subject: Virus Informaticos [print this page] Mucho se habla de virus informticos, de los daos que causan quien los disea, o cuales son las reales causas de sus creaciones, buscan sus orgenes en simples ociosos o en terroristas informticos o incluso algunas mentes mas divagadoras los asocian a aliengenas y otras cosas todava mas absurdas. La verdad que en este artculo no nos vamos a referir al origen de los Virus Informticos, ni a los daos especficos que estos pueden causar, sino mas bien a entender que es un virus, como acta, que es un antivirus
QUE ES UN VIRUS
Un virus informtico es un programa o softwareque no tiene ninguna interaccin con el usuario, vale decir, no crea ningn medio de comunicaron con el usuario, por lo tanto no nos damos cuenta que un PC esta infectado, por que al revisar los programas instalado, estos virus no son identificables, pero tienen la capacidad de auto ejecutarse y propagarse insertando copias de s mismo en otro programa o documento.
Un virus informtico se adjunta a un programa o archivo de forma que puede propagarse, infectando los PC. a medida que viaja de un PC a otro, algunos virus solo causan efectos ligeramente molestos mientras que otros pueden daar tu hardware, software o archivos.
Casi todos los virus se unen a un fichero ejecutable, lo que significa que el virus puede estar en tu PC pero no puede infectarlo a menos que ejecutes o abras el programa infectado. Es importante observar que un virus no puede continuar su propagacin sin la accin humana, (por ejemplo ejecutando un programa infectado). La gente contribuye a la propagacin de los virus, muchas veces sin saberlo, al compartir archivos infectados o al enviar e-mails con virus como archivo adjunto en el email.
La insercin del virus en un programa se llama infeccin, y el cdigo infectado del archivo (o ejecutable que no es parte de un archivo) se llama hospedador (Host), los virus son uno de los varios tipos de Malware o software malvolo.
Algunos virus tienen una carga retrasada, que a veces se llama bomba. Por ejemplo, un virus puede exhibir un mensaje en un da o esperar un tiempo especfico hasta que ha infectado cierto nmero de hospedadores. Sin embargo, el efecto ms negativo de los virus es su autoreproduccin incontrolada, que sobrecarga todos los recursos del PC.
Debido a Internet, hoy en da son ms comunes los gusanos que los virus. Los programas antivirus, diseados originalmente para proteger los PCes contra virus, se han ampliado para cubrir gusanos y otras amenazas tales como el Spyware.
QUE ES UN GUSANO
Un worm o gusano informtico es similar a un virus por su diseo, y es considerado una subclase de virus. Los gusanos informticos se propagan de PC a PC, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Un gusano informtico se aprovecha de un archivo o de caractersticas de transporte de tu sistema, para viajar.
Lo ms peligroso de los worms o gusanos informticos es su capacidad para replicarse en tu sistema, por lo que tu PC podra enviar cientos o miles de copias de s mismo, creando un efecto devastador enorme. Un ejemplo sera el envo de una copia de s mismo a cada uno de los contactos de tu libreta de direcciones de tu programa de email. Entonces, el gusano se replica y se enva a cada uno de los contactos de la libreta de direcciones de cada uno de los receptores, y as continuamente.
Debido a la naturaleza de copiado de un gusano informtico y de su capacidad de viajar a travs de redes el resultado final, en la mayora de los casos, es que el gusano consume demasiada memoria de sistema (o anchura de banda de la red), haciendo que los servidores y los PC individuales dejen de responder.
En ataques de gusano recientes, como el del gusano Blaster Worm, el gusano est diseado para hacer un tnel en tu sistema y permitir que usuarios malvolos controlen remotamente tu PC.
QUE ES UN TROYANO
Un troyano informtico, caballo de Troya o Trojan Horse est tan lleno de artimaas como lo estaba el mitolgico caballo de Troya del que se ha tomado el nombre. A primera vista el troyano parece ser un programa til, pero en realidad har dao una vez instalado o ejecutado en tu PC. Los que reciben un troyano normalmente son engaados a abrirlos porque creen que han recibido un programa legtimo o archivos de procedencia segura.
Cuando se activa un troyano en tu PC, los resultados pueden variar. Algunos troyanos se disean para ser ms molestos que malvolos (como cambiar tu escritorio agregando iconos de escritorio activos tontos), mientras que otros pueden causar dao serio, suprimiendo archivos y destruyendo informacin de tu sistema.
Tambin se conoce a los troyanos por crear puertas traseras o backdoors en tu PC permitiendo el acceso de usuarios malvolo a tu sistema, accediendo a tu informacin confidencial o personal por medio de sistemas remotos
A diferencia de los virus y gusanos, los troyanos ni se auto replican ni se reproducen infectando otros archivos.
QUE ES UN ANTIVIRUS
Es un programa creado para prevenir o evitar la activacin de los virus, as como su propagacin y contagio. Cuenta adems con rutinas de detencin, eliminacin y reconstruccin de los archivos y las reas infectadas del sistema.
Un antivirus tiene tres principales funciones y componentes:
VACUNA es un programa que instalado residente en la memoria, acta como "filtro" de los programas que son ejecutados, abiertos para ser ledos o copiados, en tiempo real.
DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los cdigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rpida desarman su estructura.
ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente despus a reparar o reconstruir los archivos y reas afectadas.
Es importante aclarar que todo antivirus es un programa y que, como todo programa, slo funcionar correctamente si es adecuado y est bien configurado. Adems, un antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin total ni definitiva.
La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. Este es el aspecto ms importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informtico, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daos posibles. Adicionalmente, un antivirus puede dar la opcin de erradicar un virus informtico de una entidad infectada.
El modelo ms primario de las funciones de un programa antivirus es la deteccin de su presencia y, en lo posible, su identificacin. La primera tcnica que se populariz para la deteccin de virus informticos, y que todava se sigue utilizando (aunque cada vez con menos eficiencia), es la tcnica de scanning. Esta tcnica consiste en revisar el cdigo de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeas porciones de cdigo que puedan pertenecer a un virus informtico. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de cdigo representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de bsqueda.
La tcnica de scanning fue bastante eficaz en los primeros tiempos de los virus informticos, cuando haba pocos y su produccin era pequea. Este relativamente pequeo volumen de virus informticos permita que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeo trozo de cdigo que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versin. Sin embargo, la obsolescencia de este mecanismo de identificacin como una solucin antivirus completa se encontr en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solucin a posteriori: es necesario que un virus informtico alcance un grado de dispersin considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarn, extraern el trozo de cdigo que lo identificar, y lo incluirn en la prxima versin de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersin considerable, lapso en el cual puede causar graves daos sin que pueda ser identificado.
Adems, este modelo consiste en una sucesin infinita de soluciones parciales y momentneas (cuya sumatoria jams constituir una solucin definitiva), que deben actualizarse peridicamente debido a la aparicin de nuevos virus.
En sntesis, la tcnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rpidamente la presencia de los virus ms conocidos y, como son estos los de mayor dispersin, permite una importante gama de posibilidades. Un ejemplo tpico de un antivirus de esta clase es el Viruscan de McAfee.
En virtud del pronto agotamiento tcnico de la tcnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de mtodos para bsquedas de virus informticos (y de sus actividades), que no identifican especficamente al virus sino a algunas de sus caractersticas generales y comportamientos universalizados.
Este tipo de mtodo rastrea rutinas de alteracin de informacin que no puedan ser controladas por el usuario, modificacin de sectores crticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de mtodos es el que utiliza algoritmos heursticos.
De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, cdigos de instrucciones potencialmente pertenecientes a un virus informtico. Resulta eficaz para la deteccin de virus conocidos y es una de las soluciones utilizadas por los antivirus para la deteccin de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchsimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminacin de cualquier falsa alarma generada por un mtodo heurstico.
Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus informtico en un sistema consiste en monitorear las actividades de la PC sealando si algn proceso intenta modificar los sectores crticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad. Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus, que siempre est residente en memoria y un programa que verifique la integridad de los sectores crticos del disco rgido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
La estructura de un programa antivirus, est compuesta por dos mdulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:
1. Mdulo de control: Posee la tcnica verificacin de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas crticas de un disco rgido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de informacin de un disco rgido que no son modificados a menos que el usuario lo requiera. Otra opcin dentro de este mdulo es la identificacin de virus, que incluye diversas tcnicas para la deteccin de virus informticos. Las formas ms comunes de deteccin son el scanning y los algoritmos, como por ejemplo, los heursticos. Asimismo, la identificacin de cdigo daino es otra de las herramientas de deteccin que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la informacin del disco rgido. Esto implica descompilar (o desensamblar) en forma automtica los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el mdulo de control tambin posee una administracin de recursos para efectuar un monitoreo de las rutinas a travs de las cuales se accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la accin de un programa restringindole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas crticas del disco o evitar que se ejecuten funciones de formato del mismo.
2. Mdulo de respuesta: La funcin alarma se encuentra incluida en todos los programas antivirus y consiste en detener la accin del sistema ante la sospecha de la presencia de un virus informtico, e informar la situacin a travs de un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informtico, la posibilidad de erradicarlo. Por consiguiente, la funcin reparar se utiliza como una solucin momentnea para mantener la operatividad del sistema hasta que pueda instrumentarse una solucin adecuada. Por otra parte, existen dos tcnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infeccin se expanda ms all de un mbito fijo. Aunque la primera opcin es la ms adecuada, plantea grandes problemas de implementacin.
La A.V.P.D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una asociacin formada por las principales empresas informticas del sector, entre las que se cuentan:
A&G Consultores Ltda es una empresa dedicada a dar soporte informatico que integra el mantenimiento, desarrollos, reparaciones y suministros de insumos informaticos en las principales ciuades del norte de chile, siendo Iquique su centro operativo. www.aygconsultores.net
