Documente Academic
Documente Profesional
Documente Cultură
Resumen
Abstract
The giddy advance of the communications, the connection among the computers, the data
broadcast possibilities among them, as well as, the use of the so called world freeway of
information, Internet, has caused not few problems to remote users and small and large
networks. They receive constant attacks of the called cracker. They produce large losses of
information, resources, time and money; the systems of security of the service suppliers are
violated and the network become infected with harmful codes; virus or malware (malicious
software). Nevertheless, many websurfers lack the necessary most minimum knowledge to
understand the virus and, worse still, to reduce its negative effects. An important assembly of
aspects on the data processing virus: history, concepts and types, are provided. The
importance of the use of the lists of distribution is shown, as well as the experiences obtained
in the education of the users of Infomed with the list Virus l, to elevate the users education in
the themes related to information security.
Los virus informticos son uno de los principales riesgos para los sistemas informticos
actuales, su ritmo de crecimiento es de diez nuevos virus por da y no existe ningn programa
detector de virus que sea perfecto, capaz de proteger totalmente a un sistema. No existe un
algoritmo universal que permita arreglrnoslas de una vez por todas y para siempre con estos
bichitos.1
El propsito del presente trabajo es tratar ciertos aspectos importantes relacionados con el
surgimiento y desarrollo de los virus informticos; as como valorar la funcin que realizan las
listas de distribucin y los sitios web que alertan, aconsejan y educan a los usuarios en materia
de proteccin contra los virus informticos.
Los virus informticos
Los virus informticos nacieron al mismo tiempo que las computadoras. En fecha tan lejana
como 1949, el famoso cientfico matemtico John Louis Von Neumann (1903-1957), escribi
un artculo, donde presentaba la posibilidad de desarrollar pequeos programas que pudiesen
tomar el control de otros con una estructura similar.2 En 1944, Von Neumann ayud a John
Mauchly y J. Presper Eckert, en la fabricacin de la ENIAC, una de las computadoras de primera
generacin. En 1950, construyeron la famosa UNIVAC.3
En 1984, en su tesis para optar por el ttulo de Doctor en Ingeniera Elctrica, presentada en la
Universidad del Sur de California, Cohen demostr cmo se poda crear un virus, motivo por el
que es considerado como el primer autor de un virus "autodeclarado".5 En el mismo ao,
edit el libro titulado "Un pequeo curso sobre virus de computadoras". Posteriormente,
escribi y public "The Gospel according to Fred" (El evangelio de acuerdo a Fred).5
Los virus son capaces de hacer dao y reproducirse, esto precisamente los ha convertido en
una verdadera pesadilla para las redes y sus usuarios. Pero, no es hasta mucho despus de
escrito el libro de Cohen, que adquieren esa propiedad y, a consecuencia de ello, se les
comienza a llamar virus. Sus posibilidades de autorreproduccin y mutacin, que los asemejan
con los virus biolgicos, todo lo cual parece ser el origen de su nombre. Se le adjudica a Len
Adleman, el haberlos llamado virus por primera vez.1
El primer antecedente reconocido de los virus actuales es un juego creado por programadores
de la empresa AT&T, Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, como parte
de sus investigaciones y su entretenimiento. El juego, llamado "Core Wars",6 tena la
capacidad de reproducirse cada vez que se ejecutaba. Este programa dispona de instrucciones
destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. Al mismo
tiempo, desarrollaron un programa llamado "Reeper", que destrua las copias hechas por Core
Wars6 un antivirus o vacuna, como hoy se le conoce. Conscientes de lo peligroso del juego,
decidieron mantenerlo en secreto, y no hablar ms del tema. No se sabe si esta decisin fue
por iniciativa propia o por rdenes superiores.7
En el ao 1983, el Dr. Keneth Thomson8, uno de los creadores del famoso sistema operativo
UNIX y los programadores de AT&T, que trabajaron en la creacin de Core Wars,6 rompieron
el silencio acordado, informaron la existencia del programa y ofrecieron detalles sobre su
estructura. A comienzos de 1984, la revista Scientific American, publica la informacin
completa sobre esos programas, con guas para la creacin de virus. Es el punto de partida de
la vida pblica de estos programas, y naturalmente de su difusin sin control, en las
computadoras personales.
Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostracin en la Universidad de
California, donde present un virus informtico residente en una PC. Al Dr. Cohen se le conoce
hoy, como "el padre de los virus". Paralelamente, aparecieron virus en muchas PCs, se trataba
de un virus, con un nombre similar a Core Wars,6 escrito en Small-C por Kevin Bjorke, que
luego lo cedi al dominio pblico. La cosa comenzaba a ponerse caliente!7
Con posterioridad, los virus se multiplicaron con gran rapidez. Cada da creci el nmero de
virus existentes y hoy son tantos que es imposible registrarlos todos. Aunque cientos de ellos
son prcticamente desconocidos, otros gozan de gran popularidad, debido a su extensin y
daos causados. Algunos de los virus ms conocidos son:8,9,10
Viernes 13
Es el virus ms conocido dentro y fuera del mundo de la informtica, debido a su gran difusin
y al protagonismo que adquiere en los medios informativos cada vez que se acerca un viernes
con la fecha trece. Su gran expansin se debe a que respeta las funciones habituales de los
programas que lo albergan. La primera versin fue descubierta en diciembre de 1987 en las
computadoras de la Universidad Hebrea de Jerusaln.
Existen dos teoras sobre el origen y el objetivo principal del virus. Ambas hacen referencia a su
fecha de activacin. La primera de ellas, y ms convincente, se deduce de las instrucciones
relativas a la obtencin de la fecha de la computadora para su comparacin con la fecha de
activacin. El programa ignora todos los posibles viernes con fecha trece que pudieran existir
en 1987, ao en que se dedicara nicamente a la multiplicacin y propagacin. Esta teora,
atribuida a un origen poltico, juega con la posibilidad de que el virus fuese un nuevo tipo de
arma lgica creada contra el pueblo judo, posiblemente por seguidores palestinos. El l primer
viernes trece del ao 1988 fue en el mes de mayo y coincidi con el cuadragsimo aniversario
del final de la guerra de Yom Kippur. Las consecuencias de dicha guerra fueron la desaparicin
de Palestina y la constitucin del estado de Israel el 14 de mayo. Por tanto, el 13 de mayo de
1988 se celebraba el cuadragsimo aniversario del ltimo da de la existencia de Palestina.
La segunda de las teoras, menos difundida, asegura que las especulaciones de la anterior son
pura coincidencia. Basa la existencia del Viernes13, tanto en Israel como en Estados Unidos, en
que ellos son pases con extensas redes de telecomunicaciones, y no a consecuencia de un
objetivo poltico. Se ampara en que esta fecha es smbolo de la mala suerte para la cultura
anglosajona, como lo es en Espaa, el martes13.
La razn de que el virus no se activase durante el ao 1987 se debe a la necesidad de una
etapa de incubacin. Si el virus hubiera actuado en el mismo momento en que infect un
programa, su efecto sera mnimo. Adems, al detectarse con rapidez, pudiera haberse
descubierto a su creador. Por eso, su programador extendi el perodo de incubacin a un ao
en espera de que su alcance fuera el mayor posible.
Brain
Brain es uno de los virus ms extendidos entre los usuarios del sistema operativo DOS. Sus
creadores, los hermanos Basit y Alvi Amjad, de Pakistn, elaboraron una primera versin del
virus que se instalaba en el sector de arranque de los disquetes. Algunos de sus sectores
aparecan marcados como si estuviesen en mal estado. Aparentemente no produca daos.
Cambiaba la etiqueta de volumen de los disquetes de 5,25 pulgadas, que contenan el sistema
operativo, por la de "(c) Brain". No infectaba el disco duro y slo atacaba los disquetes con el
sistema operativo mencionado y una versin inferior a la 2.0. Destrua pequeas cantidades de
datos, slo si los discos estaban casi o totalmente llenos. Pero, como ocurre con la mayora de
los virus, comenz a volverse molesto. Posteriormente, surgieron versiones mejoradas que
inutilizaban los datos almacenados e infectaban el disco duro, as como las nuevas versiones
del sistema operativo.
Su traduccin podra ser: "Bienvenido a la mazmorra ... [Marca del copyright de los hermanos
Amjad], [posible fecha de creacin del virus] 1986 [versin del programa] ... Dedicado a las
memorias dinmicas de los millones de virus que ya no estn con nosotros [se supone que por
haberse detectados y desactivados] - !GRACIAS A DIOS! ... CUIDADO CON EL ... VIRUS ...".
En algunas versiones, el mensaje menciona un nmero de telfono de una compaa de
computadoras pakistan. El ingeniero de la Providence Journal Corporation se puso en contacto
con dicho telfono, que corresponda a la empresa de los hermanos Amjad, quienes tras
excusarse de los daos ocasionados, afirmaron que el virus se escribi originalmente para que
les ayudara a seguir el rastro de las copias "pirateadas" del software cuyo copyright disponan
desde 1986. Tambin aseguraron que no comprendan cmo el virus se haba extendido de esa
forma, se haba alejado de las copias de sus programas, ni cmo haba llegado hasta Europa y
Estados Unidos, porque slo deba afectar a aquellos usuarios que utilizasen alguno de sus
programas de forma pirata.
El gusano de la NASA
El 2 de noviembre de 1988, Robert Tappan Morris, hijo de uno de los precursores de los virus y
recin graduado en Computer Science en la Universidad de Cornell, difundi un virus a travs
de ArpaNet, precursora de Internet. La propagacin se realiz desde una de las teminales del
Instituto Tecnolgico de Massachussets.
Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse,
estado de Nueva York, a 4 aos de prisin y el pago de 10 000 dlares de multa, pena que fue
conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario.
Los hechos pudieron ocurrir de la siguiente manera: tras meses de estudio y preparacin, en la
primera semana de noviembre de 1988, Robert T. Morris decidi hacer la prueba final. Con la
intencin de ocultar un programa en la red a la que perteneca su universidad, puso manos a la
obra la noche de un mircoles. Cuando termin de cenar y volvi a sentarse frente a su
terminal con la intencin de averiguar lo que ocurra con su programa, descubri que la prueba
se haba desbordado: el programa activaba el correo electrnico, se copiaba en la memoria de
las computadoras y se "autoenviaba" a todas las terminales que aparecan en su lista de
correo. Esta operacin, al repetirse en cada computadora, haca que se volviera a enviar y
copiar, incluso en aquellas computadoras por los que haba pasado. En pocas horas, el
programa viaj, ida y vuelta, por las mismas computadoras miles de veces y se copiaba una vez
ms en cada computadora. Esto supuso una saturacin de las lneas de comunicacin y de las
memorias de las computadoras conectadas a la red, que quedaron bloqueadas.
Ms de 6 000 computadoras quedaron infectadas. Entre ellas, las del Pentgono, la NASA, el
Mando Areo Estratgico (SAC), la Agencia Nacional de Seguridad (NSA), el Ministerio de
Defensa, los Laboratorios Lawrence Livermore de Berkeley (California), donde se desarrollaban
varios componentes de la Iniciativa de Defensa estratgica, tambin llamada "guerra de las
galaxias", y en las universidades de Princenton, Yale, Columbia, Harvard, Illinois, Purdue,
Wisconsin y el Instituto de Tecnologa de Massachussets. Incluso se infectaron computadoras
de la Repblica Federal de Alemania y de Australia.
La legislacin que existe para sancionar estos delitos es inmadura. Pero no por ello Robert T.
Morris, qued exento de culpa y se le tom como "cabeza de turco" para impedir que se
realizaran posteriores prcticas similares. Fue acusado de violar el cdigo de Integridad
Acadmica de la Universidad de Cornell, y es juzgado por ello en la actualidad.
Clasificacin
La clasificacin de los virus es muy variada. Pueden agruparse por la entidad que parasitan -
sector de arranque o archivos ejecutables-, por su grado de dispersin a escala mundial, por su
comportamiento, por su agresividad, por sus tcnicas de ataque o por la forma en que se
ocultan. En 1984, el Dr. Fred Cohen clasific a los nacientes virus de computadoras en tres
categoras:3,11
Los caballos de Troya son impostores, es decir, archivos que parecen benignos pero que, de
hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que
no se replican. Los caballos de Troya contienen cdigos dainos que, cuando se activan,
provocan prdidas o incluso robo de datos. Para que un caballo de Troya se extienda es
necesario dejarlo entrar en el sistema, por ejemplo, al abrir un archivo adjunto de correo.
Gusanos (worms)
Los gusanos son programas que se replican de sistema a sistema, sin utilizar un archivo para
hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo
infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a
menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y
los virus utilizan el archivo que los alberga. Normalmente el gusano generar un documento
que contendr la macro del gusano dentro. Todo el documento viajar de un equipo a otro, de
forma que el documento completo debe considerarse como gusano.
Virus
Un virus informtico es un pequeo programa creado para alterar la forma en que funciona un
equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos
caractersticas:
Debe ser capaz de autoejecutarse. A menudo coloca su propio cdigo en la ruta de ejecucin
de otro programa.
Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con
una copia del archivo infectado.
Los virus pueden infectar tanto equipos de escritorio como servidores de red.
A partir de 1988, los virus empezaron a infectar y daar archivos con diferentes extensiones:
DLL, DBF, BIN, VBS, VBE, HTM, HTML, etctera. Hoy, los virus no infectan reas del sistema o
tipos de archivos en forma especfica y limitada. Sucede de acuerdo con cmo lo deseen sus
creadores, dejando a un lado las clasificaciones tradicionales. Los virus requieren ejecutarse
para lograr sus objetivos y por esa razn buscan adherirse a los archivos .COM, .EXE, .SYS, .DLL
y .VBS, entre otros o a las reas vitales del sistema: sector de arranque, memoria, tabla de
particiones o al MBR. Una vez activados atacarn a otros archivos ejecutables o reas,
haciendo copias de s mismos, sobrescribindolos o alterando archivos de cualquier otra
extensin, no ejecutables. Los ficheros con extensiones diferentes a .COM, .EXE, .SYS, .DLL,
.VBS y otras, slo servirn de receptores pasivos, no activos,y pueden quedar alterados o
inutilizados, pero jams contagiarn a otros archivos.3
Virus que infectan archivos: atacan a los archivos de programa. Normalmente infectan el
cdigo ejecutable, contenido en archivos .COM y .EXE, por ejemplo. Tambin pueden infectar
otros archivos cuando se ejecuta un programa infectado desde un disquete, una unidad de
disco duro o una red. Muchos de estos virus estn residentes en memoria. Una vez que la
memoria se infecta, cualquier archivo ejecutable que no est infectado pasar a estarlo.
Virus del sector de arranque: infectan el rea de sistema de un disco, es decir, el registro de
arranque de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los
que slo contienen datos) tienen un pequeo programa en el registro de arranque que se
ejecuta cuando se inicia el equipo. Los virus del sector de arranque se copian en esta parte del
disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos
virus estn residentes en memoria por naturaleza. La mayora se crearon para DOS, pero todos
los equipos, independientemente del sistema operativo, son objetivos potenciales para este
tipo de virus. Para que se produzca la infeccin basta con intentar iniciar el equipo con un
disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los
disquetes que no estn protegidos contra escritura quedarn infectados al acceder a ellos.
Virus del sector de arranque maestro: residen en memoria e infectan los discos de la misma
forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar
en que se encuentra el cdigo vrico. Los virus del sector de arranque maestro normalmente
guardan una copia legtima de dicho sector de arranque en otra ubicacin.
Virus mltiples: infectan tanto los registros de arranque como los archivos de programa. Son
especialmente difciles de eliminar. Si se limpia el rea de arranque, pero no los archivos, el
rea de arranque volver a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del
rea de arranque, los archivos que se limpiaron volvern a infectarse.
Con la aparicin de los virus Macro, a mediados de 1995, y en 1998 con los virus de Java, Visual
Basic Scripts, Controles ActiveX y HTML, se hizo necesario, adems, una clasificacin por sus
tcnicas de programacin.12
Una de las ltimas tcnicas empleadas es la llamada Ingeniera social. En ella no se emplea
ningn software o elemento de hardware, slo grandes dosis de ingenio, sutileza y persuasin
para lograr que otra persona revele informacin importante con la que, adems, el atacante
puede daar su computadora.
En la prctica, los creadores de virus utilizan esta tcnica para que sus ingenios se propaguen
rpidamente. Para ello, atraen la atencin del usuario inexperto y consiguen que realice alguna
accin, como la de abrir un fichero, que es el que ejecuta la infeccin, mediante la alusin a un
fichero o pgina con explcitas referencias erticas, personajes famosos, relaciones amorosas,
alternativas para encontrar parejas, juegos, entre otros.
W32/Hybris: reclama la curiosidad de los usuarios mediante un mensaje sugerente sobre una
posible versin ertica del cuento de Blancanieves y los siete enanitos.
W32/Naked: atrae la atencin del usuario al intentar mostrarle un archivo cuyo nombre
(NakedWife.exe) sugiere la imagen de una mujer desnuda.
"AnnaKournikova" alias VBS/SST.A o "I-Worm/Lee.O"-: trata de engaar al usuario hacindole
creer que le ha recibido un fichero con la fotografa de la tenista Anna Kournikova.
Trojan.Butano: aprovecha la imagen del conocido locutor de radio Jos Mara Garca, para
esconder un programa que elimina todos los archivos existentes en el directorio raz del disco
duro.
VBS/Monopoly: se autoenva por correo electrnico en un mensaje que tiene como asunto
"Bill Gates joke" ("Broma sobre Bill Gates"), y como cuerpo "Bill Gates is guilty of monopoly.
Here is the proof.:" (Bill Gates es culpable de monopolio).
W32/Matcher: utiliza como reclamo -en el cuerpo del mensaje en el que se enva- un texto que
ofrece una alternativa para encontrar pareja.
VBS/LoveLetter -alias "Iloveyou"-: se enva por correo electrnico en un mensaje cuyo asunto
es "ILOVEYOU" y el fichero que incluye se denomina "LOVE-LETTER-FOR-YOU.TXT.VBS". Dicho
fichero utiliza doble extensin para engaar a los usuarios de Windows, porque este sistema
no emplea las extensiones de los archivos.
En software
Modificar programas y datos (virus Black Box: agrega un nmero de bytes a los programas
infectados.)
Eliminar programas y datos (Melissa: Macrovirus de Word). Se enva a s mismo por correo.
Daa todos los archivos
DOC; virus JERUSALEM: borra, los viernes 13, todos los programas que el usuario trate de
utilizar despus de haberse infectado la memoria residente.
En hardware
Borrar el BIOS (Chernobyl (W95.CIH): Intenta reescribir el BIOS de la PC lo que obliga a cambiar
la motherboard.
Formatear el disco rgido (FormatC): Troyano que infecta el Word, al abrir un archivo infectado
formatea el disco rgido.
Borrar la FAT (tabla de particin de archivos), Chernobyl (W95.CIH): Borra el primer Mb del
diso duro, donde se encuentra la FAT. Obliga a formatear el disco duro. Adems intenta
reescribir el BIOS de la PC lo que obliga a cambiar la motherboard. Se activa el 26 de abril.
Michelangelo: Virus del sector de arranque. Se activa el 6 de marzo.
Alterar el MBR (Master Boot Record), Troj/Killboot.B. Trojano que borra el MBR llenndolo de
ceros.
Cuando alguno de estos daos ocurre en una computadora aislada, las prdidas pueden ser
insignificantes, pero cuando se trata de una gran empresa, universidad, banco, institucin
militar, centro de salud, aeropuerto, proveedor de servicios de Internet u otro, los daos
pueden ser incalculables e irreparables.
Ahora bien, es oportuno sealar que los virus son controlables y que, si se cumplen una serie
de normas, que no varan mucho, establecidas por las entidades que se dedican a la proteccin
de las redes y sus usuarios, puede lograrse una proteccin aceptable. Baste con recordar que
ningn virus es capaz de hacer dao alguno, si antes no se ejecuta.
Situacin actual
La cantidad de virus que circulan actualmente en la red no puede precisarse con exactitud.
Algunos autores calculan el total de virus existentes en ms de 300 000.13 La mayora de los
virus que forman parte de la historia de la computacin se crearon para DOS; un sistema
obsoleto en nuestros das.
A pesar de la creacin constante de nuevos virus, son pocos los que llegan a ser realmente
efectivos y logran contaminar un nmero considerable de usuarios de la red. Los expertos en
virus informticos, respaldan los informes sobre la existencia de no ms de 300 virus
esparcidos y en libertad.15 Al repetirse en forma cclica su proceso de extincin, la cantidad de
virus mencionados nunca es mayor y se mantiene aproximadamente igual.
A pesar de los estragos causados por el reciente torrente de ataques de virus, como el mortal
"Love Bug", o el famoso "CIH" son muchos los usuarios, individuales e institucionales, que no
actualizan regularmente sus programas antivirus.
Se plantea que casi una cuarta parte de los usuarios norteamericanos no actualizan sus
programas, al menos, una vez al mes. Un examen, realizado a cerca de medio milln de
usuarios de PCs en los Estados Unidos, revel que la mayora de estos (un 65 %) fueron
infectados con, al menos un virus, en los ltimos doce meses. De estos, un 57 % perdi un
buen nmero de datos. Un 18 % afirm que haba perdido "moderadas" o "grandes"
cantidades de datos y un 14 % sostuvo que haba sufrido ms de cinco ataques de virus al ao.
Segn Steve Sundermeier, cuando "el pblico que no adquiere la ltima proteccin contra
virus, abre un enorme agujero de seguridad. Los usuarios necesitan actualizar sus programas
diariamente para salvaguardarse de los virus que los atacan diariamente".13 Cada da se crean
30 nuevos virus como promedio, desde inofensivos hasta muy peligrosos.14
Los softwares antivirus, lderes en el combate de virus, pueden descontaminar distintas cifras
de cdigos malignos. Por ejemplo, Norton Antivirus, 63 076, McAfee, 64 686, AVP, 64 156,
SAV, 513 y F-Prot, 73 350.16-19
Uno de estos productos, el SAV, comercializado por la firma Segurmtica, y que descontamina
los virus identificados en la isla, es el resultado de las necesidades nacionales, surgidas como
resultado del amplio programa de informatizacin desplegado por Cuba durante los ltimos
aos.
Sin embargo, como los planes de informatizacin del pas, son cada vez ms abarcadores, el
nfasis fundamental debe situarse no slo en la creacin y la adquisicin de los recursos
tcnicos y humanos, sino en el desarrollo de una cultura informtica que permita a los usuarios
prepararse para enfrentar los peligros de la red, en especial, para minimizar los efectos
dainos de los virus informticos que provocan prdidas considerables de tiempo, esfuerzo y
recursos de gran valor.
Las listas son muchas y tienen un lugar muy importante en la educacin de los usuarios. Entre
las listas dedicadas a la difusin oportuna de informacin sobre los virus informticos, se
encuentran:
Virus Attack: Un excelente sitio para obtener informacin en la lucha contra los virus.
http://www.virusattack.com.ar (Argentina).
Dichas listas alertan a sus usuarios mediante boletines diarios, semanales o mensuales y su
objetivo principal es mantener informados a lectores sobre los nuevos virus, as como sobre la
forma de eliminarlos, adems de ofrecer consejos, publicar estadsticas, realizar encuestas
comparativas sobre programas antivirus, etctera.
Virus-l, por ejemplo, es la lista sobre virus de la Red Telemtica de Salud en Cuba (Infomed).
Cuenta con 1 199 miembros.20 Su objetivo esencial es la educacin de sus miembros en
materia de proteccin de los sistemas. Comprende desde el mdico o tcnico de la salud que
se conecta desde su casa va telefnica hasta los centros e instituciones, como los hospitales,
facultades, policlnicos, y otros, que requieren de una seguridad mayor, debido a su
importancia.
Infomed brinda servicios a una gran cantidad de profesionales del sector de la salud, crece
muy rpidamente y tiene ms de 9000 usuarios directos. Los planes del gobierno en el sector
de la salud se proponen conectar todos sus centros e instituciones en el pas.
Fidel Castro Ruz, Primer Secretario del Comit Central del Partido Comunista de Cuba y
Presidente de los Consejos de Estado y de Ministros, en el acto de inauguracin de obras del
extraordinario programa de salud ya en marcha, que se realiza en Cuba, efectuado en el Teatro
Astral, el 7 de abril del 2003, expres:
"Algo de gran trascendencia ser la creacin, ya iniciada, de Infomed, un servicio Intranet que
comunicar a todos los centros de salud, hospitales, policlnicos, hogares de ancianos,
farmacias, etctera, a travs de una densa red de computadoras que posibilitar la
comunicacin, consultas e intercambio cientfico entre todos los mdicos, enfermeros y
tcnicos, y el acceso a todas las bases de datos e informacin mdica con el empleo de miles
de equipos de computacin".21
Virus-l dispone de un boletn semanal que divulga informacin sobre los virus ms peligrosos,
selecciona y promueve la consulta de artculos sobre el tema ubicados en distintos sitios, se
alerta sobre fallos en sistemas o agujeros de seguridad y las formas de eliminarlos. Por
supuesto, como en todas las listas de este tema no falta en cada boletn, una serie de consejos
tiles para evitar la posibilidad de contaminarse por un virus informtico.
La lista cuenta adems, con un espacio en el servicio de FTP de la red donde se apoya su
trabajo con material educativo sobre el tema, herramientas para eliminar ciertos virus y la
posibilidad de descargar programas instaladores de antivirus y sus actualizaciones. Todo ello
ha posibilitado elevar el nivel de proteccin de una gran parte de los usuarios de la red.
Por encuestas realizadas mediante la propia lista se han podido conocer cules antivirus
utilizan los usuarios de Infomed, con qu frecuencia los actualizan, cmo actan ante una
infeccin y otros aspectos que han permitido trazar estrategias de trabajo para mejorar su
proteccin.
Ante la pregunta, cmo usted. acta ante un mensaje con un fichero adjunto?, el 45 % de los
103 suscriptores encuestados el da 10 de junio del 2002, respondieron "Abro slo ficheros
adjuntos enviados por personas conocidas" y el 33 %, "No abro ningn adjunto sin revisarlo
antes con un antivirus". Por su parte, a la pregunta, qu hace si descubre que su PC est
infectada?, el 48 % de los 139 usuarios consultados el da 28 de agosto del 2002, seleccionaron
"Utilizo un antivirus y sigo las instrucciones de mi lista". Entre los 104 suscriptores consultados
el da 22 de noviembre del 2002, el 54 % respectivamente dijeron utilizar como antivirus el
AVP y el NAV. Este mismo da, cuando se pregunt, cada cunto tiempo actualiza su
antivirus?, del total de encuestados, el 65 % respondi "Una vez por semana" y el 23 % "Dos o
tres veces por mes"
Para apoyar su tarea educativa de la lista, se imparte mensualmente una clase donde se
orienta a los alumnos-usuarios sobre cmo evitar o eliminar las infecciones por virus. En ellas,
se ofrecen tambin una serie de consejos prcticos relacionados con el tema.
Consideraciones finales
Como se ha tratado de evidenciar a lo largo de este trabajo, los virus informticos no son un
simple riesgo de seguridad. Son muchos los programadores en el mundo que se dedican a la
creacin de cdigos malignos por distintos motivos, que causan prdidas anuales millonarias
en gastos de seguridad a las empresas. El verdadero peligro de los virus es su forma
indiscriminada de ataque contra cualquier sistema informtico, algo realmente lamentable.
Es muy difcil prever la propagacin de los virus y cules mquinas infectarn. De ah, la
importancia de comprender cmo funcionan regularmente y tomar las medidas pertinentes
para evitarlos.
Referencias bibliogrficas
Machado J. Breve historia de los virus informticos. [sitio en Internet]. Disponible en:
http://www.perantivirus.com/sosvirus/general/histovir.htm . Consultado: 4 de Marzo de 2003.
Machado J. Fred Cohen el primer autor de virus. [sitio en Internet]. Disponible en:
http://www.perantivirus.com/sosvirus/hackers/cohen.htm . Consultado: 4 de marzo de 2003.
Red Telemtica de Salud en Cuba (Infomed). Versin adaptada a PC del juego COREWAR,
precursor de los virus [sitio en Internet]. Disponible en:
ftp://ftp.sld.cu/pub/antivirus/miscelaneas/corewar.zip . Consultado: 4 de Marzo de 2003.
Vanden Bosch L, Waisman N, Rojas F. "Virus informticos". [sitio en Internet]. Disponible en:
http://www.monografias.com/trabajos5/virusinf/virusinf.shtml#historia . Consultado: 6 de
marzo de 2003.
Jones Encyclopedia - Media & Information Technology. [sitio en Internet]. Disponible en:
http://www.digitalcentury.com/encyclo/thompson.html. Consultado: 12 de marzo de 2003.
Judgment in U.S. vs. Robert Tappan Morris. [sitio en Internet]. Disponible en:
http://www.rbs2.com/morris.htm . Consultado: 10 de marzo de 2003.
http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/la_docid/pf/20010921095248905
Zona Virus. Muchos usuarios ignoran el riesgo de los virus. [sitio en Internet]. Disponible
en:http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=6 . Consultado: 6 de Marzo
de 2003.
Synmatec Segurity Responce. Virus definition added. [sitio en Internet]. Disponible
en:http://securityresponse.symantec.com/avcenter/defs.added.html . Consultado: 14 de
febrero de 2003.
FRISK Software Internacional. F-Prot Antivirus latest version and latest virus signature files.
[sitio en Internet]. Disponible en: http://www.f-prot.com/currentversions.html. Consultado: 14
de febrero de 2003.
de 2003.
Castro Ruz F. La idea esencial es acercar los servicios bsicos a los ciudadanos. Discurso
pronunciado el da 7 de abril en el Teatro Astral. Disponible en:
http://www.granma.cubaweb.cu/2003/04/08/nacional/articulo01.html Consultado: 8 de abril
del 2003.
Lic. Ramn Orlando Bello Hernndez. Departamento Atencin a Usuarios. Red Telemtica de
Salud en Cuba (Infomed).
Resumen
Con el objetivo de comprender los virus informticos, as como de analizar y comparar los
principales sistemas antivirus existentes, se procedi a revisar algunas de las comparativas
principales publicadas en sitios y fuentes de reconocido prestigio en este tema. Se trat un
grupo de elementos tericos sobre los virus y los sistemas antivirus: definiciones,
clasificaciones, caractersticas, estructura, etctera. Se analiz y compar un conjunto de
sistemas antivirus, ubicados entre los ms poderosos y populares en la literatura consultada:
Norton Antivirus, McAfee VirusScan, Sophos, Norman Virus Control 5.0, Panda Platinum 6.22,
F-Secure, PC-Cillin 7.5 y AVP. Para el trabajo en redes, se recomienda el uso de F-Secure, PC-
Cillin, y el Norman Antivirus. Para usuarios independientes, Norton Antivirus, McAfee
VirusScan, AVP y Panda. Ningn sistema antivirus ofrece una proteccin completa, pero el uso
correcto de estas herramientas produce una sensible reduccin de los daos y prdidas
provocadas por este flagelo en la red.
Abstract
Aimed at understanding informatic viruses, and analyzing and comparing the main antivirus
systems avalilable a review of some comparative analysis published in sites and services of
recognized prestige in this subject was carried out. A group of theorical elements on virus and
antivirus systems: definitions, classification, features, structure was studied. A set of antivirus
systems was analyzed and compared located among the most powerful and used in the
reviewed literature: Norton Antivirus, McAfee VirusScan, Sophos, Norman Virus Control 5.0,
Panda Platinum 6.22, F-Secure, PC-Cillin 7.5 and AVP. We recommend the use of F-Secure, PC-
Cillin and Norman Antivirus to work in networks. For independent users, Norton Antivirus,
McAfee VirusScan, AVP and Panda are the best choice. Although any antivirus system offers a
complete protection we recommend the correct use of these tools to achieve a sensible
reduction of the damages and losses caused by this flagellum in the network.
En los aos 50, los especialistas del rea de la computacin discutieron, por primera vez, la
posibilidad de generar un programa capaz de duplicarse y extenderse entre las computadoras.
Pero, no fue hasta 1983, que se cre un software de virus real, cuando un estudiante en la
Universidad de California, Fred Cohen, elabor una tesis de doctorado sobre el tema.
Hace algunos aos cuando se hablaba de las infecciones por virus, algunas empresas
argumentaban que ellas no presentaban ese problema; consideraban que al extraer las torres
de discos de las estaciones de trabajo de sus usuarios, evitaran que ellos invadieran su red de
computadoras. Hoy, todos saben muy bien que el problema de los virus no se resuelve tan
simplemente, porque dichos usuarios disponen, adems, de acceso a Internet y a correo
electrnico. Un usuario puede recibir un correo infectado con un virus desde cualquier parte
del mundo, y en pocos minutos, su red estar totalmente infectada.1
Normalmente las empresas piden a los administradores de redes que comparen los antivirus
existentes para determinar cules son capaces de reconocer y eliminar la mayor cantidad de
virus posibles.2 Cada da crece el nmero de virus informticos que circulan por las redes,
fundamentalmente mediante el correo electrnico y desde Internet. Crece, por lo tanto, la
necesidad de proteger los recursos de software y en especial la informacin.
El objetivo del presente trabajo es revisar los sistemas antivirus ms empleados a escala
mundial con el objetivo de determinar cul o cules son los ms convenientes para la
proteccin de los recursos de informacin de una organizacin o empresa de acuerdo con las
caractersticas particulares de cada una de ellas.
MARCO TERICO
Qu es un virus?
Virus de macros/cdigo fuente. Se adjuntan a los programas fuente de los usuarios y a las
macros utilizadas por: procesadores de palabras (Word, Works, WordPerfect), hojas de clculo
(Excell, Quattro, Lotus), etctera.
Virus mutantes. Son los que, al infectar, realizan modificaciones a su cdigo, para evitar su de
deteccin o eliminacin (NATAS o SATN, Miguel Angel, por mencionar algunos).
Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente
diferente a la de su objetivo final; esto es, que se presentan como informacin perdida o
"basura", sin ningn sentido. Pero al cabo de algn tiempo, y de acuerdo con una indicacin
programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones.
Bombas de tiempo. Son los programas ocultos en la memoria del sistema, en los discos o en
los archivos de programas ejecutables con tipo COM o EXE, que esperan una fecha o una hora
determinada para "explotar". Algunos de estos virus no son destructivos y solo exhiben
mensajes en las pantallas al momento de la "explosin". Llegado el momento, se activan
cuando se ejecuta el programa que los contiene.
Autorreplicables. Son los virus que realizan las funciones mas parecidas a los virus biolgicos,
se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se
activan en una fecha u hora programada o cada determinado tiempo, a partir de su ltima
ejecucin, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el
virus llamado Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas
infectados), para evitar que lo detecten.
Infectores del rea de carga inicial. Infectan los disquetes o el disco duro, se alojan
inmediatamente en el rea de carga. Toman el control cuando se enciende la computadora y
lo conservan todo el tiempo.
Infectores del sistema. Se introducen en los programas del sistema, por ejemplo
COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del
sistema operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al
cargar el sistema operativo y es as como el virus adquiere el control para infectar todo disco
que se introduzca a la unidad con la finalidad de copiarlo o simplemente para revisar sus
carpetas.
Infectores de programas ejecutables. Estos son los virus ms peligrosos, porque se diseminan
fcilmente hacia cualquier programa como hojas de clculo, juegos, procesadores de palabras.
La infeccin se realiza al ejecutar el programa que contiene al virus, que, en ese momento, se
sita en la memoria de la computadora y, a partir de entonces, infectar todos los programas
cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos mediante su autocopia.
Aunque la mayora de estos virus ejecutables "marcan" con un byte especial los programas
infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos, como el
de Jerusaln, se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a
saturar su capacidad de almacenamiento.
Programa: Infectan archivos ejecutables como .com / .exe / .ovl / .drv / .sys / .bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la tabla de particin.
Bios: Atacan al Bios para desde all reescribir los discos duros.
Hoax: Se distribuyen por correo y la nica forma de eliminarlos es el uso del sentido comn. Al
respecto, se trata de virus que no existen y que se utilizan para aterrar a los novatos
especialmente en Internet a pesar que los rumores lo muestran como algo muy serio y, a
veces, la prensa especializada toma la informacin. Por lo general, como se expres, la difusin
se hace por cadenas de correo con terribles e inopinadas advertencias. En realidad el nico
virus es el mensaje. A continuacin se relacionan una serie de supuestos "virus", por lo que es
aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos para continuar con la
cadena, porque se crearon precisamente para producir congestionamiento en Internet.
Los virus stealth (invisibles) engaan a los software antivirus. Esencialmente, un virus de este
tipo conserva informacin sobre los archivos que ha infectado y despus espera en memoria e
intercepta cualquier programa antivirus que busque archivos modificados y le ofrece la
informacin antigua en lugar de la nueva.
Los virus polimrficos se alteran slo cuando se duplican, de modo que el software antivirus
que busca comportamientos especficos no encontrar todas las apariciones de los virus; los
que sobreviven pueden seguir duplicndose.
Scanning o rastreo: Fue la primera tcnica que se populariz para la deteccin de virus
informticos, y que todava se utiliza -aunque cada vez con menos eficiencia. Consiste en
revisar el cdigo de todos los archivos ubicados en la unidad de almacenamiento -
fundamentalmente los archivos ejecutables - en busca de pequeas porciones de cdigo que
puedan pertenecer a un virus informtico.
La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe
aislarse por el usuario y enviarse al fabricante de antivirus, la solucin siempre ser a
posteriori: es necesario que un virus informtico se disperse considerablemente para que se
enve a los fabricantes de antivirus. Estos lo analizarn, extraern el trozo de cdigo que lo
identifica y lo incluirn en la prxima versin de su programa antivirus. Este proceso puede
demorar meses a partir del momento en que el virus comienza a tener una gran dispersin,
lapso en el que puede causar graves daos sin que pueda identificarse.
Otro problema es que los sistemas antivirus deben actualizarse peridicamente debido a la
aparicin de nuevos virus. Sin embargo, esta tcnica permite identificar rpidamente la
presencia de los virus ms conocidos y, al ser estos los de mayor dispersin, posibilita un alto
ndice de soluciones.
Comprobacin de suma o CRC (Ciclyc Redundant Check): Es otro mtodo de deteccin de virus.
Mediante una operacin matemtica que abarca a cada byte del archivo, generan un nmero
(de 16 32 bytes) para cada archivo. Una vez obtenido este nmero, las posibilidades de que
una modificacin del archivo alcance el mismo nmero son muy pocas. Por eso, es un mtodo
tradicionalmente muy utilizado por los sistemas antivirus. En esta tcnica, se guarda, para cada
directorio, un archivo con los CRC de cada archivo y se comprueba peridicamente o al
ejecutar cada programa. Los programas de comprobacin de suma, sin embargo, slo pueden
detectar una infeccin despus de que se produzca. Adems, los virus ms modernos, para
ocultarse, buscan los ficheros que generan los programas antivirus con estos clculos de
tamao. Una vez encontrados, los borran o modifican su informacin.
Programas de vigilancia: Ellos detectan actividades que podran realizarse tpicamente por un
virus, como la sobreescritura de ficheros o el formateo del disco duro del sistema. En esta
tcnica, se establecen capas por las que debe pasar cualquier orden de ejecucin de un
programa. Dentro del caparazn de integridad, se efecta automticamente una
comprobacin de suma y, si se detectan programas infectados, no se permite que se ejecuten.
Bsqueda heurstica: Es otra tcnica antivirus que evita la bsqueda de cadenas. Con ella, se
desensambla el programa y se ejecuta paso a paso, a veces mediante la propia CPU. De ese
modo, el programa antivirus averigua qu hace exactamente el programa en estudio y realiza
las acciones oportunas. En general, es una buena tcnica si se implementa bien, aunque el
defecto ms importante es la generacin de falsas alarmas, que no se tiene la certeza de que
un programa sea un virus en funcin de su comportamiento. La mayora de los virus nuevos
evitan directamente la bsqueda heurstica modificando los algoritmos, hasta que el programa
antivirus no es capaz de identificarlos.
A pesar de utilizar estas cuatro tcnicas, ningn programa puede asegurar la deteccin del
ciento por ciento de los virus.
La calidad de un programa antivirus no slo se demuestra por el nmero de virus que es capaz
de detectar, sino tambin por el nmero de falsas alarmas que produce, es decir, cuando el
programa antivirus estima que ha localizado un virus y en realidad se trata de un fichero sano
(falso positivo). Puede ocurrir que un fichero presente una combinacin de bytes idntica a la
de un virus, y el programa antivirus indicara que ha detectado un virus y tratara de borrarlo o
de modificarlo.
Programas antivirus
Estructura de un programa antivirus
Mdulo de control: posee la tcnica para la verificacin de integridad que posibilita el hallazgo
de cambios en los archivos ejecutables y las zonas crticas de un disco rgido, as como la
identificacin de los virus. Comprende diversas tcnicas para la deteccin de virus informticos
y de cdigos dainos: En caso necesario, busca instrucciones peligrosas incluidas en programas
para garantizar la integridad de la informacin del disco rgido. Esto implica descompilar (o
desensamblar) en forma automtica los archivos almacenados y tratar de ubicar sentencias o
grupos de instrucciones peligrosas. Finalmente, el mdulo de control tambin efecta un
monitoreo de las rutinas mediante las que se accede al hardware de la computadora (acceso a
disco, etc.). Al restringir el uso de estos recursos, -por ejemplo, cuando se impide el acceso a la
escritura de zonas crticas del disco o se evita que se ejecuten funciones para su formateo-, se
limita la accin de un programa.
Mdulo de respuesta: la funcin alarma se encuentra incluida en todos los programas antivirus
y consiste en detener la accin del sistema ante la sospecha de la presencia de un virus
informtico. Se informa la situacin mediante un aviso en pantalla. Algunos programas
antivirus ofrecen, una vez detectado un virus informtico, la posibilidad de erradicarlo.
La expresin "cul es el mejor antivirus", puede variar de un usuario a otro. Es evidente que
para un usuario inexperto el trmino define casi con seguridad al software que es ms fcil de
instalar y utilizar, algo totalmente intranscendente para usuarios expertos, administradores de
redes, etc.4
No se puede afirmar que exista un solo sistema antivirus que presente todas las caractersticas
necesarias para la proteccin total de las computadoras; algunos fallan en unos aspectos, otros
tienen determinados problemas o carecen de ciertas facilidades. De acuerdo con los diferentes
autores consultados, las caractersticas esenciales son las siguientes:5,6
Actualizacin sistemtica.
Deteccin mnima de falsos positivos o falsos virus.
Alerta sobre una posible infeccin por las distintas vas de entrada (Internet, correo
electrnico, red o discos flexibles).
MTODOS
www.hispasec.com www.secusys.com/laboratoire.htm
www.virusprot.com
www.vsantivirus.com/comparativa.htm
Los softwares antivirus analizados en este trabajo fueron certificados por la ICSA.
Los sitios de los antivirus estudiados se encuentran referidos al final del artculo (anexo).
NORTON ANTIVIRUS
Segn la comparacin publicada M Mansn,3 este antivirus posee una proteccin automtica
en segundo plano. Detiene prcticamente todos los virus conocidos y desconocidos, mediante
una tecnologa propia, denominada NOVI, que implica el control de las actividades tpicas de
un virus. Protege la integridad del sistema, acta antes de que causen algn dao o prdida de
informacin, con una amplia lnea de defensa, que combina bsqueda, deteccin de virus e
inoculacin. Utiliza diagnsticos propios para prevenir infecciones en sus propios archivos y de
archivos comprimidos. El rastreo puede realizarse manual o automticamente a partir de la
planificacin de la fecha y la hora. Tambin, posibilita reparar los archivos infectados por virus
desconocidos. Incluye informacin sobre muchos de los virus que detecta y permite establecer
una contrasea para aumentar as la seguridad.
La lista de virus conocidos puede actualizarse peridicamente (sin cargo) mediante servicios en
lnea como Internet, Amrica On Line, Compuserve, The Microsoft Network o el BBS propio de
Symantec, entre otros.
Segn la comparacin de Hispasec,7 entre las caractersticas destacables del Norton Antivirus
se encuentra la opcin LiveUpdate que automatiza la actualizacin del motor y de las nuevas
definiciones de virus de forma simultnea por Internet. Con la compra del producto, se obtiene
Soporte Gold durante un ao, que integra lnea gratuita de soporte help-desk y actualizaciones
de firmas.
El men principal se divide en estado del sistema, estado de correo electrnico, bsqueda de
virus, un apartado de informes y un mdulo de programacin para planificar tareas. Cabe
destacar la existencia de un mdulo para el anlisis de los correo que entran, as como las
opciones cuarentena y soporte de muestras sospechosas con el mismo programa.
Los resultados de este anlisis con respecto al Norton Antivirus presentan algunas
contradicciones con los publicados en otro por la revista PC World (www.pcworld.com).8
Segn esta ltima, Norton es el que mejores resultados ha ofrecido en las pruebas. Tal vez,
demora algo ms en completar el proceso de anlisis, pero detect el 100 % de los virus
utilizados, con un porcentaje muy bajo de falsos positivos.
La interfaz de usuario es muy buena, muy sencilla y fcil de utilizar. Desde un nico programa
se controlan todas las funciones, sin escatimar informacin. Aunque se puede llamar
independientemente al mdulo de actualizacin de nuevas versiones, tambin puede hacerse
desde un icono en la pantalla principal.
Despus de un proceso de instalacin algo tedioso, y que realiza un primer anlisis exhaustivo
de todos los ficheros, el sistema queda configurado con todas las opciones de anlisis
activadas. Adems de mantener activado el anlisis heurstico, tambin queda activado el
escner manual sobre todo tipo de ficheros, y es precisamente esta la causa de la tardanza en
el anlisis inicial.
Por otra parte, Norton Antivirus reconoce perfectamente las cuentas de correo que se utilizan
y permite protegerlas individualmente. Adems, pueden configurarse alertas para enviar un
mensaje a otras cuentas de correo o a otro usuario de la red.
McAFEE VIRUSSCAN
Segn M. Mansn,3 el antivirus de McAfee Associates es uno de los ms famosos. Trabaja por
el sistema de escaneo descrito anteriormente, y es el mejor en su estilo. Para escanear, hace
uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Cdigo) y CTS
(Code Trace Scanning, Escaneo de Seguimiento de Cdigo).
Una de las principales ventajas de este antivirus es que la actualizacin de las bases de datos
de strings es muy fcil de realizar. Ello, sumado a su condicin de programa shareware, lo
coloca al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuracin de
cmo detectar, reportar y eliminar virus.
En la comparacin de Hispasec,7 publicada por la revista PC Actual, en abril del 2001, McAfee
VirusScan es uno de los clsicos entre los productos antivirus y segn ella, suele ocupar
siempre los puestos punteros en sus estudios. La compaa Network Associates adquiri
McAfee y el doctor Solomons integr este producto con nuevas tecnologas para analizar los
protocolos de Internet, de forma que el mdulo VShield permite analizar el trfico con los
navegadores Netscape Navigator e Internet Explorer, as como con los clientes de Outlook
Express, Eudora, Netscape Mail, Microsoft Exchange, Outlook y Lotus cc:Mail. El producto
incluye 90 das de asistencia telefnica y actualizaciones gratuitas durante un ao.
VirusScan se presenta actualmente con una nueva interfaz algo ms futurista, con una imagen
que huye de las tpicas aplicaciones Windows, donde, sin embargo falta la extrema sencillez y
claridad de la anterior interfaz minimalista, basada en pestaas. En lo que a opciones se
refiere, adems del men de exploracin, se encuentra un planificador de tareas y una seccin
de cuarentena que permite aislar los archivos infectados y sospechosos y enviarlos de forma
automtica a los laboratorios AVERT para su anlisis.
En las pruebas, sin llegar a destacarse de forma especial, se comporta de forma adecuada,
tanto a nivel de deteccin como heurstico, y en el resto de pruebas se sita en un punto
intermedio. No se ha encontrado mejora significativa alguna en el motor con respecto a otros
aos, sigue entre los antivirus que menos formatos de compresin soporta. En definitiva,
nueva cara para VirusScan y opciones adicionales, si bien se encuentra algo estancado en la
tecnologa de su motor antivirus donde otros productos han realizado avances significativos.
En su nueva versin ofrece una interfaz nada convencional; sin embargo, incluye los controles
en el men del botn derecho del ratn, para seleccionar los ficheros que se desean revisar.
Tambin mantiene dos iconos pequeos en la esquina derecha de la barra de tareas.
La interfaz de usuario no se ajusta a los estndares actuales de ventanas, produce cierta
confusin en su uso.
Los resultados de las pruebas no fueron muy buenos. Fue capaz de detectar el 94 % de los
virus y slo present un 3 % de falsos positivos. En los virus del tipo macro, la desinfeccin fue
muy satisfactoria, al conservarse las macros operativas.
La documentacin sobre los virus no se encuentra en el CD, sino que es necesario estar
conectado a Internet para poder acceder a ella. Esto supone un problema para cualquier
usuario de un equipo que no est conectado a Internet.
Por otra parte, McAfee ofrece un servicio de desinfeccin para nuevos virus, tambin a partir
de una conexin a Internet. Puede enviarse un fichero en formato comprimido y McAfee se
compromete a limpiarlo y devolverlo en cuestin de horas desde los laboratorios AVERT Labs.
Mientras tanto, puede colocarse en cuarentena, para evitar su difusin a otros equipos.
Las actualizaciones del escner y del fichero de patrones se hacen tambin por Internet. Se
puede configurar la interfaz para arrancar una actualizacin al hacer clic con el botn derecho
del ratn. Las actualizaciones pueden hacerse de por vida. El resto de los servicios son de
carcter indefinido. Es el programa ms econmico de la esta comparacin.
SOPHOS
Sophos, con centro en Reino Unido, es uno de los fabricantes de antivirus que ms se destaca
por su especializacin en entornos corporativos y por la cantidad de plataformas que soporta.
Junto con el software, el usuario adquiere el servicio de actualizaciones peridicas, alertas y
emergencias tcnicas va correo electrnico y soporte por telfono e Internet. Nada ms
activar Sophos, se accede a una sencilla interfaz. Mediante tres pestaas, puede accederse a la
exploracin inmediata, a la agenda para planificar tareas y, por ltimo, a la configuracin de
InterCheck, el mdulo residente. En la barra de herramientas, pueden iniciarse las
exploraciones o detenerlas, entrar en el apartado de configuracin, alarmas y diccionario de
virus. Incluye una relacin de todos los virus detectados, con sus propiedades.7
Segn el estudio de Hispasec,7 si bien este software ofrece un nivel de soporte alto, se trata
sin duda del peor producto antivirus de los evaluados en el aspecto tcnico. Adems de ser
uno de los productos que obtiene los ndices ms bajos de deteccin, es el nico que no es
capaz de desinfectar ejecutables, una opcin que hoy por hoy no se concibe en antivirus
profesionales. En su lugar, este antivirus recomienda que se eliminen los ficheros afectados y
que se reemplace por una copia limpia.
La configuracin del escner es compleja, obliga a editar un fichero de configuracin, algo que
nunca podr hacer un usuario "no experto". Sin embargo, en las pruebas, ha obtenido
resultados muy buenos.
La principal ventaja de Sophos es su capacidad para trabajar en distintos entornos, como Lotus
Notes, Exchange, Novell, etc. Esto lo convierte en una seria opcin para sistemas
hetereogneos.
Norman Data Defense es su productora. Hace unos aos se integr con ThunderByte, uno de
los antivirus mticos de la poca MS-Dos por el uso de tcnicas heursticas.
En Norman Virus Control 5.0, la interfaz se renov completamente, con una filosofa basada en
tareas, mdulo de cuarentena y con la posibilidad de actualizar las firmas de virus desde el
mismo programa por Internet, como mejoras ms relevantes a primera vista en comparacin
con las versiones anteriores.
Segn Hispasec,7 en las pruebas se ha comportado con un nivel medio en general. Se destac
en pruebas como la de soporte telefnico y obtuvo los peores resultados en la consulta por
Internet. En la parte tcnica, fue muy eficiente en la prueba de instalacin en un sistema
infectado, donde ha compartido el primer puesto junto con AVP. Sin embargo, carece de una
heurstica efectiva para los nuevos formatos y mdulos de proteccin especficos para Internet
y requiere mejoras en el soporte de formatos de compresin.
Al igual que ocurre con el programa de McAfee, se presenta un icono en la esquina derecha de
la barra de tareas, con el que puede accederse a un men desde el que es posible lanzar todas
las funciones.
El producto se divide en siete programas distintos. Esto dificulta sensiblemente su uso, porque
el usuario tiene que saber para qu se utiliza cada uno y seleccionarlo cuando lo crea
oportuno. No es fcil saber cundo se est infectado y, por eso, tampoco lo es, decidir si
utilizar un programa de anlisis especfico sobre un fichero.
El programa principal es el que se emplea para hacer el anlisis manual de los ficheros.
Tambin se puede acceder desde este programa a la configuracin de cada una de las
opciones.
Existen otros programas, como Smart Behavior Blocker, cuya misin es la de analizar el
comportamiento de algn programa posiblemente infectado. A nuestro juicio, este programa
debera de integrarse en la interfaz principal, para que el usuario no se vea obligado a
averiguar para qu sirve y cmo tiene que utilizarlo.
El sistema de ayuda tambin se encuentra ntegramente en Internet. De hecho, si se selecciona
la opcin de ayuda, se obtiene una pgina HTML desde la que es posible bajar de Internet
todos los manuales del producto en formato PDF.
El control que ofrece Norman Virus Control es superior al resto de los programas probados.
Adems de permitir configurar el programa con una mayor cantidad de opciones, y de incluir
programas especficos para analizar virus de tipo Troyano, tambin puede incluso
seleccionarse fragmentos de cdigo que nos interese que el programa no entre a analizar.
Panda Software, muy popular en Espaa, lucha fuerte por imponerse a nivel internacional con
un producto avanzado y una nueva concepcin de servicios aadidos. Con la adquisicin de su
producto, el usuario obtiene durante un ao soporte telefnico 24 horas x 365 das, servicio de
desinfeccin de virus nuevos en 24 horas, actualizaciones diarias del fichero de firmas, as
como del software de la aplicacin.
A primera vista, Panda Platinum conserva la misma interfaz que se destaca por ser similar en
su concepcin a la de Outlook, sus componentes multimedia, y su integracin en los clientes
de correo. Uno de los cambios ms significativos experimentados por ella no se puede
observarse a simple vista, y se encuentra en un renovado interior para integrarse de lleno con
las nuevas especificaciones de Windows 2000.
Segn Hispasec,7 es la nica solucin con soporte telefnico real 24 x 365. En el resto de
pruebas de soporte y respuesta ante un virus nuevo tambin destaca con respecto a la media
obtenida por los productos evaluados. Si bien este ao, en relacin a comparaciones
anteriores, lo ms sorprendente son sus resultados en las pruebas de deteccin con unos
indicadores, donde destaca, en especial, un primer puesto en la coleccin de troyanos y
backdoors. Tambin es una de las pocas soluciones que contempla mdulos especficos para
Internet con anlisis a nivel de los diferentes protocolos, incluido el web, correo entrante y
saliente, ftp y noticias. Sin embargo, se ha visto algo empaado en la prueba de correo al no
soportar la desinfeccin en Outlook Express. Otro punto a mejorar es el soporte de
compresores de ejecutables.
Segn PC World,8 Panda es posiblemente el programa antivirus de mayor difusin en Espaa,
hecho perfectamente lgico, si se considera que es una empresa espaola, con una estructura
comercial grande y con un servicio tcnico en espaol.
Panda es uno de los programas ms completos y que ha obtenido mejores resultados en esta
comparacin. El porcentaje de virus detectados fue el segundo ms elevado, justo despus del
Norton Antivirus, y el nmero de falsos positivos fue el menor.
Llama la atencin la presentacin del producto, con ms manuales muy bien editados y con
mucha ms informacin que el resto. As, el usuario no depende tanto de una conexin a
Internet para obtener ayuda, que por cierto es muy extensa y clara y, adems, en el mismo
paquete incluye una breve documentacin de todos los virus que se conocen.
Panda tambin comercializa otros productos relacionados con Platinum 6.0, como el Seguro
Antivirus Global, para Exchange, Lotus Notes, Firewall y proxy.
En los materiales utilizados para el manual y las fichas tcnicas incluye un par de disquetes de
emergencia, y el sistema de ayuda es mucho ms extenso que el de otros antivirus estudiados.
F-SECURE
Segn Hispasec,7 es el detector por excelencia, es el nico producto que integra varios
motores antivirus de forma paralela, AVP y F-Prot, ambos de reconocido prestigio. Junto con el
software, el usuario recibe tres meses de soporte tcnico, actualizaciones de firmas va
Internet, y acceso al laboratorio para el envo y solucin ante virus nuevos.
Una vez ms, como es habitual, F-Secure obtuvo los mayores resultados en las pruebas de
deteccin, fruto de sumar la potencia de AVP y F-Prot en sus anlisis. Se ha apreciado una
mejora en la velocidad a la hora de escanear grandes colecciones de virus, donde en
comparaciones pasadas era particularmente lento. En el apartado de compresin recoge los
frutos del motor de AVP que incorpora. No ha destacado en ninguna de las pruebas de
soporte, no contempla la potencia heurstica que llega a demostrar AVP en su producto, y
llama la atencin la ausencia de un mdulo especfico para Internet que hace que caiga en los
resultados de este apartado.
Segn PC World,8 F-Secure es un antivirus con una gran experiencia. La nueva versin se ha
simplificado sensiblemente en cuanto a la interfaz de usuario, pero ahora resulta poco
intuitiva. Para encontrar la manera de configurar el producto no hay que acudir al men de
Inicio de Windows, sino que es necesario seleccionar el icono que se encuentra en la esquina
derecha de la barra de tareas, y a continuacin pinchar en el botn de Propiedades.
Desde el men de inicio de Windows slo pueden iniciarse los anlisis del disco, de disquete o
de un determinado directorio. Una vez comenzado el anlisis, el usuario debe tomar una
decisin sobre cada uno de los virus que encuentre. No puede seleccionarse una opcin para
continuar hasta el final sin arreglar los problemas, por que, si se escoge Cancelar, se detiene el
proceso de anlisis.
Desde las opciones, pueden seleccionarse los mtodos de anlisis a utilizar. Se combinaron
distintas opciones y, aun as, se obtuvo un resultado algo inferior al resto de los programas
analizados en el estudio. No obstante, el resultado es ptimo, y por eso es un producto
certificado por ICSA, que asegura que es capaz de detectar ms de un 95% de los virus de la
Wild List.
El costo final del programa es algo elevado. Si se compara con el resto, puede llegar a valer el
doble de cualquier otro sistema antivirus. Por ejemplo, en Espaa en todos los casos, el costo
de los sistemas es inferior a 10.000 pesetas, en el caso de F-Secure asciende a 24.900.
PC-CILLIN 7.5
PC-Cillin es la solucin para estaciones de trabajo Windows que propone Trend Micro, una
multinacional conocida por la calidad de sus soluciones antivirus en el terreno de los
servidores, toda una garanta para los usuarios domsticos. Junto con el software, el usuario
accede al servicio de actualizaciones de patrones de virus y motor antivirus, puede inscribirse
en un servicio de noticias sobre virus junto con un calendario mediante un Active Desktop que
le mantendr informado en todo momento.
El interfaz de PC-Cillin es similar a Outlook en su concepcin, con una barra de botones vertical
que permite acceder a las distintas opciones. Se destaca la posibilidad de poder enviar
muestras sospechosas a partir de la misma aplicacin y un mdulo para chequear el correo
entrante.
Segn Hispasec,7 en las pruebas de deteccin PC-Cillin ha obtenido buenos resultados, como
era de esperar en un producto que utiliza las bases de firmas de Trend Micro. Sin embargo, el
resultado en el resto de pruebas fue discreto; qued en los ltimos lugares en la prueba de
instalacin en un sistema infectado, no consigui detectar la muestra en el apartado de
heurstica, y se detectaron algunos problemas en el mdulo de anlisis por Internet, en
especial cuando se realiza a travs de un proxy por puertos no estndares.
Lo primero que llama la atencin de este producto es la cantidad de versiones para distintos
entornos incluidas en el mismo CD. Ofrece versiones para Solaris, Windows NT, Lotus Notes,
Exchange, etc. Es un producto multiplataforma.
Tambin dispone de diversos programas dentro de los CD de instalacin. Por un lado, se instala
el antivirus PC-Cillin, pero adems se encuentran productos como ServerProtect, InterScan
WebManager, ScanMail e InterScan VirusWall. Todos ellos ofrecen una solucin conjunta para
la seguridad de la red.
En PC World,8 despus de realizar las pruebas, se obtuvo una respuesta alta en lo relativo al
nmero de virus detectados. De la misma manera, el nmero de falsos positivos fue bastante
bajo, y, en general, obtuvo una buena valoracin en cuanto a fiabilidad.
El producto se integra muy bien con el cliente de correo. Despus de la instalacin, se activa la
opcin de anlisis de los POP3 del equipo, por lo que se analizar todo mensaje que llegue a
partir de ese momento, sin importar el cliente de correo que se emplee. En la versin de
Exchange, la integracin es todava mayor, porque se analizan los ficheros adjuntos a los
mensajes antes de que los reciba el usuario. Por otra parte, el Virus Wall es capaz de analizar
en tiempo real el trfico SMTP y FTP para buscar virus. Evidentemente, este anlisis debe
combinarse con el anlisis heurstico durante el rastreo de un posible virus, pero, para
entonces, no ser necesario el anlisis de patrones.
PC-Cillin es un producto a considerar cuando conviven equipos UNIX y Windows 2000 dentro
de una empresa.
AVP
Fabricado por Kaspersky Lab, el AVP, de origen ruso, es uno de los productos ms apreciados
entre los entendidos por la potencia de su motor antivirus en lo que toca a deteccin y
desinfeccin. Junto con el software, se obtiene soporte tcnico por correo electrnico y
actualizaciones diarias de las bases de virus durante un ao.
Segn Hispasec,7 AVP se destaca por presentar una de las interfaces ms sencillas y prcticas.
A su ya conocida potencia como motor antivirus, se suman unos resultados excelentes a nivel
de soporte, al ser el primero en aportar una solucin para una infeccin por virus, as como
ganar en la contestacin a una consulta realizada mediante el correo, en ambos casos con
tiempos de respuesta sorprendentes. Su peor resultado fue en el indicador de asistencia
telefnica.
En el apartado tcnico, AVP volvi a obtener buenos resultados en las pruebas de deteccin,
tal y como ocurri en comparaciones pasadas. Fue, junto con Norman, el primero en resolver
con xito la instalacin en un sistema infectado. Su heurstica tambin se ha mostrado
acertada las veces que se ha puesto a prueba, y su dominio en el apartado de soporte de
formatos de compresin es absoluto, muy por encima del resto en la prueba de compresores
de ejecutables. Su sencillez y potencia tiene en contra un punto dbil que este ao qued
demostrada: la ausencia de mdulos especficos para analizar las vas de entrada desde
Internet, con el agravante de su conflicto con Outlook Express.
Existen muchos otros sistemas antivirus, algunos de ellos de renombre internacional, como el
Inoculate IT y AVG, pero al analizar la bibliografa consultada sobre ellos,4,7,10 no se consider
de importancia su inclusin en este trabajo por no estar a la altura de los comparados. Por
ejemplo, del AVG se comenta lo siguiente: "En definitiva; un gil y aceptable antivirus gratuito
que poco tiene para envidiarle a otros que cobran por su licencia, aunque an est algo lejos
de los principales productos del gnero."9
Como resultado de la revisin efectuada con los estudios utilizados y otras pginas
especializadas, se pudo constatar que:
Los sistemas antivirus que mayor poder de deteccin han demostrado son: Norton Antivirus
(100 %), AVP (ms del 95 %), Panda (95 %), McAfee (94 %) y Norman AV (93 %).
En cuanto a la deteccin de falsos positivos, los mejores fueron, el Norton que no mostr
ninguno y el McAfee con un 3 %. Sin embargo, hay otros con un alto porcentaje, como el
Norman AV que obtuvo un 15 %.
En cuanto a la integracin con el correo electrnico e Internet, se encuentra el Norton,
McAfee, aunque presenta algunos errores en la deteccin por correo, el Panda, con mdulos
especficos para correo e Internet, aunque con algunos problemas de interaccin con Outlook
Express. Sin embargo, otros como el AVP, no presentan una buena integracin con Outlook
Express y para el anlisis de las vas de entrada desde Internet; el PC- Cillin tambin presenta
problemas con el mdulo de anlisis de Internet, el F-Secure no tiene mdulo para el anlisis
de Internet y el Norman no tiene integracin con el correo.
Norton
Interfaz sencilla.
McAfee
Sophos
Norman AV
Al presentar una gran cantidad de productos especializados permite un gran control cuando se
utiliza por expertos.
Panda
Al instalarse, la opcin de anlisis heurstico queda deshabilitada y debe ser el usuario quien la
habilite.
F-Secure
Util para redes corporativas, porque permite una distribucin y gestin centralizada.
El costo del producto es muy elevado y dobla el costo de casi todos los dems sistemas.
PC-Cillin
Buenos resultados cuando se combina UNIX y Windows 2000 dentro de una empresa.
AVP (Karpesky)
Ausencia de un mdulo especfico para analizar las vas de entrada desde Internet.
Conclusiones
De acuerdo con el propsito de una empresa determinada en relacin con la forma de trabajo
de sus computadoras, es decir, el trabajo en redes o en estaciones de trabajo independientes,
puede concluirse:
Para el trabajo en redes, puede recomendarse el uso de los siguientes sistemas antivirus: F-
Secure, PC-Cillin, y el Norman Antivirus.
Referencias bibliogrficas
Programas antivirus McAfee VirusScan 95 v3, Norton Antivirus 4.0, Panda Antivirus 5.0,
Antivirus Anyware, F-PROT Professional 3.01, ThunderByte Antivirus 8.03 y Dr. Solomon's Anti-
Virus Toolkit. Disponible en: http://www.idg.es/pcworld/articulo.asp?id=46864 Acceso: 10 de
enero del 2003.
Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus Abril 2001. Disponible en:
http://www.hispasec.com Acceso: 10 de enero del 2003.
Contreras Mejuto G. Antivirus: no salga a Internet sin ellos F-Secure Anti-Virus 5.0, McAfee
VirusScan 5.15, Norman Virus Control 5.0, Panda Antivirus Platinum 6.0, Symantec Norton
Antivirus 2001, Sophos Anti-Virus Febrero 2001 y Trend Micro PC-cillin 7.5. Disponible en:
http://www.idg.es/pcworld/articulo.asp?id=119462 Acceso: 10 de enero del 2003.
Lic. Luis Armas Montesino. Director Centro Territorial de Informacin de Ciencias Mdicas,
Artemisa, La Habana.
Hospital General Docente "Ciro Redondo" Calle 33 e/ 24 y 26, Artemisa, La Habana, Cuba.
https://sites.google.com/site/sistemaoperativositcpop/virus-informatico