2. 1: QUE ES UN ANTIVIRUS?
R/. Es un programa creado para prevenir o evitar la
activación de los virus, así como su propagación y
contagio. Cuenta además con rutinas de detención,
eliminación y reconstrucción de los archivos y las áreas
infectadas del sistema
. Es importante aclarar que todo antivirus es un
programa y que, como todo programa, sólo funcionará
correctamente si es adecuado y está bien configurado.
Además, un antivirus es una herramienta para el usuario
y no sólo no será eficaz para el 100% de los casos, sino
que nunca será una protección total ni definitiva.
2: CUALES SON SUS PRINCIPALES
FUNCIONES Y QUE LO
COMPONEN?
R/. Un antivirus tiene tres principales funciones y
componentes:
• VACUNA es un programa que instalado residente en
la memoria, actúa como "filtro" de los programas
3. que son ejecutados, abiertos para ser leídos o
copiados, en tiempo real.
• DETECTOR, que es el programa que examina todos
los archivos existentes en el disco o a los que se les
indique en una determinada ruta o PATH. Tiene
instrucciones de control y reconocimiento exacto de
los códigos virales que permiten capturar sus pares,
debidamente registrados y en forma sumamente
rápida desarman su estructura.
• ELIMINADOR es el programa que una vez
desactivada la estructura del virus procede a
eliminarlo e inmediatamente después a reparar o
reconstruir los archivos y áreas afectadas.
FUNCION:
La función de un programa antivirus es detectar, de
alguna manera, la presencia o el accionar de un virus
informático en una computadora. Este es el aspecto más
importante de un antivirus, independientemente de las
prestaciones adicionales que pueda ofrecer, puesto que el
hecho de detectar la posible presencia de un virus
informático, detener el trabajo y tomar las medidas
necesarias, es suficiente para acotar un buen porcentaje
de los daños posibles. Adicionalmente, un antivirus puede
dar la opción de erradicar un virus informático de una
entidad infectada.
3: CUAL ES SU IMPORTANCIA?
R/. El modelo más primario de las funciones de un
programa antivirus es la detección de su presencia y, en
4. lo posible, su identificación. La primera técnica que se
popularizó para la detección de virus informáticos, y que
todavía se sigue utilizando (aunque cada vez con menos
eficiencia), es la técnica de scanning. Esta técnica
consiste en revisar el código de todos los archivos
contenidos en la unidad de almacenamiento
-fundamentalmente los archivos ejecutables- en busca de
pequeñas porciones de código que puedan pertenecer a
un virus informático. Este procedimiento, denominado
escaneo, se realiza a partir de una base de datos que
contiene trozos de código representativos de cada virus
conocido, agregando el empleo de determinados
algoritmos que agilizan los procesos de búsqueda.
4: QUE MODELOS EXISTEN?
R/. Modelo Antivirus
La estructura de un programa antivirus, está compuesta
por dos módulos principales: el primero denominado de
control y el segundo denominado de respuesta. A su vez,
cada uno de ellos se divide en varias partes:
1. Módulo de control: Posee la técnica verificación de
integridad que posibilita el registro de cambios en los
archivos ejecutables y las zonas críticas de un disco
rígido. Se trata, en definitiva, de una herramienta
preventiva para mantener y controlar los componentes de
información de un disco rígido que no son modificados a
menos que el usuario lo requiera. Otra opción dentro de
este módulo es la identificación de virus, que incluye
diversas técnicas para la detección de virus informáticos.
Las formas más comunes de detección son el scanning y
los algoritmos, como por ejemplo, los heurísticos.
Asimismo, la identificación de código dañino es otra de
5. las herramientas de detección que, en este caso, busca
instrucciones peligrosas incluidas en programas, para la
integridad de la información del disco rígido. Esto
implica descompilar (o desensamblar) en forma
automática los archivos almacenados y ubicar sentencias
o grupos de instrucciones peligrosas. Finalmente, el
módulo de control también posee una administración de
recursos para efectuar un monitoreo de las rutinas a
través de las cuales se accede al hardware de la
computadora (acceso a disco, etc.). De esta manera puede
limitarse la acción de un programa restringiéndole el uso
de estos recursos, como por ejemplo impedir el acceso a
la escritura de zonas críticas del disco o evitar que se
ejecuten funciones de formato del mismo.
2. Módulo de respuesta: La función alarma se encuentra
incluida en todos los programas antivirus y consiste en
detener la acción del sistema ante la sospecha de la
presencia de un virus informático, e informar la situación
a través de un aviso en pantalla. Algunos programas
antivirus ofrecen, una vez detectado un virus informático,
la posibilidad de erradicarlo. Por consiguiente, la función
reparar se utiliza como una solución momentánea para
mantener la operatividad del sistema hasta que pueda
instrumentarse una solución adecuada. Por otra parte,
existen dos técnicas para evitar el contagio de entidades
ejecutables: evitar que se contagie todo el programa o
prevenir que la infección se expanda más allá de un
ámbito fijo. Aunque la primera opción es la más
adecuada, plantea grandes problemas de implementación.
5: QUE TIPOS DE ANTIVIRUS
EXISTEN?
6. R/. Existen una variedad de virus en función de su forma
de actuar o de su forma de infectar clasificados de la
siguiente manera
Virus de Acompañante
Estos virus basan su principio en que MS-DOS, ejecuta el
primer archivo COM y EXE del mismo directorio. El virus
crea un archivo COM con el mismo nombre y en el mismo
lugar que el EXE a infectar.
Después de ejecutar el nuevo archivo COM creado por el
virus y cede el control al archivo EXE.
Virus de Archivo
Los virus que infectan archivos del tipo *.EXE, *.DRV,
*.DLL, *.BIN, *.OVL, *.SYS e incluso BAT. Este tipo de
virus se añade al principio o al final del archivo. Estos se
activan cada vez que el archivo infectado es ejecutado,
ejecutando primero su código vírico y luego devuelve el
control al programa infectado pudiendo permanecer
residente en la memoria durante mucho tiempo después
de que hayan sido activados.
Este tipo de virus de dividen el dos:
Virus de Acción Directa que son aquellos que no se
quedan residentes en memoria y se replican en el
momento de ejecutar el fichero infectado y los virus de
Sobreescritura que corrompen el fichero donde se ubican
al sobrescribirlo.
Virus de Bug-Ware
Bug-Ware es el término dado a programas informáticos
legales diseñados para realizar funciones concretas.
Debido a una inadecuada comprobación de errores o a
7. una programación confusa causan daños al hardware o al
software del sistema.
Muchas veces los usuarios finales aducen esos daños a la
actividad de virus informáticos. Los programas bug-Ware
no son en absoluto virus informáticos, simplemente son
fragmentos de código mal implementado, que debido a
fallos lógicos, dañan el hardware o inutilizan los datos
del computador.
Virus de Macro
De acuerdo con la Internacional Security Association, los
virus macro forman el 80% de todos los virus y son los
que más rápidamente han crecido en toda la historia de
los ordenadores en los últimos 5 años.
A diferencia de otros tipos de virus, los virus macro no
son exclusivos de ningún sistema operativo y se diseminan
fácilmente a través de archivos adjuntos de e-mail,
disquetes, bajadas de Internet, transferencia de archivos y
aplicaciones compartidas.
Los virus macro son, sin embargo, aplicaciones
específicas. Infectan las utilidades macro que acompañan
ciertas aplicaciones como el Microsoft Word y Excel, lo
que significa que un Word virus macro puede infectar un
documento Excel y viceversa.
En cambio, los virus macro viajan entre archivos en las
aplicaciones y pueden, eventualmente, infectar miles de
archivos.
Los virus macro son escritos en Visual Basic y son muy
fáciles de crear. Pueden infectar diferentes puntos de un
archivo en uso, por ejemplo, cuando éste se abre, se
8. graba, se cierra o se borra. Lo primero que hacen es
modificar la plantilla maestra (normal.dot) para ejecutar
varias macros insertadas por el virus, así cada documento
que abramos o creemos, se incluirán las macros "víricas".
Con la posibilidad de contener un virus convencional,
cambiar un ejecutable o DLL e insertarlo en el sistema.
Virus de MailBomb
Casi virus ¿o no?
Esta clase de virus todavía no esta catalogado como tal
pero, os voy a poner un ejemplo de lo que hacen, y haber
que opinarías del este tipo de programas si son o no.
Por lo general todos son iguales, escribes un texto que
quieras una dirección de e-mail (victima) introduces el
numero de copias y ya esta.
El programa crea tantos mensajes como el número de
copias indicado antes, seguidamente empezara a enviar
mensajes hasta saturar el correo de la victima.
Virus de Mirc
No se considera virus tal cual, pero son idénticos y tienen
muchas características comunes.
Virus del Mirc
Son la nueva generación de infección, aprovechan las
ventajas proporcionadas por la Red y de los millones de
usuarios conectados a cualquier IRC a través del Mirc.
Consiste en un script para el cliente de IRC Mirc. Cuando
se accede a un canal de IRC, recibe por DCC un archivo
llamado "script.ini". Por defecto, el subdirectorio donde
9. se descargan los archivos es el mismo donde esta
instalado el programa, esto causa que el "script.ini"
original se sobrescrito por el "script.ini" maligno.
Bueno después de lo dicho nos preguntaremos ¿y para en
que nos afecta a nosotros? Pues muy fácil, los autores
pueden desconectarte del IRC o acceder a información
privada,(archivo de claves o el "etc./passwd" de Linux).
Virus de Multi-Partes
Los virus Multi-parte pueden infectar tanto el sector de
arranque como los archivos ejecutables, suelen ser una
combinación de todos los tipos existentes de virus, su
poder de destrucción es muy superior a los demás y de
alto riesgo para nuestros datos, su tamaño es mas grande
a cambio de tener muchas mas opciones de propagarse e
infección de cualquier sistema.
Virus de Sector de Arranque
Este tipo de virus infecta el sector de arranque de un
disquete y se esparce en el disco duro del usuario, el cual
también puede infectar el sector de arranque del disco
duro (MBR). Una vez que el MBR o sector de arranque
esté infectado, el virus intenta infectar cada disquete que
se inserte en el sistema ,ya sea una CD-R, una unidad ZIP
o cualquier sistema de almacenamiento de datos.
Los virus de arranque trabajan de la siguiente manera: se
ocultan en el primer sector de un disco y se cargan en la
memoria antes de que los archivos del sistema se carguen.
Esto les permite tomar total control de las interrupciones
del DOS y así, pueden diseminarse y causar daño.
Estos virus, generalmente reemplazan los contenidos del
MBR o sector de arranque con su propio contenido y
10. mueven el sector a otra área en el disco. La erradicación
de un virus de arranque puede hacerse inicializando la
máquina desde un disquete sin infectar, o encontrando el
sector de arranque original y reemplazándolo en el lugar
correcto del disco.
Virus de VBS
Debido al auge de Internet los creadores de virus han
encontrado una forma de propagación masiva y
espectacular de sus creaciones a través mensajes de
correo electrónico, que contienen archivos Visual Basic
Scripts, anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que
eran un conjunto de instrucciones o comandos en lotes.
Con el advenimiento de Windows 95/98/NT/Me/2000/XP,
este tipo de archivos dejó de ser empleado y fue
reemplazado por los Visual Basic Scripts.
Virus de Web (active x y java)
Los applets de JAVA y los controles Active X, son unos
lenguajes nuevos orientados a Internet, pero las nuevas
tecnologías abren un mundo nuevo a explotar por los
creadores de virus.
De momento no son muy utilizados pero a partir del 2000,
superaran en número a los virus de macro.