Tipos de virus informticos Los virus se diferencian por la forma de propagarse en el ordenador, la procedencia o los tipos de ficheros que

infectan. Todos tienen el mismo fin, destruir. El nombre de virus empez a utilizarse en el ao 1984. A finales de esa dcada apareci la primera epidemia vrica donde se produjeron infecciones masivas de los virus Brain, Bouncing Ball y Marihuana. Estos afectaban al arranque del equipo. Virus residente Es aquel virus que se oculta en la memoria RAM de un ordenador y que afecta a los programas y ficheros cuando son puestos en funcionamiento. Suele actuar segn unas normas marcadas por el creador. Se trata de uno de los virus de archivo ms frecuentes e infecciosos. Algunos de los ejemplos de este tipo de virus son el Randex, el CMJ, el Meve y el MrKlunky. Virus encriptados Estos tipos de virus utilizan una tcnica que consiste en esconderse cuando no actan para que no los detecte el antivirus. Slo pueden ser descubiertos cuando se ejecutan. Pueden pertenecer a otros tipos de virus como por ejemplo a los polifrmicos, con lo que ser ms difcil detectar su presencia. Elvira y Trile son algunos de estos virus. Bombas lgicas Son un tipo de virus camuflados que se activan cuando se les da una determinada orden. Su principal fin es destruir los datos de un ordenador o hacer el mayor dao posible. No son considerados estrictamente como virus ya que no tienen la cualidad de poder reproducirse. De este tipo de virus son los virus de fechas como el viernes 13. Virus BOOT Corrompen el sistema de arranque del disco duro e impiden su puesta en funcionamiento. Para eliminarlos se debe hacer uso de un CD de arranque. Estos virus no infectan hasta que no se ponga en marcha el ordenador con un disco infectado. Tambin reciben el nombre de virus de arranque. Alguno de ellos son el Polyboot.B y el AntiEXE. Virus polifrmicos Son un tipo de virus que cada vez que actan, lo hacen de una forma distinta. Generan una gran cantidad de copias de s mismo por lo que son muy difciles de detectar. Son muy difciles de detectar por los antivirus. Algunos de los virus polifrmicos ms conocidos son, por ejemplo, el Marburg, el Satan Bug y el Tuareg. Gusanos Realizan copias de s mismos a una gran velocidad por lo que pueden dejar el sistema

colapsado. Adems, pueden llegar a reproducirse sin infectar ningn fichero. Se introducen, entre otros medios, va e-mail y a travs de chats. Tambin reciben el nombre de worms. ElPSWBugbear.B y el Lovgate.F son algunos de ellos. Troyanos Reciben el nombre de Caballo de Troya por utilizar una tcnica muy similar a la que utilizaron los griegos para asaltar la ciudad de Troya y acabar con los troyanos. Se caracterizan por introducirse mediante programas en un ordenador ajeno y hacerse con el control. Su principal medio de acceso es internet. Sus efectos pueden ser muy peligrosos. Spyware Son virus del tipo de los troyanos y no causan daos graves al sistema. Registran las actividades en lnea del usuario del ordenador en el que estn, accediendo por ejemplo a datos personales y costumbres.

MODELO ANTIVIRUS: La estructura de un programa antivirus, est compuesta por dos mdulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes: 1. 2. Mdulo de control: posee la tcnica verificacin de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas crticas de un disco rgido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de informacin de un disco rgido que no son modificados a menos que el usuario lo requiera. Otra opcin dentro de este mdulo es la identificacin de virus, que incluye diversas tcnicas para la deteccin de virus informticos. Las formas ms comunes de deteccin son el scanning y los algoritmos, como por ejemplo, los heursticos. Asimismo, la identificacin de cdigo daino es otra de las herramientas de deteccin que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la informacin del disco rgido. Esto implica descompilar (o desensamblar) en forma automtica los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el mdulo de control tambin posee una administracin de recursos para efectuar un monitoreo de las rutinas a travs de las cuales se accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la accin de un programa restringindole el uso de estosrecursos, como por ejemplo impedir el acceso a la escritura de zonas crticas del disco o evitar que se ejecuten funciones de formato del mismo. 2. 3. Mdulo de respuesta: la funcin alarma se encuentra incluida en todos los programas antivirus y consiste en detener la accin del sistema ante la sospecha

de la presencia de un virus informtico, e informar la situacin a travs de un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informtico, la posibilidad de erradicarlo. Por consiguiente, la funcin reparar se utiliza como una solucin momentnea para mantener la operatividad del sistema hasta que pueda instrumentarse una solucin adecuada. Por otra parte, existen dos tcnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infeccin se expanda ms all de un mbito fijo. Aunque la primera opcin es la ms adecuada, plantea grandes problemas de implementacin. DETECCIN Y PREVENCIN. Debido a que los virus informticos son cada vez ms sofisticados, hoy en da es difcil sospechar su presencia a travs de sntomas como la prdida de performance. De todas maneras la siguiente es una lista de sntomas que pueden observarse en una computadora de la que se sospeche est infectada por alguno de los virus ms comunes: y y y y y Operaciones de procesamiento ms lentas. Los programas tardan ms tiempo en cargarse. Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rgido. Disminucin no justificada del espacio disponible en el disco rgido y de la memoria RAM disponible, en forma constante o repentina. Aparicin de programas residentes en memoria desconocidos.

La primera medida de prevencin a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la nica forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al disco rgido de la computadora, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mnimo posible todo tipo de trfico. Adems de utilizar un sistema antivirus y controlar el trfico de archivos al disco rgido, una forma bastante eficaz de proteger los archivos ejecutables es utilizar un programa chequeador de integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes que puedan ser parasitados por un virus convencional, se impedira su accionar. Para prevenir la infeccin con un virus de sector de arranque, lo ms indicado es no dejar disquetes olvidados en la disquetera de arranque y contar con un antivirus. Pero, adems, puede aprovecharse una caracterstica que incorpora el setup de las computadoras ms modernas: variar la secuencia de arranque de la PC a "primero disco rgido y luego disquetera" (C, A). De esta manera, la computadora no intentar leer la disquetera en el arranque aunque tenga cargado un disquete. Algunos distribuidores o representantes de programas antivirus envan muestras de los nuevos virus argentinos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas versiones o upgrades, con la demora que esto implica.

En consecuencia, la deteccin alternativa a la de scanning y las de chequeo de actividad e integridad resultan importantes, ya que pueden detectar la presencia de un virus informtico sin la necesidad de identificarlo. Y esta es la nica forma disponible para el usuario de detectar virus nuevos, sean nacionales o extranjeros. De todas maneras, existe una forma de actualizar la tcnica de scanning. La misma consiste en incorporarle al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de cdigo (strings) significativos del sector vital de cada nuevo virus que todava no est incorporado en la base de datos del programa. De todas formas, esta solucin ser parcial: la nueva cadena introducida slo identificar al virus, pero no ser capaz de erradicarlo. Es muy importante que los "strings" que se vayan a incorporar al antivirus provengan de una fuente confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces. Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, FProt y Thunderbyte. La NCSA (National Computer Security Association, Asociacin Nacional de Seguridad de Computadoras) es la encargada de certificar productor antivirus. Para obtener dicha certificacin los productos deben pasar una serie de rigurosas pruebas diseadas para asegurar la adecuada proteccin del usuario. Antiguamente el esquema de certificacin requera que se detectara (incluyendo el nmero de versin) el 90 % de la librera de virus del NCSA, y fue diseado para asegurar ptimas capacidades de deteccin. Pero esta metodologa no era completamente eficiente. Actualmente, el esquema de certificacin enfoca la amenaza a las computadoras empresariales. Para ser certificado, el producto debe pasar las siguientes pruebas: a. b. Debe detectar el 100% de los virus encontrados comnmente. La lista de virus comunes es actualizada peridicamente, a medida que nuevos virus son descubiertos. c. Deben detectar, como mnimo, el 90% de la librera de virus del NCSA (ms de 6.000 virus) Estas pruebas son realizadas con el producto ejecutndose con su configuracin "por defecto". Una vez que un producto ha sido certificado, la NCSA tratar de recertificar el producto un mnimo de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador del programa. Esta es una buena manera de asegurar que el producto satisface el criterio de certificacin. Si un producto no pasa la primera o segunda prueba, su distribuidor tendr siete das para proveer de la correccin. Si este lmite de tiempo es excedido, el producto ser eliminado de la lista de productos certificados. Una vez que se ha retirado la certificacin a un producto la nica forma de recuperarla es que el distribuidor enve una nueva versin completa y certificable (no se aceptar slo una reparacin de la falla.

Acerca de la lista de virus de la NCSA, aclaremos que ningn desarrollador de antivirus puede obtener una copia. Cuando un antivirus falla en la deteccin de algn virus incluido en la lista, una cadena identificatoria del virus le es enviada al productor del antivirus para su inclusin en futuras versiones. En el caso de los virus polimrficos, se incluyen mltiples copias del virus para asegurar que el producto testeado lo detecta perfectamente. Para pasar esta prueba el antivirus debe detectar cada mutacin del virus. La A. V. P. D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una asociacin formada por las principales empresas informticas del sector, entre las que se cuentan: y y y y y y y y y Cheyenne Software I. B. M. Intel McAfee Associates ON Tecnology Stiller Research Inc. S&S International Symantec Corp. ThunderByte 11. ALGUNOS ANTIVIRUS. y DR. SOLOMON'S ANTIVIRUS TOOLKIT.

Certificado por la NCSA. Detecta ms de 6.500 virus gracias a su propio lenguaje de deteccin llamado VirTran, con una velocidad de deteccin entre 3 y 5 veces mayor que los antivirus tradicionales. Uno de los ltimos desarrollos de S&S es la tecnologa G. D. E. (Generic Decription Engine, Motor de Desencriptacin Genrica) que permite detectar virus polimrficos sin importar el algoritmo de encriptacin utilizado. Permite detectar modificaciones producidas tanto en archivos como en la tabla de particin del disco rgido. Para ello utiliza Checksumms Criptogrficos lo cual, sumado a una clave personal de cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptacin. Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y tablas de particin la proteccin es genrica, es decir, independiente del virus encontrado. Otras caractersticas que presenta este antivirus, son: y y y y y y y Ocupa 9K de memoria extendida o expandida. Documentacin amplia y detallada en espaol y una enciclopedia sobre los virus ms importantes. Actualizaciones mensuales o trimestrales de software y manuales. Trabaja como residente bajo Windows. A. H. A. (Advanced Heuristic Analysis, Anlisis Heurstico Avanzado). NORTON ANTIVIRUS.

Certificado por la NCSA. Posee una proteccin automtica en segundo plano. Detiene prcticamente todos los virus conocidos y desconocidos (a travs de una tecnologa propia denominada NOVI, que implica control de las actividades tpicas de un virus, protegiendo la integridad del sistema), antes de que causen algn dao o prdida de informacin, con una amplia lnea de defensa, que combina bsqueda, deteccin de virus e inoculacin (se denomina 'inoculacin' al mtodo por el cual este antivirus toma las caractersticas principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en dichas reas, NAV avisa al usuario y provee las opciones de Reparar - Volver a usar laimagen guardada - Continuar - No realiza cambios - Inocular - Actualizar la imagen. Utiliza diagnsticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos. El escaneo puede ser lanzado manualmente o automticamente a travs de la planificacin de fecha y hora. Tambin permite reparar los archivos infectados por virus desconocidos. Incluye informacin sobre muchos de los virus que detecta y permite establecer una contrasea para aumentar as la seguridad. La lista de virus conocidos puede ser actualizada peridicamente (sin cargo) a travs de servicios en lnea como Internet, Amrica On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros. y VIRUSSCAN.

Este antivirus de McAfee Associates es uno de los ms famosos. Trabaja por el sistema de scanning descripto anteriormente, y es el mejor en su estilo. Para escanear, hace uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Cdigo) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Cdigo). Una de las principales ventajas de este antivirus es que la actualizacin de los archivos de bases de datos de strings es muy fcil de realizar, lo cual, sumado a su condicin de programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuracin de cmo detectar, reportar y eliminar virus.