Manual de funcionamiento,
prevención y métodos de acción
de los virus.
Por
y
.
PREVENCIÓN,
DETECCIÓN Y ELIMINACIÓN
Nota : módulo dividido en
dos páginas.
Una buena política de prevención y
detección nos puede ahorrar sustos y desgracias.
Las medidas de prevención pasan por el control,
en todo momento, del software ya introducido o que se
va a introducir en nuestro ordenador, comprobando la
fiabilidad de su fuente. Esto implica la actitud de
no aceptar software no original, ya que el pirateo es
una de las principales fuentes de contagio de un virus,
siendo también una practica ilegal y que hace
mucho daño a la industria del software.
Por
supuesto, el sistema operativo, que a fin de cuentas
es el elemento software más importante del ordenador,
debe ser totalmente fiable; si éste se encuentra
infectado, cualquier programa que ejecutemos resultara
también contaminado. Por eso, es imprescindible
contar con una copia en disquetes del sistema operativo,
protegidos éstos contra escritura; esto ultimo
es muy importante, no solo con el S.O. sino con el resto
de disquetes que poseamos. Es muy aconsejable mantenerlos
siempre protegidos, ya que un virus no puede escribir
en un disco protegido de esta forma. Por último
es también imprescindible poseer un buen software
antivirus, que detecte y elimine cualquier tipo de intrusión
en el sistema.
Debido a que los virus informáticos son cada
vez más sofisticados, hoy en día es difícil
sospechar su presencia a través de síntomas
frecuentes. De todas maneras la siguiente es una lista
de síntomas que pueden observarse en una computadora
de la que se sospeche esté infectada por alguno
de los virus más comunes:
- Operaciones de procesamiento más
lentas.
- Los programas tardan más tiempo
en cargarse.
Los programas comienzan a acceder
por momentos a las disqueteras y/o al disco rígido.
- Disminución no justificada del
espacio disponible en el disco rígido y de
la memoria RAM disponible, en forma constante o
repentina.
- Aparición de programas residentes
en memoria desconocidos.
La primera medida de prevención a ser tenida
en cuenta es, como se dijo anteriormente, contar con
un sistema antivirus y utilizarlo correctamente. Por
lo tanto, la única forma de que se constituya
un bloqueo eficaz para un virus es que se utilice con
determinadas normas y procedimientos. Estas normas tienden
a controlar la entrada de archivos al disco rígido
de la computadora, lo cual se logra revisando con el
antivirus todos los disquetes o medios de almacenamiento
en general y, por supuesto, disminuyendo al mínimo
posible todo tipo de tráfico.
Además
de utilizar un sistema antivirus y controlar el tráfico
de archivos al disco rígido, una forma bastante
eficaz de proteger los archivos ejecutables es
utilizar un programa chequeador de integridad
que verifique que estos archivos no sean modificados,
es decir, que mantengan su estructura. De esta manera,
antes que puedan ser infectados por un virus convencional,
se impediría su accionar.
Para prevenir
la infección con un virus de sector de arranque,
lo más indicado es no dejar disquetes olvidados
en la disquetera de arranque y contar con un antivirus.
Pero, además, puede aprovecharse una característica
que incorpora el setup de las computadoras más
modernas: variar la secuencia de arranque de la PC a
"primero disco rígido y luego disquetera"
(C, A). De esta manera, la computadora no intentará
leer la disquetera en el arranque aunque tenga cargado
un disquete.
Algunos distribuidores o representantes de programas
antivirus envían muestras de los nuevos virus
argentinos a los desarrolladores del producto para que
los estudien o incluyan en sus nuevas versiones o upgrades,
con la demora que esto implica.
En consecuencia, la detección alternativa
a la de scanning y las de chequeo de actividad e integridad
resultan importantes, ya que pueden detectar la presencia
de un virus informático sin la necesidad de identificarlo.
Y esta es la única forma disponible para el usuario
de detectar virus nuevos, sean nacionales o extranjeros.
De todas maneras, existe una forma de actualizar
la técnica de scanning. La misma consiste
en incorporarle al antivirus un archivo conteniendo
cadenas de caracteres ASCII que sean trozos de código
(strings) significativos del sector vital de cada nuevo
virus que todavía no esté incorporado
en la base de datos del programa.
De todas formas, esta solución será
parcial: la nueva cadena introducida sólo identificará
al virus, pero no será capaz de erradicarlo.
Es muy importante que los "strings" que
se vayan a incorporar al antivirus provengan de una
fuente confiable ya que, de lo contrario, pueden producirse
falsas alarmas o ser ineficaces.
Algunos de los antivirus que soportan esta cualidad
de agregar strings son Viruscan, F-Prot y Thunderbyte.
La NCSA (National Computer Security Association,
Asociación Nacional de Seguridad de Computadoras)
es la encargada de certificar productor antivirus.
Para obtener dicha certificación los productos
deben pasar una serie de rigurosas pruebas diseñadas
para asegurar la adecuada protección del usuario.
Antiguamente el esquema de certificación
requería que se detectara (incluyendo el número
de versión) el 90 % de la librería de
virus del NCSA, y fue diseñado para asegurar
óptimas capacidades de detección. Pero
esta metodología no era completamente eficiente.
Actualmente, el esquema de certificación enfoca
la amenaza a las computadoras empresariales. Para ser
certificado, el producto debe pasar las siguientes pruebas:
Debe detectar el 100% de los virus encontrados comúnmente.
La lista de virus comunes es actualizada periódicamente,
a medida que nuevos virus son descubiertos.
Deben detectar, como mínimo, el 90% de la
librería de virus del NCSA (más de 6.000
virus)
Estas pruebas son realizadas con el producto
ejecutándose con su configuración "por
defecto".
Una vez que un producto ha sido certificado, la NCSA
tratará de recertificar el producto un mínimo
de cuatro veces. Cada intento es realizado sin previo
aviso al desarrollador del programa. Esta es una buena
manera de asegurar que el producto satisface el criterio
de certificación.
Si un producto no pasa
la primera o segunda prueba, su distribuidor tendrá
siete días para proveer de la corrección.
Si este límite de tiempo es excedido, el producto
será eliminado de la lista de productos certificados.
Una vez que se ha retirado la certificación
a un producto la única forma de recuperarla es
que el distribuidor envíe una nueva versión
completa y certificable (no se aceptará sólo
una reparación de la falla.
Acerca de la
lista de virus de la NCSA, aclaremos que ningún
desarrollador de antivirus puede obtener una copia.
Cuando un antivirus falla en la detección de
algún virus incluido en la lista, una cadena
identificatoria del virus le es enviada al productor
del antivirus para su inclusión en futuras versiones.
En el caso de los virus polimórficos, se
incluyen múltiples copias del virus para asegurar
que el producto testeado lo detecta perfectamente. Para
pasar esta prueba el antivirus debe detectar cada mutación
del virus.
La A. V. P. D. (Antivirus Product Developers,
Desarrolladores de Productos Antivirus) es una asociación
formada por las principales empresas informáticas
del sector, entre las que se cuentan:
Cheyenne Software
I. B. M.
Intel
McAfee Associates
ON Tecnology
Stiller Research
Inc.
S&S International
Symantec Corp.
ThunderByte
entre otras...
|
Estás en: