Download técnica de desinfección
Document related concepts
no text concepts found
Transcript
UNIVERSIDAD TECNOLÓGICA DE IZÚCAR DE MATAMOROS CARRERA: TIC-SI MATERIA: SOPORTE TÉCNICO PROFESOR: CARLOS ALBERTO GONZÁLEZ GONZÁLEZ GRADO: 1° GRUPO: “A” NOMBRE DEL ALUMNO(A): ELENA HERNADEZ ZEPEDA TRABAJO: TECNICAS DE DESINFECCION SOPORTE TECNICO GUIA DE DESINFECCION PARA SPYWARES Y VIRUS MÁS COMUNES SEGURIDAD INFORMATICA A continuación una lista de métodos que le será útil para desinfectar su ordenador y para que se libere definitivamente de los troyanos, virus, gusanos, spywares, publicidad intempestiva…En primer lugar se le presentará el nombre de la infección, luego el método que le permitirá su erradicación. Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack) ¿Archivo wininet infectado? Trojan Vundo/Trojan Agent CS1/Virtualmonde 1er método de desinfección 2do método de desinfección: utilizando Vundofix Infección EGDAccess-xxx Nail.exe Error de limpieza en Ewido Wareout System Volume Information Infección en Recycler Lop.com Uso de LopXP Pasos a seguir para eliminar la infección Sitios web seguros inaccesibles Los Fix para diferentes virus Perdida del tema de XP Infección en los archivos temporales o Temporary Internet Files Look to me Shop at home o Home Search Assistant Pokapoka rebelde Spybot "error de paridad" Desinstalar Norton Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis Spyaxe, SpySheriff, Antivirus Gold, modificación de escritorio (desktop hijack) Descargar: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Ejecutarlo, luego hacer doble clic en Smitfraudfix.cmd Seleccione la opción 1, éste generará un informe Copiar y pegar este informe dentro de un mensaje en el foro Virus/seguridad En imágenes: http://siri.urz.free.fr/Fix/SmitfraudFix_En.php ---------------------------------------------------------------------------Inicie en modo seguro: Para esto, presione una y otra vez la tecla F8 desde que se ilumine la pantalla del PC Se abrirá un ventana. Desplácese con las flechas del teclado a Inicio en modo seguro luego presione Enter. Una vez en el escritorio, si no hay color, ¡es normal! (Si F8 no funciona, utilice la tecla F5) ------------------------------------------------------------------------------Vuelva a ejecutar el programa SmitfraudFix. Esta vez, seleccione la opción 2, responda sí a todos: Guardar el reporte, reinicie en modo normal, copie y pegue el informe en el foro. ¿Archivo wininet infectado? Siga el método Smitfraudfix/Smitrem (según la versión de Windows). En el caso de que estos 2 programas no encuentren un archivo de reemplazo, actualice su sistema (= Actualización de Windows) Puede descargar Smitrem de aquí ==¿Cuando navega en Internet, le aparece el mensaje “Servicio de alerta”?= A menudo, aparecen mensajes (invitándolo a llamar a un número de teléfono u otro) como: “Servicio de alerta”. Para que ya no aparezcan: • Inicio • Panel de control •Herramientas administrativas • Servicios • Buscar Servicio de alerta • Hacer clic derecho encima y seleccionar Propiedades • En el menú desplegable, poner “Deshabilitado”. Debajo poner “Detener” • Aplicar • Reiniciar el PC ----> Estos mensajes provienen de malas actualizaciones de su ordenador. Pasar a SP1 o SP2 solucionará su problema. A fin de navegar protegido, no dude en consultar este artículo. ----> Activar/Desactivar el servicio de alerta (el mismo método) Trojan Vundo/Trojan Agent CS1/Virtualmonde 1er método de desinfección Previamente: descargar y generar un informe con Hijackthis 1/ Descargar Process XP de aquí y Pocket Killbox de aquí Si tiene el Tea Timer de Spybot: Desactívelo, durante la manipulación Ejecute Spybot > Modo avanzado > Herramientas >> Residente Desmarque la casilla residente “Tea Timer” y cierre Spybot 2/ Desconéctese de Internet y cierre todos los programas activos (Windows Media Player, Internet Explorer, etc.) Descomprima (clic derecho > extraer) Process XP y haga doble clic en processxp.exe En la ventana principal de Process XP, haga doble clic en winlogon.exe En la ventana que se abre, haga clic en threads Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una de las líneas encontradas. Una vez hecho esto, Pulse Aceptar (OK) para validar Enseguida: En la ventana principal de Process XP, haga doble clic en explorer.exe En la ventana que se abre, haga clic en threads Seleccione únicamente las líneas que contienen la .dll infectada luego haga clic en kill en cada una de las líneas encontradas. Una vez hecho esto, Pulse Aceptar para validar 3/ Ejecute HijackThis: Haga clic en "Do a system scan only" Marcar la casilla al inicio de estas líneas: Fije la 02 y 020 (la 02 por lo general tiene como nombre MSevent. La dLL de la 020 y de la 02 son similares) Valide con [Fix Checked] 4/ Haga doble clic en killbox.exe (Pocket Killbox) Marcar la casilla: Delete on reboot En "Full Path of File to Delete", copie y pegue: Insertar la ruta complete de la infección (disponible en 02 y 020) Haga clic en la aspa roja Aparecerá una ventana para confirmar, haga clic en YES Una segunda ventana le preguntará para reiniciar el equipo, haga clic en YES Deje reiniciar al PC Si aparece este mensaje: "pending file rename operations registry data has been removed by external process.", ignórelo, y reinicie el PC manualmente. Vuelva a marcar la casilla para reactivar el Tea Timer de Spybot. Luego, verifique nuevamente con un log HijackThis que todo ha desaparecido. 2do método de desinfección: utilizando Vundofix Descargar VundoFix.exe (de Atribune) en su Escritorio. Haga doble clic en VundoFix.exe para ejecutarlo. Haga clic en el botón Scan for Vundo. Cuando el scan haya terminado, pulse el botón Remove Vundo. Se le preguntará si desea eliminar los archivos, haga clic en YES Después de haber hecho clic en “YES”. El Escritorio desaparecerá por un momento durante la eliminación de los archivos. Aparecerá un mensaje anunciándole que el PC se apagará ("shutdown"). Haga clic en OK Reinicie el PC. Copie y pegue el contenido del informe situado en C:\vundofix.txt así como un nuevo informe HijackThis! En su próxima respuesta en el foro. Infección EGDAccess-xxx Generar un informe HijackThis. Reparar y fijar: las líneas que contienen el nombre de la infección + egdaccess, egauth, sysnetsvc Ejemplo: O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} – http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab Otro método: Descargar Brute Force Uninstaller Descomprímalo en una carpeta creada para éste (C:\BFU) Haga clic derecho AQUÍ y seleccione “Guardar como” (en IE es “Guardar el enlace como…”) para descargar EGDACCESS Remover (de Metallica). Guárdelo en la carpeta creada (C:\BFU) Inicie "Brute Force Uninstaller" haciendo doble clic en BFU.exe en scriptline to execute copiar y pegar c:\bfu\EGDACCESS.bfu *Haga clic en execute y déjelo trabajar. Espere a que aparezca complete script execution y haga clic en OK. Haga de nuevo las mismas operaciones con ese archivo Haga clic en Exit para cerrar el programa BFU. Reinicie y publique un nuevo informe HijackThis. Nail.exe Esta infección se presenta de esta forma: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe Se debe saber que está asociado a un 04 O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r Esta 04, ¿Cómo repararla? Hay varios índices que están a nuestra disposición: -Es una 04 -Esta se encuentra en la carpeta system32 -Al lado del .exe hay una “r” Las letras entre *…+ y la xxx.exe son aleatorias, no significan nada, no especifican nada, y no se encuentra ninguna información en ellas Cómo liberarse de ellas: Por lo que sigue, imprima esto ya que las operaciones son largar y se requiere bastante rigor. 1) IMPORTANTE: No deje que el ordenador reinicie en modo normal entre cada operación. (con el riego de partir de cero). 2) Descargar: L2Mfix: http://www.downloads.subratam.org/l2mfix.exe CleanUp! -Tutorial Pocket Killbox: http://www.downloads.subratam.org/KillBox. 3) Desactivar la restauración del sistema (únicamente si está en XP): -Haga clic derecho en Mi PC/Propiedades -Haga clic en la pestaña Restaurar sistema -Marcar la casilla “Desactivar restaurar sistema” y aplicar. Verifique esto: Mostrar todos los archivos y carpetas ocultos: Haga clic en Inicio/Panel de control/Opciones de carpeta/Ver: Marcar “Mostrar todos los archivos y carpetas ocultos” Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)” Desmarcar “Ocultar las extensiones de archivo para tipos de archivo conocido” Luego haga clic en Aceptar para validar los cambios. Y aplicar 4) Vaciar los archivos temporales y Temporary Internet Files de todos los usuarios: Utilice Cleanup40: http://pageperso.aol.fr/Balltrap34/CleanUp40.exe 5) Ejecute L2Mfix Descomprímalo (clic derecho / Extraer todo). Haga doble clic en L2Mfix.bat Presione cualquier tecla y luego seleccione la opción 2. Al final, el programa debería reiniciar el sistema, en cuanto se lance el bios, presione varias veces la tecla F8 para pasar al modo seguro (esto es </gras>importante</gras>) 5) Pocket Killbox: 1- Haga doble clic en KillBox.exe 2- Abra el bloc de notas y copie la lista en negrita de más abajo 3- seleccione "Delete on Reboot" 4- Vaya al bloc de notas y subraye toda la lista, luego haga clic derecho encima y haga clic en copiar 5- Regrese a killbox, y en el menú de arriba, haga clic en File, luego en Paste from clipboard 5-Haga clic en el círculo rojo. 6- Aparecerá una ventana para confirmar. Haga clic en SI 7- Una segunda ventana le preguntara si desea reiniciar. Hacer clic en SI Lista C:\WINDOWS\Nail.exe C:\WINDOWS\System32\ccgtvzq.exe <---- Poner aquí la ruta de la 04 que se encontró. Ignorar este mensaje si aparece: http://tinypic.com/jsj7kl.jpg Cuando KillBox reinicie el PC, presione inmediatamente en F8, para pasar al modo seguro. 6) Ejecute HijackThis y fije: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------Es decir la 04 reparada anteriormente 8) volver a pasar L2Mfix opción 2, deje que el ordenador reinicie normalmente y vuelva a hacer un log HijackThis Verifique que la infección haya sido erradicada. Error de limpieza en Ewido Si encuentra este tipo de problemas con Ewido: [2660] VM_00890000 -> Downloader.Agent.uj : Error durante la limpieza [2728] VM_00BA0000 -> Downloader.Agent.uj : Error durante la limpieza [2984] VM_009A0000 -> Downloader.Agent.uj : Error durante la limpieza [3048] VM_00950000 -> Downloader.Agent.uj : Error durante la limpieza Descargar: http://downloads.subratam.org/Fixwareout.exe Instálelo y siga el procedimiento Vuelva a hacer un scan con Ewido en modo seguro; y nuevamente en modo normal. Wareout Este tipo de infección puede engendrar un desbarajuste en su ordenador (ejemplo: hacer que se cuelguen todos los scan de desinfección, programas…) y propiciar la aparición de otros tipos de infección, lo que a veces puede tener como resultado un sistema operativo casi inutilizable… Felizmente esta infección se puede identificar fácilmente en un informe HijackThis, ésta se manifiesta por una(s) dirección(es) IP dirigiendo a Ucrania: O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85 ==>Método de desinfección Descargar en el escritorio FixWareout de uno de estos dos sitos: http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Ejecutar el fix, haga clic en Next, luego Install, verifique que "Run fixit" esté activado, luego haga clic en Finish. El fix comenzará, seguir los mensajes de la pantalla. Se le preguntará al final para reiniciar el ordenador (si el sistema demora un poco más en arrancar, ¡es normal!) Observación 1: En caso de otros tipos de infección que se adicionen a Wareout, y que necesiten también la utilización de un fix (ejemplo: las variantes de Smitfraud, Vundo ...), elimine en primer lugar a Wareout ya que su presencia en el sistema puede volver inutilizables los otros fix… Observación 2: En ciertos casos puede que aún después del uso de FixWareout, y HijackThis, estos famosos 017 resistan, y reaparezcan en los informes HijackThis. A continuación un truco que permite neutralizar definitivamente estas líneas de los informes: Vaya a Inicio > Panel de control > Conexiones de red > Propiedades > Pestaña Administración de red Posiciónese sobre Protocolo Internet (TCP/IP) luego haga clic en el botón Propiedades. En las opciones (servidor DNS preferido y Servidor DNS alternativo) encontraremos una de las direcciones presentes en el informe hijackthis en la línea 17 ==>( 85.255.114.73 / 85.255.112.227 etc...) Para eliminarlos, marque: “Obtener la dirección del servidor DNS automáticamente” luego haga doble clic en Aceptar y reinicie el PC. System Volume Information Si luego del análisis, la infección se encuentra en: C:\System Volume Information\_Restore.... Esto significa que un punto de restauración es el que está infectado (a saber que la infección esté inactiva). Para resolver el problema: ¤Desactivar la restauración del sistema (únicamente si está en XP): Haga clic derecho sobre Mi PC/Propiedades Haga clic en la pestaña Restaurar sistema Marcar la casilla “Desactivar Restaurar sistema” y aplique. Luego, Reactivar Restaurar sistema (únicamente si está en XP): Hacer clic derecho en Mi PC/Propiedades Haga clic en la pestaña Restaurar sistema Desmarcar la casilla “Desactivar Restaurar sistema” y aplique. Para Windows ME: http://service1.symantec.com/... Infección en Recycler Esto significa que su papelera de reciclaje contiene elementos infectados, vacíela simplemente. En el caso de que la papelera esté vacía, y el análisis haya detectado un problema al interior de ésta, utilice el programa Chaos Shredder (Programas de desinfección) para eliminarla. ==Win32.Delf.pa, alias Trojan.Stwoyle === ¿Cómo es este troyano y cómo reconocerlo? Generar un informe HijackThis, si está en presencia de esto, entonces quiere decir que el troyano está presente: O2 - BHO: C:\WINDOWS\adsldpbc.dll O20 - Winlogon Notify: style32 O20 - Winlogon Notify: style2 Elimínelo: Descargar Win32delfkil de aquí Guárdelo en el escritorio. Hacer doble clic en win32delfki_Bl.exe y proceda a la instalación. La carpeta win32delfki_Bl.exe es creada. Cerrar todas las ventanas, abra resta carpeta y haga doble clic sobre fix.bat. Lop.com Cuando se instala MSN+, quizás no se preste atención a esto: Y sin embargo, aceptándolos, se hereda la infección lop.com (trojan swizzor) ¿Cómo se manifiesta? http://theroot.chez-alice.fr/imgs/tuto/msgplus.jpg -Nueva barra de tareas -Publicidad -Favoritos que no se pueden eliminar (casino, travel…) ¿Cómo eliminarlos? Generar un informe HijackThis y la infección se manifestará de esta manera: Logfile of HijackThis v1.99.1 Scan saved at 22:55:38, on 2005-12-23 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Command Software\dvpapi.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Zero Knowledge\Freedom\Freedom.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\lexpps.exe C:\Program Files\MSN Messenger\msnmsgr.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Annie\Bureau\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [http://www.orkabsjvmoaybw[...].com/K5kkeYXoTLXcI5kK7[...]9IzROOKlIgNIxBYi.html Viendo esta línea, usted sabrá a partir de ahora que ¡los patrocinadores de MSN han sido instalados! Esta se presentan con letras a continuación de otras, bastante largas y que no significan nada. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program Files\Zero Knowledge\Freedom\pkR.dll O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} C:\WINDOWS\system32\communicator.dll O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe Siempre hay un BHO ligada a la infección, la puede ubicar fácilmente porque la ruta de acceso es: Document and Settings +nombre de sesión (como el de arriba) + Application Data O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe Aquí igual, vemos claramente la ruta. A veces hay un R1, un 02 (BHO), y a veces dos líneas en 04, pero esto puede variar. O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-96690800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) http://www.bitdefender.fr/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}: NameServer = 206.47.244.79 206.47.244.138 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Uso de LopXP 1) A continuación, una vez reconocido, generar un informe de LopXP, lo puede descargar aquí 2) Haga doble clic en Lopxpsetup.exe para lanzar la instalación En el menú, seleccione la opción 1 Espere hasta que se le pida presionar alguna tecla Luego será creado un informe, copie y péguelo completo en el foro ¿Para que sirve? Explicación: Según lo que haya identificado en HijackThis, lo buscará aquí: (como la ruta está indicada en el log, lo buscará ¡para tener el nombre completo!) El informe de LopXP se parece a esto: Informe hecho a las 21:33:31, 29 el 2005-12-25 El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\Documents and Settings\Default User\Application Data 2004-07-22 10:09 <REP> Microsoft 2004-07-22 09:55 <REP> .. 2004-07-22 09:55 <REP> . 0 fichier(s) 0 octetos 3 R‚p(s) 3637395456 octetos libres El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Repertorio de C:\Documents and Settings\All Users\Application Data 2005-12-23 08:51 <REP> Tenebril 2004-07-22 10:06 <REP> Microsoft 2004-07-22 09:55 <REP> .. 2004-07-22 09:55 <REP> . 0 archivo(s) 0 octetos 4 R‚p(s) 3637395456 octetos libres El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\Documents and Settings\user\Application Data 2005-01-21 20:34 <REP> Motive 2004-08-30 10:23 <REP> Identities 2004-08-30 10:23 <REP> Microsoft 2004-08-30 10:23 <REP> .. 2004-08-30 10:23 <REP> . 0 archivo(s) 0 octetos 5 R‚p(s) 3637395456 octetos libres El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\Documents and Settings\ctrl\Application Data 2004-07-22 10:25 <REP> Identities 2004-07-22 10:24 <REP> Microsoft 2004-07-22 10:24 <REP> .. 2004-07-22 10:24 <REP> . 0 archivo(s) 0 octetos 4 R‚p(s) 3637395456 octetos libres El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\Documents and Settings\Default User.WINDOWS\Application Data 2005-01-22 12:15 62 desktop.ini 2005-01-22 12:15 <REP> Microsoft 2005-01-22 12:15 <REP> .. 2005-01-22 12:15 <REP> . 1 archivo(s) 62 octetos 3 R‚p(s) 3637395456 octetos libres El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\Documents and Settings\All Users.WINDOWS\Application Data 2005-12-23 08:51 <REP> Tenebril 2005-12-15 17:34 <REP> Adobe 2005-10-14 22:46 <REP> Apple Computer 2005-08-31 14:04 <REP> Spybot - Search & Destroy 2005-08-29 13:29 <REP> vidctrl 2005-08-23 21:53 <REP> InstallShield 2005-04-14 16:41 <REP> AmokFirstGplProgram <<<identificado en 04 2005-04-08 13:44 <REP> Messenger Plus! 2005-02-27 12:41 <REP> Zylom 2005-01-23 18:48 <REP> Zero Knowledge 2005-01-22 15:34 <REP> MSN6 2005-01-22 12:15 62 desktop.ini 2005-01-22 12:15 <REP> Microsoft 2005-01-22 12:15 <REP> . 2005-01-22 12:15 <REP> .. 1 archivo(s) 62 octetos 14 R‚p(s) 3637395456 octetos libres El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\Documents and Settings\Annie\Application Data 2005-12-23 09:00 <REP> Tenebril 2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT 2005-12-21 18:35 <REP> Lavasoft 2005-10-06 17:49 <REP> Real 2005-09-09 03:44 <REP> Style gpl title << identificado en 02 2005-08-25 18:57 <REP> Jasc 2005-07-02 14:24 <REP> Sun 2005-04-07 16:29 <REP> proc platform 2005-04-07 16:21 <REP> AdobeUM 2005-03-28 13:38 <REP> Mozilla 2005-03-24 20:22 <REP> Adobe 2005-03-12 23:04 <REP> Registry Cleaner 2005-02-16 22:07 <REP> Zylom 2005-01-26 22:13 <REP> Help 2005-01-23 18:51 <REP> Zero Knowledge 2005-01-22 16:30 <REP> Macromedia 2005-01-22 15:34 <REP> MSN6 2005-01-22 13:43 <REP> Identities 2005-01-22 13:43 62 desktop.ini 2005-01-22 13:43 <REP> .. 2005-01-22 13:43 <REP> . 2005-01-22 13:43 <REP> Microsoft 2 archivo(s) 21982 octetos 20 R‚p(s) 3637395456 octetos libres -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.Búsqueda de tareas planificadas en C:\WINDOWS\Tasks Para eliminar la infección, se debe eliminar la tarea planificada de otro modo ésta regresará sistemáticamente; está se identifica así: El volumen en la unidad C no tiene nombre. El número de serie del volumen es 4017-0FF2 Directorio de C:\WINDOWS\Tasks 2005-12-21 15:59 264 ABF3A22291945C8E.job (Une serie de letras y de números acabando en .job) 2005-02-24 17:00 188 setup.job 2005-01-22 13:31 6 SA.DAT 2005-01-22 13:27 65 desktop.ini 2005-01-22 13:27 <REP> .. 2005-01-22 13:27 <REP> . 4 archivo(s) 523 octetos 2 R‚p(s) 3ÿ637ÿ395ÿ456 octetos libres -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.Búsqueda en Program files La carpeta C:\Program Files\C2Media no existe <--- si C2media existe aquí, ¡hay que eliminarlo! -.-.-.-.-.-.-.-.-.-.-.- Fin del informe.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.Pasos a seguir para eliminar la infección Imprimir, o guardar las acciones en el bloc de notas para estar seguro que no olvida nada y hacerlo todo en orden. 1/ Descargar CleanUp 40 Desconectarse de internet y cerrar todos los programas activos. • Reiniciar en modo seguro Reiniciar el PC, deje pasar la pantalla del Bios, luego presione seguidamente la tecla F8 antes de que aparezca la pantalla de carga de Windows. Elija el modo seguro de las opciones disponibles y valide con Enter. (Si F8 no funciona, intente con F5) •Haga visibles los archivos ocultos y de sistema Panel de control > Opciones de carpeta > Pestaña Ver Marcar la casilla “Mostrar todos los archivos y carpetas ocultos” Desmarcar la casilla “Ocultar las extensiones de archivo para tipos de archivo conocido” Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)” Hacer clic en [Aplicar] luego en [Aceptar] para validar -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ •Ejecutar HijackThis y hacer clic en [Do a system scan only] Marcar la casilla al inicio de las líneas siguientes: AQUÍ, las líneas de HijackThis a fijar Hacer clic en el botón [Fix Checked] para validar -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ •Buscar y eliminar estas carpetas: Elimine los archivos, si es posible, siguiendo la ruta de los archivos infectados, en vez de utilizar la función “Buscar” Si están presentes, elimine: Los archivos a eliminar con las rutas exactas que se ha podido extraer fácilmente de LopXP +C2Media si es que existe -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Luego, Vaya a Inicio > Ejecutar. Ingrese cmd luego Aceptar. En la ventana que aparece, copie y pegue esto: del /a C:\WINDOWS\tasks\A0AFC843918446AF.job Aquí, la eliminación de la tarea planificada. Basta con reemplazar la serie en negrita por la encontrada en LogXP (puede que haya +1) Y presione Enter para validar -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Luego, muy importante: ::Eliminar los archivos temporales:: Ejecute Cleanup40. -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Reinicie de manera normal y publique un Hijackthis… Sitios web seguros inaccesibles Si le es imposible acceder a sitios web seguros, y obtiene siempre un mensaje de Internet Explorer que le dice que es imposible mostrar la página, entonces existen varias soluciones para corregir el problema. De una parte, debe verificar que las funciones SSL estén activas en Internet Explorer y de otra parte, debe reinscribir el archivo Softpub.dll en el Registro. En Internet Explorer, haga clic en el menú Herramientas luego Opciones de Internet. Luego haga clic en la pestaña Opciones avanzadas. En Configuración, ubique la sección Seguridad. Verifique que las casillas SSL 2.0 y SSL 3.0 estén marcadas. Si no lo están, márquelas. Haga clic en Aceptar para validar. Los Fix para diferentes virus La mayoría de virus más comunes, más devastadores, tienen un fix (pequeño programa de desinfección) para erradicarlos. Perdida del tema de XP Producto de una infección, puede perder el tema de XP y serle imposible ponerlo entre las opciones debido a que ya no aparece. No hay por que alarmarse… Descargue y descomprima: http://pageperso.aol.fr/Balltrap34/luna.zip Enseguida, póngalo en C:\WINDOWS\Resources\Themes\Luna y haga doble clic encima Luego, intente poner el estilo XP Infección en los archivos temporales o Temporary Internet Files No se alarme, se trata de una infección menor, puede que producto de una descarga, su antivirus detecte una infección en: ¤ C:\Documents and Settings\su cuenta\Local Settings\Temporary Internet Files\Content.IE5... ¤ C:\Documents and Settings\su cuenta\Local Settings\Temp... ¤ C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp... ¤ C:\Windows\Temp... A continuación 2 soluciones, bien sencillas: 1) Mostrar los archivos ocultos: Haga clic en Inicio/Panel de control/Herramientas/Opciones de carpeta/Ver Marcar “Mostrar los archivos y carpetas ocultos” Desmarcar la casilla “Ocultar archivos protegidos del sistema operativo (recomendado)” Desmarcar “Ocultar las extensiones de archivos para tipos de archivo conocidos” Luego haga clic en Aceptar para validar los cambios. ¡Y aplicar! ---------------------------------------------------------------------------¤Vacíe el contenido de los archives temporales y Temporary Internet Files: C:\Documents and Settings\su cuenta\Local Settings\Temp C:\Documents and Settings\todas las demás cuentas\Local Settings\Temp C:\Windows\Temp ::El contenido de la carpeta prefetch:: C:\WINDOWS\Prefetch <= excepto el archivo layout.ini ¡No olvide de vaciar la papelera de reciclaje! 2) Utilice Cleanup 40 para que los elimine automáticamente: CleauUp 40 ==Malos anti-spywares ==rogues== http://www.spywarewarrior.com/rogue_anti-spyware.htm Rogue significa que estos productos son desconocidos, cuestionables, o de dudoso valor como protección anti-spywares. Algunos de los productos enumerados en esta página simplemente no garantizan una probada y fiable protección de anti-spyware o pueden ser inclinados a falsos resultados. Otros pueden emplear tácticas desleales, engañosas, de presión en la venta para conseguir fácilmente vender a crédulos y confusos usuarios. Algunos de estos son conocidos por instalar ellos mismo spyware/adware. Look to me Esta infección es responsable de la publicidad cuando navega, les voy a proponer un único método entre varios que existen, si éste no funciona, diríjase al foro virus/seguridad. Generar un informe HijackThis, concretamente, la infección se presenta de esta manera: O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll ¿Cómo desinfectarlo? Descargar L2Mfix de aquí Haga doble clic en L2Mfix.exe para lanzar la extracción. En la carpeta l2mfix, hacer doble clic en l2mfix.bat y seleccione la opción #1 y presione Enter para validar. Se abrirá el bloc de notas con el resultado del scan. Copie y pegue el resultado en el foro. Vuelva a ejecutar L2Mfix y seleccione la opción 2 Acepte el reinicio del PC. Verificar que la 020 haya desaparecido (si todavía está presente, haga la opción 2 en modo seguro, si esto no funciona entonces puede utilizar KillBox…) Shop at home o Home Search Assistant Descargar Cws-hsa.reg de aquí Instálelo en el escritorio y haga clic dos veces encima. Descargar Hsremove de aquí Pokapoka rebelde Para Pokapoka, existe un bat que lo elimina así como otros archivos que no son visibles con HijackThis. En muy raros casos, la carpeta ETB sólo es visible en Dos. http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip (Descomprima y ejecute lqfix.bat en modo seguro, si es posible) Spybot "error de paridad" Cambiar de servidor de la lista propuesta por Spybot (botón al lado de “Buscar actualizaciones”). Si es su caso, elija uno con (europa) escrito al lado del nombre Desinstalar Norton http://service1.symantec.com/... Conocer la lista de programas en Agregar o quitar programas gracias a HijackThis HijackThis >Open the misc tools sections -> open Uninstall manager -> hacer clic en “Save list” -> Guardar el archivo -> cópielo y péguelo aquí. FUENTE: http://www.commentcamarche.net/faq/2500-spywares-methodes-de-desinfection Análisis comparativo de los principales sistemas antivirus RESUMEN Con el objetivo de comprender los virus informáticos, así como de analizar y comparar los principales sistemas antivirus existentes, se procedió a revisar algunas de las comparativas principales publicadas en sitios y fuentes de reconocido prestigio en este tema. Se trató un grupo de elementos teóricos sobre los virus y los sistemas antivirus: definiciones, clasificaciones, características, estructura, etcétera. Se analizó y comparó un conjunto de sistemas antivirus, ubicados entre los más poderosos y populares en la literatura consultada: Norton Antivirus, McAfee, AVP y Avira, ESET NOD32, Panda y Kaspersky. Ningún sistema antivirus ofrece una protección completa, pero el uso correcto de estas herramientas produce una sensible reducción de los daños y pérdidas provocadas por este flagelo en la red. En los años 50, los especialistas del área de la computación discutieron, por primera vez, la posibilidad de generar un programa capaz de duplicarse y extenderse entre las computadoras. Pero, no fue hasta 1983, que se creó un software de virus real, cuando un estudiante en la Universidad de California, Fred Cohen, elaboró una tesis de doctorado sobre el tema. Hace algunos años cuando se hablaba de las infecciones por virus, algunas empresas argumentaban que ellas no presentaban ese problema; consideraban que al extraer las torres de discos de las estaciones de trabajo de sus usuarios, evitarían que ellos invadieran su red de computadoras. Hoy, todos saben muy bien que el problema de los virus no se resuelve tan simplemente, porque dichos usuarios disponen, además, de acceso a Internet y a correo electrónico. Un usuario puede recibir un correo infectado con un virus desde cualquier parte del mundo, y en pocos minutos, su red estará totalmente infectada.1 Normalmente las empresas piden a los administradores de redes que comparen los antivirus existentes para determinar cuáles son capaces de reconocer y eliminar la mayor cantidad de virus posibles.2 Cada día crece el número de virus informáticos que circulan por las redes, fundamentalmente mediante el correo electrónico y desde Internet. Crece, por lo tanto, la necesidad de proteger los recursos de software y en especial la información. El objetivo del presente trabajo es revisar los sistemas antivirus más empleados a escala mundial con el objetivo de determinar cuál o cuáles son los más convenientes para la protección de los recursos de información de una organización o empresa de acuerdo con las características particulares de cada una de ellas. MARCO TEÓRICO ¿Qué es un virus? Un virus es un pequeño programa capaz instalarse en la computadora de un usuario sin su conocimiento o permiso. Se dice que es un programa parásito porque ataca a los archivos o sectores de "booteo" y se replica para continuar su esparcimiento.3 Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema. Ellos tienen diferentes finalidades. Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: propagarse. eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: propagarse. CLASIFICACIÓN GENERAL DE LOS VIRUS Existen diferentes tipos de virus:1 Virus de macros/código fuente. Se adjuntan a los programas fuente de los usuarios y a las macros utilizadas por: procesadores de palabras (Word, Works, WordPerfect), hojas de cálculo (Excell, Quattro, Lotus), etcétera. Virus mutantes. Son los que, al infectar, realizan modificaciones a su código, para evitar su de detección o eliminación (NATAS o SATÁN, Miguel Angel, por mencionar algunos). Gusanos. Son programas que se reproducen y no requieren de un anfitrión, porque se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se ubican en una determinada dirección, luego se copian a otro lugar y se borran del que ocupaban y así sucesivamente. Borran los programas o la información que encuentran a su paso por la memoria, causan problemas de operación o pérdida de datos. Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y de acuerdo con una indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. Bombas de tiempo. Son los programas ocultos en la memoria del sistema, en los discos o en los archivos de programas ejecutables con tipo COM o EXE, que esperan una fecha o una hora determinada para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que los contiene. Autorreplicables. Son los virus que realizan las funciones mas parecidas a los virus biológicos, se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programada o cada determinado tiempo, a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus llamado Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), para evitar que lo detecten. Infectores del área de carga inicial. Infectan los disquetes o el disco duro, se alojan inmediatamente en el área de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo. Infectores del sistema. Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del sistema operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el sistema operativo y es así como el virus adquiere el control para infectar todo disco que se introduzca a la unidad con la finalidad de copiarlo o simplemente para revisar sus carpetas. Infectores de programas ejecutables. Estos son los virus más peligrosos, porque se diseminan fácilmente hacia cualquier programa como hojas de cálculo, juegos, procesadores de palabras. La infección se realiza al ejecutar el programa que contiene al virus, que, en ese momento, se sitúa en la memoria de la computadora y, a partir de entonces, infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos mediante su autocopia. Aunque la mayoría de estos virus ejecutables "marcan" con un byte especial los programas infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos, como el de Jerusalén, se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento. CLASIFICACIÓN POR EL MODO EN QUE ACTÚAN En la literatura revisada, se encontraron distintas clasificaciones según el modo en que los virus infectan:3 Programa: Infectan archivos ejecutables como .com / .exe / .ovl / .drv / .sys / .bin Boot: Infectan los sectores Boot Record, Master Boot, FAT y la tabla de partición. Múltiples: Infectan programas y sectores de "booteo". Bios: Atacan al Bios para desde allí reescribir los discos duros. Hoax: Se distribuyen por correo y la única forma de eliminarlos es el uso del sentido común. Al respecto, se trata de virus que no existen y que se utilizan para aterrar a los novatos especialmente en Internet a pesar que los rumores lo muestran como algo muy serio y, a veces, la prensa especializada toma la información. Por lo general, como se expresó, la difusión se hace por cadenas de correo con terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se relacionan una serie de supuestos "virus", por lo que es aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos para continuar con la cadena, porque se crearon precisamente para producir congestionamiento en Internet. Los virus stealth (invisibles) engañan a los software antivirus. Esencialmente, un virus de este tipo conserva información sobre los archivos que ha infectado y después espera en memoria e intercepta cualquier programa antivirus que busque archivos modificados y le ofrece la información antigua en lugar de la nueva. Los virus polimórficos se alteran sólo cuando se duplican, de modo que el software antivirus que busca comportamientos específicos no encontrará todas las apariciones de los virus; los que sobreviven pueden seguir duplicándose. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, porque el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para eliminar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.3 TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS Existen diferentes técnicas para la detección de los virus informáticos.3 1. Scanning o rastreo: Fue la primera técnica que se popularizó para la detección de virus informáticos, y que todavía se utiliza -aunque cada vez con menos eficiencia. Consiste en revisar el código de todos los archivos ubicados en la unidad de almacenamiento fundamentalmente los archivos ejecutables - en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe aislarse por el usuario y enviarse al fabricante de antivirus, la solución siempre será a posteriori: es necesario que un virus informático se disperse considerablemente para que se envíe a los fabricantes de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identifica y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una gran dispersión, lapso en el que puede causar graves daños sin que pueda identificarse. Otro problema es que los sistemas antivirus deben actualizarse periódicamente debido a la aparición de nuevos virus. Sin embargo, esta técnica permite identificar rápidamente la presencia de los virus más conocidos y, al ser estos los de mayor dispersión, posibilita un alto índice de soluciones. 2. Comprobación de suma o CRC (Ciclyc Redundant Check): Es otro método de detección de virus. Mediante una operación matemática que abarca a cada byte del archivo, generan un número (de 16 ó 32 bytes) para cada archivo. Una vez obtenido este número, las posibilidades de que una modificación del archivo alcance el mismo número son muy pocas. Por eso, es un método tradicionalmente muy utilizado por los sistemas antivirus. En esta técnica, se guarda, para cada directorio, un archivo con los CRC de cada archivo y se comprueba periódicamente o al ejecutar cada programa. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca. Además, los virus más modernos, para ocultarse, buscan los ficheros que generan los programas antivirus con estos cálculos de tamaño. Una vez encontrados, los borran o modifican su información. 3. Programas de vigilancia: Ellos detectan actividades que podrían realizarse típicamente por un virus, como la sobreescritura de ficheros o el formateo del disco duro del sistema. En esta técnica, se establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad, se efectúa automáticamente una comprobación de suma y, si se detectan programas infectados, no se permite que se ejecuten. 4. Búsqueda heurística: Es otra técnica antivirus que evita la búsqueda de cadenas. Con ella, se desensambla el programa y se ejecuta paso a paso, a veces mediante la propia CPU. De ese modo, el programa antivirus averigua qué hace exactamente el programa en estudio y realiza las acciones oportunas. En general, es una buena técnica si se implementa bien, aunque el defecto más importante es la generación de falsas alarmas, que no se tiene la certeza de que un programa sea un virus en función de su comportamiento. La mayoría de los virus nuevos evitan directamente la búsqueda heurística modificando los algoritmos, hasta que el programa antivirus no es capaz de identificarlos. A pesar de utilizar estas cuatro técnicas, ningún programa puede asegurar la detección del ciento por ciento de los virus. La calidad de un programa antivirus no sólo se demuestra por el número de virus que es capaz de detectar, sino también por el número de falsas alarmas que produce, es decir, cuando el programa antivirus estima que ha localizado un virus y en realidad se trata de un fichero sano (falso positivo). Puede ocurrir que un fichero presente una combinación de bytes idéntica a la de un virus, y el programa antivirus indicaría que ha detectado un virus y trataría de borrarlo o de modificarlo. PROGRAMAS ANTIVIRUS Estructura de un programa antivirus Un programa antivirus está compuesto por 2 módulos principales: el primero denominado de control y el segundo de respuesta. A su vez, cada uno de ellos se divide en varias partes:3 1. Módulo de control: posee la técnica para la verificación de integridad que posibilita el hallazgo de cambios en los archivos ejecutables y las zonas críticas de un disco rígido, así como la identificación de los virus. Comprende diversas técnicas para la detección de virus informáticos y de códigos dañinos: En caso necesario, busca instrucciones peligrosas incluidas en programas para garantizar la integridad de la información del disco rígido. Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y tratar de ubicar sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo de control también efectúa un monitoreo de las rutinas mediante las que se accede al hardware de la computadora (acceso a disco, etc.). Al restringir el uso de estos recursos, -por ejemplo, cuando se impide el acceso a la escritura de zonas críticas del disco o se evita que se ejecuten funciones para su formateo-, se limita la acción de un programa. 2. Módulo de respuesta: la función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático. Se informa la situación mediante un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo. CARACTERÍSTICAS QUE DEBE POSEER UN SISTEMA ANTIVIRUS La expresión "cuál es el mejor antivirus", puede variar de un usuario a otro. Es evidente que para un usuario inexperto el término define casi con seguridad al software que es más fácil de instalar y utilizar, algo totalmente intranscendente para usuarios expertos, administradores de redes, etc.4 No se puede afirmar que exista un solo sistema antivirus que presente todas las características necesarias para la protección total de las computadoras; algunos fallan en unos aspectos, otros tienen determinados problemas o carecen de ciertas facilidades. De acuerdo con los diferentes autores consultados, las características esenciales son las siguientes:5,6 1. Gran capacidad de detección y de reacción ante un nuevo virus. 2. Actualización sistemática. 3. Detección mínima de falsos positivos o falsos virus. 4. Respeto por el rendimiento o desempeño normal de los equipos. 5. Integración perfecta con el programa de correo electrónico. 6. Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo electrónico, red o discos flexibles). 7. Gran capacidad de desinfección. 8. Presencia de distintos métodos de detección y análisis. 9. Chequeo del arranque y posibles cambios en el registro de las aplicaciones. 10. Creación de discos de emergencia o de rescate. 11. Disposición de un equipo de soporte técnico capaz de responder en un tiempo mínimo (ejemplo 48 horas) para orientar al usuario en caso de infección. Existen sistemas antivirus que tienen además, la característica de trabajar directamente en redes LAN y WAN, así como en servidores proxy. Ante la masiva proliferación, tanto de virus como de productos dirigidos a su tratamiento, existe la necesidad de que algún organismo reconocido de carácter internacional certifique los productos antivirus y asegure su correcto rendimiento. En un antivirus lo más importante es la detección del virus y, al estudio de tal fin se dedican asociaciones como la ICSA (International Computer Security Association) anteriormente la NCSA - y la Checkmark. Ambas siguen procedimientos similares. En concreto, para que la ICSA certifique un producto antivirus, ha de ser capaz de detectar el 100 % de los virus incluidos en la Wildlist (lista de virus considerados en circulación) y, al menos, un 90 % de la Zoolist -una colección de varios miles de virus no tan difundidos. La certificación de un producto se realiza cuatro veces al año, sin el conocimiento del fabricante y con una versión totalmente comercial, con lo que se asegura que la versión que se certifica es la que recibe directamente el usuario y no una especialmente preparada para la prueba. VALORACIÓN DE LOS DIFERENTES SISTEMAS ANTIVIRUS Norton Internet Security 2012 Licencia: De prueba Idioma: Español Inglés Alemán Francés Italiano Tamaño: 113,0 MB Cambios recientes: Norton Administración de ancho de banda S.O. WinXP/Vista/7 Limitaciones: 60 días de prueba Requisitos mínimos: Procesador: 300 MHz. Memoria: 256 MB. Espacio libre en disco: 200 MB. Management Norton Internet Security 2012 es la última versión de una suite de seguridad clásica. Consta de antivirus,cortafuegos, protección web, medidor de rendimiento, control parental e incluso un escaner de red sencillo. Un paquete completísimo. En el último año, Symantec ha mejorado muchísimo el rendimiento y estabilidad del programa, algo que se nota desde la instalación, una de las más rápidas del mercado. Norton Internet Security 2012 tarda poquísimo en desplegar su perímetro de seguridad en tu ordenador. Seguridad que, por otro lado, aprovecha al máximo la experiencia de Symantec. El antivirus es muy simple, pero fiable y veloz. Un cortafuegos inteligente mantiene tu red a salvo de intrusiones, mientras que el filtro web de Norton Internet Security 2012 evita que seas presa fácil de virus, phishing y contenido peligroso mientras navegas. Norton Internet Security 2012 es una colección de herramientas excelentes, con abundantes opciones y un rendimiento envidiable. ¿Su mayor defecto? La sencillez de los módulos, que puede no gustar a los usuarios avanzados. Pros Actualizaciones cada 5 y 15 minutos Detección de programas vulnerables Diagnóstico de rendimiento vía Insight Panel de configuración bien organizado Instalación muy rápida Contras Algunos módulos se instalan aparte Menos opciones que programas dedicados AVG Anti-Virus Free 2012.0.1796 Licencia: Gratis Idioma: Español Inglés Autor: AVG | Tamaño: 3,7 MB Cambios recientes: Requiere menos Análisis más Menos Tiempo de arranque mejorado S.O. WinXP/Vista/7 Requisitos mínimos: Procesador: 1,8 GHz. Memoria: 512 MB. Espacio libre en disco: 550 MB. espacio rápidos procesos en en un disco 50% abiertos AVG Anti-Virus Free es un eficaz antivirus gratuito. Fue uno de los primeros en aparecer y cuenta con una cifra de usuarios impresionante. Protege en tiempo real contra virus, spyware, rootkits, gusanos e intentos de phishing. Una característica muy apreciada de AVG Anti-Virus Free es LinkScanner, el módulo que comprueba la seguridad de los resultados de búsqueda y enlaces de las páginas web. En la versión 2012 se ha mejorado para analizar los enlaces de Facebook y MySpace, las redes sociales más conocidas. Los análisis de AVG Anti-Virus Free se pueden lanzar de inmediato o programar para otro día y hora. La primera vez que analices el equipo, el motor de AVG ejecutará una optimización para adaptarse al rendimiento de tu máquina. La versión 2012 de AVG Anti-Virus Free ha pegado un salto de calidad con respecto a la anterior. La interfaz es mucho más atractiva y práctica, y se incluye un gadget para lanzar análisis o actualizar AVG desde el Escritorio. Cabe decir que la velocidad de escaneo de AVG Anti-Virus Free no es para lanzar cohetes, aunque ha mejorado bastante. AVG Anti-Virus Free es ya un clásico de la seguridad a coste cero. Aunque su evolución ha sido menos espectacular que la de otros paquetes de seguridad, mantiene los valores que lo han hecho merecedor de la confianza de más de cien millones de usuarios en todo el mundo. Pros Agradable interfaz gráfica Escáner de enlaces (LinkScanner) Protección en redes sociales Gadget para el Escritorio Contras La optimización de análisis es muy lenta Kaspersky Anti-Virus Licencia: De prueba Idioma: Español Autor: Kaspersky Labs | Tamaño: 139,2 MB S.O. WinXP/Vista/7 Limitaciones: 30 días de prueba Requisitos mínimos: Procesador: 300 MHz. Memoria: 256 MB. Espacio libre en disco: 300 MB. Internet Explorer 6. Conexión a Internet para la activación del producto Microsoft Windows Installer 2.0. Kaspersky Anti-Virus es un antivirus que realiza una excelente combinación de protección reactiva y preventiva, protegiéndote eficazmente de virus, troyanos y todo tipo de programas malignos. Adicionalmente, dentro del grupo de programas malignos, Kaspersky Anti-Virus 2011 también se encarga de proteger tu Registro y todo tu sistema contra programas potencialmente peligrosos como los spyware. Kaspersky Anti-Virus cuenta con una merecida fama de ser uno de los antivirus que posee un mejor análisis en 'busca y captura' de virus. Eso sí, Kaspersky realiza un análisis muy a fondo con lo que suele tardar bastante. Soluciónalo programando el análisis en una hora en la que no necesites el PC. En cuanto a las novedades de Kaspersky Anti-Virus, cabe destacar el Gadget para Windows 7 y Vista, que facilita el acceso a las funciones de forma rápida y cómoda, así como la posibilidad de instalarlo incluso en programas ya infectados. Pros Fácil uso con menús claros Análisis rápido o completo Perfil para juegos Disco de rescate Revisión de enlaces URL Contras Actualización de firmas un poco lenta Elevado consumo de recursos ESET NOD32 AntiVirus Licencia: De prueba Idioma: Español Autor: ESET | Tamaño: 49,5 MB S.O. Win2000/XP/2003/Vista/7 Limitaciones: 25 días de prueba ESET NOD32 AntiVirus es un antivirus de calidad y eficacia realmente impresionantes, con una certeza prácticamente absoluta de que en cada una de sus versiones detectará cualquier virus conocido y, mediante una heurística compleja, por conocer. En conjunto ESET NOD32 AntiVirus es un antivirus de primera calidad, compitiendo entre los mejores en la mayoría de las facetas de estos indispensables de los usuarios, aunque en la velocidad y la total detección basa toda su potencia, destacando del resto. Esta versión de ESET NOD32 AntiVirus se adapta a las últimas tendencias en lo que a interfaz gráfica se refiere. La nueva interfaz, aunque en inglés, es fácil de usar a más no poder, y cuenta con dos modos: normal y avanzado. Pros Heurística avanzada Análisis muy rápidos Consumo de memoria reducido Protección mediante contraseña Exportación de la configuración Inspector de sistema y actividad Contras Ninguno destacable Avira AntiVir Personal Licencia: Gratis Idioma: Español Autor: Avira | Tamaño: 65,3 MB S.O. Win2000/XP/2003/Vista/7 Acerca de la licencia: Es gratuito para uso no comercial. Muestra una ventana emergente cada día con publicidad propia Requisitos mínimos: Procesador: 266 MHz. Memoria: 192 MB. Espacio libre en disco: 100 MB. Internet Explorer 6.0. Ante el creciente número de virus que pueden infectar tu PC y provocar pérdida de datos e incluso obligarte a reinstalar todo el sistema, lo mejor es estar bien protegido. Avira AntiVir Personal es un completo antivirus capaz de detectar y eliminar todo tipo de virus, incluyendo los de macro, rootkits y troyanos. Avira AntiVir Personal ofrece una protección segura y efectiva, vigilando en todo momento tu sistema con un Virus Guard residente que controla los movimientos de archivos, por ejemplo cuando descargas archivos de Internet. La lista de definiciones de Avira AntiVir Personal se actualiza con pulsar un botón y automáticamente, pudiendo programar el intervalo de tiempo. Si bien no es quizá la alternativa más completa, y ofrece algún que otro falso positivo, Avira AntiVir Personal es gratuito y su consumo de recursos es inferior a otras suites que ralentizan considerablemente nuestro ordenador, por lo que puede ser una buena opción como antivirus personal. Pros Configurable la frecuencia de las actualizaciones Instalación ligera y personalizable Bajo consumo de recursos (incluso analizando) Contras Interfaz práctica pero un poco obsoleta Sin escáner de correo electrónico Abundantes falsas alarmas McAfee AntiVirus Licencia: De prueba Idioma: Español Autor: McAfee | S.O. WinXP/Vista/7 Limitaciones: 90 días de prueba Requisitos mínimos: Procesador: 1 GHz. Memoria: 256 MB. Espacio libre en disco: 200 MB. Resolución de pantalla: 800x600. Internet Explorer 6. Firefox 2. Registro gratis: Web del autor. Requisitos recomendados: Memoria: 512 MB. McAfee AntiVirus Plus es mucho más que un antivirus con el que defender tu ordenador de toda clase de malware, incluyendo virus, troyanos, gusanos o programas espías. Con McAfee AntiVirus Plus tendrás a tu disposición es un cortafuegos que evitará cualquier ataque o acceso no autorizado a tu equipo y protección mientras navegas con SiteAdvisor. Y para evitar que tus documentos importantes acaben en malas manos, McAfee AntiVirus Plus incluye la herramienta Shredder, para borrar definitivamente archivos delicados del disco duro. Pros Integra cortafuegos y protección de e-mail y web Protección en tiempo real y análisis programable Poco invasivo Borrado permanente de archivos Limpiador de disco Contras Desinstala cualquier antivirus que encuentre Rendimiento inferior a la media Interfaz poco usable Icono de notificación desaprovechado Panda Antivirus Pro 2012 11.00.00 Licencia: De prueba Idioma: Español Inglés Portugués BR Alemán Francés Italiano Holandés Ruso Chino trad Chino sim Turco Griego Japonés Polaco Portugués PT Autor: Panda Security | Tamaño: 69,5 MB S.O. WinXP/Vista/7 Limitaciones: 30 días de prueba Requisitos mínimos: Procesador: 300 MHz. Memoria: 128 MB. Espacio libre en disco: 265 MB. Internet Explorer 6.0. Firefox 2. Requisitos recomendados: Memoria: 1 GB MB Panda Antivirus es un antivirus ligero, especialmente diseñada para proteger tu ordenador de la forma más fácil. Con él estarás a salvo de virus, spyware y fraudes. Panda Antivirus detecta y elimina automáticamente todo tipo de virus, gusanos y troyanos, incluso los más novedosos y que usan las técnicas más avanzadas de ocultación, manteniendo limpio tu PC en todo momento. Además, Panda Antivirus permite navegar por Internet, enviar y recibir correos, jugar, descargar archivos, chatear sin miedo a virus, gracias al cortafuegos, el modo de navegación segura y el gestor de redes. Panda Antivirus también localiza y elimina todo tipo de spyware y otros molestos programas que se instalan sin tu permiso en el ordenador, mientras protege tu conexión mediante un completo y poco intrusivo cortafuegos y mantiene tus datos personales a buen recaudo de estafas por Internet. Pros Excelente motor de detección Cortafuegos y gestor de red doméstica Modo juego y multimedia El instalador detecta programas conflictivos Modo de navegación segura Inteligencia colectiva basada en Panda Cloud Panda USB Vaccine Contras La instalación requiere varios reinicios Interfaz poco atractiva Incompatible con otros antivirus REFERENCIAS BIBLIOGRÁFICAS 1. Pereira JE ¿Sabías qué es un virus? Disponible en: http://www.toptutoriales.com/underground/virus/virus2.htm# Acceso: 10 de enero del 2003. 2. Periodismo en Internet. Suplemento Informática 2.0. Disponible en: http://old.clarin.com/suplementos/informatica/2003/04/23/f549045.htm Acceso: 10 de enero del 2003. 3. Mansón M. Estudio sobre virus informáticos. Disponible en: http: http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml Acceso: 10 de enero del 2003. 4. López JL. ¿Cuál antivirus elegir? Disponible en: http://www.vsantivirus.com/comparativa.htm Acceso: 10 de enero del 2003. 5. Moreno Pérez A. Conozca los distintos antivirus. Disponible en: http://www.vsantivirus.com/amconozcaav.htm Acceso: 10 de enero del 2003. 6. Programas antivirus McAfee VirusScan 95 v3, Norton Antivirus 4.0, Panda Antivirus 5.0, Antivirus Anyware, F-PROT Professional 3.01, ThunderByte Antivirus 8.03 y Dr. Solomon's Anti-Virus Toolkit. Disponible en: http://www.idg.es/pcworld/articulo.asp?id=46864 Acceso: 10 de enero del 2003. 7. Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus Abril 2001. Disponible en: http://www.hispasec.com Acceso: 10 de enero del 2003. 8. Contreras Mejuto G. Antivirus: no salga a Internet sin ellos F-Secure Anti-Virus 5.0, McAfee VirusScan 5.15, Norman Virus Control 5.0, Panda Antivirus Platinum 6.0, Symantec Norton Antivirus 2001, Sophos Anti-Virus Febrero 2001 y Trend Micro PC-cillin 7.5. Disponible en: http://www.idg.es/pcworld/articulo.asp?id=119462 Acceso: 10 de enero del 2003. 9. Fiestero C. Comparativa antivirus para Space Saturn. Disponible en: http://www.terra.es/personal/spsaturn/pr-Cmp_Sp1.htm Acceso: 6 de febrero del 2003. 10. Comparativas software anti-virus. Diciembre 2002. Disponible en: http://www.virusprot.com/Companti.html#Diciembre2002 Acceso: 6 de febrero del 2003. 11. CIAO. Comparaciones. El mejor software anti-virus [Sitio en Internet] Disponible en: http://www.ciao.es/ranking/El_Mejor_Software_Anti-Virus.html Acceso: 6 de febrero del 2003. 12. AVG Antivirus. Disponible en: http://ciudadfutura.com/mundopc/freeware/articulos/avg/avg1.htm Acceso: 2 de febrero del 2003. Recibido: 7 de julio del 2003. Aprobado: 20 de julio del 2003 Lic. Luis Armas Montesino. Director Centro Territorial de Información de Ciencias Médicas, Artemisa, La Habana. Hospital General Docente "Ciro Redondo" Calle 33 e/ 24 y 26, Artemisa, La Habana, Cuba. 13 Norton Antivirus, McAfee, AVP y Avira, ESET NOD32, Panda y Kaspersky http://www.antivirus.softonic.com