COMO ELIMINAR VIRUS SIN SER ELIMINADO (III)
Siguiente (La vuelta a InterNet en 80 virus. Parte I) |
Anterior (COMO ELIMINAR UN VIRUS SIN SER ELIMINADO (II)) |
volVer al Lado Oscuro |
volVer a Virus |
volVer al cUCHitril I |
volVer al cUCHitril II
COMO ELIMINAR UN VIRUS SIN SER ELIMINADO (III)
por Héctor Ugalde Corral (UCH)
Artículo publicado en la Revista "Personal Computing México"
Agosto 1995
Usuario: Me dijeron que la reparación con FDISK /MBR le da en la chapa
a la tabla de particiones.
Cracker: ¡Le parte en toda!
Hacker: A veces... depende del virus...
Amigo (usuario Avanzado): También depende de si tiene m...
U: ¿¡Qué pasó?! ¿¡Qué pasó?!
A: Digo, si el virus tiene m...
U: ¡Ah vaya!
C: ¡Pues al menos el virus tiene padre!
H: ¿La ociosidad es padre de todos los virus?
C: No de todos... Hay unos hijos de la necesidad, otros de la desesperación...
los hay hijos de la libertad... y uno que otro es un hijo no deseado...
ninguneado, no reconocido... virus huérfanos...
U: ¡Bueno! ¡Bueno! ¿Y lo del FDISK /MBR?
C: ¡Malo! ¡Malo!
H: El problema es que la tabla de particiones tiene dos partes: una contiene
los datos de la partición, y la otra: código o instrucciones...
A: Un programa, ¿no? (¡Estos hackers tan complicados!)
H: ¡Este!... ¡Sí! Es un programa... (¡Estos usuarios tan complicados!)
U: ¿Y cuál es el problema?
H: El problema es que algunos virus no sólo alteran la parte del... programa
(metiéndose en él), sino que también modifican los datos de la partición,
ya sea cambiándola de lugar, o encriptándola (poniéndola en un código
secreto).
U: ¿Y?
H: Y FDISK /MBR recupera la parte del programa de la tabla de particiones
(el Master Boot Record, o Registro Maestro de Arranque), borrando con
ello al virus que se había implantado allí, pero deja intacta la parte
de datos...
U: ¿Y?
H: Pues que mientras el virus existe, descifra o accesa en donde están
escondidos los datos de la tabla de particiones, pero al "morir" el
virus... los datos se pierden... quedan cifrados o escondidos para
siempre...
U: ¡Mis datos!!!!...
C: ¿Y?
A: ¡Ohhh!
H: Sí, tus datos. Porque los datos de la tabla de particiones son los
datos de donde encontrar tus datos.
U: ¿Y cómo puedo saber cuando utilizar FDISK /MBR y cuando no?
H: Una regla es que si después de arrancar (desde un diskette con MS-DOS
libre de virus) NO puedes accesar (ver) el disco duro (por ejemplo
con DIR C:), ¡entonces NO lo uses! Porque la tabla de particiones
del disco duro queda "perdida" cuando no está en funcionamiento el virus.
A: Y el virus no se activó porque no se ejecutó el código de arranque de
la tabla de particiones del disco duro...
H: ¡Exacto! Se arrancó desde el flopi, y no desde el disco duro.
A: Y si destruímos al virus, destruímos con él nuestros datos...
H: Algo así como "no puedo vivir contigo o sin ti".
C: Duro de matar IX: "El virus que no quería morir".
U: ¡Hum! ¿Entonces qué hago?
H: Cualquiera de los otros pasos, y dejando como último recurso lo del FDISK.
U: ¿Y cuáles son los restantes pasos?
H: El paso 4: Limpiar de virus los archivos infectados con el módulo u opción
antivirus que los limpia. Por ejemplo: SCAN C: /CLEAN ó TBCLEAN C:
A: ¿Y si el antivirus no puede limpiar el virus?
C: ¡Je Je! ¡El virus chicho del antivirus gacho!
H: A veces no se puede reparar un archivo, extirpándole el virus, y
reconstruyendo el programa infectado. Por ejemplo, un programa antivirus
puede identificar erróneamente un virus como otro y al intentar reparar
el programa infectado quedará dañado. Algunos virus se graban encima
de una parte del programa infectado por lo que No se pueden recuperar
por este método.
U: ¿Entonces?
H: Se pasa al paso 5: borrar completamente los archivos infectados. Por
ejemplo: SCAN C: /DEL ó TBSCAN C: /KILL
H: Inclusive hay quien recomienda siempre borrar los programas infectados.
Pero eso depende de que tan bueno sea el limpiador de virus, y que se
verifique que el programa reparado haya quedado igual a como estaba
(algunos antivirus lo checan con el CRC (Cyclic Redundancy Check,
Chequeo de Redundancia Cíclica).
H: Esta opción borra completamente el archivo, no como el MSDOS que sólo
los marca como borrados
H: Entonces hay que borrar y volver a instalar el programa o programas
dañados. Y si se recuperan los programas infectados desde los respaldos,
hay que checar que las copias respaldo no estén infectadas.
Lamentablemente los antivirus no checan copias respaldos hechas con
BACKUP (MS-Backup o equivalentes), así que habrá que instalar y luego
checar contra virus...
H: Eso nos lleva a: que en caso de que se tengan respaldos, el paso 6 es
recuperar (Restore) los archivos desde copias respaldo (Backup). Por
ejemplo: RESTORE A:*.* /S
H: Y es que casi siempre lo primero que hay que hacer después de detectar
una infección por virus es comprar diskettes...
U: ¿Por qué?
H: Porque casi nadie saca respaldos...
U: ¿Y si yo sí tengo respaldos?
H: Habrá que ver si están completos los respaldos, y si no es así sacar
un respaldo de TODO en un nuevo bonche de diskettes...
U: Bueno, ¿Y no puedo simplemente grabar encima de los respaldos anteriores?
H: No es conveniente, más vale tener unos respaldos desactualizados,
pero "seguros", que un último respaldo, actual, pero inseguro...
U: ¿Por qué es inseguro?
H: Porque puede tener virus.
H: Puedes intentar recuperar los archivos de este último respaldo y tomar
lo que no quede bien de los respaldos anteriores. Entonces checar contra
virus y probar los programas de aplicación para ver si funcionan.
H: Si no, se pasa al paso 7: Reinstalar aplicaciones y programas que se
tengan en diskettes. Por ejemplo: INSTALL C:
H: Esto desde las copias de seguridad de originales, siempre protegidas
contra escritura.
H: Si a pesar de todo lo anterior, sigue habiendo virus, no nos queda
más remedio que pasar al paso 8: Dar formato al disco duro, esto se
hace con: FORMAT C: /U /S
U: ¿Y qué es eso de /U?
H: La diagonal normal (/) indica que es una opción del comando Format,
la opción /U indica que es un formateo incondicional ("Uncondicional"
en inglés).
U: ¿Y para que sirve la opción S?
H: Si no no podrías arrancar desde el disco duro...
H: Nótese que esta opción (y la que sigue) es un último recurso, ya que
se borra TODOS los datos del disco duro!
H: Paso 9: Particionar el disco duro: FDISK (hágase sólo si sabe utilizar
esta utilería).
H: Y ahora unas recomendaciones generales:
- Checar TODAS las otras COMPUTADORAS ya que ¡puede ser una epidemia!
(recuerde usar diskettes de arranque y diskettes con antivirus, limpios
ambos de virus. ¡No inicie usted mismo la epidemia!)
- Verifique y limpie TODOS los DISKETTES.
Si queda el virus en un sólo diskette, ¡puede reinicar la infección de nuevo!
- Normalmente no se necesitan todos los pasos. Están listados de menor
destrucción a mayor.
- El paso 8 (Format) implica el 6 (Restore) y el 7 (Install).
- El paso 9 (Fdisk) implica el 8 (Format), el 6 (Restore) y el 7 (Install).
H: Los elementos CLAVE para una recuperación TOTAL son:
- Diskettes del sistema operativo originales protegidos contra escritura.
- Diskettes con los programas antivirus y vacunas.
- Copias de seguridad en diskette de los programas y aplicaciones.
- Diskettes de los manejadores (Drivers) de dispositivos tales como vídeo,
CD-ROM, red, tarjetas de sonido, scanners, etc.
- Copias respaldo en diskette de datos al día.
- Copias en diskette de los archivos y parámetros de configuración:
C:\CONFIG.SYS
C:\AUTOEXEC.BAT
C:\WINDOWS\SYSTEM.INI
C:\WINDOWS\WIN.INI
H: Todos estos diskettes deben estar verificados de que no contengan virus,
y además (después de grabados) protegidos contra escritura (excepto los
respaldos de datos).
H: Además es conveniente tener ANOTADOS los siguientes datos (quizás en un
cuaderno o "libreta de recuperación"):
- Datos de configuración grabados en la memoria CMOS (Principalmente tipo
de disco duro y sus parámetros). (Accesible al entrar al programa de
configuración "Setup" oprimiendo las teclas Ctrl Alt Esc al mismo tiempo
o después de encender la computadora al oprimir la tecla Del "Suprimir")
- Parámetros de configuración de los manejadores de dispositivos (drivers)
(Interrupciones, direcciones DMA, opciones, etc.) (Aunque estos casi
siempre están en el Config.Sys o en el AutoExec.Bat, no está de más
tenerlos anotados).
- Parámetros de los programas de aplicación. (Los que se dan al instalar
una aplicación, o después: al configurar el programa).
H: Tener la "Libreta de recuperación" junto con los diskettes de respaldo,
los diskettes de rescate (que generan algunos antivirus), el
procedimiento de recuperación de desastres, los manuales de instalación
de las aplicaciones, e información sobre eliminación de virus (como
estos artículos), TODO en un mismo lugar plenamente identificado y
que sea seguro.
H: Y por último: ¡No se desespere! ¡No tenga pánico! Calma y paciencia...
Tómese su tiempo para estar completamente seguro de haber erradicado
el virus. En caso contrario: ¡Pida ayuda!...
U: ¡Nos...
A: Dejaste...
C: Sin habla!...
H: Como Hugo, Paco y Luis...
C: ¡Es que yo estaba probando un virus que no se pueda quitar con ninguno
de los 9 pasos dados aquí!...
H: ¡Eso habrá que verlo!
C: Pues más bien: ¡No lo verás!!!!...
Siguiente (La vuelta a InterNet en 80 virus. Parte I) |
Anterior (COMO ELIMINAR UN VIRUS SIN SER ELIMINADO (II)) |
volVer al Lado Oscuro |
volVer a Virus |
volVer al cUCHitril I |
volVer al cUCHitril II