Antivirus
Contenido
ANTIVIRUS
Su función es detectar y/o eliminar virus de computadora, fueron creados en el año de 1980. Como han ido evolucionados los sistemas operativos también los antivirus haciéndolos impenetrables y hoy en día no solo se encargan de detectar y eliminarlo si no de bloquearlos, desinfectarlos y prevenir una infección de los mismos. Actualmente ya son capaces de reconocer otros tipos de malware, como spyware y rootkits.
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se empleará para la generación de discos de recuperación y emergencia. Sin embargo no se recomienda en una red el uso continuo de antivirus.
El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas.
Aunque si los recursos son suficientes, este extra de seguridad puede ser muy útil.
Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de decisiones de usuarios no entrenados que pueden poner en riesgo la red.
En el tema de los virus, igual que cuando se trata de enfermedades en los seres humanos, lo mejor es no enfermarse. Pero como esto no depende de nosotros, igual pasa en las máquinas, deberemos recurrir a un remedio, en informática los llamados Antivirus.
En algunos casos borrar el fichero que contiene el virus suele ser suficiente para eliminarlo, pero en otras ocasiones no es tan fácil ya que el código del virus está dentro de archivos que contienen programas necesarios para que funcione la computadora y si se borran la misma no funcionará. Cada tipo de virus se elimina de una determinada forma, y cada virus concreto infecta un grupo de archivos; no hay una forma general que sirva para eliminar cualquier virus, de la misma forma que no hay remedio mágico que cure cualquier enfermedad en los seres humanos.
Cuando un nuevo virus es descubierto es posible escribir programas que busquen el código característico del virus. Los antivirus rastrean el virus para identificarlo en la memoria, los archivos y el sistema. Si tenemos un buen antivirus él debe detectar los virus antes de que infecten nuestra computadora, y debe avisarnos para que suspendamos la tarea que está provocando la infección del equipo, generalmente la descarga o copia de un archivo o la lectura de un correo electrónico.
Un antivirus será más eficiente cuantos más virus pueda detectar. Los mejores antivirus son aquellos que ante la aparición de un nuevo virus sean capaces de actualizarse a la brevedad y que además pongan dicha actualización a disposición de sus clientes a través de Internet.
Si el antivirus opera así, ofrecerá una mayor y mejor protección para sus usuarios.
Cómo conseguir antivirus
Como en Internet los virus se expanden rápidamente, es necesario siempre estar actualizados. Si se tiene un Antivirus instalado en la máquina es conveniente actualizarlo por lo menos cada 30 días. En caso de no tener un Antivirus, una manera rápida es adquirirlo en una tienda de artículos computacionales o informáticos, e instalarlo en su computadora; el procedimiento es muy sencillo. Si no quiere pagar por él, busque en Internet, ya que en algunos casos son gratuitos.
Algunos antivirus realizan el trabajo de examinar los archivos de un disco para ver si están infectados y así poderlos desinfectar. Los antivirus detectan si hay virus al checar la longitud original y actual de un archivo, ya que si un virus se pegó al archivo, este crecerá en tamaño. Después se usaron las sumas de comprobación, en la cual se sumaban todos los bytes de un archivo, pero los astutos hackers descubrieron cómo evitar a estos tipos de antivirus, por lo que la técnica de suma tuvo que ser modificada. Otra técnica es la de buscar las rúbricas o “firmas” de los virus dentro de los archivos. Esto es encontrar una serie de bytes que indiquen la presencia de un virus en el archivo, pero sólo se pueden identificar a los virus con rúbrica conocida, por lo que hay que actualizar el software antivirus periódicamente. Ningún antivirus es 100% confiable.
METODOS UTILES CONTRA VIRUS
Partiendo de la base de que no hay ningún método totalmente seguro para evitar el contagio del sistema con virus, es necesario considerar alguna estrategia o grupo de estrategias que en conjunto minimicen la posibilidad de entrada de algún tipo de agente viral al computador. La idea clave es interponer en el camino de los virus la mayor cantidad de barreras posibles. Algunas reglas simples para seguir son las siguientes:
1.- Los programas antivirus, tanto de prevención como de detección de virus, no son cien por ciento efectivos pero constituyen una fuerte barrera siempre que estén actualizados con las últimas versiones provistas por los fabricantes. Es recomendable instalar un antivirus (de algún fabricante reconocido)en el computador.
2.- Proteger contra escritura todo diskette que se utilice en el sistema. Esto no evita que el sistema se contagie, pero previene el contagio de programas del diskette en caso de que el sistema tenga algún tipo de virus no detectado. Esta política tiende a evitar que un equipo infectado transmita el virus a otros equipos.
3.- Antes de usar programas de diskettes es conveniente revisarlos con un antivirus para detectar la presencia de virus.
4.- Si se detecta alguna actividad viral en un sistema conectado a una red de datos es conveniente aislar el equipo físicamente de la red desconectándolo hasta tanto se haya eliminado el virus del equipo infectado.
5.- Los equipos de computadoras nuevos poseen mecanismos de hardware (activables desde el "setup") para impedir escrituras en los sectores de arranque de los discos rígidos. Es recomendable que esta característica se encuentre habilitada para impedir el contagio de algún tipo de virus de boot.
6.- Ante cualquier comportamiento anormal del sistema es conveniente apagarlo inmediatamente.
Algunos síntomas que reflejan la posible existencia de virus son:
Hay actividad en los discos o diskettes cuando por las tareas que se están realizando no debiera haberla.
- El sistema funciona más lento que lo acostumbrado.
- Algunos programas ejecutables comienzan a funcionar de manera diferente o fallan sin motivo.
- Se reportan errores de cualquier tipo con cierta frecuencia, fuera de lo normal en el sistema.
- Las operaciones informáticas parecen lentas.
- Los programas tardan más de lo normal en cargarse.
- Los programas hacen accesos a los discos en tiempos inusuales o con una frecuencia mayor.
- La memoria RAM disponible disminuye en forma abrupta o constantemente.
- Los programas mapeadores de memoria (MEM en DOS, PS en Unix) muestran nuevos procesos residentes de origen desconocido.
- Los programas generan mensajes no documentados.
- Desaparición misteriosa de archivos.
7.- Si se sospechara la presencia de virus en un equipo se deben seguir (en la medida de lo posible) los pasos siguientes:
- Encender el equipo con un diskette de arranque "limpio", en el que se confía que no posee virus.
- Ejecutar sobre los discos rigidosalgun programa de deteccion de virus. Es recomendable que el antivirus tambien sea ejecutado desde un diskette, ya que cualquier copia que haya en el disco rigido contagiado puede estar corrompida por el virus.
8.- De ser necesario usar algun programa de procedencia dudosa o que se sospecha que puede tener virus, es conveniente usarlo en algun computador aislado del resto de los equipos de importancia que pudiera haber.
9.- Siempre que sea posible, se deben setear los atributos de los archivos de manera que sean de solo-lectura y accesibles con privilegios. Existen virus que cambian los privilegios de un archivos antes de contagiarlo y luego lo restituyen, pero por lo general la mayoria no lo hace.
10.- Es conveniente mantener un control periodico de la distribucion de espacios en los discos rigidos. Cualquier utilitario confiable permite obtener datos utiles sobre el estado del disco: espacio usado por archivos normales, espacio de archivos del sistema y ocultos, espacio libre, cantidad de sectores defectuosos, etc.
Algun cambio, principalmente en los archivos ocultos o sectores defectuosos puede ser sintoma de presencia de un virus.
11.- En caso de dudas siempre es conveniente recurrir a un especialista.
bibliografia
1. http://penta.ufrgs.br/gereseg/unlp/t1amedid.htm
2. http://megavirtual.galeon.com/index3.htm
METODOS DE CONTAGIO
Se pueden infectar de dos maneras: Los virus que el usuario acepta ejecutar el programa o acepta de forma inadvertida
Y los que se multiplican a través de la redes
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo.
Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto). Existen varios tipos de redes, los cuales se clasifican de acuerdo a su tamaño y distribucion y logica Ingeniería social, mensajes como: «Ejecute este programa y gane un premio.
Entrada de información en discos de otros usuarios infectados.
Instalación de software que pueda contener uno o varios programas maliciosos.
Unidades extraíbles de almacenamiento (USB).
CONSIDERACIONES DE LA RED
Disponer de una visión clara del funcionamiento de la red permite poner puntos de verificación filtrado y detección ahí donde la incidencia es más claramente identificable. Sin perder de vista otros puntos de acción es conveniente: Existen varios tipos de redes, los cuales se clasifican de acuerdo a su tamaño y distribucion y logica
Mantener al máximo el número de recursos de red en modo de sólo lectura. De esta forma se impide que computadoras infectadas los propaguen. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el consentimiento de la gerencia. Reducir los permisos de los usuarios al mínimo, de modo que sólo permitan el trabajo diario. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperación cómo se ha introducido el virus, y así determinar los pasos a seguir.
FIREWALL
Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
TEMAS ACERCA DE LA SEGURIDAD
Un virus informático solo atacará la plataforma para la que fue desarrollado. Las plataformas mas atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte al sistema de permisos
Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura popular que no ayudan a mantener la seguridad de los sistemas de información. Mi sistema no es importante para un cracker. Este tema se basa en la idea de que no introducir passwords seguras en una empresa no entraña riesgos pues ¿Quién va a querer obtener información mía? Sin embargo dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes... Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas. Existen varios tipos de redes, los cuales se clasifican de acuerdo a su tamaño y distribucion y logicaComo tengo antivirus estoy protegido. Únicamente estoy protegido mientras el antivirus sepa a lo que se enfrenta y como combatirlo. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme las computadoras aumenten las capacidades de comunicación. Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realizó (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda.
LOS VIRUS EN LOS SISTEMAS OPERATIVOS
Un virus informático solo atacará la plataforma para la que fue desarrollado. Las plataformas mas atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte al sistema de permisos.
CLASIFICACION
Los antivirus informáticos son programas cuya finalidad consiste en la detectación, bloqueo y/o eliminación de un virus de las mismas características.
Una forma de clasificar los antivirus es:
ANTIVIRUS PREVENTORES: como su nombre lo indica, este tipo de antivirus se caracteriza por anticiparse a la infección, previniéndola. De esta manera, permanecen en la memoria de la computadora, monitoreando ciertas acciones y funciones del sistema.
ANTIVIRUS IDENTIFICADORES: esta clase de antivirus tiene la función de identificar determinados programas infecciosos que afectan al sistema. Los virus identificadores también rastrean secuencias de bytes de códigos específicos vinculados con dichos virus.
ANTIVIRUS DESCONTAMINADORES: comparte una serie de características con los identificadores. Sin embargo, su principal diferencia radica en el hecho de que el propósito de esta clase de antivirus es descontaminar un sistema que fue infectado, a través de la eliminación de programas malignos. El objetivo es retornar dicho sistema al estado en que se encontraba antes de ser atacado. Es por ello que debe contar con una exactitud en la detección de los programas malignos.
Otra manera de clasificar a los antivirus es la que se detalla a continuación: CORTAFUEGOS O FIREWALL: estos programas tienen la función de bloquear el acceso a un determinado sistema, actuando como muro defensivo. Tienen bajo su control el tráfico de entrada y salida de una computadora, impidiendo la ejecución de toda actividad dudosa.
ANTIESPÍAS O ANTISPYWARE: esta clase de antivrus tiene el objetivo de descubrir y descartar aquellos programas espías que se ubican en la computadora de manera oculta.
ANTIPOP-UPS: tiene como finalidad impedir que se ejecuten las ventanas pop-ups o emergentes, es decir a aquellas ventanas que surgen repentinamente sin que el usuario lo haya decidido, mientras navega por Internet.
ANTISPAM: se denomina spam a los mensajes basura, no deseados o que son enviados desde una dirección desconocida por el usuario. Los antispam tienen el objetivo de detectar esta clase de mensajes y eliminarlos de forma automática.
http://www.tiposde.org/informatica/418-tipos-de-antivirus-informaticos/#ixzz2S046S3yc
ELABORACION
Los factores más importantes a la hora de valorar un antivirus son: Capacidad de detección y desinfección: Es lógico. Un antivirus será mejor cuanto más virus sea capaz de detectar y eliminar. Es más peligroso pensar que no se tiene un virus que tener la duda, por ello no hay nada peor que sentirse seguro con un antivirus desfasado o que ofrezca pocas garantías.
Heurística: Es la capacidad de detectar virus desconocidos por medio de sondeos del sistema en busca de "síntomas" clásicos de infección como pueden ser fechas extrañas en ficheros, programas residentes en memoria, configuración extraña del sistema (como por ejemplo que Windows 95 tenga activado el modo de compatibilidad MS-DOS), etc. El problema de la heurística es que puede dar "falsos positivos" es decir, puede dar por infectado un fichero que en realidad nolo está. Velocidad: Hoy en día los discos duros son enormes, y si pensamos en intranets y redes corporativas la cantidad de datos a escanear puede ser colosal.
Por lo tanto se valorará en un antivirus la capacidad de escanear rápidamente. Actualización: Cada día aparecen cientos de virus nuevos, para que un antivirus sea capaz de eliminar un virus es necesario que incluya la información del virus y su antídoto en las librerías o bases de datos víricas. La posibilidad de actualizar esas librerías (sobre todo a través de internet) es un factor fundamental. kkromar.blogspot.com
Clasificación A, por acción:
Solo detecciónSolo detección
Detección y desinfecciónDetección y desinfección
Detección y aborto de la acciónDetección y aborto de la acción
Detección y eliminación del archivo/objetoDetección y eliminación del archivo/objeto
Clasificación B, por método de detección:Clasificación B, por método de detección:
Comparación directaComparación directa
Comparación por signaturaComparación por signatura
Comparación de signatura de archivo (detección porComparación de signatura de archivo (detección porcomparación con atributos guardados).comparación con atributos guardados).
Por métodos heurísticosPo
Clasificación C, por instante de activación:
Invocado por el/la usuario/aInvocado por el/la usuario/a
Invocado por actividad del sistema (abrir, ejecutar, copiar,Invocado por actividad del sistema (abrir, ejecutar, copiar,guardar archivo)guardar archivo)
Clasificación D, por Objeto infectado:
Sector de ArranqueSector de Arranque
Archivo EjecutableArchivo Ejecutable
Macro Virus (Excel, Word)Macro Virus (Excel, Word
es.scribd.com
bibliografia
1. http://penta.ufrgs.br/gereseg/unlp/t1amedid.htm
2. http://megavirtual.galeon.com/index3.htm