|
|
| Prevención |
En la actualidad, la principal vía de infección es
la propia red: la web, el correo electrónico, los grupos de noticias y el IRC.
Algunos sitios en Internet resultan peligrosos, pero los lugares virtuales con mayor
densidad de virus por byte son los grupos de noticias y el correo electrónico. El
consejo profiláctico puede sintetizarse en las siguientes orientaciones:
1) No descargar «programas pirateados», sobre todo desde páginas web sospechosas,
porque pueden estar infectados.
2) Analizar («escanear») todas las descargas, ya sean ficheros ejecutables o documentos.
Es conveniente realizar la operación antes y después de ejecutar los programas o
abrir los ficheros.
3) No descargar tampoco «software» pirata desde grupos de noticias.
4) Evitar la lectura de grupos de noticias «underground», que muchas veces vienen
mantenidas por maliciosos creadores o propagadores de virus.
5) Desconfiar de las ofertas de «software» desde grupos de noticias. Los mismos o
mejores programas se pueden obtener, en sus versiones de prueba, desde las páginas
oficiales de los fabricantes profesionales de programas.
6) Rechazar los ficheros adjuntos no solicitados que nos llegan desde los grupos de
noticias o a través de nuestra dirección de correo electrónico. Algunos virus
suplantan la identidad del usuario infectado, y adjuntan archivos sin permiso a mensajes
que ést eenvía o incluso ellos mismos generan mensajes nuevos, utilizando como
destinatarios las direcciones de correo que con las que el usuario infectado mantiene
correspondencia. Hay dos buenas medidas para evitar este tipo de contagio: por un
lado, cuando se quiere enviar un archivo adjunto, indicar en el cuerpo del mensaje el
archivo que se está adjuntando, de forma que si no coincide, se debería eliminar y, por
otro lado, guardar, pero nunca abrir, el arhcivo sospechoso y preguntar al remitente si
realmente se trata de un archivo que nos quiere enviar.
7) Analizar («escanear») los ficheros que los programas clientes (por ejemplo, mIRC o
PIRCH) de IRC (Internet Relay Chat) pueden transmitir, pues no es infrecuente que
expandan los llamados «gusanos». |
| Diagnóstico |
Ante la posible presencia de una infección, es de
capital importancia no perder la tranquilidad. Borrar archivos o programas «sin ton
ni son» puede llevar situaciones peores que las que el propio virus produciría en el
curso de la patología. Diariamente se producen, literalmente, miles de ataques
víricos en el mundo y, sin embargo, sólo un exiguo porcentaje representa un peligro real
para la integridad de los datos. No es un exceso de optimismo señalar que
prácticamente todos los virus informáticos pueden ser desinfectados. En el peor de
los casos, bastaría con reinstalar el sistema y las aplicaciones de uso más común.
En la literatura no se describen sino algún raro caso, epidemiológicamente
insignificante, en los que el virus ha llegado a producir el «éxitus» del ordenador.
En definitiva, cuando un virus infecta nuestro ordenador, se pueden producir tres
situaciones:
1.ª Que no tengamos antivirus. En este supuesto, estamos siempre
expuestos al contagio y es, absolutamente imprescindible, instalar uno. El problema
es qué antivirus elegir. A la hora elegir un antivirus hay que fijarse en cinco
parámetros fundamentales:
- Que tenga un «escáner» de calidad. Se trata del módulo principal de todo
antivirus, que hace que el programa se ejecute de manera periódica rastreando nuestro
disco duro en busca de virus. Lo indicado es que este análisis se realice
semanalmente, como mínimo, bien manualmente, o bien programándolo previamente.
- Que contenga el módulo «monitor residente», que, como su nombre indica, reside
permanentemente en la memoria y supervisa cualquier operación sospechosa que tienen lugar
en el ordenador, avisando cuando se dispone a ejecutar una aplicación potencialmente
infectada.
- Que proporcione actualizaciones muy frecuentes. Cada día aparecen nuevos virus, por lo
que los programas antivirus caducan con celeridad. Por esta razón es decisivo que el
producto se actualice con mucha frecuencia, casi semanalmente. La mayor parte de los
antivirus se autoactualizan por Internet, tan pronto como sus programadores crean vacunas
para neutralizar los nuevos virus. También se pueden actualizar desde la web
del fabricante o por mensajes a nuestro correo electrónico.
- Que tenga la llamada capacidad «heurística» (interpretación). Su
funcionamiento está basado en la búsqueda genérica de fragmentos de código que suelen
ser característicos de los virus. Gracias a esta capacidad es posible evitar
infecciones de virus recién distribuidos por sus creadores, porque el antivirus localiza
fragmentos característicos de los virus en uno o más ficheros y los interpreta como
sospechos, avisando al usuario de una posible infección.
- Que disponga de soporte técnico, de forma que el usuario tenga la garantía de que
todas sus dudas serán resueltas. En la práctica hay tal competencia, que los
equipos de programadores de antivirus resuelven los problemas con prontitud y
eficacia.
2.ª Que el virus no sea detectado por el antivirus. Si el virus no está
identificado en la lista del antivirus y la capacidad heurística de éste no ha
conseguido detectar el virus, el propio usuario descubrirá la presencia del virus por
alguna sintomatología: efecto sonoro, efecto gráfico, mensaje en pantalla no solicitado
o por cualesquiera otras señales anómalas. Pero no conviene perder la calma,
puesto que esta activación del virus (conocida como payload) no suele acarrerar
consecuencias graves. En todo caso, hay que aplicar el tratamiento correspondiente,
como veremos a continuación.
3.ª Que el virus sea detectado por el antivirus. En el caso de que
el virus sea detectado por el antivirus, puesto que está identificado en su lista,
desaparece el problema porque el programa se encarga de eliminar la infección. |
| Tratamiento |
Toda la acción terapéutica está dirigida a aislar y
erradicar la infección. Si el programa antivirus no ha sido capaz de detectar y
eliminar el virus, los pasos a seguir son cinco:
1.º Recoger muestras. La primera medida consiste en copiar en un
disquete una selección de los ficheros bajo sospecha de infección. Pero, ¿cuáles
son sospechosos de infección? El protocolo de esta punción determina las
siguientes actuaciones:
- Acceder a las carpetas que contengan los programas más utilizados.
- Seleccionar los ficheros de extensión «*.exe».
- Copiar dichos archivos al disquete.
- Repetir la operación hasta recoger un mínimo de diez muestras.
- Incluir, asimismo, los ficheros de texto que en encuentren en Inicio/Documentos.
2.º Enviar las muestras a una compañía antivirus. Los servicios
técnicos de los fabricantes de antivirus analizarán las muestras y nos determinarán el
tratamiento a seguir. Es importante enviar las muestras desde un ordenador no
contagiado. Bastará con seguir el tratamiento indicado para eliminar la infección.
3.º Eliminar los rastros. Algunos virus pueden dejar algún tipo de activación
destructiva cuando se reinicia el sistema. Por tanto, es conveniente:
- Comprobar los contenidos del menú Inicio de Windows.
- Abrir, mediante el Bloc de notas, el fichero C:\autoexec.bat e
inspeccionar su contenido en busca de fragmentos del tipo del o deltree,
cuya función es borrar ficheros y, en consecuencia, borrar del o deltree.
- Repetir la operación anterior con el fichero C:\winstart.bat, que, en caso de
existir, es muy probable que esté favoreciendo al virus.
4.º Desinfectar el ordenador. Una vez recibida la respuesta del
fabricante del programa antivirus se debe copiar la vacuna enviada en un disquete,
protegerlo contra escritura y ejecutar el antivirus en el ordenador.
5.º Si las actuaciones clínicas anteriores no ha tenido éxito, es preciso acudir a remedios
quirúrgicos, esto es, reinstalar el sistema y las aplicaciones que se deseen.
Si no se tiene mucha experiencia, la indicación es que la reinstalación sea
efectuada por el equipo técnico de una casa de venta de ordenadores o por un profesional
competente. |
|
Prevención
