cUCHitril Índice Virus InterNet Buscadores "¡quéInterNetsante!" MexicoHispanoLatinos Servicios abraPALABRA cariCreaturas Programas TIPS
UCH Comentarios Explicación escríbeme!

 PROTECCIóN ANTIVIRUS. parte 1 de 2
por Héctor Ugalde Corral (UCH)
Artículo publicado en la Revista "Personal Computing México"
Febrero 1995

Usuario: Y contra los virus. ¿Cómo me protejo?
Cracker: ¿No quieres que te venda protección?
Hacker: ¡Ahora te sientes "El padrino"!
Amigo (usuario Avanzado): ¡La mafia! ¡La Cosa Nostra!
C: ¡La Compu Nostra!
A: ¡Ya tenía yo mis sospechas de que en eso de los virus estaba metida
   la mafia!
C: Es que contra los virus, no hay protección...
U: ¿Cómo que no? ¿y los programas antivirus?
H: Sirven si se usan adecuadamente. Junto a algunas medidas de
   seguridad.
A: Pues yo estoy completamente protegido.
C: ¿Estás completamente seguro?
A: Sí. Uso el mejor programa antivirus que hay.
C: ¿El McTrío?
A: Sí. ¿Qué tiene de malo?
H: Nada. Sólo que ningún programa antivirus es 100% seguro.
A: Pues yo vacuné a mi computadora, ¡y no puede infectarse por ningún virus!
H: El término "vacuna" es algo confuso. Puede hacerles creer que ya
   están protegidos: que no les va a dar la enfermedad de los virus, pero...
C: Es vacuna para vacunos...
U: ¿Entonces no sirven?
H: Sirven, pero no son perfectas.
C: Comenzando porque no detectan todos los virus...
H: Sólo detectan los virus que ya han analizado.
C: Y entonces te puedes infectar con un virus nuevo. ¡¥aca! ¡¥aca!
A: ¡Pero el programa dice que también protege contra nuevos virus!
H: Protege contra ciertos tipos de nuevos virus que utilizan un método
   genérico de infección. Ya conocido. O detectan cosas raras como
   cambios a programas, u operaciones inusuales.
C: Y No protegen contra la creatividad...
U: ¿Por qué no?
H: Por que siempre están surgiendo nuevos e ingeniosos métodos de infección.
A: ¡Pero el manual dice que me protege contra miles de virus!
C: ¡Menos lo que se acumule esta semana!
H: Miles, pero no todos...
C: Por eso te venden la nueva versión del antivirus o la "actualización".
A: ¡Otra vez la mafia!
H: No necesariamente. Es una lucha contínua entre los crackers que crean
   virus y los hackers de las empresas antivirus.
C: ¡"Programadorcitos" que les dicen!
A: La eterna lucha del "Bien" y el "Mal".
C: "Haz el mal bien, sin mirar a quien".
H: Lo mejor es utilizar varios programas antivirus. Y lo mejor es que
   utilicen diferentes métodos de protección y de detección de virus.
A: ¡Ah caray! ¿Y cuáles son esos métodos?
C: ¡Pachencha Chencha que los virus son cienchia!
H: La mayoría de los programas antivirus funcionan detectando "Firmas".
   Revisan o "Escanean" los programas para localizar una secuencia de
   instrucciones que son únicas para ese virus. Es decir: que lo
   identifican.
C: ¡Identifícate hackeando menos!...
H: Otro método es el de detección de cambios a programas por medio de
   algún cálculo como el CRC (cyclic redundancy check) chequeo de
   redundancia cíclica. Se toman las instrucciones de un programa como
   si fuesen datos y se hace un cálculo, se graban en un archivo los
   resultados, y posteriormente se revisa si un programa fue alterado
   (probablemente por un virus) recalculando y comparando contra el CRC.
C: ¡No seas redundante! ¡No seas redundante!
H: Otros lo que hacen es interceptar o bloquear instrucciones
   sospechosas o riesgosas, tales como cuando un programa pide cargarse
   en memoria y permanecer residente, grabar en disco directamente (sin
   intermedio del sistema operativo), alterar el área de arranque
   (boot), o modificar un archivo de programa (y no de datos).
C: ¡El primer sospechoso es el mayordomo!
H: Un método más es el de un análisis heurístico del código de un
   programa para detectar instrucciones sospechosas.
A: ¿Heurístico?
H: Una palabra para decir que parece "inteligente".
C: Es una manera heurística de decirlo...
A: ¿Y no es lo mismo que el que bloquea las instrucciones sospechosas?
H: No. El de bloqueo funciona residente en memoria supervisando
   continuamente cuando se ejecuta un programa. Entonces intercepta los
   llamados a funciones sospechosas y cuando la instrucción se va a
   llevar a cabo avisa para que el usuario decida si detener el programa
   o dejarlo continuar.
   Por otro lado, el heurístico analiza cada programa sospechoso sin
   ejecutar las instrucciones, lo que hace es desensamblar o "destraducir"
   el código de máquina para deducir que haría el programa si se
   ejecutara. Avisando que el programa tiene instrucciones para hacer
   algo que es raro en un programa normal, pero que es común en un virus.
A: ¡Ah! El de bloque checa un sólo programa: el que se está ejecutando y
   avisa cuando está a punto de suceder algo raro. El de análisis
   heurístico puede revisar varios o todos los programas de un disco y
   avisa qué puede suceder algo raro.
C: ¡Mira que raro! ¡Si tú también eres heurístico!
H: Por último, otros programas controlan la ejecución de sólo programas
   autorizados. Pueden ser programas residentes en memoria, o programas
   de menú para ejecutar solamente los programas y aplicaciones
   configurados. Otra ventaja es que suelen tener contraseñas
   (passwords) de acceso con lo que sólo el personal autorizado podrá
   hacer uso de la computadora.
A: Entonces fácil: ¡Me compro el programa que tenga todo eso!
C: Fácil: ¡No te lo vendo!
H: Lamentablemente la mayoría de los programas antivirus traen uno o
   varios de los tres primeros tipos de protección: firmas, chequeo, y
   bloqueo, pero ninguno trae todos los tipos.
U: ¿Entonces ninguno me proteje totalmente?
H: Ninguno. Por ejemplo: el ViruScan de McAfee utiliza detección por
   firmas (Scan2), bloqueo de instrucciones sospechosas (Vshield) y
   chequeo por cálculo de códigos de validación (SCAN2 /AV). El control
   de acceso lo da un programa llamado CCP, el cual es un producto
   adicional de McAfee. Te lo venden aparte.
A: ¿Y la vacuna que viene con el sistema operativo?
H: El antivirus que trae el MS-DOS versión 6 tiene: detección por firmas
   (MSav), bloqueo de instrucciones sospechosas (Vsafe) y chequeo por
   cálculo (MSav y Vsafe).
A: ¿Y el antivirus de Central Point?
H: Es el mismo que el de Ms-Dos.
C: Solamente le Cambiaron de CPav a MSav (de Central Point a MicroSoft).
A: ¿Qué hay del antivirus de Norton?
H: El programa de San Peter Norton incluye detección por firmas (Nav),
   bloqueo de instrucciones sospechosas (Virus Intercept Nav_.Sys) e
   "inoculación" y chequeo de cálculo (Nav y Nav_.Sys).
A: ¿Y qué programas utilizan análisis heurístico?
C: ¡Los que no le gustan a Patricia Hoffman!
A: ¿Quién es Patricia Hoffman?
H: Ella edita el Vsum (Virus Information Summary List) (Lista sumaria de
   información de virus), el cual es un archivo de consulta de
   información sobre virus en hipertexto.
C: ¡Además tiene el zoológico de virus más grande del mundo!
H: Cierto. Ella tiene la colección de virus "vivos" más extensa. Es
   considerada la bibliotecaria oficial de virus.
C: ¡Además se adjudicó el negocio de la certificación!
H: Sí. Compara y certifica los programas antivirus.
C: Por una corta lana.
A: ¿Y qué tiene en contra de los programas de tipo heurístico?
C: ¡Ha de ser un trauma de su niñez!
H: Ella cree que es injusto comparar programas heurísticos con los de
   firmas: Sólo compara programas con detección por firmas.
C: Quizás sea que las firmas salen de sus muestras...
A: ¿Y cuáles son los programas heurísticos?
H: El ThunderByte antivirus proveé: detección por firmas (TbScan),
   chequeo de integridad por cálculo (TbSetup y TbScan), bloqueo de
   instrucciones sospechosas (TbMem, TbFile y TbDisk) y detección
   heurística de instrucciones sospechosas (TbScan).
   Y F-Prot brinda detección de virus por firmas y detección heurística de
   instrucciones sospechosas.
U: ¡Bueno! ¡Bueno! Pero ¿Y cómo me protejo?
C: ¡Contra los caballos de Troya: Troyan!
H: El próximo mes, en el mismo horario y en el mismo canal.
C: Y recuerda: ¡Usa DblSpace! (¡Caben más virus!)...