Lamentablemente, los virus son una realidad de todos los das.

Si usted an no fue contaminado, es porque tiene mucha suerte o porque aplica todas las reglas de profilaxis aconsejadas. Los blancos privilegiados de los virus son los discos, el disco duro, pero tambin los disquetes. Muchos desperfectos aparentes tienen como nico origen un ataque viral. El mantenimiento preventivo, al igual que la solucin de desperfectos, debe comenzar siempre que el sistema lo permita por una deteccin sistemtica de virus, y continuar por la erradicacin del virus, en caso de que se haya detectado alguno. Recin luego se pasar a las dems operaciones y a las reparaciones. Por este motivo es importante disponer de un buen programa antivirus, y que est actualizado con los virus existentes.

Captulo 1: Qu es un virus?
Un virus informtico es un breve programa que se autorreproduce, capaz de propagarse en forma autnoma. Segn lo que su creador haya previsto, provocar ms o menos dao en el sistema que haya infectado. Los daos que provoca son siempre a nivel del software, y van desde la simple presentacin en pantalla de algn mensaje, hasta el reformateo completo del disco duro, con la prdida de todo su contenido. Con frecuencia el virus infecta a los archivos ejecutabas. Otras veces se carga en la memoria central e infecta a todos los archivos ejecutables que se presenten, volvindolos inutilizables. Las fuentes de infeccin son muchas: Si usted ejecuta en su sistema un disquete que tenga el sector de inicio infectado, lo contaminar.

Si usted carga un archivo ejecutable infectado a partir de un disquete, tambin contaminar a su sistema. Una red que tenga al menos un puesto de trabajo infectado, podr contaminarse por completo en muy poco tiempo. Cualquier otra fuente de programas ejecutables podr infectar el sistema, por ejemplo un server. En consecuencia, no crea que por el hecho de suprimir las unidades de disquete de un puesto de trabajo se encontrar a salvo de la contaminacin. Los disquetes infectados no siempre son disquetes de origen dudoso, por ejemplo de juegos, sino que a veces tambin son disquetes de programas que provienen de grandes editores insospechables, que no han tomado todas las precauciones necesarias. Los ejemplos abundan. En Francia, por ejemplo, todo el mundo qued sorprendido al saberse que una importante revista de informtica haba distribuido un disquete publicitario que estaba infectado.

Captulo 2: Tipos de virus

Existen muchos mtodos de clasificacin de los virus. En el momento de la redaccin de este libro, su nmero se estimaba en alrededor de 3000. Y nacan cien por mes. Segn uno de esos mtodos de clasificacin, los virus pueden dividirse en: Virus del sector de inicio: de los discos, que tal vez sea el tipo menos numeroso, pero ms expandido. Reemplazan al sector de inicio de un disco por su propio cdigo y se luego se cargan en primer lugar en la memoria central. A partir de all vuelven inutilizable el disco de inicio o se propagan a otros discos.

Virus de archivos: agregan su cdigo al de los archivos ejecutables (con la extensin EXE, COM, SYS, etc.) y a partir de all se cargan en la memoria central para contaminar a los dems programas. Pueden hacer que esos programas se vuelvan inejecutables. Virus furtivos: son virus que escapan a la deteccin escondindose. Uno de los mtodos de deteccin consiste en registrar la longitud de un programa; luego si un virus le agrega su cdigo, se lo podr detectar fcilmente por simple comparacin. Un virus furtivo se las arreglar para que se vea siempre la misma longitud, sustrayndose, por ejemplo cuando se hace un DIR. Virus polimorfos: son an peores, ya que un virus polimorfo modifica su aspecto cada vez que contamina un nuevo archivo. Virus encriptados: modifican su cdigo, lo que hace an ms difcil su deteccin. A los anteriores se les suman: Caballo de Troya: un caballo de Troya, haciendo referencia a la mitologa, es una suerte de bomba de tiempo implantada en el programa. Puede desencadenarse en cualquier momento por iniciativa propia o si no, esperar una seal externa. En realidad, hablando estrictamente, no se trata de un virus, ya que no fue concebido para reproducirse. Bomba lgica: no se trata tampoco de un virus, ya que no se reproduce. Al ser introducida en una mquina, espera una seal externa para estallar. Podr ser una fecha determinada, un valor anodino ingresado por el operador, la supresin de un nombre en un archivo, etc. Tambin podramos citar a los parsitos y a los gusanos, que si bien no entran dentro de la categora de los virus, pueden producir problemas considerables.

Captulo 3: Sntomas de un ataque viral

Los sntomas de un ataque viral son muy variados y dependen, obviamente, del tipo de virus. Para comenzar, sealaremos que: Algunos virus son casi inofensivos y no buscan en absoluto causar desastres, aunque a primera vista provoquen algn perjuicio (presentando en pantalla un mensaje inoportuno, por ejemplo, o dejando or una meloda). De todos modos, el mero hecho de invadir subrepticiamente una computadora, constituye ya de por s una agresin. Por otra parte, algunos pueden resultar muy peligrosos en mquinas que corran aplicaciones estratgicas, de comando de procesos o de gestin central, por ejemplo. Otros virus se conforman con estar presentes, multiplicarse y ocupar el mximo espacio disponible en la memoria central y/o en el disco, disputndoles el lugar a los archivos hasta hacer imposible la ejecucin de los programas. Son virus parsitos. Los hay que tornan muy lento el funcionamiento del sistema, a veces muy notoriamente, pero sin destruir nada. Finalmente, hay otros que son muy destructivos y fueron programados para hacer dao. Uno de estos virus puede suprimir aleatoriamente algunas informaciones, por ejemplo, destruir archivos, o peor, borrar irremediablemente el contenido completo del disco duro. A continuacin encontrar una pequea lista de las manifestaciones que deberan alertarlo y hacerle pensar en la presencia de un virus: Se hace muy lento cargar un programa.

Se ejecuta mucho ms lentamente. La red parece anormalmente cargada. La memoria central de pronto ya no parece ser suficiente. La memoria del disco se reduce de manera anormal. El tamao de los archivos aumenta de manera anormal. El sistema deja de funcionar. Algunos programas dejan de funcionar. Se reciben ms mensajes de error que lo habitual. Se reciben mensajes sorprendentes. Aparece un juego de ping-pong en la pantalla. En la pantalla hay caracteres que "se caen". Se escuchan aleatoriamente melodas extraas. Los accesos al disco se multiplican sin razn aparente. Se pierden datos, archivos. Hay programas que se niegan a ejecutarse. 0 se ejecutan de manera anmala. El disco duro se auto-reformate. Etctera. Reiteramos que la mayor parte de estos sntomas llevan a pensar en un virus, pero tambin pueden tener otras causas. Conviene ser prudente en la interpretacin de estos sntomas; sobre todo, no hay que dejarse ganar por la desesperacin. No

todo lo que encuentre de extrao proviene de un virus. Pero cuando efectivamente se trate de un virus, no lo deje pasar.

Captulo 4: La legislacin
En Francia la ley del 5 de enero de 1988, que se refiere a la represin del fraude informtico, es la que parece aplicable a la difusin de virus. En Francia segn esta ley, el autor de un virus, al difundirlo, es considerado responsable de un acto de malevolencia, y es pasible de una pena de 3 meses a 3 aos de prisin y de 400 a 100.000 dlares de multa. Esto es vlido as haya actuado con o sin mala intencin. Una empresa de servicios o un distribuidor que transmita un virus a uno de sus clientes es considerada cvicamente responsable y puede ser condenado a pagar daos y perjuicios.

Captulo 5: Las tres etapas de la contaminacin viral

Un virus se comporta siempre como un parsito. Se introduce mediante un "vector de propagacin" que es siempre un cdigo ejecutable, es decir, un programa portador que lo hospeda, o un sector de inicio. Al ejecutar este programa, el virus pasa a la memoria central y se pone en actividad. A partir de all puede multiplicarse por duplicacin e infectar a los "vectores blanco", que pueden ser o bien otros archivos, o bien zonas sensibles seleccionadas en los discos.

Entonces, el vector de propagacin debe ser ejecutado al menos una vez. Al cargar o ejecutar el programa que lo hospeda el virus se vuelve activo. Esto significa que si el programa infectado no es activado, si no es ejecutado, el virus no puede manifestarse. Una vez activado el virus las situaciones posibles son muchas, y dependen de su naturaleza misma, y de su cdigo. Su primer objetivo consistir en contaminar uno o varios blancos que le permitirn volver a ejecutarse con la mayor frecuencia posible. Cada uno de esos blancos se denomina "vector de contaminacin". Un virus puede estallar simultneamente en varios vectores. Como puede observarse, existen siempre tres etapas caractersticas de un virus: Una etapa de infeccin: cuando el virus infecta al sistema que es su blanco. Muchas veces se confunde con la etapa siguiente. Una etapa de contaminacin: durante la cual el virus se conforma con duplicarse e infectar a otros blancos o no, sin perturbar el funcionamiento del sistema. Una etapa agresiva o destructiva: entra en actividad y produce los efectos para los que fue programado. 0 bien para los que no fue programado, pero que resultan de "bugs", errores de programacin, que tambin existen y a veces son an ms peligrosos. Si no se ha tomado ninguna precaucin especial, recin se comprueba la existencia de un virus cuando ya pasa a ser activo y/ o destructor. Es como la presencia de una enfermedad, que por lo general pasa inadvertida hasta que se manifiestan sus primeros efectos. De ah en ms hay que tomar todas las medidas curativas para eliminar al virus. Pero el creador de un virus siempre busca que ste tenga primero, tiempo suficiente para duplicarse y expandirse lo ms rpido posible. En consecuencia, tal vez tienda a conferirle una

duracin ms prolongada a la primera etapa de contaminacin. Sin embargo, no debe ser demasiado larga, ya que esto ira en detrimento del placer sutil que consiste en saber que se destruy archivos preciosos a la mayor cantidad de usuarios posible. Por lo tanto, esta primera etapa tambin deber ser de una duracin limitada. Veamos lo que sucedera, por ejemplo, en la etapa de contaminacin para el caso de un virus simple. El virus examina los blancos que su creador le asign. Supongamos que se trate de programas; si encuentra un archivo ejecutable que an no infect, proceder del siguiente modo: Guarda la direccin de partida del programa original. Se copia al final del programa. Crea una nueva direccin de lanzamiento del programa, indicando su propia direccin. De este modo, cuando se lance el programa infectado, ser el virus mismo el que se active en primer lugar. Desarrollar la infeccin como se indic anteriormente y, luego de una nueva duplicacin, pasar el mando a la direccin de entrada del programa que haba guardado. As, en un primer momento, todo parece estar en orden. La activacin de la etapa destructiva del virus depende de su programacin. Podr ser una fecha del sistema; el virus del Viernes 13, por ejemplo, se vuelve activo un viernes 13. 0 tal vez sea una serie de puestas en servicio, una cantidad de tiempo en minutos o en das, o cualquier evento programado. Para algunos virus no existe distincin entre esas dos etapas, y se toman de inmediato destructivos, aun cuando continen infectando otros blancos.

Captulo 6:

Los blancos de los virus

Los virus pueden atacar todo tipo de blancos. Sus predilectos son los archivos ejecutables COM al principio, luego los EXE, pero los verdaderos blancos son mucho ms numerosos. A continuacin presentamos una lista de los mismos: Los archivos ejecutables COM. Estos archivos representan los principales blancos de virus, ya que son muy fciles de modificar. El virus se introduce o bien al comienzo o bien al final del cdigo del archivo COM. Lamentablemente existe nuevos virus que tambin pueden ubicarse en el medio o en cualquier sitio de los archivos, lo que hace ms difcil su deteccin. A propsito, observe que la velocidad de ejecucin de los programas antivirus depende de su aptitud para detectar los virus en los encabezamientos o al final de estos archivos, o incluso en cualquier sitio de su cuerpo. Un programa antivirus le parecer ms rpido que otro, ya que uno slo examina los comienzos de archivos, por ejemplo, mientras que el otro examina todo su contenido. Por lo tanto, no se confe exclusivamente en el criterio de rapidez. El archivo de comando COMMAND.COM constituye un caso particular de los archivos COM. Su inters desde el punto de vista del virus reside en el hecho de que es lanzado automticamente cada vez que se enciende la computadora, al menos. El archivo de sistema IBMBIO.COM para IBM, o el IO.SYS para Microsoft. Al igual que el COMMAND.COM, se lo lanza automticamente con cada inicializacin. El archivo de sistema IBMDOS.COM para IBM, o MSDOS.SYS para Microsoft. Al igual que el precedente, se lanza automticamente a cada inicializacin. Los archivos de sistema SYS en general.

Los archivos ejecutables EXE. Todo sucede en principio igual que con los archivos.com. Los archivos de recuperacin OVL creados temporariamente por algunos programas aplicativos. En trminos ms generales, los archivos de recuperacin cuya extensin comience por OV, seguida por un carcter cualquiera, es decir, con notacin OV. Los archivos que tienen extensin BIN. Se trata de archivos binarios. Los archivos de diversos administradores con extensin DRV. El sector de la tabla de particiones del disco duro, cuyo cdigo es ledo por el BIOS en cada inicializacin. Esta contaminacin resulta insidiosa por la siguiente razn: si se comprueba la presencia de un virus y se decide reformatear lgicamente el disco duro, ese formateo no modifica el sector de particiones y el virus permanece en el disco. El sector de inicio de la particin del DOS del disco duro. El sector de inicio de un disquete. Es tambin uno de los vectores privilegiados de los virus. Las FAT, o tablas de asignacin de los archivos, de los discos. Esta lista de vectores de contaminacin no menciona a los archivos slo de datos, que no son interesantes para los virus, ya que no son ejecutables. El virus debe pasar a la memoria central para volverse activo, y por este motivo debe encontrarse en alguna secuencia ejecutable. Sin embargo: Como todos los programas, los virus no estn exentos de errores. Algunos virus pueden tambin dedicarse a los archivos de datos por error. Cuanto ms tiempo los dejemos, ms peligrosos sern.

Algunos virus atacan a las FAT y de ese modo hacen perder archivos de datos. Es el caso, por ejemplo, del virus Frodo. Por ltimo, algunos virus destructores borran completamente el contenido del disco duro, destruyendo del mismo golpe los archivos de programas y los de datos. Recuerde tambin que permanentemente nacen nuevos virus, y que no porque en un momento dado un vector parezca libre de ellos, lo estar siempre.

Captulo 7: Modos de contaminacin

Cuando un virus pasa a la memoria central cargando uno de sus vectores, dispone de varias posibilidades que dependen siempre de cmo se lo haya concebido: Infecta directamente uno o varios vectores y luego le pasa el turno al programa que lo hospeda. Se instala en modo residente en la memoria central, como cualquier programa residente, e infecta a todos los programas que se llame. Segn el caso, se revelar capaz de desviar las interrupciones del BIOS o del DOS, ya sea con la finalidad de camuflarse, o bien para proseguir con su obra. Las interrupciones ms preciadas son: La interrupcin 2lH del DOS y su funcin 4BH que preside el lanzamiento de los programas. La interrupcin 2lH, funcin 3DH, que abre un archivo y que es utilizada por algunos comandos del DOS. La interrupcin 2lH, funcin 42H, utilizada para leer la longitud de un archivo.

Las interrupciones BIOS para el monitor (lOH), el disco (l3H), el teclado (l6H), el timer (IAH), las comunicaciones (l4H). A veces el virus desencadenar su propia interrupcin, por ejemplo la interrupcin 2lH, servicio 0, desatndose si el programa antivirus vigila las interrupciones. Obsrvese que pocos son los virus que se instalan destruyendo inmediatamente una parte de cdigo, como el virus 405, que destruye 405 bytes. Es por esto que el programa destructor del virus podr exterminarlos y a la vez reconstruir el programa infectado de modo tal que pueda volver a funcionar como si nada hubiera sucedido. Los archivos protegidos contra escritura no siempre se encuentran a salvo de los virus, ya que algunos de ellos saben pasar por alto esta proteccin, por ejemplo el virus Jerusaln. En cambio un disquete protegido contra escritura no podr nunca ser contaminado, en el estado actual de la tcnica de las unidades de disquetes.

Captulo 8: La etapa destructiva

La tercera etapa de la vida de un virus es la destructiva. El virus entra en esta etapa de inmediato, o bien despus de una serie de acciones, una determinada temporizacin o cualquier otra seal programada. Su accin puede consistir en: Presentar en pantalla un simple mensaje triunfalista en el caso ms benigno, o hacerle or msica. Modificar el cdigo del vector de contaminacin para hacerlo inejecutable. Modificar la FAT. Esta accin no siempre es perceptible de inmediato, pero lleva a perder archivos.

Destruir diversos datos del disco. Modificar los datos de forma aleatoria. Interceptar comandos de entrada-salida (discos, comunicaciones, etc.) Borrar el contenido del disco. Reformatearlo. Simular desperfectos de hardware. Etctera. Algunas manifestaciones pueden ser las siguientes: Algunos virus se conformarn con duplicarse sin otra manifestacin, pero esta situacin degenera rpidamente para el usuario, puesto que cada duplicacin ocupa un poco ms de memoria, en detrimento del espacio reservado a los programas y a los datos. Los tiempos de ejecucin se incrementan inexorablemente y llega un momento en que la memoria resulta totalmente incapaz de absorber y de ejecutar el programa. En otros casos, el disco duro se llena hasta agotarse, y ya no puede albergar nuevos archivos. La intervencin de un virus puede tambin manifestarse en la incapacidad de inicializar una computadora. Tambin pueden aparecer en pantalla fenmenos extraos, como "cadas" de parte del texto, por ejemplo, o la aparicin de una pelota de ping-pong en la pantalla, etc. Si se trabaja en red local, el virus puede perfectamente intentar alcanzar el server. Puede interceptar las comunicaciones y emitir comandos de diseminacin o destructores que apunten tanto al server como a los puestos de trabajo conectados. 0 bien,

simplemente, sobrecargar la red volvindola incapaz de funcionar correctamente. Pero, cuidado!, digmoslo una vez ms: no todas las manifestaciones de mal funcionamiento se deben a virus, muy lejos de eso. La utilizacin de detectores de virus permite discernir qu es lo que les corresponde y qu proviene de otras causas. Observe que, como regla general, los virus atacan a los programas y no pueden provocar un desperfecto de hardware. Este tema fue objeto de varios debates en el pasado. Sin embargo, esto no implica que haya que descartar completamente de su campo de accin los desperfectos de hardware, dado que pueden, por ejemplo, reprogramar algunos circuitos programables de modo tal que los lleven a su lmite de funcionamiento, o intentar hacer mover los brazos y los cabezales de los discos duros fuera de las normas, etc.

Captulo 9: Cmo protegerse?

Aunque probablemente no existan reglas preventivas que puedan brindar una proteccin del 100 % contra todos los virus conocidos y desconocidos, respetando algunas reglas estar prcticamente a salvo de un ataque viral. 0, al menos, no tendr que lamentarse demasiado si un virus lo ataca. A continuacin presentaremos los mtodos de prevencin aplicables, y luego definiremos las grandes caractersticas de los programas antivirus. a. Los disquetes La primera precaucin consiste evidentemente en huir de los disquetes de origen dudoso. Pero, como hemos visto, incluso los disquetes que provienen de grandes editores pueden estar infectados.

Los programas antivirus residentes saben examinar los disquetes que se insertan en la computadora cuando se carga un programa; en caso de infeccin, lo alertan incluso antes de que el virus pueda activarse. Lamentablemente a veces puede suceder que le entreguen disquetes con programas comprimidos, y el virus mismo tambin estar comprimido. La instalacin del programa previa a su descompresin dar vida al mismo tiempo al virus. Hay algunos antivirus que pueden controlar el contenido de archivos comprimidos. La primera regla de seguridad y que indica el sentido comn consiste en conservar como un tesoro disquetes de inicio de la computadora, disquetes de DOS u otros de los que est seguro. Y especialmente, protjalos contra escritura para que ningn virus pueda inyectarlos. El dispositivo de seguridad de las unidades de disquete que protege contra escritura es altamente confiable. Constituye una barrera muy eficaz contra cualquier intento, aun cuando no sea manifiesto, de escritura. b. Las copias de seguridad Una precaucin sabia consiste en proceder a realizar regularmente copias de seguridad del contenido del disco duro: Realice copias de seguridad con regularidad y por separado de los archivos ms valiosos. Haga tambin copias de seguridad del contenido de los discos peridicamente. En todos los casos, se deben utilizar al menos dos juegos de copias de seguridad, pero esto es slo un mnimo. Segn la estrategia que usted adopte, podr realizar copias de seguridad diarias, semanales, mensuales o con otras frecuencias, para conservar un registro confiable de la evolucin de sus

archivos. Guarde al menos todos sus archivos de datos una vez al da, o luego de cada modificacin. En caso de contaminacin por virus, podr de este modo: 0 bien formatear el disco duro para luego volver a cargar el contenido de las copias de seguridad, remontndose en el tiempo hasta encontrar una versin no contaminada. 0 bien simplemente destruir los virus y luego volver a cargar los eventuales archivos que haban sido contaminados y que se nieguen a funcionar. c. Lo que no se debe hacer Al descubrir la contaminacin de un virus, la primera decisin prudente consiste en detener toda operacin con los programas. No ejecutar ningn nuevo programa, ya que se corre el riesgo de infectarle, si an no lo estaba. Si usted no tiene experiencia, apague la computadora y llame al responsable de seguridad si en su empresa hay uno, a un usuario experimentado o a su proveedor habitual, que sabr aconsejarlo. Un error que cometen con frecuencia los usuarios inexpertos es el siguiente: un programa est infectado y se niega a funcionar; el usuario no sospecha de la presencia de un virus y piensa que bastar con instalarlo nuevamente para que vuelva a funcionar. Entonces, recupera los disquetes originales de instalacin, sin protegerlos contra escritura, y vuelve a cargar el programa. Resultado: la nueva versin del programa es infectada inmediatamente, y los disquetes originales tambin. En caso de infeccin hay que comenzar obligatoriamente por destruir los virus, con mtodos sutiles (el uso de un programa eficiente de desinfeccin) o por mtodos drsticos (formatear el disco). Slo el reformateo fsico de bajo nivel puede garantizar que los virus sean totalmente exterminados.

Atencin: si comprueba que un archivo est infectado, puede borrarlo con el comando de borrado ERASE o DEL del DOS, que tambin borrar el virus, pero subsistir el riesgo. Si bien este comando es eficiente, slo suprime la entrada del archivo en el directorio pero no borra en absoluto el archivo en el disco. Entonces, el archivo queda con su virus! De todos modos, el archivo ya no es accesible y ya no puede ejecutarse, salvo que sea recuperado mediante un procedimiento posterior (una recuperacin de archivos borrados, mediante una herramienta, por ejemplo). Este incidente es muy improbable pero no puede ser descartado. Observe tambin que, sea cual fuere el programa antivirus que utilice, no podr encontrar virus en disquetes o en discos si se realizan copias con DISKCOPY, COPY, XCOPY. Otro problema surge cuando los archivos de un disquete estn comprimidos con un virus: el antivirus deber ser capaz de intervenir tambin en archivos comprimidos.

Captulo 10: Mtodos de deteccin de virus

a. Test de la longitud de los archivos Cuando un virus se instala en un programa, por lo general aumenta su tamao, delatando su presencia. Efectivamente, si el tamao de un archivo aumenta sin que usted lo modifique, puede sospechar que est en presencia de un virus. Algunos nombres de virus son simplemente la longitud del cdigo complementario en bytes que introducen en los programas. Por consiguiente, se puede registrar en un archivo especial la longitud de todos los archivos sensibles. Luego se comparar la nueva longitud de los archivos a la precedente. Si hay una

divergencia, hay que tenerla en cuenta: usted es el autor de esa modificacin? Si no, puede pensar en la existencia de un virus. Esta frmula no funciona si el virus se conforma con reemplazar el cdigo del vector por su propio cdigo, de manera tal que no modifica la longitud del archivo. En ese caso, hay que aplicar un mtodo ms poderoso que implique un clculo matemtico. El proceso de verificacin del tamao de un archivo en este caso se basa en el clculo de un valor de control aplicando los cdigos de redundancia cclica, o CRC: Se calcula un polinomio binario caracterstico del archivo y se lo divide por otro polinomio de valor convenido. El resto constituye el valor de control. La menor modificacin del archivo, aunque slo se trate de una inversin de dos caracteres, da un valor de control diferente. En la prctica, se calculan valores de control para todos los archivos, y se los registra. Luego se vuelve a realizar el clculo y se comparan los resultados nuevos a los precedentes. Cualquier divergencia puede indicar la presencia de un virus, pero corre por su cuenta averiguar en qu punto se encuentra. Observe que el simple cambio de una clave de acceso, o una modificacin del archivo Autoexec.bat, modificar el valor de control. Este principio permite que un detector descubra la presencia de algunos virus, inclusive de virus desconocidos. Los programas de deteccin de virus proceden de este modo; algunos detectores ms poderosos crean su propio algoritmo de clculo de valor de control, denominado "marca o firma del programa". Y mejor an, para poner en jaque a virus

particularmente perversos, el programa antivirus puede recurrir a un generador de divisor polinmico (es el caso del V~Analyst, por ejemplo). b. La fecha de los archivos Muchos virus modifican la longitud de los archivos contaminados pero sin cambiar la fecha. En cambio el DOS modifica siempre la fecha de un archivo en el que se acaba de trabajar para actualizarlo. Esto sugiere un segundo mtodo de deteccin. Si comprobamos que la longitud o el valor de control de un archivo cambi mientras que la fecha sigue siendo la misma, es probable que un virus lo haya atacado. Por lo general, los detectores de virus aplican este mtodo. Obsrvese que existen virus que modifican tambin la fecha o la hora, algunos las llevan premeditadamente a valores incorrectos, por ejemplo 62 segundos, o un siglo ms. c. La marca de los virus Un virus no es ms que un cdigo informtica. Puede contener una secuencia tpica de cdigo que indica su presencia y que se puede detectar. Es lo que denominamos su marca. Puede tratarse de varios bytes representativos, de una cadena de caracteres, del texto del mensaje que el virus presenta en pantalla, etc. Para la identificacin de los virus se puede proceder realizando un listado de las "marcas" de todos los virus conocidos, y luego buscando en el disco la presencia de estas marcas, comparando los cdigos registrados en el disco. Si se encuentran dos cadenas idnticas significa que se est en presencia de un virus.

Esta bsqueda de marcas puede tambin apuntar a la memoria central y detectar virus instalados en forma residente al inicializar la computadora. Es un mtodo muy eficiente, pero evidentemente slo puede aplicarse a virus conocidos y debidamente repertoriados. Es ineficaz si el virus es un mutante, que modifica la forma en que qued registrada su marca, en el transcurso de su existencia. d. El caso de los virus furtivos Acabamos de examinar algunos de los principales mtodos de deteccin de virus. Son los mtodos que aplican los programas antivirus. Los autores de virus los conocen muy bien, y por lo tanto han querido desafiarlos fabricando "virus furtivos" ("stealth", en ingls). As como los aviones furtivos Fll7 americanos reducen su marca en el radar al punto de resultar indetectables, los virus furtivos tambin ponen en accin algunos mtodos sutiles para pasar inadvertidas. El primer caso es el del virus que infecta un archivo disimulando su aumento de tamao. Para esto, utilizan dos mtodos: El primero es el llamado pasivo. El virus se instala en una zona reservada y disponible del programa, en una pila o un bfer, por ejemplo, para no modificar la longitud del archivo en cantidad de bytes, y no alterar de ninguna manera el cdigo mismo del programa. Cuando se ejecuta el programa, el virus se ejecuta y libera este espacio que el programa ahora necesita, para luego volver a instalarse all al finalizar la ejecucin. El segundo es el mtodo activo. Cuando se consulta la longitud de un archivo en el DOS, se lanza la interrupcin 2lH, funcin 42H. El virus desva este llamado de interrupcin, examina si el archivo est infectado y si la respuesta es s, le resta su tamao al tamao real del archivo. De este modo, el tamao no parece haberse modificado.

Y los hay mejores an: algunos virus son capaces de disimular las modificaciones realizadas a un archivo, proporcionando al sistema un archivo limpio, desinfectado, cuando se realiza un control. Para esto el virus hace una copia de seguridad de las partes modificadas del programa y luego desva prcticamente todas las interrupciones del DOS relativas a los archivos; si se quiere analizar el archivo infectado, el virus devuelve la imagen del programa sano. Ni siquiera una verificacin de muy bajo nivel, en hexadecimales, por ejemplo, ser capaz de revelar la presencia de ese virus. Las verificaciones clsicas fracasan: longitud del archivo, valor de control, etc. Hay que aplicar otros mtodos entre los cuales se encuentra el anlisis de la marca, siempre que pueda realizarse, el control de la memoria central para destruir la parte residente del virus, etc. Frodo es un ejemplo de este tipo de virus furtivos. Otras veces, el virus desplaza informaciones del inicio de un disco para tomar su lugar; si luego se pide la lectura de un sector infectado, el virus restablecer el orden de cosas anterior, desviando la interrupcin l3H del BIOS. Adems, puede instalarse en una zona de sectores que declarar defectuosos, y por lo tanto inutilizables, en la FAT. Su deteccin ser ms dificultosa. 0 si no, el virus modifica su marca encriptndola, o encriptando su cdigo, lo que lo har difcil de identificar. Existe una guerra abierta entre las medidas contra los virus y los autores de virus que perfeccionan sus creaciones diablicas permanentemente. Por ltimo, diremos que algunos virus son mutantes. Su cdigo contiene instrucciones que, con una seleccin aleatoria, les confieren un comportamiento diferente. Es el caso del virus 1260. Tambin suele mencionarse el caso de virus defensivos que reaccionan a cualquier accin de un antivirus para desafiarlo e incluso para volverlo nocivo.

Captulo 11:

Qu hacer?
Sean cuales fueren los mtodos de proteccin que usted haya adoptado, conviene que los instale en forma residente, o que los ejecute con frecuencia, o an mejor, que aplique estos dos mtodos simultneamente si son complementarios. Si tiene sospechas de un ataque viral a partir de lo que acabamos de comentar precedentemente, conviene proceder como se explica a continuacin. Apague la computadora. Introduzca un disquete de sistema, "booteable", en la disquetera. Atencin: utilice siempre un disquete protegido contra escritura. Vuelva a encender la computadora para cargar el sistema. Utilice un software antivirus, protegiendo contra escritura el disquete. Lo que deba hacer a continuacin depende del programa antivirus. Por lo general, este programa ser capaz no slo de destruir el virus sino tambin de reconstruir los archivos ejecutables (y slo los ejecutables) restituyndoles su integridad original. Si el virus destruy irremediablemente algunos datos (borrado parcial o total del disco), deber recurrir a las copias de seguridad para recuperarlos. Otro mtodo consiste en aplicar los puntos 1, 2 y 3, y luego, si no se sabe qu fue lo afectado: A partir de un disquete del DOS protegido contra escritura ejecutar un formateo fsico (de bajo nivel) del disco duro, si es posible. Hacer la particin del disco duro y formatearlo lgicamente. Cargar el sistema.

Volver a cargar los archivos utilizando las copias de seguridad.

Captulo 12: Categoras de programas antivirus

Se pueden definir cuatro categoras de programas antivirus, que muchas veces se encuentran reunidas en un solo producto, lo que simplifica su utilizacin: Detectores de virus. Indican que un archivo est infectado, sin especificar por qu virus. Puede tratarse de virus desconocidos. Identificadores de virus. Buscan la marca de los virus conocidos y los identifican, presentando su nombre y su versin. Neutralizadores o inhibidores de virus. Se trata de programas residentes en la memoria que vigilan y detienen cualquier acceso anormal a funciones especficas del sistema, por ejemplo una tentativa de escritura en un archivo COM. Destructores de virus. Destruyen los virus detectados restableciendo la integridad de los programas, cuando se puede. Los autores de virus crean permanentemente nuevos virus, y, adems, perfeccionan constantemente sus productos. Por lo tanto, es obvio que los programas antivirus deben seguir el mismo ejemplo. Es por esto que los ms serios se actualizan con regularidad. Un buen programa antivirus debe detectar virus, es cierto. Pero tambin debe evitar en lo posible las falsas alarmas. Debe ser capaz de detectar los virus originales y los mutantes, e incluso de advertir la presencia de virus desconocidos, lo que no es fcil. Dado que sus funciones son complejas, ser conveniente que cuente con una gran velocidad de intervencin cuando la cantidad

de archivos a controlar sea considerable. La bsqueda de la velocidad no debe, sin embargo, ir en detrimento de la calidad del anlisis o de su alcance. Un software antivirus puede resultar muy rpido, pero tal vez, si lo analizamos con ms detenimiento, veremos que slo controla parcialmente el contenido de los archivos. a. Cmo funciona un inhibidor El programa inhibidor (o "neutralizador") antivirus residente en la memoria debe estar alerta en los siguientes casos: Un virus se instala en la memoria en la inicializacin de la computadora. Intenta instalarse en la memoria central recurriendo a un programa del disco duro o de un disquete. Se lanza un llamado al sistema sospechoso. Un programa residente quiere instalarse en la memoria central. Hay un intento de escritura en los sectores de inicio. Se intenta modificar un archivo ejecutable. Etctera. El inhibidor de virus debe ser capaz de intervenir de modo transparente y rpido, y de bloquear cualquier intento de introduccin de un virus. Es evidente que el neutralizador debe ocupar la menor cantidad posible de memoria central. Sin embargo, la modalidad de administracin de la memoria en el DOS es tal que la eficiencia de un programa como ste resulta necesariamente limitada frente a virus desconocidos. b. Cmo procede un destructor de virus

Para destruir virus el programa destructor debe, en condiciones ideales: Buscar el archivo infectado por un virus conocido, descubriendo su marca. Calcular la posicin del virus. Localizar la direccin de origen de ese programa. Restablecer esa direccin. Extraer el virus y destruir su cdigo. Con frecuencia, el antivirus devolver un programa desinfectado y que funcione, salvo que el virus haya destruido irremediablemente algunas informaciones, en cuyo caso slo quedar el recurso a las copias de seguridad. Adems, el archivo descontaminado no necesariamente ser idntico al original, particularmente si nos enfrentamos a virus de tamao variable. c. Funcionamiento en red Cuando se trabaja con una red local el peligro se multiplica por la cantidad de puestos de trabajo. Se imponen entonces precauciones an ms drsticas. Por otra parte, es probable que todos los usuarios no dispongan del mismo grado de competencia en materia de la lucha contra los virus, elemento que habr que tener en cuenta. En ese caso es preferible confiar la lucha antivirus al supervisor de la red, o a un especialista de seguridad. Si el software antivirus est instalado en todos los puestos, el alerta en caso de incidentes deber transmitiese a quien se halle a cargo. Tambin hay que prever, de ser posible, un sistema de alerta jerarquizado. Evidentemente el software antivirus deber ser apto para el funcionamiento en red, Novell, por ejemplo. Deber ofrecer varias posibilidades: llevar un diario de control y de incidentes

registrados, alertas selectivas no generalizadas, simplicidad de gestin y de actualizacin, etc.

Captulo 13: Descontaminacin manual

Si slo se dispone de un detector de virus, pero no de un software destructor de virus, se podr descontaminar "manualmente" un disco infectado. Claro que si bien es posible hacerlo, no se contar con el trabajo de reconstitucin que el erradicador de virus puede eventualmente realizar. En cualquier caso, la primera precaucin consiste en no ejecutar archivos presentes en el disco. Se apaga el sistema contaminado, luego se enciende reinicializando a partir de un disquete no contaminado y protegido contra escritura. a. Contaminacin del inicio Si el inicio de un disquete est contaminado, se puede intentar destruirlo lanzando el comando SYS del DOS. Este procedimiento es exitoso en la mayor parte de los casos. Luego se verifica que el virus haya sido destruido. En caso de que no sea as, convendr guardar los diferentes archivos de sistema uno despus de otro (sin guardar el sector de inicio) y luego ejecutar un formateo fsico del disco. Si se trata de un disquete, se copian los archivos del disquete contaminado utilizando el comando COPY del DOS selectivamente, y no XCOPY o DISKCOPY, que transferiran el virus. Luego descarte el disquete contaminado, a menos que prefiera formatearlo con el FORMAT del DOS (pero no con comandos similares de otros utilitarios), ya que el formateo del DOS es destructivo.

b. Contaminacin de archivos en el disco duro Una vez que se apaga el sistema contaminado, se reinicializa utilizando un disquete no contaminado y protegido contra escritura. Se controlan los disquetes originales para ver si estn contaminados por el virus; si estn sanos, se reemplaza los programas contaminados por las versiones originales. c. Contaminacin del sector de particin Nuevamente, se apaga el sistema, y luego se lo reinicializa utilizando un disquete no contaminado y protegido contra escritura. Luego se procede a hacer una copia de seguridad del sistema archivo por archivo (con lo cual no se copia el sector de las particiones). Luego se realiza un formateo fsico del disco de bajo nivel, si es posible hacerlo. 0 bien se vuelve a realizar la particin del disco.

Captulo 14: Falsas alarmas

Entre las cualidades de los programas antivirus figura su capacidad de no desencadenar falsas alarmas. Algunos softwares creen detectar virus donde no los hay, generando sobresaltos innecesarios al usuario. Nos ha sucedido! En caso de dudas, se puede volver a lanzar la bsqueda de un virus varias veces consecutivas ya que con gran frecuencia la falsa alarma no persiste. 0 bien, recurrir a programas antivirus diferentes para confirmar un diagnstico. Asegrese siempre de poseer una versin actualizada del programa.

Captulo 15: Algunos softwares antivirus

El DOS 6 comprende un programa antivirus concebido por la empresa Central Point Software, que luego pas a Symantec, los creadores de Norton Utilities. Este programa contiene varios mdulos para la deteccin de virus, su erradicacin, la reconstruccin de los archivos infectados, adems de un mdulo residente. Tambin puede instalarse bajo Windows, con lo cual resulta ms ameno. Existen tambin otros antivirus muy buenos. Por ejemplo: Dr. Solomon's Antivirus, distribuido por AB Soft. Los programas de la empresa americana McAfee, distribuidos con diversos nombres, entre otros, Viruscan. Al parecer son los que predominan en el mercado. Norton Antivirus, de Symantec. Observe que en 1994, Symantec anex el Central Point Software. ViruSafe, otro producto israel desarrollado por Eliashim Microcomputers y distribuido por CTI. No olvide actualizar sus programas, ya que da a da aparecen nuevos virus, en menor numero actualmente, segn parece, pero mucho ms sofisticados y por lo tanto, ms peligrosos.