Professional Documents
Culture Documents
Si usted an no fue contaminado, es porque tiene mucha suerte o porque aplica todas las reglas de profilaxis aconsejadas. Los blancos privilegiados de los virus son los discos, el disco duro, pero tambin los disquetes. Muchos desperfectos aparentes tienen como nico origen un ataque viral. El mantenimiento preventivo, al igual que la solucin de desperfectos, debe comenzar siempre que el sistema lo permita por una deteccin sistemtica de virus, y continuar por la erradicacin del virus, en caso de que se haya detectado alguno. Recin luego se pasar a las dems operaciones y a las reparaciones. Por este motivo es importante disponer de un buen programa antivirus, y que est actualizado con los virus existentes.
Captulo 1: Qu es un virus?
Un virus informtico es un breve programa que se autorreproduce, capaz de propagarse en forma autnoma. Segn lo que su creador haya previsto, provocar ms o menos dao en el sistema que haya infectado. Los daos que provoca son siempre a nivel del software, y van desde la simple presentacin en pantalla de algn mensaje, hasta el reformateo completo del disco duro, con la prdida de todo su contenido. Con frecuencia el virus infecta a los archivos ejecutabas. Otras veces se carga en la memoria central e infecta a todos los archivos ejecutables que se presenten, volvindolos inutilizables. Las fuentes de infeccin son muchas: Si usted ejecuta en su sistema un disquete que tenga el sector de inicio infectado, lo contaminar.
Si usted carga un archivo ejecutable infectado a partir de un disquete, tambin contaminar a su sistema. Una red que tenga al menos un puesto de trabajo infectado, podr contaminarse por completo en muy poco tiempo. Cualquier otra fuente de programas ejecutables podr infectar el sistema, por ejemplo un server. En consecuencia, no crea que por el hecho de suprimir las unidades de disquete de un puesto de trabajo se encontrar a salvo de la contaminacin. Los disquetes infectados no siempre son disquetes de origen dudoso, por ejemplo de juegos, sino que a veces tambin son disquetes de programas que provienen de grandes editores insospechables, que no han tomado todas las precauciones necesarias. Los ejemplos abundan. En Francia, por ejemplo, todo el mundo qued sorprendido al saberse que una importante revista de informtica haba distribuido un disquete publicitario que estaba infectado.
Virus de archivos: agregan su cdigo al de los archivos ejecutables (con la extensin EXE, COM, SYS, etc.) y a partir de all se cargan en la memoria central para contaminar a los dems programas. Pueden hacer que esos programas se vuelvan inejecutables. Virus furtivos: son virus que escapan a la deteccin escondindose. Uno de los mtodos de deteccin consiste en registrar la longitud de un programa; luego si un virus le agrega su cdigo, se lo podr detectar fcilmente por simple comparacin. Un virus furtivo se las arreglar para que se vea siempre la misma longitud, sustrayndose, por ejemplo cuando se hace un DIR. Virus polimorfos: son an peores, ya que un virus polimorfo modifica su aspecto cada vez que contamina un nuevo archivo. Virus encriptados: modifican su cdigo, lo que hace an ms difcil su deteccin. A los anteriores se les suman: Caballo de Troya: un caballo de Troya, haciendo referencia a la mitologa, es una suerte de bomba de tiempo implantada en el programa. Puede desencadenarse en cualquier momento por iniciativa propia o si no, esperar una seal externa. En realidad, hablando estrictamente, no se trata de un virus, ya que no fue concebido para reproducirse. Bomba lgica: no se trata tampoco de un virus, ya que no se reproduce. Al ser introducida en una mquina, espera una seal externa para estallar. Podr ser una fecha determinada, un valor anodino ingresado por el operador, la supresin de un nombre en un archivo, etc. Tambin podramos citar a los parsitos y a los gusanos, que si bien no entran dentro de la categora de los virus, pueden producir problemas considerables.
Se ejecuta mucho ms lentamente. La red parece anormalmente cargada. La memoria central de pronto ya no parece ser suficiente. La memoria del disco se reduce de manera anormal. El tamao de los archivos aumenta de manera anormal. El sistema deja de funcionar. Algunos programas dejan de funcionar. Se reciben ms mensajes de error que lo habitual. Se reciben mensajes sorprendentes. Aparece un juego de ping-pong en la pantalla. En la pantalla hay caracteres que "se caen". Se escuchan aleatoriamente melodas extraas. Los accesos al disco se multiplican sin razn aparente. Se pierden datos, archivos. Hay programas que se niegan a ejecutarse. 0 se ejecutan de manera anmala. El disco duro se auto-reformate. Etctera. Reiteramos que la mayor parte de estos sntomas llevan a pensar en un virus, pero tambin pueden tener otras causas. Conviene ser prudente en la interpretacin de estos sntomas; sobre todo, no hay que dejarse ganar por la desesperacin. No
todo lo que encuentre de extrao proviene de un virus. Pero cuando efectivamente se trate de un virus, no lo deje pasar.
Captulo 4: La legislacin
En Francia la ley del 5 de enero de 1988, que se refiere a la represin del fraude informtico, es la que parece aplicable a la difusin de virus. En Francia segn esta ley, el autor de un virus, al difundirlo, es considerado responsable de un acto de malevolencia, y es pasible de una pena de 3 meses a 3 aos de prisin y de 400 a 100.000 dlares de multa. Esto es vlido as haya actuado con o sin mala intencin. Una empresa de servicios o un distribuidor que transmita un virus a uno de sus clientes es considerada cvicamente responsable y puede ser condenado a pagar daos y perjuicios.
Entonces, el vector de propagacin debe ser ejecutado al menos una vez. Al cargar o ejecutar el programa que lo hospeda el virus se vuelve activo. Esto significa que si el programa infectado no es activado, si no es ejecutado, el virus no puede manifestarse. Una vez activado el virus las situaciones posibles son muchas, y dependen de su naturaleza misma, y de su cdigo. Su primer objetivo consistir en contaminar uno o varios blancos que le permitirn volver a ejecutarse con la mayor frecuencia posible. Cada uno de esos blancos se denomina "vector de contaminacin". Un virus puede estallar simultneamente en varios vectores. Como puede observarse, existen siempre tres etapas caractersticas de un virus: Una etapa de infeccin: cuando el virus infecta al sistema que es su blanco. Muchas veces se confunde con la etapa siguiente. Una etapa de contaminacin: durante la cual el virus se conforma con duplicarse e infectar a otros blancos o no, sin perturbar el funcionamiento del sistema. Una etapa agresiva o destructiva: entra en actividad y produce los efectos para los que fue programado. 0 bien para los que no fue programado, pero que resultan de "bugs", errores de programacin, que tambin existen y a veces son an ms peligrosos. Si no se ha tomado ninguna precaucin especial, recin se comprueba la existencia de un virus cuando ya pasa a ser activo y/ o destructor. Es como la presencia de una enfermedad, que por lo general pasa inadvertida hasta que se manifiestan sus primeros efectos. De ah en ms hay que tomar todas las medidas curativas para eliminar al virus. Pero el creador de un virus siempre busca que ste tenga primero, tiempo suficiente para duplicarse y expandirse lo ms rpido posible. En consecuencia, tal vez tienda a conferirle una
duracin ms prolongada a la primera etapa de contaminacin. Sin embargo, no debe ser demasiado larga, ya que esto ira en detrimento del placer sutil que consiste en saber que se destruy archivos preciosos a la mayor cantidad de usuarios posible. Por lo tanto, esta primera etapa tambin deber ser de una duracin limitada. Veamos lo que sucedera, por ejemplo, en la etapa de contaminacin para el caso de un virus simple. El virus examina los blancos que su creador le asign. Supongamos que se trate de programas; si encuentra un archivo ejecutable que an no infect, proceder del siguiente modo: Guarda la direccin de partida del programa original. Se copia al final del programa. Crea una nueva direccin de lanzamiento del programa, indicando su propia direccin. De este modo, cuando se lance el programa infectado, ser el virus mismo el que se active en primer lugar. Desarrollar la infeccin como se indic anteriormente y, luego de una nueva duplicacin, pasar el mando a la direccin de entrada del programa que haba guardado. As, en un primer momento, todo parece estar en orden. La activacin de la etapa destructiva del virus depende de su programacin. Podr ser una fecha del sistema; el virus del Viernes 13, por ejemplo, se vuelve activo un viernes 13. 0 tal vez sea una serie de puestas en servicio, una cantidad de tiempo en minutos o en das, o cualquier evento programado. Para algunos virus no existe distincin entre esas dos etapas, y se toman de inmediato destructivos, aun cuando continen infectando otros blancos.
Captulo 6:
Los archivos ejecutables EXE. Todo sucede en principio igual que con los archivos.com. Los archivos de recuperacin OVL creados temporariamente por algunos programas aplicativos. En trminos ms generales, los archivos de recuperacin cuya extensin comience por OV, seguida por un carcter cualquiera, es decir, con notacin OV. Los archivos que tienen extensin BIN. Se trata de archivos binarios. Los archivos de diversos administradores con extensin DRV. El sector de la tabla de particiones del disco duro, cuyo cdigo es ledo por el BIOS en cada inicializacin. Esta contaminacin resulta insidiosa por la siguiente razn: si se comprueba la presencia de un virus y se decide reformatear lgicamente el disco duro, ese formateo no modifica el sector de particiones y el virus permanece en el disco. El sector de inicio de la particin del DOS del disco duro. El sector de inicio de un disquete. Es tambin uno de los vectores privilegiados de los virus. Las FAT, o tablas de asignacin de los archivos, de los discos. Esta lista de vectores de contaminacin no menciona a los archivos slo de datos, que no son interesantes para los virus, ya que no son ejecutables. El virus debe pasar a la memoria central para volverse activo, y por este motivo debe encontrarse en alguna secuencia ejecutable. Sin embargo: Como todos los programas, los virus no estn exentos de errores. Algunos virus pueden tambin dedicarse a los archivos de datos por error. Cuanto ms tiempo los dejemos, ms peligrosos sern.
Algunos virus atacan a las FAT y de ese modo hacen perder archivos de datos. Es el caso, por ejemplo, del virus Frodo. Por ltimo, algunos virus destructores borran completamente el contenido del disco duro, destruyendo del mismo golpe los archivos de programas y los de datos. Recuerde tambin que permanentemente nacen nuevos virus, y que no porque en un momento dado un vector parezca libre de ellos, lo estar siempre.
Las interrupciones BIOS para el monitor (lOH), el disco (l3H), el teclado (l6H), el timer (IAH), las comunicaciones (l4H). A veces el virus desencadenar su propia interrupcin, por ejemplo la interrupcin 2lH, servicio 0, desatndose si el programa antivirus vigila las interrupciones. Obsrvese que pocos son los virus que se instalan destruyendo inmediatamente una parte de cdigo, como el virus 405, que destruye 405 bytes. Es por esto que el programa destructor del virus podr exterminarlos y a la vez reconstruir el programa infectado de modo tal que pueda volver a funcionar como si nada hubiera sucedido. Los archivos protegidos contra escritura no siempre se encuentran a salvo de los virus, ya que algunos de ellos saben pasar por alto esta proteccin, por ejemplo el virus Jerusaln. En cambio un disquete protegido contra escritura no podr nunca ser contaminado, en el estado actual de la tcnica de las unidades de disquetes.
Destruir diversos datos del disco. Modificar los datos de forma aleatoria. Interceptar comandos de entrada-salida (discos, comunicaciones, etc.) Borrar el contenido del disco. Reformatearlo. Simular desperfectos de hardware. Etctera. Algunas manifestaciones pueden ser las siguientes: Algunos virus se conformarn con duplicarse sin otra manifestacin, pero esta situacin degenera rpidamente para el usuario, puesto que cada duplicacin ocupa un poco ms de memoria, en detrimento del espacio reservado a los programas y a los datos. Los tiempos de ejecucin se incrementan inexorablemente y llega un momento en que la memoria resulta totalmente incapaz de absorber y de ejecutar el programa. En otros casos, el disco duro se llena hasta agotarse, y ya no puede albergar nuevos archivos. La intervencin de un virus puede tambin manifestarse en la incapacidad de inicializar una computadora. Tambin pueden aparecer en pantalla fenmenos extraos, como "cadas" de parte del texto, por ejemplo, o la aparicin de una pelota de ping-pong en la pantalla, etc. Si se trabaja en red local, el virus puede perfectamente intentar alcanzar el server. Puede interceptar las comunicaciones y emitir comandos de diseminacin o destructores que apunten tanto al server como a los puestos de trabajo conectados. 0 bien,
simplemente, sobrecargar la red volvindola incapaz de funcionar correctamente. Pero, cuidado!, digmoslo una vez ms: no todas las manifestaciones de mal funcionamiento se deben a virus, muy lejos de eso. La utilizacin de detectores de virus permite discernir qu es lo que les corresponde y qu proviene de otras causas. Observe que, como regla general, los virus atacan a los programas y no pueden provocar un desperfecto de hardware. Este tema fue objeto de varios debates en el pasado. Sin embargo, esto no implica que haya que descartar completamente de su campo de accin los desperfectos de hardware, dado que pueden, por ejemplo, reprogramar algunos circuitos programables de modo tal que los lleven a su lmite de funcionamiento, o intentar hacer mover los brazos y los cabezales de los discos duros fuera de las normas, etc.
Los programas antivirus residentes saben examinar los disquetes que se insertan en la computadora cuando se carga un programa; en caso de infeccin, lo alertan incluso antes de que el virus pueda activarse. Lamentablemente a veces puede suceder que le entreguen disquetes con programas comprimidos, y el virus mismo tambin estar comprimido. La instalacin del programa previa a su descompresin dar vida al mismo tiempo al virus. Hay algunos antivirus que pueden controlar el contenido de archivos comprimidos. La primera regla de seguridad y que indica el sentido comn consiste en conservar como un tesoro disquetes de inicio de la computadora, disquetes de DOS u otros de los que est seguro. Y especialmente, protjalos contra escritura para que ningn virus pueda inyectarlos. El dispositivo de seguridad de las unidades de disquete que protege contra escritura es altamente confiable. Constituye una barrera muy eficaz contra cualquier intento, aun cuando no sea manifiesto, de escritura. b. Las copias de seguridad Una precaucin sabia consiste en proceder a realizar regularmente copias de seguridad del contenido del disco duro: Realice copias de seguridad con regularidad y por separado de los archivos ms valiosos. Haga tambin copias de seguridad del contenido de los discos peridicamente. En todos los casos, se deben utilizar al menos dos juegos de copias de seguridad, pero esto es slo un mnimo. Segn la estrategia que usted adopte, podr realizar copias de seguridad diarias, semanales, mensuales o con otras frecuencias, para conservar un registro confiable de la evolucin de sus
archivos. Guarde al menos todos sus archivos de datos una vez al da, o luego de cada modificacin. En caso de contaminacin por virus, podr de este modo: 0 bien formatear el disco duro para luego volver a cargar el contenido de las copias de seguridad, remontndose en el tiempo hasta encontrar una versin no contaminada. 0 bien simplemente destruir los virus y luego volver a cargar los eventuales archivos que haban sido contaminados y que se nieguen a funcionar. c. Lo que no se debe hacer Al descubrir la contaminacin de un virus, la primera decisin prudente consiste en detener toda operacin con los programas. No ejecutar ningn nuevo programa, ya que se corre el riesgo de infectarle, si an no lo estaba. Si usted no tiene experiencia, apague la computadora y llame al responsable de seguridad si en su empresa hay uno, a un usuario experimentado o a su proveedor habitual, que sabr aconsejarlo. Un error que cometen con frecuencia los usuarios inexpertos es el siguiente: un programa est infectado y se niega a funcionar; el usuario no sospecha de la presencia de un virus y piensa que bastar con instalarlo nuevamente para que vuelva a funcionar. Entonces, recupera los disquetes originales de instalacin, sin protegerlos contra escritura, y vuelve a cargar el programa. Resultado: la nueva versin del programa es infectada inmediatamente, y los disquetes originales tambin. En caso de infeccin hay que comenzar obligatoriamente por destruir los virus, con mtodos sutiles (el uso de un programa eficiente de desinfeccin) o por mtodos drsticos (formatear el disco). Slo el reformateo fsico de bajo nivel puede garantizar que los virus sean totalmente exterminados.
Atencin: si comprueba que un archivo est infectado, puede borrarlo con el comando de borrado ERASE o DEL del DOS, que tambin borrar el virus, pero subsistir el riesgo. Si bien este comando es eficiente, slo suprime la entrada del archivo en el directorio pero no borra en absoluto el archivo en el disco. Entonces, el archivo queda con su virus! De todos modos, el archivo ya no es accesible y ya no puede ejecutarse, salvo que sea recuperado mediante un procedimiento posterior (una recuperacin de archivos borrados, mediante una herramienta, por ejemplo). Este incidente es muy improbable pero no puede ser descartado. Observe tambin que, sea cual fuere el programa antivirus que utilice, no podr encontrar virus en disquetes o en discos si se realizan copias con DISKCOPY, COPY, XCOPY. Otro problema surge cuando los archivos de un disquete estn comprimidos con un virus: el antivirus deber ser capaz de intervenir tambin en archivos comprimidos.
divergencia, hay que tenerla en cuenta: usted es el autor de esa modificacin? Si no, puede pensar en la existencia de un virus. Esta frmula no funciona si el virus se conforma con reemplazar el cdigo del vector por su propio cdigo, de manera tal que no modifica la longitud del archivo. En ese caso, hay que aplicar un mtodo ms poderoso que implique un clculo matemtico. El proceso de verificacin del tamao de un archivo en este caso se basa en el clculo de un valor de control aplicando los cdigos de redundancia cclica, o CRC: Se calcula un polinomio binario caracterstico del archivo y se lo divide por otro polinomio de valor convenido. El resto constituye el valor de control. La menor modificacin del archivo, aunque slo se trate de una inversin de dos caracteres, da un valor de control diferente. En la prctica, se calculan valores de control para todos los archivos, y se los registra. Luego se vuelve a realizar el clculo y se comparan los resultados nuevos a los precedentes. Cualquier divergencia puede indicar la presencia de un virus, pero corre por su cuenta averiguar en qu punto se encuentra. Observe que el simple cambio de una clave de acceso, o una modificacin del archivo Autoexec.bat, modificar el valor de control. Este principio permite que un detector descubra la presencia de algunos virus, inclusive de virus desconocidos. Los programas de deteccin de virus proceden de este modo; algunos detectores ms poderosos crean su propio algoritmo de clculo de valor de control, denominado "marca o firma del programa". Y mejor an, para poner en jaque a virus
particularmente perversos, el programa antivirus puede recurrir a un generador de divisor polinmico (es el caso del V~Analyst, por ejemplo). b. La fecha de los archivos Muchos virus modifican la longitud de los archivos contaminados pero sin cambiar la fecha. En cambio el DOS modifica siempre la fecha de un archivo en el que se acaba de trabajar para actualizarlo. Esto sugiere un segundo mtodo de deteccin. Si comprobamos que la longitud o el valor de control de un archivo cambi mientras que la fecha sigue siendo la misma, es probable que un virus lo haya atacado. Por lo general, los detectores de virus aplican este mtodo. Obsrvese que existen virus que modifican tambin la fecha o la hora, algunos las llevan premeditadamente a valores incorrectos, por ejemplo 62 segundos, o un siglo ms. c. La marca de los virus Un virus no es ms que un cdigo informtica. Puede contener una secuencia tpica de cdigo que indica su presencia y que se puede detectar. Es lo que denominamos su marca. Puede tratarse de varios bytes representativos, de una cadena de caracteres, del texto del mensaje que el virus presenta en pantalla, etc. Para la identificacin de los virus se puede proceder realizando un listado de las "marcas" de todos los virus conocidos, y luego buscando en el disco la presencia de estas marcas, comparando los cdigos registrados en el disco. Si se encuentran dos cadenas idnticas significa que se est en presencia de un virus.
Esta bsqueda de marcas puede tambin apuntar a la memoria central y detectar virus instalados en forma residente al inicializar la computadora. Es un mtodo muy eficiente, pero evidentemente slo puede aplicarse a virus conocidos y debidamente repertoriados. Es ineficaz si el virus es un mutante, que modifica la forma en que qued registrada su marca, en el transcurso de su existencia. d. El caso de los virus furtivos Acabamos de examinar algunos de los principales mtodos de deteccin de virus. Son los mtodos que aplican los programas antivirus. Los autores de virus los conocen muy bien, y por lo tanto han querido desafiarlos fabricando "virus furtivos" ("stealth", en ingls). As como los aviones furtivos Fll7 americanos reducen su marca en el radar al punto de resultar indetectables, los virus furtivos tambin ponen en accin algunos mtodos sutiles para pasar inadvertidas. El primer caso es el del virus que infecta un archivo disimulando su aumento de tamao. Para esto, utilizan dos mtodos: El primero es el llamado pasivo. El virus se instala en una zona reservada y disponible del programa, en una pila o un bfer, por ejemplo, para no modificar la longitud del archivo en cantidad de bytes, y no alterar de ninguna manera el cdigo mismo del programa. Cuando se ejecuta el programa, el virus se ejecuta y libera este espacio que el programa ahora necesita, para luego volver a instalarse all al finalizar la ejecucin. El segundo es el mtodo activo. Cuando se consulta la longitud de un archivo en el DOS, se lanza la interrupcin 2lH, funcin 42H. El virus desva este llamado de interrupcin, examina si el archivo est infectado y si la respuesta es s, le resta su tamao al tamao real del archivo. De este modo, el tamao no parece haberse modificado.
Y los hay mejores an: algunos virus son capaces de disimular las modificaciones realizadas a un archivo, proporcionando al sistema un archivo limpio, desinfectado, cuando se realiza un control. Para esto el virus hace una copia de seguridad de las partes modificadas del programa y luego desva prcticamente todas las interrupciones del DOS relativas a los archivos; si se quiere analizar el archivo infectado, el virus devuelve la imagen del programa sano. Ni siquiera una verificacin de muy bajo nivel, en hexadecimales, por ejemplo, ser capaz de revelar la presencia de ese virus. Las verificaciones clsicas fracasan: longitud del archivo, valor de control, etc. Hay que aplicar otros mtodos entre los cuales se encuentra el anlisis de la marca, siempre que pueda realizarse, el control de la memoria central para destruir la parte residente del virus, etc. Frodo es un ejemplo de este tipo de virus furtivos. Otras veces, el virus desplaza informaciones del inicio de un disco para tomar su lugar; si luego se pide la lectura de un sector infectado, el virus restablecer el orden de cosas anterior, desviando la interrupcin l3H del BIOS. Adems, puede instalarse en una zona de sectores que declarar defectuosos, y por lo tanto inutilizables, en la FAT. Su deteccin ser ms dificultosa. 0 si no, el virus modifica su marca encriptndola, o encriptando su cdigo, lo que lo har difcil de identificar. Existe una guerra abierta entre las medidas contra los virus y los autores de virus que perfeccionan sus creaciones diablicas permanentemente. Por ltimo, diremos que algunos virus son mutantes. Su cdigo contiene instrucciones que, con una seleccin aleatoria, les confieren un comportamiento diferente. Es el caso del virus 1260. Tambin suele mencionarse el caso de virus defensivos que reaccionan a cualquier accin de un antivirus para desafiarlo e incluso para volverlo nocivo.
Captulo 11:
Qu hacer?
Sean cuales fueren los mtodos de proteccin que usted haya adoptado, conviene que los instale en forma residente, o que los ejecute con frecuencia, o an mejor, que aplique estos dos mtodos simultneamente si son complementarios. Si tiene sospechas de un ataque viral a partir de lo que acabamos de comentar precedentemente, conviene proceder como se explica a continuacin. Apague la computadora. Introduzca un disquete de sistema, "booteable", en la disquetera. Atencin: utilice siempre un disquete protegido contra escritura. Vuelva a encender la computadora para cargar el sistema. Utilice un software antivirus, protegiendo contra escritura el disquete. Lo que deba hacer a continuacin depende del programa antivirus. Por lo general, este programa ser capaz no slo de destruir el virus sino tambin de reconstruir los archivos ejecutables (y slo los ejecutables) restituyndoles su integridad original. Si el virus destruy irremediablemente algunos datos (borrado parcial o total del disco), deber recurrir a las copias de seguridad para recuperarlos. Otro mtodo consiste en aplicar los puntos 1, 2 y 3, y luego, si no se sabe qu fue lo afectado: A partir de un disquete del DOS protegido contra escritura ejecutar un formateo fsico (de bajo nivel) del disco duro, si es posible. Hacer la particin del disco duro y formatearlo lgicamente. Cargar el sistema.
de archivos a controlar sea considerable. La bsqueda de la velocidad no debe, sin embargo, ir en detrimento de la calidad del anlisis o de su alcance. Un software antivirus puede resultar muy rpido, pero tal vez, si lo analizamos con ms detenimiento, veremos que slo controla parcialmente el contenido de los archivos. a. Cmo funciona un inhibidor El programa inhibidor (o "neutralizador") antivirus residente en la memoria debe estar alerta en los siguientes casos: Un virus se instala en la memoria en la inicializacin de la computadora. Intenta instalarse en la memoria central recurriendo a un programa del disco duro o de un disquete. Se lanza un llamado al sistema sospechoso. Un programa residente quiere instalarse en la memoria central. Hay un intento de escritura en los sectores de inicio. Se intenta modificar un archivo ejecutable. Etctera. El inhibidor de virus debe ser capaz de intervenir de modo transparente y rpido, y de bloquear cualquier intento de introduccin de un virus. Es evidente que el neutralizador debe ocupar la menor cantidad posible de memoria central. Sin embargo, la modalidad de administracin de la memoria en el DOS es tal que la eficiencia de un programa como ste resulta necesariamente limitada frente a virus desconocidos. b. Cmo procede un destructor de virus
Para destruir virus el programa destructor debe, en condiciones ideales: Buscar el archivo infectado por un virus conocido, descubriendo su marca. Calcular la posicin del virus. Localizar la direccin de origen de ese programa. Restablecer esa direccin. Extraer el virus y destruir su cdigo. Con frecuencia, el antivirus devolver un programa desinfectado y que funcione, salvo que el virus haya destruido irremediablemente algunas informaciones, en cuyo caso slo quedar el recurso a las copias de seguridad. Adems, el archivo descontaminado no necesariamente ser idntico al original, particularmente si nos enfrentamos a virus de tamao variable. c. Funcionamiento en red Cuando se trabaja con una red local el peligro se multiplica por la cantidad de puestos de trabajo. Se imponen entonces precauciones an ms drsticas. Por otra parte, es probable que todos los usuarios no dispongan del mismo grado de competencia en materia de la lucha contra los virus, elemento que habr que tener en cuenta. En ese caso es preferible confiar la lucha antivirus al supervisor de la red, o a un especialista de seguridad. Si el software antivirus est instalado en todos los puestos, el alerta en caso de incidentes deber transmitiese a quien se halle a cargo. Tambin hay que prever, de ser posible, un sistema de alerta jerarquizado. Evidentemente el software antivirus deber ser apto para el funcionamiento en red, Novell, por ejemplo. Deber ofrecer varias posibilidades: llevar un diario de control y de incidentes
b. Contaminacin de archivos en el disco duro Una vez que se apaga el sistema contaminado, se reinicializa utilizando un disquete no contaminado y protegido contra escritura. Se controlan los disquetes originales para ver si estn contaminados por el virus; si estn sanos, se reemplaza los programas contaminados por las versiones originales. c. Contaminacin del sector de particin Nuevamente, se apaga el sistema, y luego se lo reinicializa utilizando un disquete no contaminado y protegido contra escritura. Luego se procede a hacer una copia de seguridad del sistema archivo por archivo (con lo cual no se copia el sector de las particiones). Luego se realiza un formateo fsico del disco de bajo nivel, si es posible hacerlo. 0 bien se vuelve a realizar la particin del disco.
El DOS 6 comprende un programa antivirus concebido por la empresa Central Point Software, que luego pas a Symantec, los creadores de Norton Utilities. Este programa contiene varios mdulos para la deteccin de virus, su erradicacin, la reconstruccin de los archivos infectados, adems de un mdulo residente. Tambin puede instalarse bajo Windows, con lo cual resulta ms ameno. Existen tambin otros antivirus muy buenos. Por ejemplo: Dr. Solomon's Antivirus, distribuido por AB Soft. Los programas de la empresa americana McAfee, distribuidos con diversos nombres, entre otros, Viruscan. Al parecer son los que predominan en el mercado. Norton Antivirus, de Symantec. Observe que en 1994, Symantec anex el Central Point Software. ViruSafe, otro producto israel desarrollado por Eliashim Microcomputers y distribuido por CTI. No olvide actualizar sus programas, ya que da a da aparecen nuevos virus, en menor numero actualmente, segn parece, pero mucho ms sofisticados y por lo tanto, ms peligrosos.