico en un mensaje cuyo asunto es "Pikachu

Pokemon", en clara referencia al popular personaje infantil de videojuegos y series de
animacin.

W32/Matcher: utiliza como reclamo -en el cuerpo del mensaje en el que se enva- un texto que
ofrece una alternativa para encontrar pareja.

VBS/LoveLetter -alias "Iloveyou"-: se enva por correo electrnico en un mensaje cuyo asunto
es "ILOVEYOU" y el fichero que incluye se denomina "LOVE-LETTER-FOR-YOU.TXT.VBS". Dicho
fichero utiliza doble extensin para engaar a los usuarios de Windows, porque este sistema
no emplea las extensiones de los archivos.

Los virus pueden causar diferentes daos y molestias, como son:

En software

Modificar programas y datos (virus Black Box: agrega un nmero de bytes a los programas
infectados.)

Eliminar programas y datos (Melissa: Macrovirus de Word). Se enva a s mismo por correo.
Daa todos los archivos

DOC; virus JERUSALEM: borra, los viernes 13, todos los programas que el usuario trate de
utilizar despus de haberse infectado la memoria residente.

Agotar el espacio libre del disco rgido.

Demorar el trabajo del sistema.

Sustraer informacin confidencial (Mighty: gusano para Linux:, Troj/Backdoor.Netdex.A:

trojano, W32/Daboom): gusano de Internet, caballo de Troya tipo RAT.

Producir mensajes o efectos extraos en pantalla (WinWord.Concept): Macrovirus que infecta

la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y el WORD funciona
incorrectamente.
Emitir msica o ruidos (virus FORM): el da 18 de cada mes cualquier tecla que se presione
hace sonar el beep.

En hardware

Borrar el BIOS (Chernobyl (W95.CIH): Intenta reescribir el BIOS de la PC lo que obliga a cambiar
la motherboard.

Formatear el disco rgido (FormatC): Troyano que infecta el Word, al abrir un archivo infectado
formatea el disco rgido.

Borrar la FAT (tabla de particin de archivos), Chernobyl (W95.CIH): Borra el primer Mb del
diso duro, donde se encuentra la FAT. Obliga a formatear el disco duro. Adems intenta
reescribir el BIOS de la PC lo que obliga a cambiar la motherboard. Se activa el 26 de abril.
Michelangelo: Virus del sector de arranque. Se activa el 6 de marzo.

Sobreescribe la FAT, deja el disco inutilizable.

Alterar el MBR (Master Boot Record), Troj/Killboot.B. Trojano que borra el MBR llenndolo de
ceros.

Cuando alguno de estos daos ocurre en una computadora aislada, las prdidas pueden ser
insignificantes, pero cuando se trata de una gran empresa, universidad, banco, institucin
militar, centro de salud, aeropuerto, proveedor de servicios de Internet u otro, los daos
pueden ser incalculables e irreparables.

Ahora bien, es oportuno sealar que los virus son controlables y que, si se cumplen una serie
de normas, que no varan mucho, establecidas por las entidades que se dedican a la proteccin
de las redes y sus usuarios, puede lograrse una proteccin aceptable. Baste con recordar que
ningn virus es capaz de hacer dao alguno, si antes no se ejecuta.

Situacin actual

La cantidad de virus que circulan actualmente en la red no puede precisarse con exactitud.
Algunos autores calculan el total de virus existentes en ms de 300 000.13 La mayora de los
virus que forman parte de la historia de la computacin se crearon para DOS; un sistema
obsoleto en nuestros das.

A pesar de la creacin constante de nuevos virus, son pocos los que llegan a ser realmente
efectivos y logran contaminar un nmero considerable de usuarios de la red. Los expertos en
virus informticos, respaldan los informes sobre la existencia de no ms de 300 virus
esparcidos y en libertad.15 Al repetirse en forma cclica su proceso de extincin, la cantidad de
virus mencionados nunca es mayor y se mantiene aproximadamente igual.

A pesar de los estragos causados por el reciente torrente de ataques de virus, como el mortal
"Love Bug", o el famoso "CIH" son muchos los usuarios, individuales e institucionales, que no
actualizan regularmente sus programas antivirus.

Se plantea que casi una cuarta parte de los usuarios norteamericanos no actualizan sus
programas, al menos, una vez al mes. Un examen, realizado a cerca de medio milln de
usuarios de PCs en los Estados Unidos, revel que la mayora de estos (un 65 %) fueron
infectados con, al menos un virus, en los ltimos doce meses. De estos, un 57 % perdi un
buen nmero de datos. Un 18 % afirm que haba perdido "moderadas" o "grandes"
cantidades de datos y un 14 % sostuvo que haba sufrido ms de cinco ataques de virus al ao.
Segn Steve Sundermeier, cuando "el pblico que no adquiere la ltima proteccin contra
virus, abre un enorme agujero de seguridad. Los usuarios necesitan actualizar sus programas
diariamente para salvaguardarse de los virus que los atacan diariamente".13 Cada da se crean
30 nuevos virus como promedio, desde inofensivos hasta muy peligrosos.14

Los softwares antivirus, lderes en el combate de virus, pueden descontaminar distintas cifras
de cdigos malignos. Por ejemplo, Norton Antivirus, 63 076, McAfee, 64 686, AVP, 64 156,
SAV, 513 y F-Prot, 73 350.16-19

Uno de estos productos, el SAV, comercializado por la firma Segurmtica, y que descontamina
los virus identificados en la isla, es el resultado de las necesidades nacionales, surgidas como
resultado del amplio programa de informatizacin desplegado por Cuba durante los ltimos
aos.

Sin embargo, como los planes de informatizacin del pas, son cada vez ms abarcadores, el
nfasis fundamental debe situarse no slo en la creacin y la adquisicin de los recursos
tcnicos y humanos, sino en el desarrollo de una cultura informtica que permita a los usuarios
prepararse para enfrentar los peligros de la red, en especial, para minimizar los efectos
dainos de los virus informticos que provocan prdidas considerables de tiempo, esfuerzo y
recursos de gran valor.

Las listas de discusin o distribucin de informacin

El conocimiento adquirido por los usuarios de la red para enfrentar los virus es el resultado, en
gran medida, de la creacin de boletines y listas que los alertan sobre la aparicin de nuevos
virus y la forma de eliminarlos, adems de las medidas aprendidas para el uso correcto del
correo y la navegacin en el web.

Las listas son muchas y tienen un lugar muy importante en la educacin de los usuarios. Entre
las listas dedicadas a la difusin oportuna de informacin sobre los virus informticos, se
encuentran:

VSAntivirus: El boletn diario de VSANTIVIRUS - http://www.vsantivirus.com (Uruguay).

Virus Attack: Un excelente sitio para obtener informacin en la lucha contra los virus.
http://www.virusattack.com.ar (Argentina).

AlertaVirus: Un servicio gratuito de AlertaVirus.com. http://www.alertavirus.com (Chile).

Per Systems: Boletn sobre alerta de virus. http://www.perantivirus.com/ (Per).

Alerta - Antivirus: Centro de Alerta Temprana sobre Virus y Seguridad Informtica

http://www.alerta-antivirus.es/ (Espaa).

VirusProt: Boletn sobre seguridad informtica. http://www.virusprot.com/ (Espaa).

Infovirus: Boletn que informa sobre lo ltimo en virus informticos.

http://www.espanadir.com/drwebsp/index.shtml (Espaa).

Virus-l: Boletn sobre virus informticos. http://www.sld.cu/mailman/listinfo/virus-l (Cuba).

Dichas listas alertan a sus usuarios mediante boletines diarios, semanales o mensuales y su
objetivo principal es mantener informados a lectores sobre los nuevos virus, as como sobre la
forma de eliminarlos, adems de ofrecer consejos, publicar estadsticas, realizar encuestas
comparativas sobre programas antivirus, etctera.

Virus-l, por ejemplo, es la lista sobre virus de la Red Telemtica de Salud en Cuba (Infomed).
Cuenta con 1 199 miembros.20 Su objetivo esencial es la educacin de sus miembros en
materia de proteccin de los sistemas. Comprende desde el mdico o tcnico de la salud que
se conecta desde su casa va telefnica hasta los centros e instituciones, como los hospitales,
facultades, policlnicos, y otros, que requieren de una seguridad mayor, debido a su
importancia.

Infomed brinda servicios a una gran cantidad de profesionales del sector de la salud, crece
muy rpidamente y tiene ms de 9000 usuarios directos. Los planes del gobierno en el sector
de la salud se proponen conectar todos sus centros e instituciones en el pas.
Fidel Castro Ruz, Primer Secretario del Comit Central del Partido Comunista de Cuba y
Presidente de los Consejos de Estado y de Ministros, en el acto de inauguracin de obras del
extraordinario programa de salud ya en marcha, que se realiza en Cuba, efectuado en el Teatro
Astral, el 7 de abril del 2003, expres:

"Algo de gran trascendencia ser la creacin, ya iniciada, de Infomed, un servicio Intranet que
comunicar a todos los centros de salud, hospitales, policlnicos, hogares de ancianos,
farmacias, etctera, a travs de una densa red de computadoras que posibilitar la
comunicacin, consultas e intercambio cientfico entre todos los mdicos, enfermeros y
tcnicos, y el acceso a todas las bases de datos e informacin mdica con el empleo de miles
de equipos de computacin".21

De aqu, la importancia de una seguridad informtica amplia y poderosa. Dentro de ella, la

lucha contra los virus es un aspecto muy relevante. Es entonces necesario, desarrollar una
cultura informtica que permita estar preparados contra cualquier ataque proveniente de un
programa o cdigo maligno.

Virus-l dispone de un boletn semanal que divulga informacin sobre los virus ms peligrosos,
selecciona y promueve la consulta de artculos sobre el tema ubicados en distintos sitios, se
alerta sobre fallos en sistemas o agujeros de seguridad y las formas de eliminarlos. Por
supuesto, como en todas las listas de este tema no falta en cada boletn, una serie de consejos
tiles para evitar la posibilidad de contaminarse por un virus informtico.

La lista cuenta adems, con un espacio en el servicio de FTP de la red donde se apoya su
trabajo con material educativo sobre el tema, herramientas para eliminar ciertos virus y la
posibilidad de descargar programas instaladores de antivirus y sus actualizaciones. Todo ello
ha posibilitado elevar el nivel de proteccin de una gran parte de los usuarios de la red.

Por encuestas realizadas mediante la propia lista se han podido conocer cules antivirus
utilizan los usuarios de Infomed, con qu frecuencia los actualizan, cmo actan ante una
infeccin y otros aspectos que han permitido trazar estrategias de trabajo para mejorar su
proteccin.

Ante la pregunta, cmo usted. acta ante un mensaje con un fichero adjunto?, el 45 % de los
103 suscriptores encuestados el da 10 de junio del 2002, respondieron "Abro slo ficheros
adjuntos enviados por personas conocidas" y el 33 %, "No abro ningn adjunto sin revisarlo
antes con un antivirus". Por su parte, a la pregunta, qu hace si descubre que su PC est
infectada?, el 48 % de los 139 usuarios consultados el da 28 de agosto del 2002, seleccionaron
"Utilizo un antivirus y sigo las instrucciones de mi lista". Entre los 104 suscriptores consultados
el da 22 de noviembre del 2002, el 54 % respectivamente dijeron utilizar como antivirus el
AVP y el NAV. Este mismo da, cuando se pregunt, cada cunto tiempo actualiza su
antivirus?, del total de encuestados, el 65 % respondi "Una vez por semana" y el 23 % "Dos o
tres veces por mes"

Para apoyar su tarea educativa de la lista, se imparte mensualmente una clase donde se
orienta a los alumnos-usuarios sobre cmo evitar o eliminar las infecciones por virus. En ellas,
se ofrecen tambin una serie de consejos prcticos relacionados con el tema.

Consideraciones finales

Como se ha tratado de evidenciar a lo largo de este trabajo, los virus informticos no son un
simple riesgo de seguridad. Son muchos los programadores en el mundo que se dedican a la
creacin de cdigos malignos por distintos motivos, que causan prdidas anuales millonarias
en gastos de seguridad a las empresas. El verdadero peligro de los virus es su forma
indiscriminada de ataque contra cualquier sistema informtico, algo realmente lamentable.

Es muy difcil prever la propagacin de los virus y cules mquinas infectarn. De ah, la
importancia de comprender cmo funcionan regularmente y tomar las medidas pertinentes
para evitarlos.

La educacin de los usuarios de la red es la mejor forma de controlar una infeccin. Es

importante saber qu hacer en el momento justo para frenar un avance que podra extenderse
y hacer colapsar una red. La consulta de las ltimas noticias sobre el tema es una forma
importante de mantenerse actualizado sobre su evolucin y riesgos inmediatos.

Referencias bibliogrficas

Moreno Prez A. La historia interminable- La gnesis y el devenir de los virus. [sitio en

Internet]. Disponible en: http://www.zonavirus.com/Detalle_Articulo.asp?Articulo=20.
Consultado: 18 de febrero de 2003.
Von Neumann JL. Tutorial sobre virus informticos. - nivel bsico - [sitio en Internet].
Disponible en: http://sapiens.ya.com/herminiapaissan/virus/historia.htm. Consultado: 16 de
febrero de 2003.

Machado J. Breve historia de los virus informticos. [sitio en Internet]. Disponible en:
http://www.perantivirus.com/sosvirus/general/histovir.htm . Consultado: 4 de Marzo de 2003.

Cohen F. "Virus Informticos: teora y experimentos" [sitio en Internet]. Disponible en:

http://www.monografias.com/. Consultado: 16 de febrero de 2003.

Machado J. Fred Cohen el primer autor de virus. [sitio en Internet]. Disponible en:
http://www.perantivirus.com/sosvirus/hackers/cohen.htm . Consultado: 4 de marzo de 2003.

Red Telemtica de Salud en Cuba (Infomed). Versin adaptada a PC del juego COREWAR,
precursor de los virus [sitio en Internet]. Disponible en:
ftp://ftp.sld.cu/pub/antivirus/miscelaneas/corewar.zip . Consultado: 4 de Marzo de 2003.

Vanden Bosch L, Waisman N, Rojas F. "Virus informticos". [sitio en Internet]. Disponible en:
http://www.monografias.com/trabajos5/virusinf/virusinf.shtml#historia . Consultado: 6 de
marzo de 2003.

Jones Encyclopedia - Media & Information Technology. [sitio en Internet]. Disponible en:
http://www.digitalcentury.com/encyclo/thompson.html. Consultado: 12 de marzo de 2003.

Judgment in U.S. vs. Robert Tappan Morris. [sitio en Internet]. Disponible en:
http://www.rbs2.com/morris.htm . Consultado: 10 de marzo de 2003.

Bihar.net. [sitio en Internet]. Disponible en: http://www.biar.net/HistoriaInf/anecdotas.html .

Consultado: 18 de febrero de 2003.

Symantec. Diferencias entre virus, gusanos y caballos de Troya. Disponible en:

http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/la_docid/pf/20010921095248905

Consultado: 10 de abril del 2003

Machado J. Cmo se clasifican los virus?. [sitio en Internet]. Disponible en:

http://www.perantivirus.com/sosvirus/pregunta/clasific.htm . Consultado: 17 de febrero de

2003.

Machado J. Cuntos virus existen?.[sitio en Internet]. Disponible en:

http://www.perantivirus.com/sosvirus/pregunta/cuantos.htm . Consultado: 9 de Marzo de

2003

Zona Virus. Muchos usuarios ignoran el riesgo de los virus. [sitio en Internet]. Disponible
en:http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=6 . Consultado: 6 de Marzo
de 2003.
Synmatec Segurity Responce. Virus definition added. [sitio en Internet]. Disponible
en:http://securityresponse.symantec.com/avcenter/defs.added.html . Consultado: 14 de
febrero de 2003.

Networks Associates Technology. Top Selling Services. [sitio en Internet]. Disponible

en:http://www.mcafee.com . Consultado: 25 de febrero de 2003.

Kaspersky Lab. Anti-Virus Updates. [sitio en Internet]. Disponible en:

http://www.kaspersky.com/updates.html . Consultado: 25 de febrero de 2003.

Segurmtica. Consultora y Seguridad Informtica. [sitio en Internet]. Disponible en:

http://www.segurmatica.co.cu . Consultado: 18 de febrero de 2003.

FRISK Software Internacional. F-Prot Antivirus latest version and latest virus signature files.
[sitio en Internet]. Disponible en: http://www.f-prot.com/currentversions.html. Consultado: 14
de febrero de 2003.

Virus-l mailing list administration General Options Section. [sitio en Internet].

Disponible en: http://www.sld.cu/mailman/admin/virus-l . Consultado: 13 de marzo

de 2003.

Castro Ruz F. La idea esencial es acercar los servicios bsicos a los ciudadanos. Discurso
pronunciado el da 7 de abril en el Teatro Astral. Disponible en:
http://www.granma.cubaweb.cu/2003/04/08/nacional/articulo01.html Consultado: 8 de abril
del 2003.

Recibido: 9 de junio del 2003. Aprobado: 16 de julio del 2002.

Lic. Ramn Orlando Bello Hernndez. Departamento Atencin a Usuarios. Red Telemtica de
Salud en Cuba (Infomed).

Calle 27 No.110 e/ M y N. El Vedado. Plaza de la Revolucin. Ciudad de La Habana, Cuba. CP 10

400. AP 6520.

Correo electrnico: bello@infomed.sld.cu

Anlisis comparativo de los principales sistemas antivirus

Lic. Luis Armas Montesino1

Resumen
Con el objetivo de comprender los virus informticos, as como de analizar y comparar los
principales sistemas antivirus existentes, se procedi a revisar algunas de las comparativas
principales publicadas en sitios y fuentes de reconocido prestigio en este tema. Se trat un
grupo de elementos tericos sobre los virus y los sistemas antivirus: definiciones,
clasificaciones, caractersticas, estructura, etctera. Se analiz y compar un conjunto de
sistemas antivirus, ubicados entre los ms poderosos y populares en la literatura consultada:
Norton Antivirus, McAfee VirusScan, Sophos, Norman Virus Control 5.0, Panda Platinum 6.22,
F-Secure, PC-Cillin 7.5 y AVP. Para el trabajo en redes, se recomienda el uso de F-Secure, PC-
Cillin, y el Norman Antivirus. Para usuarios independientes, Norton Antivirus, McAfee
VirusScan, AVP y Panda. Ningn sistema antivirus ofrece una proteccin completa, pero el uso
correcto de estas herramientas produce una sensible reduccin de los daos y prdidas
provocadas por este flagelo en la red.

Clasificacin: Artculo docente

Descriptores (DeCS): SEGURIDAD COMPUTACIONAL

Descriptores (DeCI): VIRUS INFORMATICO/evolucin; CRIMEN INFORMATICO; PROGRAMAS

ANTIVIRUS/ventajas; SEGURIDAD COMPUTACIONAL

Abstract

Aimed at understanding informatic viruses, and analyzing and comparing the main antivirus
systems avalilable a review of some comparative analysis published in sites and services of
recognized prestige in this subject was carried out. A group of theorical elements on virus and
antivirus systems: definitions, classification, features, structure was studied. A set of antivirus
systems was analyzed and compared located among the most powerful and used in the
reviewed literature: Norton Antivirus, McAfee VirusScan, Sophos, Norman Virus Control 5.0,
Panda Platinum 6.22, F-Secure, PC-Cillin 7.5 and AVP. We recommend the use of F-Secure, PC-
Cillin and Norman Antivirus to work in networks. For independent users, Norton Antivirus,
McAfee VirusScan, AVP and Panda are the best choice. Although any antivirus system offers a
complete protection we recommend the correct use of these tools to achieve a sensible
reduction of the damages and losses caused by this flagellum in the network.

Classification: Learning article

Subject headings (DeCS): COMPUTER SECURITY

Subject headings (DeCI): COMPUTER VIRUS/evolution; COMPUTER CRIME; ANTIVIRUS
PROGRAMS/advantages; COMPUTER SECURITY

En los aos 50, los especialistas del rea de la computacin discutieron, por primera vez, la
posibilidad de generar un programa capaz de duplicarse y extenderse entre las computadoras.
Pero, no fue hasta 1983, que se cre un software de virus real, cuando un estudiante en la
Universidad de California, Fred Cohen, elabor una tesis de doctorado sobre el tema.

Hace algunos aos cuando se hablaba de las infecciones por virus, algunas empresas
argumentaban que ellas no presentaban ese problema; consideraban que al extraer las torres
de discos de las estaciones de trabajo de sus usuarios, evitaran que ellos invadieran su red de
computadoras. Hoy, todos saben muy bien que el problema de los virus no se resuelve tan
simplemente, porque dichos usuarios disponen, adems, de acceso a Internet y a correo
electrnico. Un usuario puede recibir un correo infectado con un virus desde cualquier parte
del mundo, y en pocos minutos, su red estar totalmente infectada.1

Normalmente las empresas piden a los administradores de redes que comparen los antivirus
existentes para determinar cules son capaces de reconocer y eliminar la mayor cantidad de
virus posibles.2 Cada da crece el nmero de virus informticos que circulan por las redes,
fundamentalmente mediante el correo electrnico y desde Internet. Crece, por lo tanto, la
necesidad de proteger los recursos de software y en especial la informacin.

El objetivo del presente trabajo es revisar los sistemas antivirus ms empleados a escala
mundial con el objetivo de determinar cul o cules son los ms convenientes para la
proteccin de los recursos de informacin de una organizacin o empresa de acuerdo con las
caractersticas particulares de cada una de ellas.

MARCO TERICO

Qu es un virus?

Un virus es un pequeo programa capaz instalarse en la computadora de un usuario sin su

conocimiento o permiso. Se dice que es un programa parsito porque ataca a los archivos o
sectores de "booteo" y se replica para continuar su esparcimiento.3
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daos a
los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el
sistema. Ellos tienen diferentes finalidades. Algunos slo 'infectan', otros alteran datos, otros
los eliminan, algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el mismo:
propagarse.

Clasificacin general de los virus

Existen diferentes tipos de virus:1

Virus de macros/cdigo fuente. Se adjuntan a los programas fuente de los usuarios y a las
macros utilizadas por: procesadores de palabras (Word, Works, WordPerfect), hojas de clculo
(Excell, Quattro, Lotus), etctera.

Virus mutantes. Son los que, al infectar, realizan modificaciones a su cdigo, para evitar su de
deteccin o eliminacin (NATAS o SATN, Miguel Angel, por mencionar algunos).

Gusanos. Son programas que se reproducen y no requieren de un anfitrin, porque se

"arrastran" por todo el sistema sin necesidad de un programa que los transporte.

Los gusanos se cargan en la memoria y se ubican en una determinada direccin, luego se

copian a otro lugar y se borran del que ocupaban y as sucesivamente. Borran los programas o
la informacin que encuentran a su paso por la memoria, causan problemas de operacin o
prdida de datos.

Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente
diferente a la de su objetivo final; esto es, que se presentan como informacin perdida o
"basura", sin ningn sentido. Pero al cabo de algn tiempo, y de acuerdo con una indicacin
programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones.

Bombas de tiempo. Son los programas ocultos en la memoria del sistema, en los discos o en
los archivos de programas ejecutables con tipo COM o EXE, que esperan una fecha o una hora
determinada para "explotar". Algunos de estos virus no son destructivos y solo exhiben
mensajes en las pantallas al momento de la "explosin". Llegado el momento, se activan
cuando se ejecuta el programa que los contiene.

Autorreplicables. Son los virus que realizan las funciones mas parecidas a los virus biolgicos,
se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se
activan en una fecha u hora programada o cada determinado tiempo, a partir de su ltima
ejecucin, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el
virus llamado Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas
infectados), para evitar que lo detecten.
Infectores del rea de carga inicial. Infectan los disquetes o el disco duro, se alojan
inmediatamente en el rea de carga. Toman el control cuando se enciende la computadora y
lo conservan todo el tiempo.

Infectores del sistema. Se introducen en los programas del sistema, por ejemplo
COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del
sistema operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al
cargar el sistema operativo y es as como el virus adquiere el control para infectar todo disco
que se introduzca a la unidad con la finalidad de copiarlo o simplemente para revisar sus
carpetas.

Infectores de programas ejecutables. Estos son los virus ms peligrosos, porque se diseminan
fcilmente hacia cualquier programa como hojas de clculo, juegos, procesadores de palabras.

La infeccin se realiza al ejecutar el programa que contiene al virus, que, en ese momento, se
sita en la memoria de la computadora y, a partir de entonces, infectar todos los programas
cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos mediante su autocopia.

Aunque la mayora de estos virus ejecutables "marcan" con un byte especial los programas
infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos, como el
de Jerusaln, se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a
saturar su capacidad de almacenamiento.

Clasificacin por el modo en que actan

En la literatura revisada, se encontraron distintas clasificaciones segn el modo en que los

virus infectan:3

Programa: Infectan archivos ejecutables como .com / .exe / .ovl / .drv / .sys / .bin

Boot: Infectan los sectores Boot Record, Master Boot, FAT y la tabla de particin.

Mltiples: Infectan programas y sectores de "booteo".

Bios: Atacan al Bios para desde all reescribir los discos duros.

Hoax: Se distribuyen por correo y la nica forma de eliminarlos es el uso del sentido comn. Al
respecto, se trata de virus que no existen y que se utilizan para aterrar a los novatos
especialmente en Internet a pesar que los rumores lo muestran como algo muy serio y, a
veces, la prensa especializada toma la informacin. Por lo general, como se expres, la difusin
se hace por cadenas de correo con terribles e inopinadas advertencias. En realidad el nico
virus es el mensaje. A continuacin se relacionan una serie de supuestos "virus", por lo que es
aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos para continuar con la
cadena, porque se crearon precisamente para producir congestionamiento en Internet.

Los virus stealth (invisibles) engaan a los software antivirus. Esencialmente, un virus de este
tipo conserva informacin sobre los archivos que ha infectado y despus espera en memoria e
intercepta cualquier programa antivirus que busque archivos modificados y le ofrece la
informacin antigua en lugar de la nueva.

Los virus polimrficos se alteran slo cuando se duplican, de modo que el software antivirus
que busca comportamientos especficos no encontrar todas las apariciones de los virus; los
que sobreviven pueden seguir duplicndose.

La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar

de un virus informtico en una computadora. Este es el aspecto ms importante de un
antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, porque el
hecho de detectar la posible presencia de un virus informtico, detener el trabajo y tomar las
medidas necesarias, es suficiente para eliminar un buen porcentaje de los daos posibles.
Adicionalmente, un antivirus puede dar la opcin de erradicar un virus informtico de una
entidad infectada.3

Tcnicas para la deteccin de virus informticos

Existen diferentes tcnicas para la deteccin de los virus informticos.3

Scanning o rastreo: Fue la primera tcnica que se populariz para la deteccin de virus
informticos, y que todava se utiliza -aunque cada vez con menos eficiencia. Consiste en
revisar el cdigo de todos los archivos ubicados en la unidad de almacenamiento -
fundamentalmente los archivos ejecutables - en busca de pequeas porciones de cdigo que
puedan pertenecer a un virus informtico.

La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe
aislarse por el usuario y enviarse al fabricante de antivirus, la solucin siempre ser a
posteriori: es necesario que un virus informtico se disperse considerablemente para que se
enve a los fabricantes de antivirus. Estos lo analizarn, extraern el trozo de cdigo que lo
identifica y lo incluirn en la prxima versin de su programa antivirus. Este proceso puede
demorar meses a partir del momento en que el virus comienza a tener una gran dispersin,
lapso en el que puede causar graves daos sin que pueda identificarse.
Otro problema es que los sistemas antivirus deben actualizarse peridicamente debido a la
aparicin de nuevos virus. Sin embargo, esta tcnica permite identificar rpidamente la
presencia de los virus ms conocidos y, al ser estos los de mayor dispersin, posibilita un alto
ndice de soluciones.

Comprobacin de suma o CRC (Ciclyc Redundant Check): Es otro mtodo de deteccin de virus.
Mediante una operacin matemtica que abarca a cada byte del archivo, generan un nmero
(de 16 32 bytes) para cada archivo. Una vez obtenido este nmero, las posibilidades de que
una modificacin del archivo alcance el mismo nmero son muy pocas. Por eso, es un mtodo
tradicionalmente muy utilizado por los sistemas antivirus. En esta tcnica, se guarda, para cada
directorio, un archivo con los CRC de cada archivo y se comprueba peridicamente o al
ejecutar cada programa. Los programas de comprobacin de suma, sin embargo, slo pueden
detectar una infeccin despus de que se produzca. Adems, los virus ms modernos, para
ocultarse, buscan los ficheros que generan los programas antivirus con estos clculos de
tamao. Una vez encontrados, los borran o modifican su informacin.

Programas de vigilancia: Ellos detectan actividades que podran realizarse tpicamente por un
virus, como la sobreescritura de ficheros o el formateo del disco duro del sistema. En esta
tcnica, se establecen capas por las que debe pasar cualquier orden de ejecucin de un
programa. Dentro del caparazn de integridad, se efecta automticamente una
comprobacin de suma y, si se detectan programas infectados, no se permite que se ejecuten.

Bsqueda heurstica: Es otra tcnica antivirus que evita la bsqueda de cadenas. Con ella, se
desensambla el programa y se ejecuta paso a paso, a veces mediante la propia CPU. De ese
modo, el programa antivirus averigua qu hace exactamente el programa en estudio y realiza
las acciones oportunas. En general, es una buena tcnica si se implementa bien, aunque el
defecto ms importante es la generacin de falsas alarmas, que no se tiene la certeza de que
un programa sea un virus en funcin de su comportamiento. La mayora de los virus nuevos
evitan directamente la bsqueda heurstica modificando los algoritmos, hasta que el programa
antivirus no es capaz de identificarlos.

A pesar de utilizar estas cuatro tcnicas, ningn programa puede asegurar la deteccin del
ciento por ciento de los virus.

La calidad de un programa antivirus no slo se demuestra por el nmero de virus que es capaz
de detectar, sino tambin por el nmero de falsas alarmas que produce, es decir, cuando el
programa antivirus estima que ha localizado un virus y en realidad se trata de un fichero sano
(falso positivo). Puede ocurrir que un fichero presente una combinacin de bytes idntica a la
de un virus, y el programa antivirus indicara que ha detectado un virus y tratara de borrarlo o
de modificarlo.

Programas antivirus
Estructura de un programa antivirus

Un programa antivirus est compuesto por 2 mdulos principales: el primero denominado de

control y el segundo de respuesta. A su vez, cada uno de ellos se divide en varias partes:3

Mdulo de control: posee la tcnica para la verificacin de integridad que posibilita el hallazgo
de cambios en los archivos ejecutables y las zonas crticas de un disco rgido, as como la
identificacin de los virus. Comprende diversas tcnicas para la deteccin de virus informticos
y de cdigos dainos: En caso necesario, busca instrucciones peligrosas incluidas en programas
para garantizar la integridad de la informacin del disco rgido. Esto implica descompilar (o
desensamblar) en forma automtica los archivos almacenados y tratar de ubicar sentencias o
grupos de instrucciones peligrosas. Finalmente, el mdulo de control tambin efecta un
monitoreo de las rutinas mediante las que se accede al hardware de la computadora (acceso a
disco, etc.). Al restringir el uso de estos recursos, -por ejemplo, cuando se impide el acceso a la
escritura de zonas crticas del disco o se evita que se ejecuten funciones para su formateo-, se
limita la accin de un programa.

Mdulo de respuesta: la funcin alarma se encuentra incluida en todos los programas antivirus
y consiste en detener la accin del sistema ante la sospecha de la presencia de un virus
informtico. Se informa la situacin mediante un aviso en pantalla. Algunos programas
antivirus ofrecen, una vez detectado un virus informtico, la posibilidad de erradicarlo.

Caractersticas que debe poseer un sistema antivirus

La expresin "cul es el mejor antivirus", puede variar de un usuario a otro. Es evidente que
para un usuario inexperto el trmino define casi con seguridad al software que es ms fcil de
instalar y utilizar, algo totalmente intranscendente para usuarios expertos, administradores de
redes, etc.4

No se puede afirmar que exista un solo sistema antivirus que presente todas las caractersticas
necesarias para la proteccin total de las computadoras; algunos fallan en unos aspectos, otros
tienen determinados problemas o carecen de ciertas facilidades. De acuerdo con los diferentes
autores consultados, las caractersticas esenciales son las siguientes:5,6

Gran capacidad de deteccin y de reaccin ante un nuevo virus.

Actualizacin sistemtica.
Deteccin mnima de falsos positivos o falsos virus.

Respeto por el rendimiento o desempeo normal de los equipos.

Integracin perfecta con el programa de correo electrnico.

Alerta sobre una posible infeccin por las distintas vas de entrada (Internet, correo
electrnico, red o discos flexibles).

Gran capacidad de desinfeccin.

Presencia de distintos mtodos de deteccin y anlisis.

Chequeo del arranque y posibles cambios en el registro de las aplicaciones.

Creacin de discos de emergencia o de rescate.

Disposicin de un equipo de soporte tcnico capaz de responder en un tiempo mnimo

(ejemplo 48 horas) para orientar al usuario en caso de infeccin.

Existen sistemas antivirus que tienen adems, la caracterstica de trabajar directamente en

redes LAN y WAN, as como en servidores proxy.

Ante la masiva proliferacin, tanto de virus como de productos dirigidos a su tratamiento,

existe la necesidad de que algn organismo reconocido de carcter internacional certifique los
productos antivirus y asegure su correcto rendimiento. En un antivirus lo ms importante es la
deteccin del virus y, al estudio de tal fin se dedican asociaciones como la ICSA (International
Computer Security Association) - anteriormente la NCSA - y la Checkmark. Ambas siguen
procedimientos similares. En concreto, para que la ICSA certifique un producto antivirus, ha de
ser capaz de detectar el 100 % de los virus incluidos en la Wildlist (lista de virus considerados
en circulacin) y, al menos, un 90 % de la Zoolist -una coleccin de varios miles de virus no tan
difundidos. La certificacin de un producto se realiza cuatro veces al ao, sin el conocimiento
del fabricante y con una versin totalmente comercial, con lo que se asegura que la versin
que se certifica es la que recibe directamente el usuario y no una especialmente preparada
para la prueba.

MTODOS

Existen distintos estudios comparativos sobre el tema, realizados por organizaciones

competentes no vinculadas a ningn productor de antivirus.

Se revisaron fundamentalmente los siguientes estudios comparativos:

Hispasec, editado por la revista especializada PC Actual, de gran prestigio y seriedad.4

Vsantirus, de VideoSoft BBS.

Dos comparaciones publicadas por la revista especializada PC World, tambin de gran

renombre mundial.

Un artculo publicado sobre el tema y disponible en el sitio www.monografas.com, algo

antiguo, pero con datos muy interesantes sobre los diferentes sistemas antivirus.3

Adems, se consultaron las siguientes:5

Comparacin de HISPASEC SECUSYS, Tests des Anti-Virus

www.hispasec.com www.secusys.com/laboratoire.htm

Comparacin de VIRUSPROT Vsantivirus de VideoSoft BBS

www.virusprot.com
www.vsantivirus.com/comparativa.htm

En las comparaciones analizadas, pudo apreciarse resultados contradictorios con respecto a un

sistema antivirus especfico. Por ello, se revisaron cuidadosamente los resultados de cada uno
de los estudios con respecto a cada uno de los diferentes sistemas evaluados con el objetivo
de validarlos.

Los softwares antivirus analizados en este trabajo fueron certificados por la ICSA.

Los sitios de los antivirus estudiados se encuentran referidos al final del artculo (anexo).

Valoracin de los diferentes sistemas antivirus

NORTON ANTIVIRUS

Segn la comparacin publicada M Mansn,3 este antivirus posee una proteccin automtica
en segundo plano. Detiene prcticamente todos los virus conocidos y desconocidos, mediante
una tecnologa propia, denominada NOVI, que implica el control de las actividades tpicas de
un virus. Protege la integridad del sistema, acta antes de que causen algn dao o prdida de
informacin, con una amplia lnea de defensa, que combina bsqueda, deteccin de virus e
inoculacin. Utiliza diagnsticos propios para prevenir infecciones en sus propios archivos y de
archivos comprimidos. El rastreo puede realizarse manual o automticamente a partir de la
planificacin de la fecha y la hora. Tambin, posibilita reparar los archivos infectados por virus
desconocidos. Incluye informacin sobre muchos de los virus que detecta y permite establecer
una contrasea para aumentar as la seguridad.

La lista de virus conocidos puede actualizarse peridicamente (sin cargo) mediante servicios en
lnea como Internet, Amrica On Line, Compuserve, The Microsoft Network o el BBS propio de
Symantec, entre otros.

Segn la comparacin de Hispasec,7 entre las caractersticas destacables del Norton Antivirus
se encuentra la opcin LiveUpdate que automatiza la actualizacin del motor y de las nuevas
definiciones de virus de forma simultnea por Internet. Con la compra del producto, se obtiene
Soporte Gold durante un ao, que integra lnea gratuita de soporte help-desk y actualizaciones
de firmas.

El men principal se divide en estado del sistema, estado de correo electrnico, bsqueda de
virus, un apartado de informes y un mdulo de programacin para planificar tareas. Cabe
destacar la existencia de un mdulo para el anlisis de los correo que entran, as como las
opciones cuarentena y soporte de muestras sospechosas con el mismo programa.

En las pruebas, Norton se ha mostrado dbil en la deteccin de troyanos y backdoors,

indicador que aun se agrava ms en el apartado de muestras de la coleccin Internet. En el
resto de las pruebas, aparece en un nivel medio, que decae de nuevo en el apartado de
formatos de compresin o en la prueba de instalacin en un sistema con virus. Destaca de
forma especial en la prueba de deteccin en correo, donde es la mejor solucin de las
probadas. En un producto tan integrado en Internet, resulta atrayente la falta de una
proteccin especfica a nivel del navegador.

Los resultados de este anlisis con respecto al Norton Antivirus presentan algunas
contradicciones con los publicados en otro por la revista PC World (www.pcworld.com).8
Segn esta ltima, Norton es el que mejores resultados ha ofrecido en las pruebas. Tal vez,
demora algo ms en completar el proceso de anlisis, pero detect el 100 % de los virus
utilizados, con un porcentaje muy bajo de falsos positivos.
La interfaz de usuario es muy buena, muy sencilla y fcil de utilizar. Desde un nico programa
se controlan todas las funciones, sin escatimar informacin. Aunque se puede llamar
independientemente al mdulo de actualizacin de nuevas versiones, tambin puede hacerse
desde un icono en la pantalla principal.

Despus de un proceso de instalacin algo tedioso, y que realiza un primer anlisis exhaustivo
de todos los ficheros, el sistema queda configurado con todas las opciones de anlisis
activadas. Adems de mantener activado el anlisis heurstico, tambin queda activado el
escner manual sobre todo tipo de ficheros, y es precisamente esta la causa de la tardanza en
el anlisis inicial.

Segn este estudio, Norton Antivirus result el mejor en la comparacin.

El nmero de opciones que pueden configurarse es muy elevado, y el proceso es simple. El

centro de desinfeccin de Symantec, llamado SARC (Symantec AntiVirus Research Center),
recibe los ficheros infectados y, segn los distribuidores, es cuestin de horas, obtener una
respuesta con un fichero limpio y una nueva actualizacin.

Por otra parte, Norton Antivirus reconoce perfectamente las cuentas de correo que se utilizan
y permite protegerlas individualmente. Adems, pueden configurarse alertas para enviar un
mensaje a otras cuentas de correo o a otro usuario de la red.

Finalmente, la actualizacin de nuevas versiones es un claro ejemplo de simplicidad. No hace

falta conectarse a un sitio web y seleccionar cmo queremos actualizar el producto. Lo nico
que se debe hacer es clic sobre el icono de LiveUpdate y el programa se conecta a Internet y se
actualiza automticamente. Adems, la licencia no est limitada en tiempo. Symantec ofrece
actualizaciones de por vida (anexo).

McAFEE VIRUSSCAN

Segn M. Mansn,3 el antivirus de McAfee Associates es uno de los ms famosos. Trabaja por
el sistema de escaneo descrito anteriormente, y es el mejor en su estilo. Para escanear, hace
uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Cdigo) y CTS
(Code Trace Scanning, Escaneo de Seguimiento de Cdigo).
Una de las principales ventajas de este antivirus es que la actualizacin de las bases de datos
de strings es muy fcil de realizar. Ello, sumado a su condicin de programa shareware, lo
coloca al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuracin de
cmo detectar, reportar y eliminar virus.

En la comparacin de Hispasec,7 publicada por la revista PC Actual, en abril del 2001, McAfee
VirusScan es uno de los clsicos entre los productos antivirus y segn ella, suele ocupar
siempre los puestos punteros en sus estudios. La compaa Network Associates adquiri
McAfee y el doctor Solomons integr este producto con nuevas tecnologas para analizar los
protocolos de Internet, de forma que el mdulo VShield permite analizar el trfico con los
navegadores Netscape Navigator e Internet Explorer, as como con los clientes de Outlook
Express, Eudora, Netscape Mail, Microsoft Exchange, Outlook y Lotus cc:Mail. El producto
incluye 90 das de asistencia telefnica y actualizaciones gratuitas durante un ao.

VirusScan se presenta actualmente con una nueva interfaz algo ms futurista, con una imagen
que huye de las tpicas aplicaciones Windows, donde, sin embargo falta la extrema sencillez y
claridad de la anterior interfaz minimalista, basada en pestaas. En lo que a opciones se
refiere, adems del men de exploracin, se encuentra un planificador de tareas y una seccin
de cuarentena que permite aislar los archivos infectados y sospechosos y enviarlos de forma
automtica a los laboratorios AVERT para su anlisis.

En las pruebas, sin llegar a destacarse de forma especial, se comporta de forma adecuada,
tanto a nivel de deteccin como heurstico, y en el resto de pruebas se sita en un punto
intermedio. No se ha encontrado mejora significativa alguna en el motor con respecto a otros
aos, sigue entre los antivirus que menos formatos de compresin soporta. En definitiva,
nueva cara para VirusScan y opciones adicionales, si bien se encuentra algo estancado en la
tecnologa de su motor antivirus donde otros productos han realizado avances significativos.

Segn la comparacin de PC World,8 McAfee VirusScan es el antivirus ms extendido

mundialmente. Anuncia en su publicidad que se han vendido ms de 70 millones de copias,
seguido del Norton Antivirus. Es, curiosamente, el programa antivirus seleccionado por
Microsoft para utilizarlo dentro de su webmail: hotmail.com.

En su nueva versin ofrece una interfaz nada convencional; sin embargo, incluye los controles
en el men del botn derecho del ratn, para seleccionar los ficheros que se desean revisar.
Tambin mantiene dos iconos pequeos en la esquina derecha de la barra de tareas.
La interfaz de usuario no se ajusta a los estndares actuales de ventanas, produce cierta
confusin en su uso.

Los resultados de las pruebas no fueron muy buenos. Fue capaz de detectar el 94 % de los
virus y slo present un 3 % de falsos positivos. En los virus del tipo macro, la desinfeccin fue
muy satisfactoria, al conservarse las macros operativas.

El factor ms desfavorable en su evaluacin fue en la deteccin en correo. En algunos casos,

cuando se adjunt un fichero infectado con virus a un mensaje, el programa lo detect hasta
que se guard en el disco.

La documentacin sobre los virus no se encuentra en el CD, sino que es necesario estar
conectado a Internet para poder acceder a ella. Esto supone un problema para cualquier
usuario de un equipo que no est conectado a Internet.

Por otra parte, McAfee ofrece un servicio de desinfeccin para nuevos virus, tambin a partir
de una conexin a Internet. Puede enviarse un fichero en formato comprimido y McAfee se
compromete a limpiarlo y devolverlo en cuestin de horas desde los laboratorios AVERT Labs.
Mientras tanto, puede colocarse en cuarentena, para evitar su difusin a otros equipos.

Las actualizaciones del escner y del fichero de patrones se hacen tambin por Internet. Se
puede configurar la interfaz para arrancar una actualizacin al hacer clic con el botn derecho
del ratn. Las actualizaciones pueden hacerse de por vida. El resto de los servicios son de
carcter indefinido. Es el programa ms econmico de la esta comparacin.

SOPHOS

Sophos, con centro en Reino Unido, es uno de los fabricantes de antivirus que ms se destaca
por su especializacin en entornos corporativos y por la cantidad de plataformas que soporta.
Junto con el software, el usuario adquiere el servicio de actualizaciones peridicas, alertas y
emergencias tcnicas va correo electrnico y soporte por telfono e Internet. Nada ms
activar Sophos, se accede a una sencilla interfaz. Mediante tres pestaas, puede accederse a la
exploracin inmediata, a la agenda para planificar tareas y, por ltimo, a la configuracin de
InterCheck, el mdulo residente. En la barra de herramientas, pueden iniciarse las
exploraciones o detenerlas, entrar en el apartado de configuracin, alarmas y diccionario de
virus. Incluye una relacin de todos los virus detectados, con sus propiedades.7
Segn el estudio de Hispasec,7 si bien este software ofrece un nivel de soporte alto, se trata
sin duda del peor producto antivirus de los evaluados en el aspecto tcnico. Adems de ser
uno de los productos que obtiene los ndices ms bajos de deteccin, es el nico que no es
capaz de desinfectar ejecutables, una opcin que hoy por hoy no se concibe en antivirus
profesionales. En su lugar, este antivirus recomienda que se eliminen los ficheros afectados y
que se reemplace por una copia limpia.

Segn la comparacin de PC World,8 la interfaz de usuario no es intuitiva, el simple hecho de

analizar un directorio obliga a adentrarse en la opcin de configuracin, y marcar exactamente
los tipos de fichero que se desea analizar, porque las opciones de anlisis de ficheros
comprimidos aparecen deshabilitadas.

La configuracin del escner es compleja, obliga a editar un fichero de configuracin, algo que
nunca podr hacer un usuario "no experto". Sin embargo, en las pruebas, ha obtenido
resultados muy buenos.

Slo necesita 3 MB de espacio en disco, porque el resto de la documentacin la mantiene en el

CD.

Las funciones de soporte de programas de correo son escasas y el servicio de actualizacin no

est integrado en el programa.

La principal ventaja de Sophos es su capacidad para trabajar en distintos entornos, como Lotus
Notes, Exchange, Novell, etc. Esto lo convierte en una seria opcin para sistemas
hetereogneos.

NORMAN VIRUS CONTROL 5.0

Norman Data Defense es su productora. Hace unos aos se integr con ThunderByte, uno de
los antivirus mticos de la poca MS-Dos por el uso de tcnicas heursticas.

En Norman Virus Control 5.0, la interfaz se renov completamente, con una filosofa basada en
tareas, mdulo de cuarentena y con la posibilidad de actualizar las firmas de virus desde el
mismo programa por Internet, como mejoras ms relevantes a primera vista en comparacin
con las versiones anteriores.

Segn Hispasec,7 en las pruebas se ha comportado con un nivel medio en general. Se destac
en pruebas como la de soporte telefnico y obtuvo los peores resultados en la consulta por
Internet. En la parte tcnica, fue muy eficiente en la prueba de instalacin en un sistema
infectado, donde ha compartido el primer puesto junto con AVP. Sin embargo, carece de una
heurstica efectiva para los nuevos formatos y mdulos de proteccin especficos para Internet
y requiere mejoras en el soporte de formatos de compresin.

Segn PC World,8 la interfaz de Norman es interesante. Permite una configuracin muy

extensa en cuanto a nmero de opciones. Esto es muy beneficioso para un usuario avanzado,
pero puede resultar un poco confuso para un principiante. La versin que se comercializa
actualmente se encuentra en ingls.

Al igual que ocurre con el programa de McAfee, se presenta un icono en la esquina derecha de
la barra de tareas, con el que puede accederse a un men desde el que es posible lanzar todas
las funciones.

El producto ha obtenido un porcentaje de aciertos del 93 %, bastante elevado. El nmero de

falsos positivos fue del 15 %, con el que clasifica en un lugar mucho ms bajo que el resto de
productos en este aspecto. Los mejores resultados de Norman fueron en el tratamiento y la
deteccin de virus de tipo macro. El factor ms negativo en la evaluacin del producto es la
falta de integracin con Outlook, que obliga a escanear manualmente cada uno de los ficheros
que se recibe.

El producto se divide en siete programas distintos. Esto dificulta sensiblemente su uso, porque
el usuario tiene que saber para qu se utiliza cada uno y seleccionarlo cuando lo crea
oportuno. No es fcil saber cundo se est infectado y, por eso, tampoco lo es, decidir si
utilizar un programa de anlisis especfico sobre un fichero.

El programa principal es el que se emplea para hacer el anlisis manual de los ficheros.
Tambin se puede acceder desde este programa a la configuracin de cada una de las
opciones.

Existen otros programas, como Smart Behavior Blocker, cuya misin es la de analizar el
comportamiento de algn programa posiblemente infectado. A nuestro juicio, este programa
debera de integrarse en la interfaz principal, para que el usuario no se vea obligado a
averiguar para qu sirve y cmo tiene que utilizarlo.
El sistema de ayuda tambin se encuentra ntegramente en Internet. De hecho, si se selecciona
la opcin de ayuda, se obtiene una pgina HTML desde la que es posible bajar de Internet
todos los manuales del producto en formato PDF.

El control que ofrece Norman Virus Control es superior al resto de los programas probados.
Adems de permitir configurar el programa con una mayor cantidad de opciones, y de incluir
programas especficos para analizar virus de tipo Troyano, tambin puede incluso
seleccionarse fragmentos de cdigo que nos interese que el programa no entre a analizar.

El costo del programa es razonable, y su licencia se renueva anualmente. El laboratorio de

desinfeccin est en Noruega y el envo del programa infectado tambin se realiza mediante la
pgina web de Norman.

PANDA PLATINUM 6.22

Panda Software, muy popular en Espaa, lucha fuerte por imponerse a nivel internacional con
un producto avanzado y una nueva concepcin de servicios aadidos. Con la adquisicin de su
producto, el usuario obtiene durante un ao soporte telefnico 24 horas x 365 das, servicio de
desinfeccin de virus nuevos en 24 horas, actualizaciones diarias del fichero de firmas, as
como del software de la aplicacin.

A primera vista, Panda Platinum conserva la misma interfaz que se destaca por ser similar en
su concepcin a la de Outlook, sus componentes multimedia, y su integracin en los clientes
de correo. Uno de los cambios ms significativos experimentados por ella no se puede
observarse a simple vista, y se encuentra en un renovado interior para integrarse de lleno con
las nuevas especificaciones de Windows 2000.

Segn Hispasec,7 es la nica solucin con soporte telefnico real 24 x 365. En el resto de
pruebas de soporte y respuesta ante un virus nuevo tambin destaca con respecto a la media
obtenida por los productos evaluados. Si bien este ao, en relacin a comparaciones
anteriores, lo ms sorprendente son sus resultados en las pruebas de deteccin con unos
indicadores, donde destaca, en especial, un primer puesto en la coleccin de troyanos y
backdoors. Tambin es una de las pocas soluciones que contempla mdulos especficos para
Internet con anlisis a nivel de los diferentes protocolos, incluido el web, correo entrante y
saliente, ftp y noticias. Sin embargo, se ha visto algo empaado en la prueba de correo al no
soportar la desinfeccin en Outlook Express. Otro punto a mejorar es el soporte de
compresores de ejecutables.
Segn PC World,8 Panda es posiblemente el programa antivirus de mayor difusin en Espaa,
hecho perfectamente lgico, si se considera que es una empresa espaola, con una estructura
comercial grande y con un servicio tcnico en espaol.

Panda es uno de los programas ms completos y que ha obtenido mejores resultados en esta
comparacin. El porcentaje de virus detectados fue el segundo ms elevado, justo despus del
Norton Antivirus, y el nmero de falsos positivos fue el menor.

Llama la atencin la presentacin del producto, con ms manuales muy bien editados y con
mucha ms informacin que el resto. As, el usuario no depende tanto de una conexin a
Internet para obtener ayuda, que por cierto es muy extensa y clara y, adems, en el mismo
paquete incluye una breve documentacin de todos los virus que se conocen.

Evidentemente, para realizar actualizaciones del programa, es necesario conectarse a Internet,

aunque tambin existe un servicio de actualizaciones por CD.

Panda tambin comercializa otros productos relacionados con Platinum 6.0, como el Seguro
Antivirus Global, para Exchange, Lotus Notes, Firewall y proxy.

Cuando se instala el programa, la opcin de anlisis heurstico queda deshabilitada. Esto es un

poco contradictorio, porque un usuario novato la mantendr as indefinidamente y el
programa no ser capaz de ofrecer su mximo potencial de anlisis.

La integracin con Outlook es buena, as como con el software de transferencia de ficheros. El

usuario puede configurar el producto para analizar los ficheros segn se descarguen de
Internet. De esta forma, ningn fichero se quedar en el disco duro sin analizarse.

Dentro de un nico programa principal, puede seleccionarse la opcin de planificacin de

actividades. En esta opcin, puede indicarse cmo se desea que se realicen las actualizaciones
del programa, o bien cundo se quiere que se proceda con los anlisis.

En los materiales utilizados para el manual y las fichas tcnicas incluye un par de disquetes de
emergencia, y el sistema de ayuda es mucho ms extenso que el de otros antivirus estudiados.
F-SECURE

Segn Hispasec,7 es el detector por excelencia, es el nico producto que integra varios
motores antivirus de forma paralela, AVP y F-Prot, ambos de reconocido prestigio. Junto con el
software, el usuario recibe tres meses de soporte tcnico, actualizaciones de firmas va
Internet, y acceso al laboratorio para el envo y solucin ante virus nuevos.

La interfaz de F-Secure se mantiene con respecto a aos anteriores, basada en tareas

predefinidas y en la posibilidad de aadir o editar nuevos trabajos de anlisis, ello permite una
distribucin y gestin centralizada, especialmente til para redes corporativas.

Una vez ms, como es habitual, F-Secure obtuvo los mayores resultados en las pruebas de
deteccin, fruto de sumar la potencia de AVP y F-Prot en sus anlisis. Se ha apreciado una
mejora en la velocidad a la hora de escanear grandes colecciones de virus, donde en
comparaciones pasadas era particularmente lento. En el apartado de compresin recoge los
frutos del motor de AVP que incorpora. No ha destacado en ninguna de las pruebas de
soporte, no contempla la potencia heurstica que llega a demostrar AVP en su producto, y
llama la atencin la ausencia de un mdulo especfico para Internet que hace que caiga en los
resultados de este apartado.

Por ahora, slo se ha traducido al idioma espaol el procedimiento de instalacin del

producto. Los manuales y la pgina web tambin se encuentran en ingls.

Segn PC World,8 F-Secure es un antivirus con una gran experiencia. La nueva versin se ha
simplificado sensiblemente en cuanto a la interfaz de usuario, pero ahora resulta poco
intuitiva. Para encontrar la manera de configurar el producto no hay que acudir al men de
Inicio de Windows, sino que es necesario seleccionar el icono que se encuentra en la esquina
derecha de la barra de tareas, y a continuacin pinchar en el botn de Propiedades.

En F-Secure, la interfaz de usuario es excesivamente simple. No incluye un panel de control.

Desde el men de inicio de Windows slo pueden iniciarse los anlisis del disco, de disquete o
de un determinado directorio. Una vez comenzado el anlisis, el usuario debe tomar una
decisin sobre cada uno de los virus que encuentre. No puede seleccionarse una opcin para
continuar hasta el final sin arreglar los problemas, por que, si se escoge Cancelar, se detiene el
proceso de anlisis.
Desde las opciones, pueden seleccionarse los mtodos de anlisis a utilizar. Se combinaron
distintas opciones y, aun as, se obtuvo un resultado algo inferior al resto de los programas
analizados en el estudio. No obstante, el resultado es ptimo, y por eso es un producto
certificado por ICSA, que asegura que es capaz de detectar ms de un 95% de los virus de la
Wild List.

El costo final del programa es algo elevado. Si se compara con el resto, puede llegar a valer el
doble de cualquier otro sistema antivirus. Por ejemplo, en Espaa en todos los casos, el costo
de los sistemas es inferior a 10.000 pesetas, en el caso de F-Secure asciende a 24.900.

El soporte y la actualizacin de producto son muy buenos. Para actualizarlo, es necesario

conectarse a Internet.

PC-CILLIN 7.5

PC-Cillin es la solucin para estaciones de trabajo Windows que propone Trend Micro, una
multinacional conocida por la calidad de sus soluciones antivirus en el terreno de los
servidores, toda una garanta para los usuarios domsticos. Junto con el software, el usuario
accede al servicio de actualizaciones de patrones de virus y motor antivirus, puede inscribirse
en un servicio de noticias sobre virus junto con un calendario mediante un Active Desktop que
le mantendr informado en todo momento.

El interfaz de PC-Cillin es similar a Outlook en su concepcin, con una barra de botones vertical
que permite acceder a las distintas opciones. Se destaca la posibilidad de poder enviar
muestras sospechosas a partir de la misma aplicacin y un mdulo para chequear el correo
entrante.

Segn Hispasec,7 en las pruebas de deteccin PC-Cillin ha obtenido buenos resultados, como
era de esperar en un producto que utiliza las bases de firmas de Trend Micro. Sin embargo, el
resultado en el resto de pruebas fue discreto; qued en los ltimos lugares en la prueba de
instalacin en un sistema infectado, no consigui detectar la muestra en el apartado de
heurstica, y se detectaron algunos problemas en el mdulo de anlisis por Internet, en
especial cuando se realiza a travs de un proxy por puertos no estndares.

Lo primero que llama la atencin de este producto es la cantidad de versiones para distintos
entornos incluidas en el mismo CD. Ofrece versiones para Solaris, Windows NT, Lotus Notes,
Exchange, etc. Es un producto multiplataforma.
Tambin dispone de diversos programas dentro de los CD de instalacin. Por un lado, se instala
el antivirus PC-Cillin, pero adems se encuentran productos como ServerProtect, InterScan
WebManager, ScanMail e InterScan VirusWall. Todos ellos ofrecen una solucin conjunta para
la seguridad de la red.

En PC World,8 despus de realizar las pruebas, se obtuvo una respuesta alta en lo relativo al
nmero de virus detectados. De la misma manera, el nmero de falsos positivos fue bastante
bajo, y, en general, obtuvo una buena valoracin en cuanto a fiabilidad.

La interfaz de usuario es muy amigable. Se parece un poco a Outlook, en cuanto al sistema de

mens de la izquierda de la ventana, al presentar una barra de iconos grandes y distintas
lengetas para seleccionar las opciones.

El producto se integra muy bien con el cliente de correo. Despus de la instalacin, se activa la
opcin de anlisis de los POP3 del equipo, por lo que se analizar todo mensaje que llegue a
partir de ese momento, sin importar el cliente de correo que se emplee. En la versin de
Exchange, la integracin es todava mayor, porque se analizan los ficheros adjuntos a los
mensajes antes de que los reciba el usuario. Por otra parte, el Virus Wall es capaz de analizar
en tiempo real el trfico SMTP y FTP para buscar virus. Evidentemente, este anlisis debe
combinarse con el anlisis heurstico durante el rastreo de un posible virus, pero, para
entonces, no ser necesario el anlisis de patrones.

PC-Cillin es un producto a considerar cuando conviven equipos UNIX y Windows 2000 dentro
de una empresa.

AVP

Fabricado por Kaspersky Lab, el AVP, de origen ruso, es uno de los productos ms apreciados
entre los entendidos por la potencia de su motor antivirus en lo que toca a deteccin y
desinfeccin. Junto con el software, se obtiene soporte tcnico por correo electrnico y
actualizaciones diarias de las bases de virus durante un ao.

Segn Hispasec,7 AVP se destaca por presentar una de las interfaces ms sencillas y prcticas.
A su ya conocida potencia como motor antivirus, se suman unos resultados excelentes a nivel
de soporte, al ser el primero en aportar una solucin para una infeccin por virus, as como
ganar en la contestacin a una consulta realizada mediante el correo, en ambos casos con
tiempos de respuesta sorprendentes. Su peor resultado fue en el indicador de asistencia
telefnica.

En el apartado tcnico, AVP volvi a obtener buenos resultados en las pruebas de deteccin,
tal y como ocurri en comparaciones pasadas. Fue, junto con Norman, el primero en resolver
con xito la instalacin en un sistema infectado. Su heurstica tambin se ha mostrado
acertada las veces que se ha puesto a prueba, y su dominio en el apartado de soporte de
formatos de compresin es absoluto, muy por encima del resto en la prueba de compresores
de ejecutables. Su sencillez y potencia tiene en contra un punto dbil que este ao qued
demostrada: la ausencia de mdulos especficos para analizar las vas de entrada desde
Internet, con el agravante de su conflicto con Outlook Express.

El estudio de PC World,8 no consider en su anlisis el AVP. Sin embargo, se incluy en el

presente trabajo, porque adems de que los resultados obtenidos en Hispasec, fueron muy
satisfactorios, se sabe que es un antivirus muy utilizado a escala mundial, como se ha
constatado en la bibliografa consultada en Internet, y se encuentra muy difundido en Cuba,
donde cuenta con la aceptacin de muchos usuarios. Por ejemplo, en la comparacin realizada
por Calzn Fiestero en julio del 2002, basada en las opiniones de los usuarios, expres "Si
Kaspersky logra corregir de forma eficiente el problema de la demora que su antivirus provoca,
probablemente vuelva a ser el lder indiscutible que para muchos fue su "anciano padre", el
AVP Gold."9

Existen muchos otros sistemas antivirus, algunos de ellos de renombre internacional, como el
Inoculate IT y AVG, pero al analizar la bibliografa consultada sobre ellos,4,7,10 no se consider
de importancia su inclusin en este trabajo por no estar a la altura de los comparados. Por
ejemplo, del AVG se comenta lo siguiente: "En definitiva; un gil y aceptable antivirus gratuito
que poco tiene para envidiarle a otros que cobran por su licencia, aunque an est algo lejos
de los principales productos del gnero."9

Como resultado de la revisin efectuada con los estudios utilizados y otras pginas
especializadas, se pudo constatar que:

Los sistemas antivirus que mayor poder de deteccin han demostrado son: Norton Antivirus
(100 %), AVP (ms del 95 %), Panda (95 %), McAfee (94 %) y Norman AV (93 %).

En cuanto a la deteccin de falsos positivos, los mejores fueron, el Norton que no mostr
ninguno y el McAfee con un 3 %. Sin embargo, hay otros con un alto porcentaje, como el
Norman AV que obtuvo un 15 %.
En cuanto a la integracin con el correo electrnico e Internet, se encuentra el Norton,
McAfee, aunque presenta algunos errores en la deteccin por correo, el Panda, con mdulos
especficos para correo e Internet, aunque con algunos problemas de interaccin con Outlook
Express. Sin embargo, otros como el AVP, no presentan una buena integracin con Outlook
Express y para el anlisis de las vas de entrada desde Internet; el PC- Cillin tambin presenta
problemas con el mdulo de anlisis de Internet, el F-Secure no tiene mdulo para el anlisis
de Internet y el Norman no tiene integracin con el correo.

A continuacin se resumen las caractersticas ms significativas de los sistemas evaluados.

Sistema antivirus Ventajas Desventajas

Norton

Es el segundo ms vendido en el mundo.

Mejor porcentaje de deteccin.

Interfaz sencilla.

Buena integracin con el correo y los navegadores de Internet.

Licencia del producto de por vida.

Al instalarse queda con todas las opciones habilitadas.

Respuesta rpida ante nuevos virus.

Algo dbil en la deteccin de troyanos y backdoors.

Problemas con la instalacin en sistemas infectados.

McAfee

Es el primero en ventas en el mundo.

Alta deteccin de virus con un 94 % de la Wildlist.

Buena integracin con el correo e Internet.

Rpida respuesta ante nuevos viru

Falta de sencillez en la interfaz, que puede confundir al usuario.

Presenta algunos fallos en la deteccin en correo

Sophos

Especializado en entornos corporativos.

Soporta varias plataformas

Interfaz sencilla.

Indice muy bajo de deteccin.

Es el nico sistema que no es capaz de desinfectar ejecutables.

Interfaz de configuracin compleja.

Funciones escasas de soporte por correo.

Norman AV

Se destaca en la instalacin sobre un sistema infectado.

Deteccin aceptable (93 %).

Al presentar una gran cantidad de productos especializados permite un gran control cuando se
utiliza por expertos.

Detect un 15 % de falsos positivos.

Interfaz de configuracin extensa y compleja.

Falta de integracin al correo.

Panda

Alta deteccin de virus, (segundo despus de Norton).

Mdulos especficos para correo e Internet con buena deteccin.

Menor porcentaje de deteccin de falsos positivos.

Problemas con Outlook Express.

Al instalarse, la opcin de anlisis heurstico queda deshabilitada y debe ser el usuario quien la
habilite.

F-Secure

Alta deteccin (> 95 %).

Util para redes corporativas, porque permite una distribucin y gestin centralizada.

Interfaz muy simple, poco intuitiva.

No se destaca en diferentes plataformas.

No posee mdulo especfico para Internet.

El usuario debe tomar una decisin en cada virus encontrado.

El costo del producto es muy elevado y dobla el costo de casi todos los dems sistemas.
PC-Cillin

Alta deteccin y bajo por ciento de falsos positivos.

Existen diferentes versiones para distintos entornos (multiplataforma).

Buena integracin con el correo.

Buenos resultados cuando se combina UNIX y Windows 2000 dentro de una empresa.

Problemas en su instalacin en un sistema infectado.

Problemas en el mdulo de anlisis de Internet.

AVP (Karpesky)

Interfaz sencilla y prctica.

Alta deteccin de virus (ms del 95 %).

Se destaca en la instalacin sobre sistemas infectados.

Es altamente apreciado por la potencia de su motor de deteccin y desinfeccin.

Excelente nivel de respuesta y rapidez en la solucin ante nuevos virus.

Ausencia de un mdulo especfico para analizar las vas de entrada desde Internet.

Conflictos con Outlook Express.

Conclusiones

De acuerdo con el propsito de una empresa determinada en relacin con la forma de trabajo
de sus computadoras, es decir, el trabajo en redes o en estaciones de trabajo independientes,
puede concluirse:

Para el trabajo en redes, puede recomendarse el uso de los siguientes sistemas antivirus: F-
Secure, PC-Cillin, y el Norman Antivirus.

Para el uso de usuarios independientes, se recomienda: Norton Antivirus, McAfee VirusScan,

AVP y Panda.
No se recomienda el uso de Sophos por el bajo ndice de deteccin con respecto a los dems
sistemas evaluados. Adems, no es capaz de desinfectar ficheros ejecutables, cualidades
ambas de gran importancia en cualquier sistema antivirus.

Anexo. Sitios de los fabricantes de los antivirus comparados el trabajo.

AntiViral Toolkit Pro (AVP) [Sitio en Internet]. Disponible en: http://www.kaspersky.com

F-Secure Anti-Virus [Sitio en Internet]. Disponible en: http://www.f-secure.com

McAfee VirusScan [Sitio en Internet]. Disponible en: http://www.mcafee.com

Norman Virus Control [Sitio en Internet]. Disponible en: http://www.norman.no

Norton Antivirus [Sitio en Internet]. Disponible en: http://www.symantec.com

Panda Platinum [Sitio en Internet]. Disponible en: http://www.pandasoftware.es

PC-Cillin (Trend Micro) [Sitio en Internet]. Disponible en: http://www.trendmicro.com

Sophos Antivirus [Sitio en Internet]. Disponible en: http://www.sophos.com

Referencias bibliogrficas

Pereira JE Sabas qu es un virus? Disponible en:

http://www.toptutoriales.com/underground/virus/virus2.htm# Acceso: 10 de enero del 2003.

Periodismo en Internet. Suplemento Informtica 2.0. Disponible en:

http://old.clarin.com/suplementos/informatica/2003/04/23/f-549045.htm Acceso: 10 de
enero del 2003.

Mansn M. Estudio sobre virus informticos. Disponible en: http:

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml Acceso: 10 de enero
del 2003.

Lpez JL. Cul antivirus elegir? Disponible en: http://www.vsantivirus.com/comparativa.htm

Acceso: 10 de enero del 2003.

Moreno Prez A. Conozca los distintos antivirus. Disponible en:

http://www.vsantivirus.com/am-conozcaav.htm Acceso: 10 de enero del 2003.

Programas antivirus McAfee VirusScan 95 v3, Norton Antivirus 4.0, Panda Antivirus 5.0,
Antivirus Anyware, F-PROT Professional 3.01, ThunderByte Antivirus 8.03 y Dr. Solomon's Anti-
Virus Toolkit. Disponible en: http://www.idg.es/pcworld/articulo.asp?id=46864 Acceso: 10 de
enero del 2003.
Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus Abril 2001. Disponible en:
http://www.hispasec.com Acceso: 10 de enero del 2003.

Contreras Mejuto G. Antivirus: no salga a Internet sin ellos F-Secure Anti-Virus 5.0, McAfee
VirusScan 5.15, Norman Virus Control 5.0, Panda Antivirus Platinum 6.0, Symantec Norton
Antivirus 2001, Sophos Anti-Virus Febrero 2001 y Trend Micro PC-cillin 7.5. Disponible en:
http://www.idg.es/pcworld/articulo.asp?id=119462 Acceso: 10 de enero del 2003.

Fiestero C. Comparativa antivirus para Space Saturn. Disponible en:

http://www.terra.es/personal/spsaturn/pr-Cmp_Sp1.htm Acceso: 6 de febrero del 2003.

Comparativas software anti-virus. Diciembre 2002. Disponible en:

http://www.virusprot.com/Companti.html#Diciembre2002 Acceso: 6 de febrero del 2003.

CIAO. Comparaciones. El mejor software anti-virus [Sitio en Internet] Disponible en:

http://www.ciao.es/ranking/El_Mejor_Software_Anti-Virus.html Acceso: 6 de febrero del
2003.

AVG Antivirus. Disponible en:

http://ciudadfutura.com/mundopc/freeware/articulos/avg/avg1.htm Acceso: 2 de febrero del
2003.

Recibido: 7 de julio del 2003. Aprobado: 20 de julio del 2003

Lic. Luis Armas Montesino. Director Centro Territorial de Informacin de Ciencias Mdicas,
Artemisa, La Habana.

Hospital General Docente "Ciro Redondo" Calle 33 e/ 24 y 26, Artemisa, La Habana, Cuba.

Correo electrnico: cpicmar@infomed.sld.cu

https://sites.google.com/site/sistemaoperativositcpop/virus-informatico