Índice ˇ Capítulo 16
ˇ Capítulo 18 ˇ Publicaciones
ˇ Saulo.Net
17-1 Introducción: Los virus informáticos
Los virus informáticos son programas diseñados para causar de forma intencionada daño a nuestro sistema. Los virus poseen una gran facilidad para reproducirse dentro de los discos. Debemos prestar mucha atención al concepto de virus = programa: un virus es un programa, es software. Este concepto implica lo siguiente:
Ha sido diseñado por una persona. Por tanto, un virus no nace de la nada: ha sido programado con antelación.
Se transmite por las mismas vías que el software normal: discos, vía módem o a través de una red de ordenadores.
No puede estropear los componentes físicos del ordenador, el hardware. Solamente puede estropear los datos grabados en los discos, no al disco como tal. Un virus se elimina con un programa denominado anti-virus. En el mejor de los casos se puede eliminar el virus sin afectar a los datos. De lo contrario, cuando no se pueda separar el virus de nuestros datos, habrá que sacrificar nuestros trabajos para eliminar el virus.
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-2 Motivos para fabricar un virus
Los motivos que pueden llevar a un programador a crear un virus informático pueden ser diferentes:
Deseo de demostrarse a sí mismo que es capaz de hacerlo.
Deseo de producir un daño a una entidad o a una persona específica. Por ejemplo, una persona puede vengarse de aquella empresa que le despide introduciendo un virus en sus sistemas.
Intereses económicos: crear el virus, extender la infección a empresas importantes y luego, venderles el anti-virus que lo elimina.
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-3 Clasificación de los virus
Se pueden clasificar en dos tipos principales: a) aquellos que residen en el sector de arranque de un disco y b) aquellos que residen en un fichero ejecutable (EXE o COM).
En ambos tipos, el objetivo principal es reproducirse de la forma más rápida posible sin que se note (estado de latencia). Cuando el virus considera que se ha extendido lo suficiente pasa al estado de activación. Los efectos del programa en este periodo son tan variados como alcance la imaginación de los autores: unos destruyen datos difícilmente recuperables y otros se limitan a mostrar mensajes inofensivos en la pantalla.
Virus de sector de arranque
Estos virus se instalan en memoria cada vez que arrancamos con el disco que lo contiene. Si un virus infecta el sector de arranque de un disco duro, cada vez que arranquemos el ordenador (con el disco duro) el virus se acomodará en la memoria, actuando como filtro entre el sistema operativo y nosotros.
En esta ventajosa posición, el virus podría empezar a destruir datos, pero es poco probable. Si lo hiciera, el usuario se daría cuenta y pondría remedio: el principal objetivo del virus no se alcanzaría. Lo más normal es que busque nuevas víctimas antes de pasar al estado de activación.
Estos virus suelen interferir los servicios del sistema relacionados con los discos. Cuando se introduce un disquete, el virus lo detecta, comprueba que esté sin infectar y si se dan las condiciones propicias (por ejemplo, que el disco esté sin proteger), infecta su sector de arranque.
El virus debe realizar todas estas acciones de forma oculta al usuario. Si éste advirtiera alguna irregularidad en el funcionamiento del sistema tomaría medidas para eliminar el virus, impidiendo su objetivo principal: la reproducción.
Cuando el virus considere que ha infectado suficientes disquetes, pasará al estado de activación, destruyendo -generalmente- los datos del disco duro.
Virus de fichero
El código de estos virus se añade o se superpone a un fichero ejecutable (un procesador de textos, el command.com... ) y entran en funcionamiento únicamente al ejecutar el fichero infectado. Lógicamente, los ficheros están para ser ejecutados, por lo que tarde o temprano lo cargaremos, entrando en funcionamiento el programa intruso.
Los virus de fichero residentes se cargan en memoria cuando ejecutamos el programa. A partir de este momento, el virus tratará de infectar otros ficheros ejecutables (COM o EXE). Como la memoria RAM es temporal, al apagar el ordenador se borrará el virus de la memoria.
Los virus de fichero de acción directa no se cargan en memoria, solamente funcionan el cargarse un fichero infectado. En estos casos, el virus se añade en alguna posición al fichero sano. Cuando ejecutemos el fichero (ahora infectado), primero toma el control el virus, actúa y luego da paso al verdadero fichero. En el escaso tiempo que actúa, el virus deberá intentar infectar todos los ficheros que tenga a su alcance lo más rápidamente posible. Si el usuario observara demora, el intruso se delataría a sí mismo.
Los virus de fichero de sobrescritura superponen su propio código sobre el del programa sano. Cuando indicamos a ms-dos que ejecute un fichero con virus de este tipo, el virus se carga en la memoria y muestra en pantalla un mensaje de error para intentar engañar al usuario. El fichero primitivo ya no existe y por tanto no puede funcionar. Cuando observamos que cada vez menos programas arrancan, es señal inequívoca de un desastre, pero quizás sea ya demasiado tarde para poner remedio.
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-4 Medidas para evitar el contagio
No utilizar software ilegal o de procedencia dudosa. Revisar todos los disquetes que entren de fuera con un buen anti-virus, como el suministrado por ms-dos: Msav.
Realizar copias de seguridad de nuestros trabajos en el disco duro de forma periódica. Los programas deberíamos tenerlos en disquetes, por consiguiente sólo tenemos que preocuparnos de los datos fruto de nuestro trabajo. ms-dos posee una inmejorable herramienta para realizar copias de seguridad: Msbackup.
Proteger todos los disquetes contra escritura. Una disquetera no puede escribir en un disquete protegido. Ningún programa, virus incluidos, es capaz de grabar información en un disquete protegido: la disquetera posee unos mecanismos físicos que lo impiden.
Si estamos conectados a un servicio electrónico (como Compuserve o Microsoft Network) o a una red de ordenadores (Internet), guardar las máximas precauciones: utilizar un anti-virus transparente al usuario, pero que nos protega de virus constantemente. El ms-dos posee un anti-virus de este tipo: Vsafe.
Utilizar un anti-virus de forma regular en el disco duro (Msav). La mayoría de los virus destruyen la estructura del disco. Podemos utilizar el programa Chkdsk o Scandisk para comprobar que el disco duro está en perfectas condiciones. Si uno de estos programas encuentra infinitos errores en el disco, no los arregle, ataque primero la raíz del problema -el virus-. Y una vez saneado el disco, intente utilizar estas herramientas por si consiguen recuperar algo.
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-5 Síntomas generales de la presencia de un virus
Los siguientes síntomas pueden aparecer cuando el virus se encuentra todavía en estado de latencia:
El ordenador trabaja más lento. Los virus para realizar su trabajo necesitan analizar cada acción del sistema operativo y seleccionar en cuáles puede actuar y en cuáles no.
Aumenta el tamaño de los ficheros. Los virus de fichero (menos los de sobrescritura) necesitan añadir su código al del propio programa.
La fecha o la hora del fichero ha variado. Algunos virus modifican estos parámetros para conocer si un fichero ha sido infectado por ellos mismos y evitar un doble contagio. Suelen utilizar códigos especiales: segundos por encima de sesenta, años por encima del 2100, etc...
La memoria parece menor al utilizar la orden Mem. Los virus engañan al sistema operativo para impedir ser detectados en memoria. Si tenemos 640K de memoria convencional, una cifra inferior puede indicar presencia de virus.
Algunos programas no funcionan. Puede ocurrir si el virus ha sobrescrito la información de los ficheros ejecutables.
Hay menos espacio libre en disco que antes. El virus se ha instalado en el disco ocupando espacio.
Alguno o varios de los siguientes síntomas aparecen cuando el virus está ejerciendo su acción destructora:
Desaparición misteriosa de ficheros. El virus ha borrado algunos ficheros o ha modificado la FAT.
En algunos ficheros aparece información de otros. El virus ha modificado la FAT. Los programas Chkdsk o Scandisk detectan estas anomalías.
Errores de lectura en el disco. Suelen aparecer cuando ha sido dañada la estructura del disco. El sistema operativo no entiende la información del disco y muestra errores.
El sistema no arranca. El virus ha estropeado el sector de arranque del disco duro, sólo podemos arrancar con un disquete en la unidad A:. La información puede estar disponible todavía o quizás no y el disco duro está totalmente inaccesible.
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-6 Los anti-virus
Son programas diseñados para detectar y eliminar virus conocidos y desconocidos. Los fabricantes de los programas anti-virus poseen todo un catálogo con el nombre de los virus conocidos, cómo identificarlos y como eliminarlos.
El proceso seguido por los programas anti-virus suele ser el siguiente: analizar la memoria, el sector de arranque y luego, cada uno de los ficheros ejecutables del disco. Para buscar los virus de fichero, acostumbran a analizar cada fichero buscando unas cadenas de caracteres específicas que identifican a cada virus. El problema se complica cuando los virus utilizan técnicas de polimorfismo, es decir, ir adoptando formas diferentes en cada infección.
Los anti-virus disponen de múltiples formas de detección. Sin embargo, se pueden agrupar en dos grandes grupos: a) técnicas para detectar los virus conocidos y b) técnicas inteligentes que detectan virus desconocidos. Lógicamente, en estos casos, el programa detectará un posible virus pero no podrá ni asegurarlo ni decirnos su nombre. No todos los anti-virus son capaces de detectar virus desconocidos.
Es también muy importante que los anti-virus no sólo detecten correctamente el nombre del virus sino que la limpieza sea la mejor posible. Esta claro que siempre se puede eliminar un virus si formateamos el disco infectado a bajo nivel. Por esta razón sólo se justifica un programa anti-virus si es capaz de apartar los datos válidos del intruso y eliminar a éste último. Pero ni el mejor anti-virus es capaz de detectarlos a todos, ni todos los virus se pueden limpiar sin afectar a los datos.
Otro grupo de anti-virus son los residentes en memoria. Se suelen cargar en la memoria al arrancar el ordenador y revisan algunas acciones del sistema operativo para comprobar que no hay movimiento de virus. Poseen la ventaja de estar siempre alerta y la desventaja de ocupar memoria.
Recuerde, en todo momento, que la mejor medida para evitar la pérdida de datos es realizar de forma periódica copias de seguridad.
A partir de la versión 6.0, ms-dos lleva incorporadas dos herramientas anti-virus llamadas Msav (Microsoft anti-virus) y Vsafe.
Msav detecta y limpia virus en la memoria, sector de arranque del disco y ficheros del disco.
Vsafe es un anti-virus residente en memoria que, entre otras funciones, nos da mensajes de aviso si se intenta formatear el disco duro o si se va a modificar el sector de arranque del disco duro. Si Vsafe detecta algún virus, hay que utilizar Msav para limpiarlo.
A continuación se describe la utilización de cada una de estas herramientas.
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-7 MSAV
Para detectar la presencia de virus en un disco escribimos MSAV a continuación del símbolo del sistema. Aparecerá un interface gráfico basado en menús. En todo momento puede pulsar F1 para acceder a una completa ayuda sensible al contexto.
Nota: Si desea que MSAV revise la memoria y el disco cada vez que arranca el ordenador, debe introducir la línea MSAV /P al final del AUTOEXEC.BAT. Si utiliza unidades de red, agregue además el parámetro /L para limitar el examen a las unidades locales.
Después de cargar el programa, aparece el llamado Menú rápido que posee 5 botones con diversas funciones. Para realizar un chequeo de un disco, primero elegimos la unidad (F2), luego establecemos las opciones (F8) y posteriormente elegimos entre detectar simplemente (F4) o detectar y limpiar (F5). Para salir pulsamos F3.
Observe la última línea de la pantalla que contiene un esquema del cometido de cada tecla de función. Nos damos cuenta que todas las opciones del menú rápido se encuentran representadas también mediante una tecla de función. En estos casos podemos elegir el botón oportuno con las teclas del cursor o pulsar la tecla de función asociada.
Vamos a describir todo lo que se puede hacer desde el menú rápido.
Ayuda (F1) Ofrece información de ayuda. Al salir de la ayuda regresamos al mismo punto desde donde la pedimos. Cuando tenga dudas sobre lo que está haciendo en ese momento, pulse F1 y aparecerá una ayuda específica. Con las teclas de función puede acceder a un índice de contenidos y a un glosario de términos, entre otras informaciones de ayuda. Pulse F3 o Esc para salir de la ayuda.
Seleccionar nueva unidad (F2) En la pantalla se muestra la unidad para explorar. Para cambiarla, pulse F2 o seleccione el tercer botón.
Salir (F3) Termina la ejecución de Msav. Aparece una pantalla de despedida. Si activamos la casilla "Guardar configuración", se graban las opciones elegidas para la siguiente vez.
Detectar (F4) Detecta virus en la unidad elegida.
Detectar y limpiar (F5) Detecta y limpia virus en la unidad elegida.
Borrar (F7) Borra los ficheros con los totales de verificación creados por Msav. Estos ficheros los utiliza el anti-virus para guardar algunos datos de cada fichero ejecutable (tamaño, atributos, fecha...) y comprobar si estos datos han variado. Estos ficheros llamados CHKLIST.MS se crean en todos los directorios del disco.
Opciones (F8) Establece las opciones para la detección de virus. Cada una de las opciones se explica más abajo.
Lista (F9) Visualizar la lista de todos los virus conocidos por Msav. Si tenemos interés en un virus determinado podemos seleccionarlo para obtener información del virus. Esta información nos dice el tipo del virus, sus características y efectos secundarios. Al final de la lista se encuentra el total de virus detectados por Msav.
Opciones de Msav
Si pulsamos F8 o seleccionamos el botón "Opciones" del Menú rápido accedemos a un cuadro de diálogo denominado "Definición de opciones":
A continuación se describe cada casilla de verificación.
Verificar integridad Si está activada verifica la integridad de cada fichero, es decir, comprueba que no haya ninguna modificación desde la última ejecución de Msav. Si está activada pueden aparecer falsas alarmas. Por ejemplo, si cambiamos el fichero CONFIG.SYS, Msav lo detecta y nos avisa. Si al explorar el disco, Msav muestra cambios en un fichero que nosotros no hemos variado, puede ser síntoma de virus. Utiliza los ficheros CHKLIST.MS de cada directorio. Es recomendable tenerla activada.
Crear nuevos totales de verificación Si está activada, se actualizan los ficheros CHKLIST.MS de cada directorio con los nuevos valores. Se recomienda activarla.
Crear totales en disquete Si están activadas la casilla anterior y ésta, actualiza los ficheros CHKLIST.MS de los disquetes. Se recomienda tenerla desactivada.
Desactivar sonido de alarma Cuando Msav detecta un posible virus hace sonar un aviso por el altavoz del ordenador. Para evitar el sonido, activamos esta casilla.
Crear copia Con esta casilla activada, Msav crea una copia del fichero infectado antes de limpiarlo. El fichero infectado quedará con extensión VIR y el sano con el nombre original. Es recomendable tenerla desactivada.
Crear informe Crea un fichero en el directorio raíz de la unidad con el resultado de la exploración llamado CPAV.RPT.
Mensaje-guía de detección Muestra un cuadro de diálogo al detectar un posible virus. Los tres mensajes más usuales se describen más adelante. Si está desactivada, Msav no pide confirmación. En este último caso conviene crear un informe para saber el resultado del análisis. Es recomendable tenerla activada.
Anti Stealth Si se activa a la vez que "Verificar integridad", Msav desarrolla una rutinas a bajo nivel capaces de detectar virus desconocidos o virus camuflados -fenómeno stealth-. Debido al bajo rendimiento de esta opción, se recomienda desactivarla.
Verificar todos los archivos Si la casilla está activada se chequean todos los ficheros del disco, sino sólo los ficheros con extensiones EXE, COM, OVL, OVR, SYS, BIN, APP y CMD. Como los virus suelen afectar solamente a ficheros ejecutables, se recomienda desactivarla.
Cuadros de diálogo durante la exploración
Cuadro de diálogo "Error de verificación".
Muestra que un fichero ejecutable ha cambiado. Si aparece este mensaje debemos hacer memoria y saber si lo hemos modificado nosotros _falsa alarma_. Si fue así pulsamos "Actualizar", si tenemos dudas podemos pulsar "Continuar".
Actualizar Para que tenga efecto debe estar activada la opción Crear nuevos totales de verificación. Después de pulsar éste botón, Msav tomará como correcta la nueva información del fichero y no volverá a detenerse en él.
Reparar Deja al fichero modificado como estaba en un principio.
Continuar Ignora el error y sigue adelante.
Detener Ignora el error y detiene la exploración.
Cuadro de diálogo "Virus de sector de inicialización localizado".
Msav ha detectado un virus en el sector de arranque de un disco. Nos ofrece tres botones:
Limpiar Limpia el virus del sector de arranque. Se recomienda.
Continuar Ignora el virus y sigue adelante.
Detener Ignora el virus y detiene la exploración.
Cuadro de diálogo "Virus localizado".
Msav ha detectado la presencia de un virus. Muestra el nombre del virus y en qué fichero ha sido encontrado. Ofrece cuatro botones:
Limpiar Limpiar el virus del fichero. Se recomienda.
Continuar Ignora el virus y sigue adelante
Detener Ignora el virus y detiene la exploración
Borrar Borra el fichero completo.
Crear un disquete de arranque
Suponga que su disco duro no arranca por culpa de un virus. La única alternativa que tiene es usar un disquete de arranque. Para crear un disco de arranque y copiarle el anti-virus, hacemos lo siguiente:
Formatear un disquete nuevo en la unidad A:
C:\>format a: /s
Copiarle los ficheros del anti-virus de Microsoft:
C:\>copy c:\dos\msav*.* a:\
Proteger el disquete contra escritura, pegarle una pegatina que lo identifique y guardarlo en lugar seguro.
Si ocurre lo peor, introduzca el disquete anterior en la unidad A: y encienda el ordenador. Cuando se cargue ms-dos, teclee MSAV C:
Índice ˇ Arriba ˇ Publicaciones ˇ Saulo.Net
17-8 VSAFE
Esta herramienta comprueba continuamente el ordenador para detectar la presencia de virus. Vsafe es un programa residente en memoria que controla todas las acciones del sistema operativo. Si Vsafe detecta algo inusual interfiere lo que estemos haciendo y pregunta qué hacer.
Nota: Para utilizar Vsafe en el entorno Windows, debe cargar Vsafe desde el ms-dos, ejecutar Windows y luego, cargar el programa MWAVTSR.EXE.
Cuando escribamos Vsafe a continuación del símbolo del sistema, éste quedará cargado en memoria hasta que lo desactivemos.
Nota: Si deseamos que Vsafe se cargue cada vez que arranque el ordenador debemos introducir la línea VSAFE al final del AUTOEXEC.BAT
Para ver o seleccionar la manera en que Vsafe va a inspeccionar nuestro equipo pulsamos Alt+V en cualquier momento. Un cuadro de diálogo aparecerá en la pantalla:
Observamos 8 opciones de aviso:
Avisa si se intenta formatear el disco duro. Por defecto está activada.
Avisa si un programa cualquiera intenta permanecer en memoria. Por defecto está desactivada.
Avisa si se intenta escribir en un disco. Por defecto está desactivada.
Comprueba los ficheros ejecutables que ms-dos utilice en cada momento en busca de virus. Por defecto está activada.
Comprueba el sector de arranque de todos los discos. Por defecto está activada.
Avisa si se intenta cambiar el sector de arranque de un disco duro o su tabla de particiones. Por defecto está activada.
Avisa si se intenta cambiar el sector de arranque de un disquete. Por defecto está desactivada.
Avisa si se está modificando un fichero ejecutable. Por defecto está desactivada.
Si Vsafe detecta algo inusual, toma el control del ordenador y muestra un mensaje en pantalla titulado "Advertencia de Vsafe". A continuación indica el motivo de la interrupción y presenta 3 botones:
Continuar Ignora la advertencia y permite al programa continuar. Debemos pulsarlo si nosotros mismos hemos provocado la situación. Por ejemplo, si modificamos la etiqueta del disco duro, estamos modificando también el sector de arranque, por lo que Vsafe mostrará su advertencia.
Detener Impide al programa continuar. Debemos pulsarlo si sospechamos la presencia de un virus.
Iniciar Reinicia el ordenador. Se perderá el trabajo que estemos realizando.
Índice ˇ Arriba ˇ Capítulo 18 ˇ Publicaciones ˇ Saulo.Net