cUCHitril Índice Virus InterNet Buscadores "¡quéInterNetsante!" MexicoHispanoLatinos Servicios abraPALABRA cariCreaturas Programas TIPS
UCH Comentarios Explicación escríbeme!

COMO ELIMINAR UN VIRUS SIN SER ELIMINADO (III)
por Héctor Ugalde Corral (UCH)
Artículo publicado en la Revista "Personal Computing México"
Agosto 1995

Usuario: Me dijeron que la reparación con FDISK /MBR le da en la chapa
   a la tabla de particiones.
Cracker: ¡Le parte en toda!
Hacker: A veces... depende del virus...
Amigo (usuario Avanzado): También depende de si tiene m...
U: ¿¡Qué pasó?! ¿¡Qué pasó?!
A: Digo, si el virus tiene m...
U: ¡Ah vaya!
C: ¡Pues al menos el virus tiene padre!
H: ¿La ociosidad es padre de todos los virus?
C: No de todos... Hay unos hijos de la necesidad, otros de la desesperación...
   los hay hijos de la libertad... y uno que otro es un hijo no deseado...
   ninguneado, no reconocido... virus huérfanos...
U: ¡Bueno! ¡Bueno! ¿Y lo del FDISK /MBR?
C: ¡Malo! ¡Malo!
H: El problema es que la tabla de particiones tiene dos partes: una contiene
   los datos de la partición, y la otra: código o instrucciones...
A: Un programa, ¿no? (¡Estos hackers tan complicados!)
H: ¡Este!... ¡Sí! Es un programa... (¡Estos usuarios tan complicados!)
U: ¿Y cuál es el problema?
H: El problema es que algunos virus no sólo alteran la parte del... programa
   (metiéndose en él), sino que también modifican los datos de la partición,
   ya sea cambiándola de lugar, o encriptándola (poniéndola en un código
   secreto).
U: ¿Y?
H: Y FDISK /MBR recupera la parte del programa de la tabla de particiones
   (el Master Boot Record, o Registro Maestro de Arranque), borrando con
   ello al virus que se había implantado allí, pero deja intacta la parte
   de datos...
U: ¿Y?
H: Pues que mientras el virus existe, descifra o accesa en donde están
   escondidos los datos de la tabla de particiones, pero al "morir" el
   virus... los datos se pierden... quedan cifrados o escondidos para
   siempre...
U: ¡Mis datos!!!!...
C: ¿Y?
A: ¡Ohhh!
H: Sí, tus datos. Porque los datos de la tabla de particiones son los
   datos de donde encontrar tus datos.
U: ¿Y cómo puedo saber cuando utilizar FDISK /MBR y cuando no?
H: Una regla es que si después de arrancar (desde un diskette con MS-DOS
   libre de virus) NO puedes accesar (ver) el disco duro (por ejemplo
   con DIR C:), ¡entonces NO lo uses! Porque la tabla de particiones
   del disco duro queda "perdida" cuando no está en funcionamiento el virus.
A: Y el virus no se activó porque no se ejecutó el código de arranque de
   la tabla de particiones del disco duro...
H: ¡Exacto! Se arrancó desde el flopi, y no desde el disco duro.
A: Y si destruímos al virus, destruímos con él nuestros datos...
H: Algo así como "no puedo vivir contigo o sin ti".
C: Duro de matar IX: "El virus que no quería morir".
U: ¡Hum! ¿Entonces qué hago?
H: Cualquiera de los otros pasos, y dejando como último recurso lo del FDISK.
U: ¿Y cuáles son los restantes pasos?
H: El paso 4: Limpiar de virus los archivos infectados con el módulo u opción
   antivirus que los limpia. Por ejemplo: SCAN C: /CLEAN ó TBCLEAN C:
A: ¿Y si el antivirus no puede limpiar el virus?
C: ¡Je Je! ¡El virus chicho del antivirus gacho!
H: A veces no se puede reparar un archivo, extirpándole el virus, y
   reconstruyendo el programa infectado. Por ejemplo, un programa antivirus
   puede identificar erróneamente un virus como otro y al intentar reparar
   el programa infectado quedará dañado. Algunos virus se graban encima
   de una parte del programa infectado por lo que No se pueden recuperar
   por este método.
U: ¿Entonces?
H: Se pasa al paso 5: borrar completamente los archivos infectados. Por
   ejemplo: SCAN C: /DEL ó TBSCAN C: /KILL
H: Inclusive hay quien recomienda siempre borrar los programas infectados.
   Pero eso depende de que tan bueno sea el limpiador de virus, y que se
   verifique que el programa reparado haya quedado igual a como estaba
   (algunos antivirus lo checan con el CRC (Cyclic Redundancy Check,
   Chequeo de Redundancia Cíclica).
H: Esta opción borra completamente el archivo, no como el MSDOS que sólo
   los marca como borrados
H: Entonces hay que borrar y volver a instalar el programa o programas
   dañados. Y si se recuperan los programas infectados desde los respaldos,
   hay que checar que las copias respaldo no estén infectadas.
   Lamentablemente los antivirus no checan copias respaldos hechas con
   BACKUP (MS-Backup o equivalentes), así que habrá que instalar y luego
   checar contra virus...
H: Eso nos lleva a: que en caso de que se tengan respaldos, el paso 6 es
   recuperar (Restore) los archivos desde copias respaldo (Backup). Por
   ejemplo: RESTORE A:*.* /S
H: Y es que casi siempre lo primero que hay que hacer después de detectar
   una infección por virus es comprar diskettes...
U: ¿Por qué?
H: Porque casi nadie saca respaldos...
U: ¿Y si yo sí tengo respaldos?
H: Habrá que ver si están completos los respaldos, y si no es así sacar
   un respaldo de TODO en un nuevo bonche de diskettes...
U: Bueno, ¿Y no puedo simplemente grabar encima de los respaldos anteriores?
H: No es conveniente, más vale tener unos respaldos desactualizados,
   pero "seguros", que un último respaldo, actual, pero inseguro...
U: ¿Por qué es inseguro?
H: Porque puede tener virus.
H: Puedes intentar recuperar los archivos de este último respaldo y tomar
   lo que no quede bien de los respaldos anteriores. Entonces checar contra
   virus y probar los programas de aplicación para ver si funcionan.
H: Si no, se pasa al paso 7: Reinstalar aplicaciones y programas que se
   tengan en diskettes. Por ejemplo: INSTALL C:
H: Esto desde las copias de seguridad de originales, siempre protegidas
   contra escritura.
H: Si a pesar de todo lo anterior, sigue habiendo virus, no nos queda
   más remedio que pasar al paso 8: Dar formato al disco duro, esto se
   hace con: FORMAT C: /U /S
U: ¿Y qué es eso de /U?
H: La diagonal normal (/) indica que es una opción del comando Format,
   la opción /U indica que es un formateo incondicional ("Uncondicional"
   en inglés).
U: ¿Y para que sirve la opción S?
H: Si no no podrías arrancar desde el disco duro...
H: Nótese que esta opción (y la que sigue) es un último recurso, ya que
   se borra TODOS los datos del disco duro!
H: Paso 9: Particionar el disco duro: FDISK (hágase sólo si sabe utilizar
   esta utilería).
H: Y ahora unas recomendaciones generales:
- Checar TODAS las otras COMPUTADORAS ya que ¡puede ser una epidemia!
  (recuerde usar diskettes de arranque y diskettes con antivirus, limpios
  ambos de virus. ¡No inicie usted mismo la epidemia!)
- Verifique y limpie TODOS los DISKETTES.
  Si queda el virus en un sólo diskette, ¡puede reinicar la infección de nuevo!
- Normalmente no se necesitan todos los pasos. Están listados de menor
  destrucción a mayor.
- El paso 8 (Format) implica el 6 (Restore) y el 7 (Install).
- El paso 9 (Fdisk) implica el 8 (Format), el 6 (Restore) y el 7 (Install).

H: Los elementos CLAVE para una recuperación TOTAL son:
- Diskettes del sistema operativo originales protegidos contra escritura.
- Diskettes con los programas antivirus y vacunas.
- Copias de seguridad en diskette de los programas y aplicaciones.
- Diskettes de los manejadores (Drivers) de dispositivos tales como vídeo,
  CD-ROM, red, tarjetas de sonido, scanners, etc.
- Copias respaldo en diskette de datos al día.
- Copias en diskette de los archivos y parámetros de configuración:
  C:\CONFIG.SYS
  C:\AUTOEXEC.BAT
  C:\WINDOWS\SYSTEM.INI
  C:\WINDOWS\WIN.INI

H: Todos estos diskettes deben estar verificados de que no contengan virus,
   y además (después de grabados) protegidos contra escritura (excepto los
   respaldos de datos).

H: Además es conveniente tener ANOTADOS los siguientes datos (quizás en un
   cuaderno o "libreta de recuperación"):
- Datos de configuración grabados en la memoria CMOS (Principalmente tipo
  de disco duro y sus parámetros). (Accesible al entrar al programa de
  configuración "Setup" oprimiendo las teclas Ctrl Alt Esc al mismo tiempo
  o después de encender la computadora al oprimir la tecla Del "Suprimir")
- Parámetros de configuración de los manejadores de dispositivos (drivers)
  (Interrupciones, direcciones DMA, opciones, etc.) (Aunque estos casi
  siempre están en el Config.Sys o en el AutoExec.Bat, no está de más
  tenerlos anotados).
- Parámetros de los programas de aplicación. (Los que se dan al instalar
  una aplicación, o después: al configurar el programa).

H: Tener la "Libreta de recuperación" junto con los diskettes de respaldo,
   los diskettes de rescate (que generan algunos antivirus), el
   procedimiento de recuperación de desastres, los manuales de instalación
   de las aplicaciones, e información sobre eliminación de virus (como
   estos artículos), TODO en un mismo lugar plenamente identificado y
   que sea seguro.

H: Y por último: ¡No se desespere! ¡No tenga pánico! Calma y paciencia...
   Tómese su tiempo para estar completamente seguro de haber erradicado
   el virus. En caso contrario: ¡Pida ayuda!...

U: ¡Nos...
A: Dejaste...
C: Sin habla!...
H: Como Hugo, Paco y Luis...
C: ¡Es que yo estaba probando un virus que no se pueda quitar con ninguno
   de los 9 pasos dados aquí!...
H: ¡Eso habrá que verlo!
C: Pues más bien: ¡No lo verás!!!!...