infecciones informáticas - uah
TRANSCRIPT
no de los peores trances por los que pue -de pasar un usuario de ordenador es el deverse afectado por un virus. En la mayoría
de las ocasiones, la protección antivirus no es unasunto que preocupe hasta que la infección se haproducido o, lo que es peor, hasta que el virus hamostrado todo su poder dañino.No resulta muy agradable ver cómo, después de muchos días detrabajo, de forma inesperada todos los datos empiezan a desapa -recer o incluso nuestro ordenador se pierde para siempre por cul -pa de un virus. No hay que pasar por alto la protección antivirus, yes importante disponer de unos mínimos conocimientos para afron-tar un problema de este tipo.Merece la pena estar prevenido con el fin de parar cualquier ataqueantes de que éste llegue a producirse, ya que una vez que un virusentra en el sistema los daños pueden serterribles. Hasta hace bien poco se pensa-ba que los virus no podían perjudicar alordenador y sólo afectaban a los datos,pero el conocido como CIH vino a rom-per esa norma. Ya existen múltiples viruscapaces de dañar la BIOS del ordenador,un elemento de vital importancia puestoque es la parte hardware que contiene elprograma encargado de arrancar lamáquina y almacenar los datos de losdiscos duros, fecha, etc. En resumen, unordenador con la BIOS deteriorada que-dará totalmente inutilizable. Y, en cual-quier caso, la solución pasa por enviarloa reparar al servicio técnico.Por eso, la protección antivirus es funda-mental. Pero también hay que tener cla-ros unos pequeños principios sobre loque son los virus, troyanos, gusanos ytodos esos «bichos» destinados a inutili-zar nuestro ordenador. Saber cómoenfrentarse a ellos y cómo reaccionar encaso de que surja algún problema.
Sólo son programas
Hay que tener claro que un virus es unprograma y se comportará como tal. Esdecir, al igual que cualquier juego o apli-cación, un virus es un programa informá-
tico, aunque con un objetivo muy diferente. Sumisión es reproducirse de forma invisible para el
usuario y llegar a estar en el mayor número demáquinas posible. Luego, en un determinadomomento, éste se activará y será cuando seevidencie su presencia. Dicha acción (tambiénconocida como payload ) puede ir desde lamuestra de un inocente mensaje en pantalla
hasta el formateo del disco duro pasando pordañar la BIOS.
Un virus, por tanto, es un programa diseñado parareproducirse a sí mismo de forma invisible, sin intervención
del usuario. Los gusanos, de los cuales también se habla muchoúltimamente, están creados para multiplicarse a través de las redesinformáticas. En los últimos tiempos, con la expansión de Internet,
los gusanos han tomado una relevanciaespecial y ya son multitud de ellos losque han sido programados para expan-dirse de forma invisible a través delcorreo electrónico.Por norma general, los gusanos puros nosuelen contener efectos dañinos directos,aunque sí tienen otras consecuenciasnegativas como las denegaciones de ser-vicios a causa de la sobrecarga por con-sumo de recursos o, en otras palabras, lasaturación y bloqueo del sistema.Los caballos de Troya, por el contrario,no tienen la capacidad de reproducirse.Son aplicaciones que bajo la imagen deun programa beneficioso y útil para elusuario esconden su acción maligna. Aligual que con los gusanos, la expansiónde Internet y el gran número de usuariosconectados a la gran Red, han propiciadola expansión de un tipo de troyanosespecialmente pensados para ejercer suacción a través de ésta.Los nuevos troyanos de Internet actúande tal forma que al ejecutar un programainfectado, de apariencia totalmente ino-cente, el ordenador abrirá una vía por lacual cualquier otro usuario de la Redpodrá entrar en el ordenador infectado.Los efectos pueden ser fatales: pérdidas
U
InfeccionesinformáticasCómo defenderse ante el ataque de un virus
de información, formateado del disco duro, robo de datos e inclusode las cuentas y contraseñas de acceso a Internet, etc. Por ello, hayque prestar especial atención a este tipo de invasores del sistema.
Troyanos, un peligro a tener en cuenta
En la actualidad, troyanos como BackOriffice o DeepThroat se insta -lan en los ordenadores sin conocimiento del usuario, ya que puedencamuflarse dentro de cualquier ejecutable, juego, utilidad, etc. Una
vez instalados en el ordenador atacado, y sin que el usuario sea cons -ciente de lo ocurrido, el troyano abre un puerto de comunicacionesde tal forma que a través de la Red y con un programa cliente unusuario atacante puede conseguir desde cuentas de correo, contra -señas o información confidencial, hasta abrir o cerrar la bandeja delCD o reiniciar el equipo remoto.Ante los ojos de un usuario inexperto puede parecer que estas accio -nes son obra de brujas, pero basta un buen antivirus actualizado paraprotegerse de ellas. El problema reside en que cada día aparecennuevos troyanos, cada uno con una forma de actuar diferente y, porlo tanto, requieren tratamientos individuales específicos.El troyano se instala en la máquina de la víctima y se asegura de quese activa cada vez que se inicia el sistema. Para conseguirlo, suelenañadir una entrada en el registro del mismo o bien se introducen en losficheros de inicio («win.ini», «autoexec.bat»). Una vez ejecutado, seabre una puerta en nuestro sistema que es accesible a través de Inter -net mediante otra de conexión TCP. La dirección IP permite al ordena -dor distinguir entre las muchas conexiones simultáneas que establece.Para detectar la presencia de un troyano en el ordenador se puedeutilizar un potente comando del sistema que, aunque se trate de undesconocido, ofrece una gran versatilidad en estas ocasiones. Se tratade la orden NETSTAT, que permite listar las conexiones TCP/IP denuestro sistema. En concreto, basta con abrir una sesión MS-DOS yteclear la orden NETSTAT –an. A continuación se nos presentará elsiguiente listado:
En la primera columna (Proto) aparecen los tipos de conexión, TCP yUDP. Después, Local Address muestra nuestra dirección IP que, eneste caso, es la 212.25.142.113 en Internet y la 127.0.0.1, lo que siem-pre indica que se trata de una máquina local. A continuación, separa -do por dos puntos, encontramos el puerto que tenemos abierto. En lasiguiente columna, Foreign Address, se encuentra la dirección IP y elpuerto de la máquina con la que estamos manteniendo la comunica -ción. En este caso, la IP 207.46.130.150 corresponde awww.microsoft.com y el puerto 80 al servicio HTTP del servidor web,lo que significa que, con nuestro navegador, estamos visualizando lapágina web de Microsoft. Por último, tenemos la columna State, quenos indica el estado de la conexión: establecida, a la escucha, etc.A través de esta información y con un poco de intuición se puede lle -gar a averiguar o al menos tener sospechas fundadas de si somos víc -timas de un troyano. Así, por ejemplo, en el caso de la primera ver -sión de BackOrifice, el puerto por defecto en el que el troyanoquedaba instalado era el 31337. De esta manera, si nos encontramosuna entrada tipo UDP 0.0.0.0:31337 tendremos grandes posibilidadesde estar infectados. Otro caso muy conocido es el de NetBus que, pordefecto, suele utilizar el puerto TCP 12345.Otra de las ventajas de este sistema, que aunque rudimentario resul -ta muy efectivo, es que también podremos llegar a detectar desdequé dirección se está recibiendo el ataque. Esto es así, puesto que enla columna Foreign Address se podrá visualizar la IP de la máquinadel atacante cuando se conecta con nosotros.
Antivirus
La mejor forma de protegernos de la entrada de un virus en nues -tro sistema es mediante la instalación de un antivirus. Es algoque conviene realizar desde un primer momento, ya que una vez
que el ordenador está infectado la cura es mucho más compleja.Si antes de instalar cualquier tipo de software se coloca un antivi -rus, el sistema quedará protegido ante cualquier ataque que sepueda producir.Todos los antivirus incorporan módulos residentes, que gastanmuy poca memoria pero realizan una insustituible tarea. Median -te estos módulos, que quedan configurados en los niveles másbajos del sistema, el antivirus es capaz de detectar la posibleentrada de un virus antes de que éste llegue a ejecutarse, impi -diendo al usuario realizar cualquier actividad con un archivoinfectado.Si se dispone de un antivirus instalado, al introducir un progra -
Infecciones informáticasCómo defenderse ante el ataque de un virus
La mayor parte delos virus se progra-man en ensambla-
dor, lo que requiereunos altos conoci-mientos del hard-
ware del ordenador.
El comandoNetstat pue-
de ayudarnosa descubrir sitenemos ins-talado algún
troyano.
Active ConnectionsProto Local Address Foreign Address State
TCP 212.25.142.113:2145 207.46.130.150:80 ESTABLISHED
TCP 212.25.142.113:2146 207.46.130.150:80 ESTABLISHED
UDP 127.0.0.1:1934 *:*
UDP 127.0.0.1:1946 *:*
UDP 212.25.142.113:137 *:*
UDP 212.25.142.113:138 *:*
ma infectado en el ordenador la protección se acti -vará y nos avisará de tal suceso. En este caso, hayque actuar con tranquilidad y no dar mayor importan -cia al problema, el antivirus habrá realizado su funcióny evitará cualquier infección. Suponiendo que el antivi -rus pueda eliminar el virus del archivo, resulta posibleseleccionar tal opción, con lo que el programa o documentoquedará utilizable y sin amenaza para el usuario.Hay que tener en cuenta que para que un antivirus sea plena -mente efectivo tiene que estar actualizado con la mayor regu -laridad posible. En la actualidad, los principales fabricantes deproductos antivirus disponen de la posibilidad de actualizar susproductos de forma automática a través de Internet. Siempre queexista esta opción se deberá configurar el programa antivirus
para que se realice la actualización. Y, en la medida de lo posible,conviene rechazar cualquier producto que nos impida una actua -lización continua, ya que éste se habrá quedado desfasado a lospocos meses de su adquisición. ❑
Infecciones informáticasCómo defenderse ante el ataque de un virus
E l m a y o r p r o b l e m a p u e d e s o b r e v e n i r c u a n d o l ai n f e c c i ó n y a h a a l c a n z a d o a l s i s t e m a . A d e m á s , e nl a m a y o r í a d e l o s c a s o s e l u s u a r i o n o s e p e r c a t ad e é s t a h a s t a q u e e l v i r u s s e a c t i v a y l l e v a a c a b ol a a c c i ó n p a r a l a q u e f u e p r o g r a m a d o . C o n s u e r -te , e l v i rus só lo e fec tua rá a lguna acc ión g rac iosa :m o s t r a r á c i e r t o m e n s a j e e n p a n t a l l a o r e a l i z a r áa l g ú n e f e c t o s i m i l a r s i n h a c e r n i n g ú n d a ñ o a l s i s -t e m a . P e r o e n o t r o s m u c h o s é s t e s e m a n i f e s t a r ám e d i a n t e l a p é r d i d a d e d a t o s , a r c h i v o s o d a ñ o sa ú n p e o r e s .E n o t r a s o c a s i o n e s s e r e m o s a v i s a d o s d e l a i n f e c -c i ó n p o r a l g ú n a m i g o o c o m p a ñ e r o a l q u e s e l eh a y a f a c i l i t a d o a l g ú n p r o g r a m a o d o c u m e n t o p r o -v e n i e n t e d e n u e s t r o s i s t e m a . E n e l c a s o d e t e n e r -l o ya i n fec tado és ta se rá s i empre l a me jo r pos ib i -l i d a d , y a q u e d a r á t i e m p o a a c t u a r y e l i m i n a r e lv i r u s d e l d i s c o d u r o a n t e s d e q u e s e m a n i f i e s t e .
En cua lqu i e r caso se ha de p rocede r con t r anqu i -l i dad , e l mayo r pe l i g ro r es ide en ac tua r p resa de ll o s n e r v i o s , y a q u e e n t a l e s c i r c u n s t a n c i a s p u e d eagrava rse aún más e l daño rea l i zado po r e l v i r us .M u c h o s u s u a r i o s , a n t e u n a i n f e c c i ó n , p i e n s a nq u e l a ú n i c a s o l u c i ó n p a s a p o r f o r m a t e a r e l d i s c od u r o y r e i n s t a l a r t o d o e l s i s t e m a o p e r a t i v o . N ohay que l l ega r a ta les ex t remos , toda in fecc ión esrecupe rab l e .P a r a a c t u a r c o n t r a u n v i r u s , s e d e b e d i s p o n e rs i e m p r e d e u n d i s c o d e s i s t e m a o d e a r r a n q u el i m p i o . S i n o l o t e n e m o s , t e n d r e m o s q u e r e c u r r i r aa l g ú n a m i g o , e m p r e s a o c u a l q u i e r f u e n t e q u ep u e d a p r o p o r c i o n a r u n d i s c o d e s i s t e m a l i m p i o .D e o t r a f o r m a , e l a r r a n q u e p u e d e e s t a r « t o m a d o »p o r e l v i r u s , d e m o d o q u e c a m u f l e s u p r e s e n c i aan te un an t i v i rus .U n a v e z a r m a d o s c o n u n d i s c o d e s i s t e m a , s e d e b e
e jecuta r e l so f tware an t i v i rus . Es tos sue len incorpo-ra r una ve rs ión de l escáne r capaz de f unc iona r enmodo comando, con lo que bas ta rá con e jecuta r e lant iv i rus y esperar los resu l tados para comprobarsu capac idad de e l im inac ión de l v i rus . La fo rma dee jecutar e l ant iv i rus dependerá de cada programaconcre to , pero lo más conven iente se rá consu l ta r e lm a n u a l q u e i n c o r p o r e c o n e l f i n d e s a b e r e x a c t a-mente qué inst rucc ión se debe fac i l i ta r para rea l i zare l chequeo de todo e l d isco duro.S i j un to con e l d i sque te de a r ranque se p repara und isco con una se r ie de u t i l i dades como e l f d i s k, for-m a t , s y s, c h k d s k, m e m , e tc. , la labor de recupera -c i ó n p u e d e v e r s e c o m p l e m e n t a d a c o n l a s m i s m a s .P o r e j e m p l o , s e p u e d e a c a b a r c o n u n a i n f e c c i ó n e ne l sector de a r ranque mediante sys c: desde la un i -dad «a :» o rescatar la m a s t e r b o o t r e c o r d o M B Rmed ian te e l comando fd isk /mbr .
Cómo reaccionar ante una infección
Los molestos HoaxesC o m o y a e x p l i c a m o s e n e l a p a r t a d o d e s e g u r i d a d , d e s d eh a c e y a u n o s a ñ o s v i e n e n d i f u n d i é n d o s e p o r I n t e r n e t yp o r t o d o s l o s s e r v i c i o s d e m e n s a j e r í a e l e c t r ó n i c a u n as e r i e d e c o r r e o s q u e h a c e n a l u s i ó n a d e t e r m i n a d o s v i r u sq u e s e d i f u n d e n p o r e - m a i l . E s t o s c o m u n i c a n a l r e c e p t o rq u e , s i a b r e d i c h o s m e n s a j e s , s u o r d e n a d o r s u f r i r án e f a s t a s c o n s e c u e n c i a s y l e r e c o m i e n d a n d i f u n d i r e s t ai n f o r m a c i ó n a l m a y o r n ú m e r o p o s i b l e d e u s u a r i o s . S i ne m b a r g o , e n l a m a y o r í a d e l o s c a s o s e s t o s a v i s o s s o nf a l s o s , c a r e c e n d e b a s e s f u n d a d a s p e r o , a p e s a r d e e l l o ,s e d i f u n d e n c o m o l a p ó l v o r a .T o d o s s e b a s a n e n e l d e s c o n o c i m i e n t o d e l u s u a r i o q u er e c i b i r á e l m a i l , e l c u a l a s u v e z r e m i t i r á e l m e n s a j e ao t r o s t a n t o s u s u a r i o s . A s í , s e f o r m a u n a c a d e n a q u er á p i d a m e n t e s e c o n v i e r t e e n m i l e s d e m e n s a j e s d i f u n -d i e n d o e l b u l o y q u e c o n s u m e u n g r a n a n c h o d e b a n d ae n l o s s e r v i d o r e s d e c o r r e o .E s t e t i p o d e a v i s o s s o n c o n o c i d o s c o m o H o a x y , s i r e c i b i -mos a lguno , l o más conven ien te es o l v ida r l o y av i sa r a lr e m i t e n t e d e l a f a l s e d a d d e s u e n v í o . D e e s e m o d o s e c o n -t r i buye a que e l r umor desapa rezca l o an tes pos ib l e .
Internet se haconvertido en
una de las víasde propagación
de virus másimportante.