I. Historia del Virus Prcticamente, desde que existen los ordenadores existen los virus informticos.

Se dice que el cientfico hngaro Louis Von Neumann con su "Teora y organizacin de autmatas complejos", expuesta en 1939, es el padre de lo que hoy se conoce como virus. En ella demostraba la posibilidad de que un programa tomase el control de otros de naturaleza semejante. A partir de ese momento cabe destacar cuatro momentos histricos que marcan el nacimiento y evolucin de los virus: 1949, Programadores de la empresa americana Bell Computer crean un juego basndose en las teoras de Neumann, al que llamaron CoreWar, y que consista en activar programas dentro de un ordenador de forma que iban agotando poco a poco la memoria del mismo, hasta llegar a su bloqueo total. 1972, Aparece el considerado primer virus, Creeper, creado por Robert Thomas Morris, que atacaba los computadores de la marca IBM, y cuya accin era mostrar en pantalla un mensaje. Como respuesta se crea el primer software antivirus, llamado Reaper, que desinfectaba los ordenadores atacados por este virus. 1983, Keneth Thompson, creador del sistema operativo UNIX, volvi a retomar las teoras de Neumann, demostrando la forma de desarrollar virus informticos. A partir de ese momento se produce una verdadera revolucin en el mundo de la creacin de programas de este tipo. 1986, aparecen los primeros virus que infectaban ficheros del tipo EXE y COM. Por esa poca empez a ganar popularidad el sistema precursor de Internet, ARPANET, y comienza la difusin de virus por este medio. Actualmente se manejan cifras de 500 nuevos virus en Internet cada mes. II. Qu son los virus informticos? Definicion Un virus de computadora, por definicin, es cualquier programa (o cdigo) capaz de auto duplicarse. Por lo tanto, los virus tambin incluyen algo que los torna muy peligrosos: funcin de destruccin. La funcin de destruccin es la parte del virus que puede destruir la vida del usuario. Esta puede borrar toda la informacin de su disco duro, destruir su "boot sector" o cambiar su formato de trabajo de Word o Excel. Tambin puede hacer que su sistema quede bloqueado o crear algunos "efectos especiales" interesantes de ver, como letras que caen por la pantalla del micro. Para poder recuperar el sistema despus de un ataque, no es de forma ninguna interesante. Necesitar de mucho trabajo, ser caro y tomar mucho tiempo su recuperacin. Son programas que se introducen en nuestros computadores de formas muy diversas. Este tipo de programas son especiales ya que pueden producir efectos no deseados y nocivos. Una vez el virus se haya introducido en el computador, se colocar en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que no se ejecuta el programa infectado o se cumple una determinada condicin, el virus no acta. Incluso en algunas ocasiones, los efectos producidos por ste, se aprecian tiempo despus de su ejecucin (payload). Sntomas de Virus Si presenta algunos de los siguientes sntomas la PC, lo ms seguro es que tenga un virus. Por lo tanto, debemos tomar medidas como revisar la computadora con un buen antivirus. a) La velocidad de procesamiento y la perfomance del equipo se vuelve lenta. b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor 1

extensin, posiblemente tambin los macro virus, una vez que hayan cumplido con su efecto reproductor o daino. El COMMAND.COM es infectado en primer lugar, pero como la funcin del virus es la de seguir infectando, ste contina operando. Los archivos ejecutables siguen existiendo pero sus cabeceras ya han sido averiadas y en la mayora de los casos, su extensin se han incrementado en un determinado nmero de bytes. c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogr el COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter". d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogr la Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification". e) Los archivos ejecutables de los gestores de bases de datos como: dBASE, Clipper, FoxPro, etc. estn operativos, sin embargo las estructuras de sus archivos DBF estn averiadas. Lo mismo puede ocurrir con las hojas de clculo como: Lotus 123, QPro, Excel, etc., o con el procesador de textos MSWord, hojas de cculo de MSExcel o base de datos de MSAccess (macro virus). f) La configuracin (setup) del sistema ha sido alterado y es imposible reprogramarlo. Virus como : ExeBug, CMOSKiller o AntiCMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS. g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar "reseteos" aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS que han sido infectados. h) Ciertos perifricos tales como: la impresora, mdem, tarjeta de sonido, etc., no funcionan o tienen un raro comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable Peripheral Interfase). i) La pantalla muestra smbolos ASCII muy raros comunmente conocidos como "basura", seescuchan sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives. j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemn "CASCADA". k) La memoria RAM decrece. l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan Caracterisiticas Un virus informtico acta y posee las mismas caractersticas fundamentales que un virus biolgico, de ah su nombre. Es un programa que tiene la capacidad de copiarse o reproducirse a s mismo y esta es la cualidad que lo define. Infecta un sistema, se reproduce en sus archivos y se esconde en ellos en estado latente. Cuando esos archivos contacten con un nuevo sistema, aprovechar el momento adecuado para infectarlo y continuar un nuevo ciclo. Estn formados por poca cantidad de cdigo, ya que el tener un tamao mnimo es fundamental para evitar ser detectados y eliminados. Estos programas tienen por caractersticas: a) Autoreproduccin: Esta es la capacidad del programa de sacar una copia de s mismo sin consentimiento del usuario. b) Infeccin: Esta es la capacidad del programa de alojarse por si mismo en otros programas, diferentes al que lo portaba.

Dependiendo del tipo de virus tambin pueden: Daar archivos Estos archivos siguen existiendo, pero la informacin que contienen no tiene sentido alguno, o bien no existe. Daar discos: Esto va tanto a los disquettes como a los discos duros, existen virus que sobrecalientan los discos, que los aceleran para disminuir su tiempo de vida, que los rayan (a fuerza de tanto leer sobre ellos), etc. Daar estructura del disco: Esto es, que ni los archivos, ni los disquettes son daados de uno por uno, sino que simplemente "formatean" el contenido del disco. Un virus puede destruir la FAT del disco duro, borrarlo total o parcialmente, modificar o destruir ficheros importantes para el ordenador, cambiar algn aspecto grfico (ej: mostrar una imagen o mensaje en pantalla o cambiar la disposicin de los iconos del escritorio), etc... Pero en realidad, no tiene porqu ejecutar una accin directamente daina para el ordenador infectado, eso depende de las instrucciones que le haya dado su creador. De todos modos, por el simple hecho de replicarse ya resulta perjudicial pues esa accin ira ralentizando el equipo, hasta el punto que la capacidad de proceso se ver seriamente daada. Cuando el virus se carga en memoria no necesariamente empieza su misin contaminante, muchos de ellos quedan a la espera de que ocurra un evento determinado para su activacin. Por ejemplo, el famoso virus Viernes 13, espera a que el reloj interno del ordenador infectado marque un da 13, que sea viernes, para activarse. Una caracterstica comn a todos los virus es que no se activan por s solos, dependen siempre de un fichero ejecutable, en el que viajan. Cuando este es ejecutado por el usuario o por el sistema, el virus es cargado en memoria y entonces realiza las dos tareas indispensables para l: buscar otros programas ejecutables, discos duros o disquetes a los que infectar y autocopiarse en ellos. Este programa anfitrin del virus puede ser desde un juego hasta una simple macro, pasando por toda la gama de ficheros que contengan cdigo ejecutable. Al principio la va principal de expansin de los virus eran los disquetes flexibles, incrustados en su sector de arranque, de tal forma que cuando se usaba como disco de inicio, o se arrancaba el ordenador con este introducido en la disquetera, el virus se haca con el control de equipo. Con la llegada de nuevas tecnologas como los CD Rom empez la contaminacin con ficheros ejecutables, generalmente del tipo .exe, .com o .bat., y ltimamente como macros. Finalmente la aparicin de internet les ha abierto nuevas vas como el correo electrnico, programas descargados, agujeros de seguridad (bugs) en los sistemas operativos y grandes aplicaciones e incluso aprovechando los lenguajes de internet que permiten la ejecucin de secuencias de comandos a nuestras espaldas (VBScript, Activex e incluso JavaScript). III. Clasificacin de los virus La variedad de virus existentes hoy en da, no slo prueba que sus autores provienen de una gran lista de expertos en programacin, sino que tambin son altamente creativos. Genericos Furtivos Muntantes Recombinables "Bounty Hunter" Especficos para redes De sector de arranque Multipartitivos De Macro Virus de Internet Virus Falsos (Hoaxes)

 GENERICOS (virus de archivo) Los primeros virus en ganar popularidad fueron los contaminadores "genricos" (tambin conocidos como parsitos o virus de archivo). Estos programas son verdaderamente pequeos con menos de 4k de contaminadores genricos que viven como un parsito dentro de un archivo ejecutable. De hecho, stos aparecen como infiltrados en algn lugar dentro de un programa. Cuando el programa es copiado, el virus asume el control del sistema y despus de asumirlo, generalmente busca otros archivos ejecutables para enviarles una copia de s mismo. Cuando ataca otro archivo puede anteponerse a ste; o sea, se coloca antes del archivo y agrega una instruccin `jump; tambin puede anexarse (colocarse al final del archivo y agregar una instruccin "jumpal principio) o simplemente puede reescribir el cdigo de "insertar" dentro del "archivovctima". As mismo, un virus genrico puede propagarse con bastante rapidez y los usuarios ni siquiera percibirn retrasos al momento de cargar sus programas. Como la mayora de los virus, los genricos acechan al sistema esperando que alguna condicin sea satisfactoria; esta condicin puede ser la fecha del sistema o el nmero de archivos en un disco. Cuando esta condicin (conocida como catalisadora) se presenta, el virus inicia su rutina de destruccin. Los virus genricos son relativamente fciles de percibir, ya que stos no se modifican a s mismos y pueden ser fcilmente localizados a travs de un programa rastreador. Adems de que stos dejan rastro; cada vez que un virus genrico infecta otro archivo, el tamao del archivo puede aumentar. Furtivos (stealth) Los virus furtivos son variaciones de los virus genricos; estos evitan que sean detectados guardando una copia de la informacin del archivo en el disco. Cabe mencionar que una vez que el virus est en la memoria, ste puede provocar una variedad de operaciones. Por lo tanto, cada vez que se teclee "DIR", podr obtenerse una lista de los archivos anteriores antes de haber sido infectados por el virus. En verdad, las tcnicas de los virus furtivos son mucho mas complejas que esto, sin embargo, todos evitan la deteccin explorando las interrupciones de DOS. Mutantes. La industria antivirus apenas comienza a verlos en grandes cantidades y apenas pocos desarrolladores de antivirus han tenido xito en derrotar los virus mutantes. Los virus mutantes funcionan de la siguiente manera: se ocultan en un archivo y son cargados en la memoria cuando el archivo es ejecutado y en lugar de hacer una copia exacta de ste cuando infecta otro archivo, ste modificar la copia cada vez que sea ejecutado. A travs del uso de "aparatos de mutacin" (que en verdad son "buscadores de cdigos al azar"), los virus mutantes pueden generar millares de copias diferentes de ellos mismos. Ya que la memoria de los programas rastreadores trabajan intentando distinguir patrones consistentes y reconocibles, los virus mutantes han sido capaces de evitarlos. Seguramente, cualquier rastreador de virus producido antes de enero de 1993 no ser capaz de detectar los virus mutantes. Recombinables Estos virus que en su mayora son experimentales pueden constituir una gran amenaza en los prximos aos. De la misma manera que un hombre y una mujer combinan su cdigo gentico el tener un hijo, estos virus se unen, intercambian sus cdigos y crean nuevos virus. La mayora de estos virus no funcionan directamente (el lenguaje Assembly no tiene los atributos del DNA), mas sin embargo, algunos de stos contienen rutinas destructivas muy peligrosas o nuevas tcnicas de reproduccin. Son virus difciles de ser previstos debido a que cambian constantemente, imitando el proceso de seleccin natural y evolucin biolgica. Afortunadamente, muy pocos de este tipo andan sueltos. "Bounty Hunter" o cazador de cabezas Un "bounty hunter" es alguien que ha sido pagado para encontrar y matar a una persona especfica. Los virus "bounty hunter" funcionan de la misma manera, sin embargo, en vez de matar personas, se dirigen a un cierto producto antivirus. Como no es imposible que un autor de virus examine un determinado producto para descubrir alguna debilidad en el producto, ste podr crear un nuevo virus que aprovechar esta debilidad para dispersarse y hacer estragos. Especficos para redes. Las redes son lugares ptimos para que los virus se dispercen, ya que la mayora de los virus, de hecho, no consiguen operar en un ambiente de red. Sin embargo, fueron descubiertos algunos virus flotantes que actan como programas NLM y logran el acceso a la red coleccionando passwords (contraseas). Despus de lograr el acceso se reproducen y dispersan daos rpidamente. Este tipo de virus es extremadamente peligroso. 4

 DE "BOOT" (virus de sector de arranque) El virus de "boot" solamente podr propagarse a travs de disquetes. Si hubiera un disquete en el drive A, el sistema intentar cargar a DOS en ese disquete. Los Virus de "boot" se localizan en la seccin del disquete que es cargado en la memoria en el momento de la inicializacin ("boot"). As mismo, el virus de "boot" alcanza la memoria antes que otros programas sean cargados. Por lo tanto, nunca deber "dar el boot" desde un disquete a no ser que se est absolutamente seguro de que ste est limpio. Una vez que un virus de "boot" alcance la memoria, identificar las interrupciones de DOS y reinfectar los nuevos disquetes que sean colocados en los drives. Es difcil que el virus de "boot" sea detectado por los usuarios aunque estos puedan ser distinguidos por programas rastreadores con relativa facilidad. El MSDOS 5.0 introdujo algunas herramientas que pudieran auxiliar a los usuarios a remover estos virus aunque no ofrezcan proteccin contra infecciones. MULTIPARTITIVOS Estos virus tienen las caractersticas tanto de aquellos del sector "boot" (de arranque) como de aquellos genricos (de archivos). DE MACRO Estos representan alrededor del 80% de la infeccin de virus registrados de acuerdo con la "NCSA" (National Computer Security Association) y son los virus de mayor expansin en la historia de la computacin. A diferencia de otros tipos de virus, los macro virus no son especficos de un sistema operativo y se dispersan fcilmente a travs de consumibles de emails como disquetes, redes, copia de archivos, as como de cualquier otra aplicacin. Un macro es un conjunto de instrucciones que ejecutan una tarea, generalmente rutinaria y activada por alguna aplicacin especfica. Los macro virus son especficos para cada aplicacin. Estos infectan macroutilidades que acompaan a dichas aplicaciones como son las de Microsoft Office, por lo que un macro virus de Word no puede infectar un documento Excel y viceversa, por lo contrario, estos pueden infectar cientos de archivos an cuando la aplicacin est siendo utilizado, ya que los macro virus viajan entre archivos de datos a travs de las aplicaciones. Los macro virus son escritos en cualquier lenguaje de programacin de macro (ejemplo: WordBasic y VisualBasic) y son relativamente fciles de crear. Desde puntos diferentes, estos pueden infectar archivos durante su uso cuando este se abre, salva, cierra o borra. Una grande ventaja de los macro virus sobre los dems, y que explica su expansin, es la facilidad de programacin. Una de las tareas ms complicadas de la programacin de un virus convencional (archivo o arranque) es la bsqueda dentro de la estructura de directorios y apertura de archivos, infectar y controlar el sistema infectado. Con la programacin de macros, localizar y abrir un archivo es una operacin echa por una nica instruccin macro. Otro aspecto muy fuerte, que facilita la programacin, es mantenerse residente en memoria para poder controlar el sistema en todo momento. Los virus de macro tienen la facilidad de infectar un solo archivo: NORMAL.DOT, este archivo es la base de funcionamiento de las aplicaciones Microsoft Office, as el control de la aplicacin ya est hecho. Los Macro virus estn utilizando tcnicas avanzadas de Polimorfismo, ocultamiento (stealth) y encriptacin. Las macros ms utilizadas por los macro virus son: AutoExec, AutoOpen, AutoClose, FileSave y FileSaveAs. Este tipo de virus, como ya hemos comentado, actan sobre los documentos, hojas de clculo o libros, bases de datos y/o presentaciones con macros. Por lo tanto, su objetivo sern los ficheros creados con herramientas que permiten utilizar macros. Esto quiere decir que no existe un slo tipo de virus de macro, sino uno para cada tipo de herramienta: No obstante, no todos los programas o herramientas que permitan la gestin de macros sern objetivo de este tipo de virus. Las herramientas que son atacadas por los virus de macro, deben cumplir una serie de condiciones: Las macros pueden transportarse (a travs de cualquier medio) de un ordenador a otro, por estar incluidas en el propio fichero infectado (documento, hoja de clculo, presentacin, base de datos,...). Se pueden obtener, incluir y utiliza en un fichero las macros que se han creado e incluido en otros. Las macros pueden ejecutarse automticamente (al abrir o cerrar el fichero, por ejemplo), sin que esto dependa del usuario.

IV. Ficha de 7 tipos de virus Michelangelo Natas Jerusaln MSWord_Concept Jetdb_Access1 Byway.A Nuevo troyano Back Orifice 2000 Michelangelo Es un virus de sector de arranque con 512 bytes. Infecta tanto al sector de arranque de disquetes y "master boot record" de discos duros. Las infecciones ocurren cuando el sistema se incializa desde un disquete infectado previamente; el virus carga su programa virulento en la memoria y una vez residente en la memoria, Michelangelo puede infectar todos los disquetes no protegidos al ser accesados en la computadora. Adems de infectar, Michelangelo contiene una rutina destructiva; cada 6 de marzo este virus amenaza con borrar todos los archivos que se encuentren dentro del sistema infectado. Alias: Michelangelo A, Stoned.Michelangelo, Stoned.Daniela, Daniela, Michelangelo1, Michelangelo2. Natas. Es un virus polimorfo y multipartitivo con 4744 bytes. Infecta archivos de programas (*.COM y *.EXE), desde los sectores de arranque (boot) a partir de disquetes y "master boot record" a partir del disco duro. La infeccin toma lugar cuando el sistema es inicializado desde un disquete infectado o al trabajar en un archivo previamente infectado. Una vez que esto ocurre, el virus cargar su programa virulento en la memoria; desde aqu el virus podr infectar archivos programados y disquetes no protegidos. Las tcnicas furtivas tambin estn presentes en Natas, las cuales dificultan a los usuarios detectar sectores de arranque, "master boot record" y archivos al momento de irse infectando. Alias: Satan, Sat_Bug.Natas, Sat_Bug, Natas.47404988, Natas.mp4744a, Natas.4744, Natas1. Jerusaln . Es un virus de archivo, infecta archivos *.COM y *.EXE, tiene entre 1808 y 1923 bytes. La infeccin ocurre cuando un archivo infectado es ejecutado. El virus est programado para cargar las rutinas virulentas en memoria. Una vez residente en memoria, el virus puede infectar los archivos ejecutables cuando estos son accesados. Los archivos *.COM son incrementados de 1808 bytes. Los *.EXE son incrementados entre 1808 y 1823 bytes siempre que el archivo es utilizado. Esto ocurre hasta que el archivo *.EXE ya no puede ser cargado en la memoria. Jerusaln adiciona dos rutinas en memoria. La primera es ejecutada 30 minutos despus de la infeccin. El virus hace que su mquina sea ms lenta progresivamente. La segunda rutina es ms maliciosa y borrar cualquier programa iniciado en Viernes 13, de cualquier ao. Hay muchas variaciones del virus Jerusaln. Alias: Jerusaln.1808.Estndar, 1813, Friday 13th, Jeru.1808, Israeli, PLO, Anticad.3004. MSWord_Concept Cada vez que un documento infectado es abierto el virus entra para residir aadiendo algunos macros en el ambiente de Word infectando el NORMAL.DOT. Una vez activo el virus, todos los documentos guardados a travs del comando "Save as.." sern infectados. Los sntomas incluyen nicamente el poder guardar los archivos en el directorio de machotes (template: *.DOT). El virus abre una caja de dilogo, solamente en la infeccin inicial, con el nmero 1 y un botn de OK. Jetdb_Access1. Este es el primer virus conocido para Microsoft Access Database. Este virus parece haber sido creado el 7 de marzo de 1998, tiene solamente un macro con nombre 6

AUTOEXEC, no est encriptado y tiene 12.288 bytes. El autor del virus se denomina "Jerk1N" y declara ser afiliado a una organizacin denominada "DIFFUSION Virus Team". Una evaluacin del cdigo del virus indica que cuando una base de datos infectada es abierta, el virus buscar todos los archivos MDB y los infectar, sin embargo, no presenta ninguna rutina daina. Este virus tambin puede infectar los archivos doublebyte Microsoft Access 97 utilizando el lenguaje Chino o Japons. Byway.A Alias: Amstrad FamilyDir2.Byway, DirII.TheHndv, Byway, Chavez. Es reparable. Su fecha de aparicion fue el 1 de septiembre del 1991 en Venezuela, tiene un tamao de 2048 Bytes, no esta incluido en la lista de In The Wild. Byway es un virus de MSDOS que infecta ficheros ejecutables con extensiones EXE y COM. Se trata de un virus de enlace, siendo poco comn, aunque su propagacin es muy rpida debido a la forma que emplea para infectar. La caracterstica ms destacable en este sentido es la rapidez con la que infecta todos los ficheros ejecutables que se encuentren en el disco duro. Utiliza tcnicas de polimorfismo, stealth y tunneling. Los efectos o payload que produce dependen de la fecha que en ese momento tenga el sistema. Todos los requisitos que se deben cumplir al mismo tiempo para que Byway se active, son los siguientes: Fecha posterior al ao 1996. Da del mes igual al doble del numero del mes ms dos. Es decir: Da del mes = (Numero de mes * 2 )+2 Si ambas condiciones se cumplen, el virus muestra un mensaje por pantalla con un texto, mientras hace sonar un himno cada tres horas en punto. Es decir, en las siguientes horas: 3:00, 6:00, 9:00, 12:00, 15:00, 18:00 y 21:00. Nuevo troyano Back Orifice 2000 En sistemas Windows, BO2K permite la administracin remota del PC de otro usuario .Back Orifice 2000, la nueva versin del conocido troyano que, a travs de Internet, permite a cualquier atacante robar archivos, passwords y el control total del ordenador, ya se est distribuyendo por el ciberespacio. En principio, todo parece indicar que se trata de una versin preliminar que infecta Windows 95 y 98 y, a diferencia del primer Back Orifice, tambin se integra en Windows NT. Back Orifice es obra de un grupo de hackers que se hace llamar Cult of the Dead Cow (el Culto de la Vaca Muerta). La nueva versin del troyano ha sido presentada en Def Con 7, congreso de hackers y gentes del mundo underground que se ha celebrado en Las Vegas el pasado fin de semana. Justamente, en la edicin anterior de Def Con fue cuando Cult of the Dead Cow present el primer Back Orifice. Back Orifice 2000 puede ser ms peligroso que su predecesor. Dado que junto con los binarios est disponible, pblicamente, el cdigo fuente del programa, cualquier persona con conocimientos de programacin puede modificar este troyano y crear una versin diferente o, incluso, nuevos programas dainos. Adems, y segn han anunciado sus creadores, es ms difcil de detectar porque hace uso de criptografa fuerte para las comunicaciones. Por este motivo, existen dos versiones de Back Orifice 2000: una para Estados Unidos en la que se utilizan algoritmos de encriptacin TripleDES o uno simple basado en XOR y otra internacional, en la que slo est disponible la correspondiente a un algoritmo basado en XOR, debido a las restricciones americanas sobre exportacin en materia de criptografa. Back Orifice 2000 puede llegar en un mensaje de correo electrnico que lleva anexado un fichero o ser descargado a travs del chat, las news, la web o cualquier otro servicio de Internet. Cuando el usuario lo abre, el troyano se instala en el ordenador de la vctima como "servidor". Esta parte del programa maligno, que se instala en el equipo infectado, es totalmente configurable y en l se pueden definir varios parmetros, como los puertos que se utilizarn para acceder a la mquina que actuar 7

como servidor; las passwords que el usuario externo utilizar para acceder al mismo o el tipo de encriptacin utilizada (XOR o TripleDES). Gracias a Back Orifice 2000, el atacante puede controlar, de forma remota, el equipo infectado cuando ambos se encuentran conectados a Internet. Entre los 70 comandos que el atacante puede realizar de forma remota figuran los siguientes: Ocultar la actividad del servidor, para que el usuario de la mquina atacada no tenga constancia de la actividad del hacker. Borrar el fichero de instalacin original, con el objetivo de dificultar la deteccin del troyano. Reiniciar la mquina remota. Bloquear el ordenador atacado. Listar passwords de usuarios. Recopilar informacin sobre la mquina atacada: nombre de la misma, usuario en activo, procesador, versin del sistema operativo, memoria y todos los drivers remotos. Listar los recursos compartidos de una red local. Comenzar o parar la ejecucin de un proceso. Modificar el registro de Windows. Buscar, copiar, modificar, grabar, borrar, mandar, recibir y ver ficheros y directorios. Abrir/Cerrar el servidor instalado en la mquina remota. Listar, cargar y borrar plugins de Back Orifice. A pesar de tratarse de un troyano, la nueva versin de Back Orifice dispone de una opcin que permite ejecutar el servidor a la vista, de manera que el programa maligno pueda usarse abiertamente, con conocimiento del usuario. V. Como evitar los Virus? 1. Sospecha de los programas activos todo el tiempo (residentes en memoria). Los virus tienen la mala costumbre de quedarse en memoria para realizar sus fechoras. 2. Sospecha de cualquier programa gratuito (shareware, freeware; fotos, videos, rutinas, patchs) que bajes de Internet. Los fabricantes de virus colocan frecuentemente en estos sus nocivos productos. 3. Obtn una lista de los virus mas comunes y verifica contra esta lista cualquier programa nuevo que tengas. 4. Fjate en el tamao de los archivos del sistema [COMMAND.COM principalmente]. Sospecha si es diferente del original. 5. Haz una copia de la tabla FAT y CMOS si te es posible. Te ahorrar mucho tiempo, dinero y esfuerzo el copiarla de nuevo si algn virus la da. 6. Al estar buscando un virus, y si tienes disco duro, bloquea el acceso a este temporalmente. 7. Actualiza mensualmente tu AntiVirus. Si no lo tienes puedes conseguir una copia gratuita en: Symantec, McAfee, IBM, por mencionar algunos. VI. Los Antivirus Una consecuencia del nacimiento y proliferacin de los virus ha sido el desarrollo de una gran industria paralela, la de los antivirus. Son programas creados para la bsqueda, localizacin y eliminacin de virus, troyanos y dems software daino. Es necesario contar con un buen 8

programa antivirus que est activo y vigilante siempre. Hay que mantenerlo constantemente actualizado pues da a da se descubren nuevos virus. Si un software antivirus nos alerta de que ha encontrado un posible virus, lo mejor que podemos hacer es dejarle que lo elimine, pues es preferible perder algn dato que dejar que nuestro ordenador se infecte totalmente. Hay que tener en cuenta que un programa antivirus no es un arma infalible contra todos los virus. Conviene, si es posible pus tener instalados varios antivirus y complementar su accin por medio de firewalls (programa cortafuegos que limita los accesos de informacin a nuestro ordenador) y otras aplicaciones de seguridad. Pero, a pesar de disponer de todos los sistemas, ninguno de ellos puede garantizarte una fiabilidad completa por lo que el mejor mtodo sigue siendo la prevencin, sigue siempre a rajatabla estas reglas: Nunca abras ningn ejecutable que no conozcas, y as y todo, mejor pasarlo antes por un antivirus actualizado. Nunca arranques el ordenador con disquetes introducidos. Cualquier disquete que no sea tuyo y vayas a utilizar, debes analizarlo antes con un antivirus. Nunca abras un correo electrnico de alguien que no conoces, elimnalo, y an conocindolo pasa primero tu antivirus antes de abrir cualquier mensaje. Nunca abras ningn archivo descargado de internet sin haberle pasado el antivirus, aunque te hayan garantizado que esta libre de virus. Actualiza tu sistema operativo constantemente. Las empresas y grupos de usuarios van lanzando peridicamente parches que corrigen sus defectos de seguridad. Este proceso de actualizacin debe incluir tambin a las aplicaciones ms comunes, como Office o los programas de correo electrnico. Si deshabilitas Java cerrars una de las posibles vas de infeccin, as como cualquier otro lenguaje que permita la ejecucin de secuencias de comandos (VBScript, Activex e incluso JavaScript).A cambio perders funcionalidad en el sistema, ya que estos comandos son imprescindibles hoy en da para poder ejecutar y/o visualizar multitud de aplicaciones y pginas web. VII Concepto y funcin de Antivirus Los programas antivirus son una herramienta especfica para combatir el problema virus, pero es muy importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia no combate a los virus. Cuando se piensa en comprar un antivirus, no se debe perderse de vista que, como todo programa, para funcionar correctamente, debe esta bien configurado. Adems, un antivirus es una solucin para minimizar los riesgos y nunca ser una solucin definitiva, el principal es mantenerlo actualizado. La nica forma de mantener su sistema seguro es mantener su antivirus actualizado y estar constantemente leyendo sobre los virus y las nuevas tecnologas. La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. ste es el aspecto ms importante de un antivirus, pero, las empresas deben buscar identificar tambin las caractersticas administrativas que el antivirus ofrece. La instalacin y administracin de un antivirus en una red es una funcin muy compleja si el producto no lo hace automticamente, pero eso no es el tema de ese artculo. Es importante tener en claro la diferencia entre "detectar" e "identificar" un virus en una computadora. La deteccin es la determinacin de la presencia de un virus, la identificacin es la determinacin de qu virus es. Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su capacidad de deteccin, pues las capacidades de identificacin estn expuestas a muchos errores y slo funcionan con virus conocidos. Nunca seremos contaminados por virus cuando abrimos un archivo grfico, un archivo de texto plano o porque en nuestro ordenador se instalen cookies, pero ante cualquier duda o en atencin a los sitios que visitemos debemos actuar con la mxima prudencia.

Identificacin. El modelo ms primario de las funciones de un programa antivirus es la deteccin de la presencia de un virus y, en lo posible, su identificacin. La primera tcnica que se populariz en los productos antivirus fuera la tcnica de rastreo (scanning). Los rastreadores antivirus representan la mayora de los productos de actualidad. La desventaja de los rastreadores es que stos no consiguen reconocer los virus "desconocidos"; o sea, todo nuevo virus necesita ser descubierto y analizado antes de que un rastreador pueda reconocerlo. La velocidad de actualizacin de un rastreador depende en mucho de los laboratorios de cada fabricante; cuantos mas laboratorios haya en el mundo, mas ingenieros investigadores locales estarn trabajando en la localizacin de un virus, haciendo as un trabajo mas rpido y eficiente para la solucin del antivirus. Rastrear es el mtodo conocido para localizar un virus despus de que ste haya infectado un sistema. Cabe mencionar que los rastreadores tambin pueden identificar los virus por nombre, mientras otros mtodos no pueden. Deteccin. Debido a las limitaciones de la tcnica de rastreo, los productores de programas antivirus han desarrollado otros mtodos para deteccin de virus informticos. Estas tcnicas buscan identificar los virus por funciones bsicas comunes en los virus, reconociendo el virus por su comportamiento y no por una pequea porcin de cdigo como hace los rastreadores. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dainas pertenecientes a un virus informtico. El mtodo de monitoreo del sistema (tambin conocido como rulebased) es la mejor alternativa de proteccin en tiempo real para PCs individuales o para estaciones de trabajo. Estos sistemas antivirus permanecen residentes en la memoria y quedan a la expectativa en caso de actividades virulentas. Por ejemplo, si un programa en memoria intentara infectar un archivo en el disco, un producto antivirus de monitoreo de sistema percibir dicho intento y alertar al usuario. Cuidados. La configuracin mas adecuada para proteger su computadora, es la combinacin de un sistema de monitoreo del sistema mismo, acompaado de un rastreador de alta tecnologa apoyado por un soporte tcnico de ingenieros especializados en combatir virus con un reconocimiento y concepcin de actualizaciones lo mas rpidas y eficientes posibles. Algunas caractersticas operacionales son muy importantes: Monitor en "Real Time" El monitor "real time" examina automticamente todos los archivos que entren y salgan antes que sean abierto o ejecutados. Si encuentra un archivo infectado, podr limpiarlo automticamente. El monitor "real time" esta constantemente examinando su sistema mientras usted trabaja normalmente, para detener cualquier virus que se ejecute antes de que pueda producir algn dao. Limpieza El antivirus debe ofrecer la opcin de mantener una copia del archivo infectado durante la limpieza. La limpieza de un virus de un archivo puede causar algn dao y la recuperacin puede no ser bien sucedida, con una copia se puede entintar una nueva limpieza o enviar el archivo para un "virus hospital" para ser limpiado por "virus doctors" (www.antivirus.com) Rastreo de archivos compactados

10

Cuando busca un antivirus identifique cuantos procesos de compactacin conoce, es muy importante que el producto conozca el mayor nmero de mtodos posibles. Proteccin para virus de Internet Los virus de Internet deben ser una de las principales preocupaciones del usuario. El antivirus debe tener una proteccin activa cuando esta navegando por la Internet. Esta proteccin debe impedir el usuario de ejecutar un Java applet o controles ActiveX que pueden causar daos en su sistema. A continuacin se pondran algunos ejemplos de los mejores Antivirus que existen hoy en da; y su direccin en la web, para que puedas bajar una versin de prueba. El legendario Norton Antivirus, uno de los mejores softwares, para la eliminacin de virus informaticos. Puedes conseguir una versin de prueba en: www.symantec.com Panda Antivirus, de la compaia Panda Software, catalogado por muchos como "el mejor", posee una excelente interfaz grafica, facil de usar, y se puede actualiazr gratis por internet. Puedes bajar una antivirus de prueba en: www.pandasoftware.com Y por ltimo hemos dejado, a uno de los ms conocidos softwares antivirus, el Dr Solomon Antivirus Toolkit; ahora en su presentacin para windows95 y windows98, tambin posee proteccin para internet y correo electronico, sin olvidar la proteccin bajo modo MSDos. Puedes bajar una versin de prueba en: www.DrSolomon.com 4

11