Virus informáticos
Lamentablemente, los virus son una realidad de todos los días. Si usted aún no fue contaminado, es porque tiene mucha suerte o porque aplica todas las reglas de profilaxis aconsejadas. Los blancos privilegiados de los virus son los discos, el disco duro, pero también los disquetes. Muchos desperfectos aparentes tienen como único origen un ataque viral. El mantenimiento preventivo, al igual que la solución de desperfectos, debe comenzar siempre que el sistema lo permita por una detección sistemática de virus, y continuar por la erradicación del virus, en caso de que se haya detectado alguno. Recién luego se pasará a las demás operaciones y a las reparaciones. Por este motivo es importante disponer de un buen programa antivirus, y que esté actualizado con los virus existentes.
Capítulo 1: ¿Qué es un virus?
Un virus informática es un breve programa que se autorreproduce, capaz de propagarse en forma autónoma. Según lo que su creador haya previsto, provocará más o menos daño en el sistema que haya infectado.
Los daños que provoca son siempre a nivel del software, y van desde la simple presentación en pantalla de algún mensaje, hasta el reformateo completo del disco duro, con la pérdida de todo su contenido. Con frecuencia el virus infecta a los archivos ejecutabas. Otras veces se carga en la memoria central e infecta a todos los archivos ejecutables que se presenten, volviéndolos inutilizables.
Las fuentes de infección son muchas:
Si usted ejecuta en su sistema un disquete que tenga el sector de inicio infectado, lo contaminará.
Si usted carga un archivo ejecutable infectado a partir de un disquete, también contaminará a su sistema.
Una red que tenga al menos un puesto de trabajo infectado, podrá contaminarse por completo en muy poco tiempo.
Cualquier otra fuente de programas ejecutables podrá infectar el sistema, por ejemplo un server.
En consecuencia, no crea que por el hecho de suprimir las unidades de disquete de un puesto de trabajo se encontrará a salvo de la contaminación.
Los disquetes infectados no siempre son disquetes de origen dudoso, por ejemplo de juegos, sino que a veces también son disquetes de programas que provienen de grandes editores insospechables, que no han tomado todas las precauciones necesarias. Los ejemplos abundan.
En Francia, por ejemplo, todo el mundo quedó sorprendido al saberse que una importante revista de informática había distribuido un disquete publicitario que estaba infectado.
Capítulo 2: Tipos de virus
Existen muchos métodos de clasificación de los virus. En el momento de la redacción de este libro, su número se estimaba en alrededor de 3000. Y nacían cien por mes.
Según uno de esos métodos de clasificación, los virus pueden dividirse en:
Virus del sector de inicio: de los discos, que tal vez sea el tipo menos numeroso, pero más expandido. Reemplazan al sector de inicio de un disco por su propio código y se luego se cargan en primer lugar en la memoria central. A partir de allí vuelven inutilizable el disco de inicio o se propagan a otros discos.
Virus de archivos: agregan su código al de los archivos ejecutables (con la extensión EXE, COM, SYS, etc.) y a partir de allí se cargan en la memoria central para contaminar a los demás programas. Pueden hacer que esos programas se vuelvan inejecutables.
Virus furtivos: son virus que escapan a la detección escondiéndose. Uno de los métodos de detección consiste en registrar la longitud de un programa; luego si un virus le agrega su código, se lo podrá detectar fácilmente por simple comparación. Un virus furtivo se las arreglará para que se vea siempre la misma longitud, sustrayéndose, por ejemplo cuando se hace un DIR.
Virus polimorfos: son aún peores, ya que un virus polimorfo modifica su aspecto cada vez que contamina un nuevo archivo.
Virus encriptados: modifican su código, lo que hace aún más difícil su detección.
A los anteriores se les suman:
Caballo de Troya: un caballo de Troya, haciendo referencia a la mitología, es una suerte de bomba de tiempo implantada en el programa. Puede desencadenarse en cualquier momento por iniciativa propia o si no, esperar una señal externa. En realidad, hablando estrictamente, no se trata de un virus, ya que no fue concebido para reproducirse.
Bomba lógica: no se trata tampoco de un virus, ya que no se reproduce. Al ser introducida en una máquina, espera una señal externa para estallar. Podrá ser una fecha determinada, un valor anodino ingresado por el operador, la supresión de un nombre en un archivo, etc.
También podríamos citar a los parásitos y a los gusanos, que si bien no entran dentro de la categoría de los virus, pueden producir problemas considerables.
Capítulo 3: Síntomas de un ataque viral
Los síntomas de un ataque viral son muy variados y dependen, obviamente, del tipo de virus.
Para comenzar, señalaremos que:
Algunos virus son casi inofensivos y no buscan en absoluto causar desastres, aunque a primera vista provoquen algún perjuicio (presentando en pantalla un mensaje inoportuno, por ejemplo, o dejando oír una melodía). De todos modos, el mero hecho de invadir subrepticiamente una computadora, constituye ya de por sí una agresión. Por otra parte, algunos pueden resultar muy peligrosos en máquinas que corran aplicaciones estratégicas, de comando de procesos o de gestión central, por ejemplo.
Otros virus se conforman con estar presentes, multiplicarse y ocupar el máximo espacio disponible en la memoria central y/o en el disco, disputándoles el lugar a los archivos hasta hacer imposible la ejecución de los programas. Son virus parásitos.
Los hay que tornan muy lento el funcionamiento del sistema, a veces muy notoriamente, pero sin destruir nada.
Finalmente, hay otros que son muy destructivos y fueron programados para hacer daño. Uno de estos virus puede suprimir aleatoriamente algunas informaciones, por ejemplo, destruir archivos, o peor, borrar irremediablemente el contenido completo del disco duro.
A continuación encontrará una pequeña lista de las manifestaciones que deberían alertarlo y hacerle pensar en la presencia de un virus:
Se hace muy lento cargar un programa.
Se ejecuta mucho más lentamente.
La red parece anormalmente cargada.
La memoria central de pronto ya no parece ser suficiente.
La memoria del disco se reduce de manera anormal.
El tamaño de los archivos aumenta de manera anormal.
El sistema deja de funcionar.
Algunos programas dejan de funcionar.
Se reciben más mensajes de error que lo habitual.
Se reciben mensajes sorprendentes.
Aparece un juego de ping-pong en la pantalla.
En la pantalla hay caracteres que "se caen".
Se escuchan aleatoriamente melodías extrañas.
Los accesos al disco se multiplican sin razón aparente.
Se pierden datos, archivos.
Hay programas que se niegan a ejecutarse.
0 se ejecutan de manera anómala.
El disco duro se auto-reformateó.
Etcétera.
Reiteramos que la mayor parte de estos síntomas llevan a pensar en un virus, pero también pueden tener otras causas.
Conviene ser prudente en la interpretación de estos síntomas; sobre todo, no hay que dejarse ganar por la desesperación. No todo lo que encuentre de extraño proviene de un virus. Pero cuando efectivamente se trate de un virus, no lo deje pasar.
Capítulo 4: La legislación
En Francia la ley del 5 de enero de 1988, que se refiere a la represión del fraude informático, es la que parece aplicable a la difusión de virus.
En Francia según esta ley, el autor de un virus, al difundirlo, es considerado responsable de un acto de malevolencia, y es pasible de una pena de 3 meses a 3 años de prisión y de 400 a 100.000 dólares de multa. Esto es válido así haya actuado con o sin mala intención.
Una empresa de servicios o un distribuidor que transmita un virus a uno de sus clientes es considerada cívicamente responsable y puede ser condenado a pagar daños y perjuicios.
Capítulo 5: Las tres etapas de la contaminación viral
Un virus se comporta siempre como un parásito. Se introduce mediante un "vector de propagación" que es siempre un código ejecutable, es decir, un programa portador que lo hospeda, o un sector de inicio. Al ejecutar este programa, el virus pasa a la memoria central y se pone en actividad. A partir de allí puede multiplicarse por duplicación e infectar a los "vectores blanco", que pueden ser o bien otros archivos, o bien zonas sensibles seleccionadas en los discos.
Entonces, el vector de propagación debe ser ejecutado al menos una vez. Al cargar o ejecutar el programa que lo hospeda el virus se vuelve activo. Esto significa que si el programa infectado no es activado, si no es ejecutado, el virus no puede manifestarse. Una vez activado el virus las situaciones posibles son muchas, y dependen de su naturaleza misma, y de su código.
Su primer objetivo consistirá en contaminar uno o varios blancos que le permitirán volver a ejecutarse con la mayor frecuencia posible. Cada uno de esos blancos se denomina "vector de contaminación". Un virus puede estallar simultáneamente en varios vectores.
Como puede observarse, existen siempre tres etapas características de un virus:
Una etapa de infección: cuando el virus infecta al sistema que es su blanco. Muchas veces se confunde con la etapa siguiente.
Una etapa de contaminación: durante la cual el virus se conforma con duplicarse e infectar a otros blancos o no, sin perturbar el funcionamiento del sistema.
Una etapa agresiva o destructiva: entra en actividad y produce los efectos para los que fue programado. 0 bien para los que no fue programado, pero que resultan de "bugs", errores de programación, que también existen y a veces son aún más peligrosos.
Si no se ha tomado ninguna precaución especial, recién se comprueba la existencia de un virus cuando ya pasa a ser activo y/ o destructor. Es como la presencia de una enfermedad, que por lo general pasa inadvertida hasta que se manifiestan sus primeros efectos. De ahí en más hay que tomar todas las medidas curativas para eliminar al virus.
Pero el creador de un virus siempre busca que éste tenga primero, tiempo suficiente para duplicarse y expandirse lo más rápido posible. En consecuencia, tal vez tienda a conferirle una duración más prolongada a la primera etapa de contaminación. Sin embargo, no debe ser demasiado larga, ya que esto iría en detrimento del placer sutil que consiste en saber que se destruyó archivos preciosos a la mayor cantidad de usuarios posible. Por lo tanto, esta primera etapa también deberá ser de una duración limitada.
Veamos lo que sucedería, por ejemplo, en la etapa de contaminación para el caso de un virus simple. El virus examina los blancos que su creador le asignó. Supongamos que se trate de programas; si encuentra un archivo ejecutable que aún no infectó, procederá del siguiente modo:
Guarda la dirección de partida del programa original.
Se copia al final del programa.
Crea una nueva dirección de lanzamiento del programa, indicando su propia dirección.
De este modo, cuando se lance el programa infectado, será el virus mismo el que se active en primer lugar. Desarrollará la infección como se indicó anteriormente y, luego de una nueva duplicación, pasará el mando a la dirección de entrada del programa que había guardado. Así, en un primer momento, todo parece estar en orden.
La activación de la etapa destructiva del virus depende de su programación. Podrá ser una fecha del sistema; el virus del Viernes 13, por ejemplo, se vuelve activo un viernes 13. 0 tal vez sea una serie de puestas en servicio, una cantidad de tiempo en minutos o en días, o cualquier evento programado.
Para algunos virus no existe distinción entre esas dos etapas, y se toman de inmediato destructivos, aun cuando continúen infectando otros blancos.
Capítulo 6: Los blancos de los virus
Los virus pueden atacar todo tipo de blancos. Sus predilectos son los archivos ejecutables COM al principio, luego los EXE, pero los verdaderos blancos son mucho más numerosos. A continuación presentamos una lista de los mismos:
Los archivos ejecutables COM. Estos archivos representan los principales blancos de virus, ya que son muy fáciles de modificar. El virus se introduce o bien al comienzo o bien al final del código del archivo COM. Lamentablemente existe nuevos virus que también pueden ubicarse en el medio o en cualquier sitio de los archivos, lo que hace más difícil su detección.
A propósito, observe que la velocidad de ejecución de los programas antivirus depende de su aptitud para detectar los virus en los encabezamientos o al final de estos archivos, o incluso en cualquier sitio de su cuerpo. Un programa antivirus le parecerá más rápido que otro, ya que uno sólo examina los comienzos de archivos, por ejemplo, mientras que el otro examina todo su contenido. Por lo tanto, no se confíe exclusivamente en el criterio de rapidez.
El archivo de comando COMMAND.COM constituye un caso particular de los archivos COM. Su interés desde el punto de vista del virus reside en el hecho de que es lanzado automáticamente cada vez que se enciende la computadora, al menos.
El archivo de sistema IBMBIO.COM para IBM, o el IO.SYS para Microsoft. Al igual que el COMMAND.COM, se lo lanza automáticamente con cada inicialización.
El archivo de sistema IBMDOS.COM para IBM, o MSDOS.SYS para Microsoft. Al igual que el precedente, se lanza automáticamente a cada inicialización.
Los archivos de sistema SYS en general.
Los archivos ejecutables EXE. Todo sucede en principio igual que con los archivos.com.
Los archivos de recuperación OVL creados temporariamente por algunos programas aplicativos.
En términos más generales, los archivos de recuperación cuya extensión comience por OV, seguida por un carácter cualquiera, es decir, con notación OV.
Los archivos que tienen extensión BIN. Se trata de archivos «binarios».
Los archivos de diversos administradores con extensión DRV.
El sector de la tabla de particiones del disco duro, cuyo código es leído por el BIOS en cada inicialización. Esta contaminación resulta insidiosa por la siguiente razón: si se comprueba la presencia de un virus y se decide reformatear lógicamente el disco duro, ese formateo no modifica el sector de particiones y el virus permanece en el disco.
El sector de inicio de la partición del DOS del disco duro.
El sector de inicio de un disquete. Es también uno de los vectores privilegiados de los virus.
Las FAT, o tablas de asignación de los archivos, de los discos.
Esta lista de vectores de contaminación no menciona a los archivos sólo de datos, que no son interesantes para los virus, ya que no son ejecutables. El virus debe pasar a la memoria central para volverse activo, y por este motivo debe encontrarse en alguna secuencia ejecutable. Sin embargo:
Como todos los programas, los virus no están exentos de errores. Algunos virus pueden también dedicarse a los archivos de datos por error. Cuanto más tiempo los dejemos, más peligrosos serán.
Algunos virus atacan a las FAT y de ese modo hacen perder archivos de datos. Es el caso, por ejemplo, del virus Frodo.
Por último, algunos virus destructores borran completamente el contenido del disco duro, destruyendo del mismo golpe los archivos de programas y los de datos.
Recuerde también que permanentemente nacen nuevos virus, y que no porque en un momento dado un vector parezca libre de ellos, lo estará siempre.
Capítulo 7: Modos de contaminación
Cuando un virus pasa a la memoria central cargando uno de sus vectores, dispone de varias posibilidades que dependen siempre de cómo se lo haya concebido:
Infecta directamente uno o varios vectores y luego le pasa el turno al programa que lo hospeda.
Se instala en modo residente en la memoria central, como cualquier programa residente, e infecta a todos los programas que se llame.
Según el caso, se revelará capaz de desviar las interrupciones del BIOS o del DOS, ya sea con la finalidad de camuflarse, o bien para proseguir con su obra. Las interrupciones más preciadas son:
La interrupción 2lH del DOS y su función 4BH que preside el lanzamiento de los programas.
La interrupción 2lH, función 3DH, que abre un archivo y que es utilizada por algunos comandos del DOS.
La interrupción 2lH, función 42H, utilizada para leer la longitud de un archivo.
Las interrupciones BIOS para el monitor (lOH), el disco (l3H), el teclado (l6H), el timer (IAH), las comunicaciones (l4H).
A veces el virus desencadenará su propia interrupción, por ejemplo la interrupción 2lH, servicio 0, desatándose si el programa antivirus vigila las interrupciones.
Obsérvese que pocos son los virus que se instalan destruyendo inmediatamente una parte de código, como el virus 405, que destruye 405 bytes. Es por esto que el programa destructor del virus podrá exterminarlos y a la vez reconstruir el programa infectado de modo tal que pueda volver a funcionar como si nada hubiera sucedido.
Los archivos protegidos contra escritura no siempre se encuentran a salvo de los virus, ya que algunos de ellos saben pasar por alto esta protección, por ejemplo el virus Jerusalén.
En cambio un disquete protegido contra escritura no podrá nunca ser contaminado, en el estado actual de la técnica de las unidades de disquetes.
Capítulo 8: La etapa destructiva
La tercera etapa de la vida de un virus es la destructiva. El virus entra en esta etapa de inmediato, o bien después de una serie de acciones, una determinada temporización o cualquier otra señal programada. Su acción puede consistir en:
Presentar en pantalla un simple mensaje triunfalista en el caso más benigno, o hacerle oír música.
Modificar el código del vector de contaminación para hacerlo inejecutable.
Modificar la FAT. Esta acción no siempre es perceptible de inmediato, pero lleva a perder archivos.
Destruir diversos datos del disco.
Modificar los datos de forma aleatoria.
Interceptar comandos de entrada-salida (discos, comunicaciones, etc.)
Borrar el contenido del disco.
Reformatearlo.
Simular desperfectos de hardware.
Etcétera.
Algunas manifestaciones pueden ser las siguientes:
Algunos virus se conformarán con duplicarse sin otra manifestación, pero esta situación degenera rápidamente para el usuario, puesto que cada duplicación ocupa un poco más de memoria, en detrimento del espacio reservado a los programas y a los datos. Los tiempos de ejecución se incrementan inexorablemente y llega un momento en que la memoria resulta totalmente incapaz de absorber y de ejecutar el programa.
En otros casos, el disco duro se llena hasta agotarse, y ya no puede albergar nuevos archivos.
La intervención de un virus puede también manifestarse en la incapacidad de inicializar una computadora.
También pueden aparecer en pantalla fenómenos extraños, como "caídas" de parte del texto, por ejemplo, o la aparición de una pelota de ping-pong en la pantalla, etc.
Si se trabaja en red local, el virus puede perfectamente intentar alcanzar el server. Puede interceptar las comunicaciones y emitir comandos de diseminación o destructores que apunten tanto al server como a los puestos de trabajo conectados. 0 bien, simplemente, sobrecargar la red volviéndola incapaz de funcionar correctamente.
Pero, ¡cuidado!, digámoslo una vez más: no todas las manifestaciones de mal funcionamiento se deben a virus, muy lejos de eso. La utilización de detectores de virus permite discernir qué es lo que les corresponde y qué proviene de otras causas.
Observe que, como regla general, los virus atacan a los programas y no pueden provocar un desperfecto de hardware. Este tema fue objeto de varios debates en el pasado.
Sin embargo, esto no implica que haya que descartar completamente de su campo de acción los desperfectos de hardware, dado que pueden, por ejemplo, reprogramar algunos circuitos programables de modo tal que los lleven a su límite de funcionamiento, o intentar hacer mover los brazos y los cabezales de los discos duros fuera de las normas, etc.
Capítulo 9: ¿Cómo protegerse?
Aunque probablemente no existan reglas preventivas que puedan brindar una protección del 100 % contra todos los virus conocidos y desconocidos, respetando algunas reglas estará prácticamente a salvo de un ataque viral. 0, al menos, no tendrá que lamentarse demasiado si un virus lo ataca. A continuación presentaremos los métodos de prevención aplicables, y luego definiremos las grandes características de los programas antivirus.
a. Los disquetes
La primera precaución consiste evidentemente en huir de los disquetes de origen dudoso.
Pero, como hemos visto, incluso los disquetes que provienen de grandes editores pueden estar infectados.
Los programas antivirus residentes saben examinar los disquetes que se insertan en la computadora cuando se carga un programa; en caso de infección, lo alertan incluso antes de que el virus pueda activarse. Lamentablemente a veces puede suceder que le entreguen disquetes con programas comprimidos, y el virus mismo también estará comprimido. La instalación del programa previa a su descompresión dará vida al mismo tiempo al virus.
Hay algunos antivirus que pueden controlar el contenido de archivos comprimidos.
La primera regla de seguridad y que indica el sentido común consiste en conservar como un tesoro disquetes de inicio de la computadora, disquetes de DOS u otros de los que esté seguro. Y especialmente, protéjalos contra escritura para que ningún virus pueda inyectarlos.
El dispositivo de seguridad de las unidades de disquete que protege contra escritura es altamente confiable. Constituye una barrera muy eficaz contra cualquier intento, aun cuando no sea manifiesto, de escritura.
b. Las copias de seguridad
Una precaución sabia consiste en proceder a realizar regularmente copias de seguridad del contenido del disco duro:
Realice copias de seguridad con regularidad y por separado de los archivos más valiosos.
Haga también copias de seguridad del contenido de los discos periódicamente.
En todos los casos, se deben utilizar al menos dos juegos de copias de seguridad, pero esto es sólo un mínimo.
Según la estrategia que usted adopte, podrá realizar copias de seguridad diarias, semanales, mensuales o con otras frecuencias, para conservar un registro confiable de la evolución de sus archivos. Guarde al menos todos sus archivos de datos una vez al día, o luego de cada modificación. En caso de contaminación por virus, podrá de este modo:
0 bien formatear el disco duro para luego volver a cargar el contenido de las copias de seguridad, remontándose en el tiempo hasta encontrar una versión no contaminada.
0 bien simplemente destruir los virus y luego volver a cargar los eventuales archivos que habían sido contaminados y que se nieguen a funcionar.
c. Lo que no se debe hacer
Al descubrir la contaminación de un virus, la primera decisión prudente consiste en detener toda operación con los programas. No ejecutar ningún nuevo programa, ya que se corre el riesgo de infectarle, si aún no lo estaba.
Si usted no tiene experiencia, apague la computadora y llame al responsable de seguridad si en su empresa hay uno, a un usuario experimentado o a su proveedor habitual, que sabrá aconsejarlo.
Un error que cometen con frecuencia los usuarios inexpertos es el siguiente: un programa está infectado y se niega a funcionar; el usuario no sospecha de la presencia de un virus y piensa que bastará con instalarlo nuevamente para que vuelva a funcionar. Entonces, recupera los disquetes originales de instalación, sin protegerlos contra escritura, y vuelve a cargar el programa. Resultado: la nueva versión del programa es infectada inmediatamente, y los disquetes originales también.
En caso de infección hay que comenzar obligatoriamente por destruir los virus, con métodos sutiles (el uso de un programa eficiente de desinfección) o por métodos drásticos (formatear el disco). Sólo el reformateo físico de bajo nivel puede garantizar que los virus sean totalmente exterminados.
Atención: si comprueba que un archivo está infectado, puede borrarlo con el comando de borrado ERASE o DEL del DOS, que también borrará el virus, pero subsistirá el riesgo.
Si bien este comando es eficiente, sólo suprime la entrada del archivo en el directorio pero no borra en absoluto el archivo en el disco. Entonces, ¡el archivo queda con su virus!
De todos modos, el archivo ya no es accesible y ya no puede ejecutarse, salvo que sea recuperado mediante un procedimiento posterior (una recuperación de archivos borrados, mediante una herramienta, por ejemplo). Este incidente es muy improbable pero no puede ser descartado.
Observe también que, sea cual fuere el programa antivirus que utilice, no podrá encontrar virus en disquetes o en discos si se realizan copias con DISKCOPY, COPY, XCOPY. Otro problema surge cuando los archivos de un disquete están comprimidos con un virus: el antivirus deberá ser capaz de intervenir también en archivos comprimidos.
Capítulo 10: Métodos de detección de virus
a. Test de la longitud de los archivos
Cuando un virus se instala en un programa, por lo general aumenta su tamaño, delatando su presencia. Efectivamente, si el tamaño de un archivo aumenta sin que usted lo modifique, puede sospechar que está en presencia de un virus. Algunos nombres de virus son simplemente la longitud del código complementario en bytes que introducen en los programas.
Por consiguiente, se puede registrar en un archivo especial la longitud de todos los archivos sensibles. Luego se comparará la nueva longitud de los archivos a la precedente. Si hay una divergencia, hay que tenerla en cuenta: ¿usted es el autor de esa modificación? Si no, puede pensar en la existencia de un virus.
Esta fórmula no funciona si el virus se conforma con reemplazar el código del vector por su propio código, de manera tal que no modifica la longitud del archivo. En ese caso, hay que aplicar un método más poderoso que implique un cálculo matemático.
El proceso de verificación del tamaño de un archivo en este caso se basa en el cálculo de un valor de control aplicando los códigos de redundancia cíclica, o CRC:
Se calcula un polinomio binario característico del archivo y se lo divide por otro polinomio de valor convenido. El resto constituye el valor de control.
La menor modificación del archivo, aunque sólo se trate de una inversión de dos caracteres, da un valor de control diferente.
En la práctica, se calculan valores de control para todos los archivos, y se los registra.
Luego se vuelve a realizar el cálculo y se comparan los resultados nuevos a los precedentes.
Cualquier divergencia puede indicar la presencia de un virus, pero corre por su cuenta averiguar en qué punto se encuentra.
Observe que el simple cambio de una clave de acceso, o una modificación del archivo Autoexec.bat, modificará el valor de control.
Este principio permite que un detector descubra la presencia de algunos virus, inclusive de virus desconocidos.
Los programas de detección de virus proceden de este modo; algunos detectores más poderosos crean su propio algoritmo de cálculo de valor de control, denominado "marca o firma del programa". Y mejor aún, para poner en jaque a virus particularmente perversos, el programa antivirus puede recurrir a un generador de divisor polinómico (es el caso del V~Analyst, por ejemplo).
b. La fecha de los archivos
Muchos virus modifican la longitud de los archivos contaminados pero sin cambiar la fecha.
En cambio el DOS modifica siempre la fecha de un archivo en el que se acaba de trabajar para actualizarlo. Esto sugiere un segundo método de detección.
Si comprobamos que la longitud o el valor de control de un archivo cambió mientras que la fecha sigue siendo la misma, es probable que un virus lo haya atacado. Por lo general, los detectores de virus aplican este método.
Obsérvese que existen virus que modifican también la fecha o la hora, algunos las llevan premeditadamente a valores incorrectos, por ejemplo 62 segundos, o un siglo más.
c. La marca de los virus
Un virus no es más que un código informática. Puede contener una secuencia típica de código que indica su presencia y que se puede detectar. Es lo que denominamos su marca.
Puede tratarse de varios bytes representativos, de una cadena de caracteres, del texto del mensaje que el virus presenta en pantalla, etc.
Para la identificación de los virus se puede proceder realizando un listado de las "marcas" de todos los virus conocidos, y luego buscando en el disco la presencia de estas marcas, comparando los códigos registrados en el disco. Si se encuentran dos cadenas idénticas significa que se está en presencia de un virus.
Esta búsqueda de marcas puede también apuntar a la memoria central y detectar virus instalados en forma residente al inicializar la computadora. Es un método muy eficiente, pero evidentemente sólo puede aplicarse a virus conocidos y debidamente repertoriados. Es ineficaz si el virus es un mutante, que modifica la forma en que quedó registrada su marca, en el transcurso de su existencia.
d. El caso de los virus furtivos
Acabamos de examinar algunos de los principales métodos de detección de virus. Son los métodos que aplican los programas antivirus. Los autores de virus los conocen muy bien, y por lo tanto han querido desafiarlos fabricando "virus furtivos" ("stealth", en inglés).
Así como los aviones furtivos Fll7 americanos reducen su marca en el radar al punto de resultar indetectables, los virus furtivos también ponen en acción algunos métodos sutiles para pasar inadvertidas. El primer caso es el del virus que infecta un archivo disimulando su aumento de tamaño. Para esto, utilizan dos métodos:
El primero es el llamado pasivo. El virus se instala en una zona reservada y disponible del programa, en una pila o un búfer, por ejemplo, para no modificar la longitud del archivo en cantidad de bytes, y no alterar de ninguna manera el código mismo del programa. Cuando se ejecuta el programa, el virus se ejecuta y libera este espacio que el programa ahora necesita, para luego volver a instalarse allí al finalizar la ejecución.
El segundo es el método activo. Cuando se consulta la longitud de un archivo en el DOS, se lanza la interrupción 2lH, función 42H. El virus desvía este llamado de interrupción, examina si el archivo está infectado y si la respuesta es sí, le resta su tamaño al tamaño real del archivo. De este modo, el tamaño no parece haberse modificado.
Y los hay mejores aún: algunos virus son capaces de disimular las modificaciones realizadas a un archivo, proporcionando al sistema un archivo limpio, desinfectado, cuando se realiza un control. Para esto el virus hace una copia de seguridad de las partes modificadas del programa y luego desvía prácticamente todas las interrupciones del DOS relativas a los archivos; si se quiere analizar el archivo infectado, el virus devuelve la imagen del programa sano. Ni siquiera una verificación de muy bajo nivel, en hexadecimales, por ejemplo, será capaz de revelar la presencia de ese virus. Las verificaciones clásicas fracasan: longitud del archivo, valor de control, etc. Hay que aplicar otros métodos entre los cuales se encuentra el análisis de la marca, siempre que pueda realizarse, el control de la memoria central para destruir la parte residente del virus, etc. Frodo es un ejemplo de este tipo de virus furtivos.
Otras veces, el virus desplaza informaciones del inicio de un disco para tomar su lugar; si luego se pide la lectura de un sector infectado, el virus restablecerá el orden de cosas anterior, desviando la interrupción l3H del BIOS.
Además, puede instalarse en una zona de sectores que declarará defectuosos, y por lo tanto inutilizables, en la FAT. Su detección será más dificultosa. 0 si no, el virus modifica su marca encriptándola, o encriptando su código, lo que lo hará difícil de identificar. Existe una guerra abierta entre las medidas contra los virus y los autores de virus que perfeccionan sus creaciones diabólicas permanentemente.
Por último, diremos que algunos virus son mutantes. Su código contiene instrucciones que, con una selección aleatoria, les confieren un comportamiento diferente. Es el caso del virus 1260. También suele mencionarse el caso de virus defensivos que reaccionan a cualquier acción de un antivirus para desafiarlo e incluso para volverlo nocivo.
Capítulo 11: ¿Qué hacer?
Sean cuales fueren los métodos de protección que usted haya adoptado, conviene que los instale en forma residente, o que los ejecute con frecuencia, o aún mejor, que aplique estos dos métodos simultáneamente si son complementarios. Si tiene sospechas de un ataque viral a partir de lo que acabamos de comentar precedentemente, conviene proceder como se explica a continuación.
Apague la computadora.
Introduzca un disquete de sistema, "booteable", en la disquetera. Atención: utilice siempre un disquete protegido contra escritura.
Vuelva a encender la computadora para cargar el sistema.
Utilice un software antivirus, protegiendo contra escritura el disquete.
Lo que deba hacer a continuación depende del programa antivirus. Por lo general, este programa será capaz no sólo de destruir el virus sino también de reconstruir los archivos ejecutables (y sólo los ejecutables) restituyéndoles su integridad original. Si el virus destruyó irremediablemente algunos datos (borrado parcial o total del disco), deberá recurrir a las copias de seguridad para recuperarlos.
Otro método consiste en aplicar los puntos 1, 2 y 3, y luego, si no se sabe qué fue lo afectado:
A partir de un disquete del DOS protegido contra escritura ejecutar un formateo físico (de bajo nivel) del disco duro, si es posible.
Hacer la partición del disco duro y formatearlo lógicamente.
Cargar el sistema.
Volver a cargar los archivos utilizando las copias de seguridad.
Capítulo 12: Categorías de programas antivirus
Se pueden definir cuatro categorías de programas antivirus, que muchas veces se encuentran reunidas en un solo producto, lo que simplifica su utilización:
Detectores de virus. Indican que un archivo está infectado, sin especificar por qué virus.
Puede tratarse de virus desconocidos.
Identificadores de virus. Buscan la marca de los virus conocidos y los identifican, presentando su nombre y su versión.
Neutralizadores o inhibidores de virus. Se trata de programas residentes en la memoria que vigilan y detienen cualquier acceso anormal a funciones específicas del sistema, por ejemplo una tentativa de escritura en un archivo COM.
Destructores de virus. Destruyen los virus detectados restableciendo la integridad de los programas, cuando se puede.
Los autores de virus crean permanentemente nuevos virus, y, además, perfeccionan constantemente sus productos. Por lo tanto, es obvio que los programas antivirus deben seguir el mismo ejemplo. Es por esto que los más serios se actualizan con regularidad.
Un buen programa antivirus debe detectar virus, es cierto. Pero también debe evitar en lo posible las falsas alarmas. Debe ser capaz de detectar los virus originales y los mutantes, e incluso de advertir la presencia de virus desconocidos, lo que no es fácil.
Dado que sus funciones son complejas, será conveniente que cuente con una gran velocidad de intervención cuando la cantidad de archivos a controlar sea considerable. La búsqueda de la velocidad no debe, sin embargo, ir en detrimento de la calidad del análisis o de su alcance. Un software antivirus puede resultar muy rápido, pero tal vez, si lo analizamos con más detenimiento, veremos que sólo controla parcialmente el contenido de los archivos.
a. Cómo funciona un inhibidor
El programa inhibidor (o "neutralizador") antivirus residente en la memoria debe estar alerta en los siguientes casos:
Un virus se instala en la memoria en la inicialización de la computadora.
Intenta instalarse en la memoria central recurriendo a un programa del disco duro o de un disquete.
Se lanza un llamado al sistema sospechoso.
Un programa residente quiere instalarse en la memoria central.
Hay un intento de escritura en los sectores de inicio.
Se intenta modificar un archivo ejecutable.
Etcétera.
El inhibidor de virus debe ser capaz de intervenir de modo transparente y rápido, y de bloquear cualquier intento de introducción de un virus. Es evidente que el neutralizador debe ocupar la menor cantidad posible de memoria central. Sin embargo, la modalidad de administración de la memoria en el DOS es tal que la eficiencia de un programa como éste resulta necesariamente limitada frente a virus desconocidos.
b. Cómo procede un destructor de virus
Para destruir virus el programa destructor debe, en condiciones ideales:
Buscar el archivo infectado por un virus conocido, descubriendo su marca.
Calcular la posición del virus.
Localizar la dirección de origen de ese programa.
Restablecer esa dirección.
Extraer el virus y destruir su código.
Con frecuencia, el antivirus devolverá un programa desinfectado y que funcione, salvo que el virus haya destruido irremediablemente algunas informaciones, en cuyo caso sólo quedará el recurso a las copias de seguridad. Además, el archivo descontaminado no necesariamente será idéntico al original, particularmente si nos enfrentamos a virus de tamaño variable.
c. Funcionamiento en red
Cuando se trabaja con una red local el peligro se multiplica por la cantidad de puestos de trabajo. Se imponen entonces precauciones aún más drásticas. Por otra parte, es probable que todos los usuarios no dispongan del mismo grado de competencia en materia de la lucha contra los virus, elemento que habrá que tener en cuenta.
En ese caso es preferible confiar la lucha antivirus al supervisor de la red, o a un especialista de seguridad. Si el software antivirus está instalado en todos los puestos, el alerta en caso de incidentes deberá transmitiese a quien se halle a cargo. También hay que prever, de ser posible, un sistema de alerta jerarquizado.
Evidentemente el software antivirus deberá ser apto para el funcionamiento en red, Novell, por ejemplo. Deberá ofrecer varias posibilidades: llevar un diario de control y de incidentes registrados, alertas selectivas no generalizadas, simplicidad de gestión y de actualización, etc.
Capítulo 13: Descontaminación manual
Si sólo se dispone de un detector de virus, pero no de un software destructor de virus, se podrá descontaminar "manualmente" un disco infectado. Claro que si bien es posible hacerlo, no se contará con el trabajo de reconstitución que el erradicador de virus puede eventualmente realizar.
En cualquier caso, la primera precaución consiste en no ejecutar archivos presentes en el disco.
Se apaga el sistema contaminado, luego se enciende reinicializando a partir de un disquete no contaminado y protegido contra escritura.
a. Contaminación del inicio
Si el inicio de un disquete está contaminado, se puede intentar destruirlo lanzando el comando SYS del DOS. Este procedimiento es exitoso en la mayor parte de los casos.
Luego se verifica que el virus haya sido destruido.
En caso de que no sea así, convendrá guardar los diferentes archivos de sistema uno después de otro (sin guardar el sector de inicio) y luego ejecutar un formateo físico del disco. Si se trata de un disquete, se copian los archivos del disquete contaminado utilizando el comando COPY del DOS selectivamente, y no XCOPY o DISKCOPY, que transferirían el virus.
Luego descarte el disquete contaminado, a menos que prefiera formatearlo con el FORMAT del DOS (pero no con comandos similares de otros utilitarios), ya que el formateo del DOS es destructivo.
b. Contaminación de archivos en el disco duro
Una vez que se apaga el sistema contaminado, se reinicializa utilizando un disquete no contaminado y protegido contra escritura. Se controlan los disquetes originales para ver si están contaminados por el virus; si están sanos, se reemplaza los programas contaminados por las versiones originales.
c. Contaminación del sector de partición
Nuevamente, se apaga el sistema, y luego se lo reinicializa utilizando un disquete no contaminado y protegido contra escritura. Luego se procede a hacer una copia de seguridad del sistema archivo por archivo (con lo cual no se copia el sector de las particiones). Luego se realiza un formateo físico del disco de bajo nivel, si es posible hacerlo. 0 bien se vuelve a realizar la partición del disco.
Capítulo 14: Falsas alarmas
Entre las cualidades de los programas antivirus figura su capacidad de no desencadenar falsas alarmas. Algunos softwares creen detectar virus donde no los hay, generando sobresaltos innecesarios al usuario. ¡Nos ha sucedido!
En caso de dudas, se puede volver a lanzar la búsqueda de un virus varias veces consecutivas ya que con gran frecuencia la falsa alarma no persiste. 0 bien, recurrir a programas antivirus diferentes para confirmar un diagnóstico. Asegúrese siempre de poseer una versión actualizada del programa.
Capítulo 15: Algunos softwares antivirus
El DOS 6 comprende un programa antivirus concebido por la empresa Central Point Software, que luego pasó a Symantec, los creadores de Norton Utilities. Este programa contiene varios módulos para la detección de virus, su erradicación, la reconstrucción de los archivos infectados, además de un módulo residente. También puede instalarse bajo Windows, con lo cual resulta más ameno.
Existen también otros antivirus muy buenos. Por ejemplo:
Dr. Solomon's Antivirus, distribuido por AB Soft.
Los programas de la empresa americana McAfee, distribuidos con diversos nombres, entre otros, Viruscan. Al parecer son los que predominan en el mercado.
Norton Antivirus, de Symantec. Observe que en 1994, Symantec anexó el Central Point Software.
ViruSafe, otro producto israelí desarrollado por Eliashim Microcomputers y distribuido por CTI.
No olvide actualizar sus programas, ya que día a día aparecen nuevos virus, en menor numero actualmente, según parece, pero mucho más sofisticados y por lo tanto, más peligrosos.
