virus que convierte carpetas en accesos directos.doc
346
Click here to load reader
Transcript of virus que convierte carpetas en accesos directos.doc
virus que convierte carpetas en accesos directos “.lnk”Posted by Diego⋅ 20 mayo, 2010⋅3.182 comentarios
Archivado bajo atributos, Attrib, carpetas a .lnk, cmd, convierte carpetas, DrivesGuideInfo, eliminar virus, ocultas, pen drive, recuperar archivos
Ayer estaba terminando de hacer un proyecto con un amigo, asi que le di mi memoria flash para unir todo el proyecto en la compu de el. Pero al revisar mi flash en mi compu, todas las carpetas que tenia me las habia convertido en accesos directos .lnk, y las carpetas no aparecian por ningun lado, ni ocultas ni nada, simplemente no aparecian por ningun lado. Analice con el antivirus y no reconocia nada.
Leyendo x ahi me encontre con unos comandos para revisar la flash desde el Símbolo de Sistema, que me sirvieron de mucho para arreglar este problema…
Lo primero que hacemos es ingresar al cmd, ubicarnos en nuestra memoria (en mi caso G:), y escribir el siguiente comando
Attrib /d /s -r -h -s *.*
Attrib: Para visualizar o modificar atributos /d: Para poder procesar carpetas
/s: Para poder procesar subcarpetas
-r: Quitar atributos de solo lectura
-h: Quitar atributos de oculto
-s: Quitar atributos de sistema
*.*: Para archivos de cualquier nombre, con cualquier extension
Y ahora si en mi flash ya aparecen todas las carpetas que tenia, y los virus (DrivesGuideInfo)
Luego si a desinfectar, y a borrar los accesos directos…!!!
Descarga : Unlocker 1.8.9
[EDITADO]
Lo siguiente es un metodo para borrar el virus de su computador, porque si le dieron doble clic al acceso directo, pues es muy problable que el virus ya este en su computador…
Debidas gracias a Ramon Trujillo
1. instalar unloker.
2. abrir C:\Documents and Settings\xxxxxxx(usuario). y buscar el jodido virus llamado Youbu.exe
3. den clik con boton derecho sobre el y seleccionen del menu unloker.
4. en la ventana de acciones seleccionen eliminar y listo.
probablemente les diga que no se pudo borrar que se borrara en el siguiente reinicio, den aceptar y listo…
su PC esta libre de ese MALDITO VIRUS…. XD XD XD XD XD XD XD !!!!!!!!!!! -[Citado textualmente]
[EDITADO: 28-09-2011]
En primer lugar quiero agradecer a todas las personas que me han hecho llegar sus mensajes, correos y demas felicitaciones por escribir esta entrada….pero al contrario soy yo quien estoy agradecido con todos uds. por visitar mi blog en tod0 este tiempo y llenarme de satisfacción al saber que los pocos conocimientos que poseo les ha sido de gran utilidad
En el transcurso de estos días ire actualizando el post gracias a sus mensajes y aportes acerca de este tema
[EDITADO: 17-03-2012]
Escrito por Egogaius:
Bueno … yo me encontré al virus en Windows 7 , bajo otra apariencia. Ya probé varias veces y al parecer lo logré. Las instrucciones originales de Diego fueron buenas para recuperar la “visibilidad” de mis archivos en las USB, pero el virus persistía y les dejo aquí la receta que utilicé… en realidad seré muy técnico pues me cuestan trabajo los detalles. Además… soy como el burro que tocó la flauta … jejeje.
1.- En modo comando (cmd) ejecuté el msconfig y exploré los programas de inicio (pestaña apropiada).2.- Al ordenar los programas por el Autor, encontré uno que decía “Desconocido” en la columna autor y además se ejecutaba con mi usuario y con un nombre extraño, en mi caso: Zwfyfx.exe.3.- Deshabilité el programa, tomé nota de su nombre y del directorio en donde radicaba. Todo eso está en la pantalla del msconfig.4.- Exploré la carpeta señalada -en mi caso estaba en windows\”mi usuario”\appdata\Roaming. Me fué facil llegar a ella en modo comando… solo tuve que pasar al directorio appdata (cd Appdata) y después al de Roaming.5.- Borré el archivo Zwfyfx.exe (del Zwfyfx.exe)6.- Luego abrí el registro (regedit) desde el programa de ejecutar o “Run”.7.- En Edición–>Buscar, coloqué el nombre del virus … en mi caso Zwfyfx, para que lo buscara en todo el Registro.8.- En HKLM encontré una entrada con el nombre del virus, y borré toda la carpeta.9.- Salí, reinicié el equipo y … todo OK!10.- Repasé todas mis USB y borré un directorio llamado RECYCLER que el virus creó en ellas. Una memoria no mostraba contenido, pero con el comando que nos ofreció Diego : Attrib /d /s -r -h -s *.* pude recuperar la estructura de carpetas.Listo!! Espero sea de utilidad
Este es un pequeño truco para poder ver de nuevo esas carpetas y archivos ocultos:
El primer paso es conectar nuestra memoria USB y observar que letra se le asigna a dicha unidad, en este caso será la letra F:
Inicio > Ejecutar (también podemos presionar las teclas Windows + R) Escribimos cmd y pulsamos Enter Ahora escribiremos lo siguiente :
La letra F: habrá que cambiarla por la letra de la unidad que ha sido asignada a tu memoria (Puedes verlo desde mi Mi PC y buscas la letra q tiene tu usb..) Pulsamos Enter
attrib -s -h -r f:/*.* /s /d
del autorun.inf del *.exe del *.inf del *.lnk del *.scr del *.dll
OjO les va a salir una carpeta llamada Recycler hay q borrarla
Listo! Ahora podremos ver nuestros archivos y carpetas nuevamente, aunque siempre lo mas importante es analizar nuestra memoria con un antivirus actualizado y comprobar que nuestro sistema no esta infectado también.
copia esto en un blog de notas ( Windows + R y escribes notepad ) entonces y lo guardas como .bat
antivirus.bat
La letra F: habrá que cambiarla por la letra de la unidad que ha sido asignada a tu memoria
attrib -s -h -r f:/*.* /s /d
del autorun.inf del *.lnk del *.scr del *.dll
virus youbu.exe
Aquí un poco de teoría sobres los archivos DLLy no..no espero que se la lean toda jaja pero espero que les sirva
EMPEZEMOS
¿Qué son los archivos DLL?
Un archivo DLL (Dynamic Library Link) es un módulo componente de un programa que ejecuta alguna función. Estos archivos DLL son muy útiles, pero también suelen ser causa de errores en Windows.
Los archivos DLL ejecutan acciones o rutinas de uso frecuente en Windows, y un mismo archivo DLL puede ser usado por varios programas al mismo tiempo (como el Kernel32.dll). Por ejemplo el procesador de palabras, la hoja de cálculo y otros programas pueden usar un mismo archivo DLL para desplegar el cuadro diálogo Abrir, cada vez que usted usa el comando Abrir.
Gracias a ese esquema modular (que tambien se usa en el sistema operativo OS/2), hay muchas funciones que los creadores de software no tienen que incluir en sus programas; cuando un programa necesita enviar un documento a la impresora, simplemente llama el archivo DLL respectivo (que ya Windows instaló) para que este cargue y ejecute la tarea. De esa forma, los programas son más pequeños y se ahorra espacio en el disco duro.
El hecho de que estos módulos de rutinas (Archivos DLL) no sean parte de programas, sino que se guardan como archivos independientes, también optimiza el uso de la memoria RAM. Un DLL se carga en la memoria RAM y se ejecuta únicamente cuando un programa lo llama para que realice una función, mientras que otros módulos de rutinas que sí hacen parte del programa permanecen cargados en la memoria mientras trabaja con un programa.
Windows incluye muchos archivos DLL que son usados por otros programas (la mayoría en la carpeta c:windowssystem). Pero algunos programas también instalan sus propios archivos DLL (y generalmente los colocan en la carpeta del disco duro en la que está guardado dicho programa).
Observaciones en el manejo de DLL
Como diferentes programas deben compartir los mismo DLL, si algunos programas no respetan ciertas reglas del juego se pueden producir errores. A veces uno instala programas que colocan una versión vieja de un archivo DLL en la carpeta c:windowssystem y remplazan -sin avisar- la versión más reciente del mismo DLL. Al hacer eso, es posible que se produzcan fallas en los programas que usaban la versión más reciente del DLL.
Nota: En Windows XP no es posible reemplazar un archivo dll del sistema, ya que este se dará cuenta y automaticamente copiara el DLL correcto de su base de datos, Windows XP se protege de esta manera para evitar conflictos.
No todos los archivos DLL tienen extensión .dll; tambien hay archivos del mismo tipo con extensiones .ocx, .exe, .drv, .vxd, etc.
Cuando Windows le muestre un mensaje de error que dice que le falta un DLL, anote el nombre exacto del archivo (incluyendo la extensión), busque el archivo en cualquiera de los sitios que al final se recomiendan, bájelo y copiélo en la carpeta en la que lo está buscando el programa que generó el mensaje de error (probablemente c:windowssystem o la carpeta en la que está almacenado el programa).
Tenga en cuenta que puede haber versiones diferentes de Archivos DLL, pero con un nombre idéntico. Se recomienda no remplazar un DLL por una versión más vieja (para saber que versión tiene un DLL, busque el archivo, dé click derecho sobre él, seleccione propiedades y de click en la pestaña Versión). Lo mejor es que siempre guarde en un diskette o alguna parte de sus disco duro el DLL que va a reemplazar (incluso aunque sea de una versión más vieja). Uno nunca sabe qué programa lo pueda necesitar.
Windows File Protection [WFP]
Windows FIle Protection (WFP) protege los archivos DLL del sistema de ser actualizadas o borradas por agentes no autorizados. Las aplicaciones no pueden sustituir las DLLs del sistema. Unicamente los paquetes de actualizacion del sistema operativo com los SP (Service Packs) pueden hacer esto.
Los archivos DLL del sistema que pueden ser unicamente actualizadas por los Service Pack (SP) se denominan DLLs protegidas. Hay aproximadamente 2800 DLLs protegidas en Windows 2000 y XP.
Si intentamos copiar un archivo DLL identico a uno protegido en el directorio del sistema, el reemplazo del archivo DLL, aparentemente, parecerá que es correcta y no veremos ningun mensaje de error. Pero Windows 2000 y XP recuperarán el archivo DLL recientemente copiado con el archivo DLL original silenciosamente.
WFP elimina completamente los errores de los archivos DLL y además minimiza los problemas causados por instalación y/o actualización de aplicaciones.
System File Checker (sfc) Tip: Para comprobar que los archivos de tu sistema estan en perfecto estado y completos, ejecuta esta instruccion:
En Windows XP: Ve a Inicio > Ejecutar y escribe esto "sfc /scannow" (sin las comillas).
DLL's Privadas
Las DLLs privadas son DLLs que son instaladas con una aplicación específica y usadas solo por esa aplicación.
Por ejemplo, supongamos que yo soy el responsable de un programa llamada Wilkinsonpc.exe. Yo he 'testeado' ese programa con una versión x.x de la librería de Microsoft MSVCRT.DLL y una versión y.y de la SA.DLL (por ejemplo, SA.DLL no es una DLL de Microsoft, pero es una DLL de terceros distribuida con otras varias aplicaciones). Yo quiero asegurarme que mi programa Wilkinsonpc.exe siempre usará la MSVCRT.DLL version x.x y la SA.DLL version y.y. Para hacer esto, mi instalador del producto copia Wilkinsonpc.exe, MSVCRT.DLL version x.x y SA.DLL version y.y en la carpeta .Wilkinsonpc. Ademas debo notificar a Windows 2000, que Wilkinsonpc.exe debe utilizar esas DLLs privadas y unicamente esas (esto no es posible con Windows 95/98 ó ME). Cuando Wilkinsonpc.exe se ejecuta en Windows 2000 ó XP, este va a mirar en la carpeta .Wilkinsonpc para localizar las DLLs de version específica antes de mirar en las carpetas del sistema y en el path.
Los Service Packs futuros que actualizen al MSVCRT.DLL no harán fallar a la aplicacion debido a que Wilkinsonpc.exe no utiliza la version compartida de MSVCRT.DLL. Otras aplicaciones que instalen diferentes versiones de SA.DLL tampoco afectarán a Wilkinsonpc.exe debido a que este, tiene su versión privada de SA.DLL.
Las DLLs privadas, se las denomina tambien DLLs unicas, debido a que utiliza una copia privada de esa DLL en lugar de la generica. Si ejecuitamos por ejemplos WordPad y Wilkinsonpc concurrentemente, dos copias de la MSVCRT.DLL serán cargadas en memoria.
Por tanto, como autores de la aplicación, podriamos registrar cada DLL o componente de la aplicacion en el directorio de la aplicacion en donde queremos que resida la copia privada.
Existe un segundo metodo que puede ser utilizado en aplicaciones ya existentes. Supongamos que c:WilkinsonpcWilkinsonpc.exe es una aplicación existente y que la queremos proteger de futuras actualizaciones de DLLs o incluso de actualizaciones debidas a los Service Packs. Simplemente copiamos las DLLs que queremos que sean privadas a Wilkinsonpc.exe a la carpeta .Wilkinsonpc y creamos un archivo vacio en ese directorio llamado Wilkinsonpc.exe.local. De esta manerá el sistema sabe que cuando Wilkinsonpc.exe quiera cargar una DLL, debe buscarla siempre primero en donde esté ese archivo .local y buscará por tanto las DLLs y servidores COM en dicho directorio antes que en el path especifico de Windows.
Ambas soluciones, la version específica (en nuevas aplicaciones) y .local (en viejas aplicaciones) tienen las siguientes caracteristicas:
Los archivos DLL que están en el directorio de la aplicación son cargados en lugar de los archivos DLL del sistema, aún cuando la función "LoadLibrary" de la aplicación tenga el camino 'hard-coded'. No es posible redirigir la 20 KnownDLLs (conocidas DLLs), que están referenciadas en HKEY_LOCAL_MACHINESYSTEMCurrentoControlSetControlSessionManagerKnownDLLs. Estas no pueden rodar independientemente ya que necesitan mantener estados de procesos cruzados. Por ejemplo: kernel32, user32 y ole32 no pueden ser redirigidas debido a que tienen estados (objetos del kernel, manejadores de ventanas) que necesitan existir a lo largo de todos los procesos. En futuras versiones del sistema operativo estas limitaciones quedarán mas restringidas.
¿ Como Agregar / Instalar o Quitar / Desregistrar archivos .dll ó .ocx ?
Para agregar ciertos archivos .ocx y/o .dll, abra una ventana de comandos
En Windows 98/ME: Vaya a Inicio > Ejecutar escriba esto "command.com" (sin las comillas)
En Windows NT/2000/XP: Vaya a Inicio > Ejecutar escriba esto "cmd" (sin las comillas)
Navegue a traves de los directorios hasta llegar a la carpeta que contiene el archivo DLL que desee instalar/registrar o desinstalar/desregistrar.
El siguiente es el comando que necesitaras ejecutar para instalar/registrar:
regsvr32 [nombre.dll] ó [nombre.ocx]
Ejemplo: regsvr32 msvcp60.dll
Para desinstalar/desregistrar un archivo DLL u OCX:
regsvr32 /u [nombre.dll] ó [nombre.ocx]
Ejemplo: regsvr32 /u msvcp60.dll
Para crear un archivo bat, sólo tenemos que abrir el bloq de notas y adentro escribir el comando que querramos que se realice! (abajo se encuentra una serie de comandos del ms) Luego vamos a Guardar Como y donde dice nombre lo guardan con la extencion .bat(*.bat). Ahora solo queda ejectarlo y listo!
Esto puede resultar muy útil, para automatizar tareas (siempre y cuando sepan usar los comandos del ms) y también para hacer bromas! o incluso virus! Digo virus porque con los comandos se puede hacer de todo! hasta formatear! Por eso, si ven algun .bat, les recomendaria no abrirlo o hacele click derecho - editar , asi de ese modo no se les ejecuta y ven el contenido que presenta!
ACA se encuentra una página con comando del ms que les puede ayudar: http://www.ayuda-internet.net/tutoriales/manu-msdos/manu-msdos.html
Ahora sólo les queda probar hasta q les salga hacerlo! y divertirse o renegarte de un rato!
Otro dato importante, a la hora de crear bat, es cuando tenemos que buscar el directorio, ya que se debe escribir en un cierto código. Ese código consiste en que cada eslabon del directorio sólo debe contener 8 caracteres, entonces aquellos directorios con mas de 8 caracteres, solo se deben escribir los primeros 6, seguidos por "~1" (sin comillas), hasta llegar a la unicacion del archivo, imagen ,etc.
Por ejemplo, tengo una imágen llamada hola.jpg ubicada en C ocuments and SettingsAdministradorMis documentos entonces abrimos el bloq y escribimos :
Start C ocume~1Admini~1MisDoc~1hola.jpg
(el comando START sirve para iniciar aplicaciones, programas, etc.)
Ni se les ocurra usar el comando FORMAT en su maquina por que se le vas a borrar todo!!
comandos cmd:
El símbolo del sistema (en inglés Command prompt) es el intérprete de comandos en OS/2 y sistemas basados en Windows NT (incluyendo Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows 7). Es el equivalente de command.com en MS-DOS y sistemas de la familia Windows 9x.
A diferencia de su antecesor (command.com), este programa es tan sólo una aplicación, no es
una parte del sistema operativo y no posee la función de cargar la configuración al arrancar el sistema.
Muchas funciones que se realizan desde la interfaz gráfica de algún sistema operativo son enviadas al cmd que es el encargado de ejecutarlas. Esto no es del todo cierto en Windows debido a que hay muchas más opciones realizables que no son enviadas al cmd y se ejecutan mediante scripts.
Comandos del símbolo del sistema: Interno:
• CD ermite cambiar de un directorio activo a otro. • DATE :Muestra o establece la fecha del sistema. • DEL ermite eliminar archivos. • DEFRAG: Permite desfragmentar un disco duro. • DIR ermite ver todos los archivos y directorios de la ruta en la que nos encontramos. • FC :Compara dos archivos y verifica que las copias son exactas. • FIND :Busca una cadena de texto en uno o más archivos. • FINDSTR :Busca cadenas de texto en archivos. • FOR :Ejecuta un comando para cada archivo en un conjunto de archivos. • FORMAT a formato a un disco para usarse con Windows. • FTYPE :Muestra o modifica los tipos de archivo utilizados en una asociación de archivos. • GOTO irecciona el intérprete de comandos de Windows a una línea en un programa por lotes. • GRAFTABL ermite a Windows mostrar un conjunto de caracteres extendidos en modo gráfico. • HELP roporciona información de ayuda para los comandos de Windows. • IF :Ejecuta procesos condicionales en programas por lotes. • LABEL :Crea, cambia o elimina la etiqueta del volumen de un disco. • MD y MKDIR :Crea un directorio. • MODE :Configura un dispositivo de sistema. • MORE :Muestra la información pantalla por pantalla. • MOVE :Mueve uno o más archivos de un directorio a otro en la misma unidad. • PATH :Muestra o establece una ruta de búsqueda para archivos ejecutables. • PAUSE :Suspende el proceso de un archivo por lotes y muestra un mensaje. • POPD :Restaura el valor anterior del directorio actual guardado por PUSHD. • PRINT :Imprime un archivo de texto. • PROMPT :Cambia el símbolo de comando de Windows. • PUSHD :Guarda el directorio actual y después lo cambia. • RD :Elimina un directorio. • RECOVER :Recupera la información legible de un disco dañado o defectuoso. • REGEDIT :Abre el editor de Registro. • REM :Graba comentarios en archivos por lotes o CONFIG.SYS. • REN y RENAME :Cambia el nombre de uno o más archivos. • REPLACE :Reemplaza archivos.
• RMDIR :Elimina un directorio. • SET :Muestra, establece o elimina variables de entorno de Windows. • SETLOCAL :Inicia la localización de cambios del entorno en un archivo por lotes. • SHIFT :Cambia posición de modificadores reemplazables en archivos por lotes. • SORT :Ordena las entradas. • START :Inicia otra ventana para ejecutar un programa o comando. • SUBST :Asocia una ruta de acceso con una letra de unidad. • SYS :Crea un disco de sistema. • TIME :Muestra o establece la hora del sistema. • TITLE :Establece el título de la ventana de una sesión de cmd.exe. • TREE :Muestra gráficamente la estructura de directorios de una unidad o ruta de acceso. • TYPE :Muestra el contenido de un archivo de texto. • VER :Muestra la versión de Windows. • VERIFY :Comunica a Windows si debe comprobar que los archivos se escriben de forma correcta en un disco. • VOL :Muestra la etiqueta del volumen y el número de serie del disco. • XCOPY :Copia archivos y árboles de directorios. Externos:A esta categoría pertenecen aquellas órdenes adicionales que pertenecen a aplicaciones externas y no están incluidas en el núcleo del subsistema; como CHKDSK (comprobar disco). Si se instala en el sistema operativo una aplicación que permita órdenes por línea de comandos, entra a esta categoría. cambiar el archivo .txt de un bolg de notas por un cmd
nos estamos viendo manu
Hola hoy les traigo, como crear una carpeta invisible.Si tiene algo intimo que no qieren que nadie mas lo vea, sigan los siguientes pasos.
1) Click derecho, y presionamos nueva carpeta.2)Click derecho, y ponemos en cambiar nombre, mantenemos presionado alt y escribimos 0160 con el teclado numerico.3)Click derecho en la carpeta y pulsamos propiedades, vamos a personalizar y pulsamos Cambiar icono, ponemos un icono en blanco y ponemos en aceptar, luego ponemos aplicar y despues aceptar.
Y ahora ya tienen su carpeta invisible para cosas intimas.
Eliminar virus desde CMD [100 % efectivo pasa y pruebalo tu mismo]
Hola amigos en este pequeño tutorial les voy a enseñar a quitar virus a tu computadora desde el CMD o MS-DOS (CMD), es bastante efectivo y bastante rapido, bueno lo rapido depende de cuantos files teienes, Vamos a Inicio -> Ejecutar -> CMD (escriben CMD), bueno unos ves ahi en
CMD teclearemos unos comandos: Seleccionan la unidad USB o su HDD, Escriben :C , , :E, depende de la leyenda de su USB o Disco Duro bueno ponen la leyenda, despúes, ya una ves
selccionado la leyenda ponen ATTRIB en minsculas o mayusculas da =, despúes van ver lo files deben de ver si algun file a la izquierda dice SHR, ASI
Ahoraque ya saben el nombre del archivo infectado pues lo borran no les va a parecer en la papelera y si les aparece pues vacian suerte a todos, no cuesta nada comentar ni poner flecha
verde .
:
0
Enviar
1
Anuncios Google
Suite de Seguridad www.hardkeymio.com - Protección de Información Sensible, Cifrado de datos y Adm.de Passwords
Dar puntos 1 2
3
4
5
6
7
8
9
+10 12 Puntos
Votos: 4 - T! score: 3 / 10
Seguir A favoritos
1
Seguidores
16.008
Visitas
El comando DELETE ( puede teclear indistintamente DEL o ERASE), borra uno o mas archivos de un disco
EL comando DELETE tiene dos parámetros:
DELETE <NOMBRE_ARCHIVO> /P
/P : Pide confirmación antes de borrar
@El_Gremlin Hace 1 año
Mira Lo Que Me Aparece A Mi...
.-EJECUTAS EL CMD
2.-TE POSICIONAS EN EL DISPOSITIVO, ES DECIR, SI TU MEMORIA ES LA UNIDAD G, ESCRIBES G:, O SI QUIERES BUSCAR EN LA COMPUTADORA HAZLO CON LA INSTRUCCION DIR/AH
3.-PARA VER LOS ATRIBUTOS DE LOS ARCHIVOS, POR LO GENERAL LOS VIRUS TIENEN ATRIBUTOS A H R, POR ESOS SE PONE: ATTRIB -A -H -R PARA ELIMINAR ESOS ATRIBUTOS Y PODERLO ELIMINAR
4.-POR ULTIMO SOLO ELIMINAS EL ARCHIVO CON LA INSTRUCCION CORRESPONDIENTE CON EL NOMBRE DEL ARCHIVO A ELIMINAR
ESPERO Y TE HAYA RESPONDIDO BIEN, O SI DESEAS VER EL VIDEO DE NUEVO HAZLO, YA SI DE PLANO NO PUEDES EL VIDEO ESTA MAL FAVOR DE INFORMARMELO PARA BUSCAR O HACER UNO YO MISMO
Dependiendo del windows que tengas, hay varias alternativas para hacerlo.
Mientras informas que versión de windows intenta lo siguiente:1º Pulsa F3 y se abrirá la ventana de búsqueda2º Escribes el nombre del virus en este caso "mexicana.exe"3º Haz click en el botón examinar se abrirá una ventana4º En esa ventana, selecciona Disco C5º Haz click en el botón "buscar ahora"6º Dejas que realice la búsqueda, una vez que finaliza la búsqueda, te fijas en la parte inferior, donde aparece el detalle de lo encontrado, y tomas nota de la carpeta en que está alojado el programa, en este caso el virus en cuestión.7º Abres Mi PC8º ingresas al disco C, y a la carpeta donde este alojado el virus9º Posicionas el mouse sobre el nombre, y haz click con el botón derecho, se abrirá una ventana10º Selecciona "Eliminar"11º Asunto terminado, reinicia la PC
Si por cualquier razón no lo pudieras eliminar por este camino, ademas de proporcionar el dato arriba solicitado, transcribe textualmente el mensaje que ponga en pantalla y en que paso lo muestra, para indicarte la solución.Hay varias causas por las que no podrias llegar a borrarlo que seria muy largo de explicar por la cantidad de alternativas que se presentan.Conociendo la version de windows se puede ser mas especifico en la forma de hacerlo.
Saludos y FELIZ AÑO NUEVO !!!!
p/dLamento que algun desubicado o algun ignorante haya dado un voto negativo a mi respuesta y ni siquiera se tomo el trabajo de responder.
Fuente(s):Tecnico de PC desde 1978, conocedor de DOS y de todas las versiones de windows existentes.
¿Como saber si tengo uno de esos virus como troyanos o de esos que te roban las contraseñas?bueno es que en mi compu descargaron una película en ARES -.- quiero sabes si, por ejemplo tengo un virus de esos como troyanos o de esos que te roban las contraseñas ¿como que síntomas tiene o como se que tiene esos virus y aparte así me pueden hackear mi cuenta de facebook o cosas asi?
hace 9 horas Reportar abusos
The HBO fan
Mejor respuesta - elegida por quien preguntóSi no tienes un buen antivirus actualizado a la fecha es imposible saberlo y aunque tengas el mejor no es 100% segura su protección ya que no hay antivirus perfecto pero los hay muy buenos, te coloco una lista de los mejores que he usado en los últimos 12 años:
1. Avast free antivirus, bueno con los virus pero no detecta casi ningún spyware.2. ESET 6, de pago pero con excelente protección, superior a Avast.3. Emsisoft o Malwarebytes, son antimalware y a la vez antivirus, sin embargo te detectan mucho más que un antivirus encontrando trazas de registro maliciosas "invisibles" para la mayoría de los antivirus.4. Super antispyware, muy bueno y detecta no solo espías sino keyloggers, virus y algunos troyanos.Y, por supuesto, NO usar Ares, este programa en sí es un malware que te crea varias trazas de registro que les permite a los virus dañar tu sistema de mil maneras y no te das cuenta hasta que tu computadora se pone insoportablemente lenta y empiezan las fallas por el basurero que te baja al disco, usa Emsisoft para eliminar ese foco infeccioso de tu equipo y baja tus películas de Bittorrent es más seguro y es un programa más leal con las cosas que baja, Ares se conecta a las redes P2P de intercambio de archivos a nivel mundial por donde se propagan el 90% de los virus que infectan las computadoras conectadas a Internet ya que son las redes preferidas por usuarios malintencionados para distribuir sus virus y penetrar en sistemas ajenos poco protegidos, entiéndase los hackers, por lo tanto no uses esa basura, hay cosas mejores como el que te dije antes y el Songr que no se conecta al P2P, al contrario, descarga la música desde servidores alternos y la utilidad de descarga que trae AtubeCatcher son más seguros.
hace 9 horas Reportar abusos
Calificación de la persona que pregunta:
Comentario de la persona que pregunta:
si tienes razón, muchas gracias.
Barra de Acción: 1 estrellas - selecciónala por ser: ¡Interesante!
1.
Correo
Comentario (0)
Guardar
o
o
o
Otras respuestas (3)Ver:
Єηι★ g мα★
Hola!!
►SPYBOT ( http://spybot-search-destroy.softonic.co… )SpyBot Search & Destroy es una herramienta más para la lucha en defensa de nuestra propia privacidad contra todo tipo de spyware, creado por gente sin escrúpulos y que, en el mejor de los casos, "sólo" te perjudican quitándote ancho de banda, ensuciando tu disco duro, o dejándote sin conexión a Internet si los desinstalas incorrectamente. Casi nada.
►SUPERANTISPYWARE ( http://superantispyware.softonic.com/ )Analiza tu PC y elimina elementos de spyware, adware, troyanos y demás”
►MALWAREBYTES ANTI-MALWARE ( http://malwarebytes-anti-malware.softoni… )Malwarebytes Anti-Malware escanea los discos y dispositivos de tu ordenador en busca de todo tipo de malware, y lo elimina. El rápido y el completo, para un análisis en profundidad.
Todos Gratuitos en español y reconocido mundialemente...
Puedes instalar los tres sin problemas ......para analizar de vez en cuando,pero si quieres instalar solo algunos este son mis preferidos....
1º ►MALWAREBYTES ANTI-MALWARE 2º►SPYBOT3º►SUPERANTISPYWARE
Fue un placer ayudarte,te dejo saludos y SUERTE!!!======================================…
o hace 2 horas
Alerta de virus acerca del gusano Win32/ConfickerId. de artículo: 962007 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo
En esta página
ResumenLa información de este artículo de Knowledge Base está dirigida a entornos empresariales con administradores de sistemas que pueden implementar los detalles de este artículo. No hay ningún motivo para usar este artículo si el programa antivirus está limpiando correctamente el virus y sus sistemas están totalmente actualizados. Para confirmar que el sistema está limpio del virus Conficker, realice un análisis rápido en la siguiente página web:
http://onecare.live.com/site/es-es/default.htm
Para obtener información detallada acerca del virus Conficker, visite la siguiente página web de Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker
Volver al principio | Propocionar comentarios
Síntomas de la infecciónSi su equipo está infectado con este gusano, es posible que no experimente síntoma alguno o bien, puede presentarse cualquiera de los siguientes:
Se han desactivado las directivas de bloqueo de cuenta. Se han deshabilitado las actualizaciones automáticas, los servicios de informe de
errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender.
Los controladores de dominio responden con lentitud a las solicitudes del cliente.
La red está saturada.
No se puede obtener acceso a diversos sitios Web relacionados con la seguridad.
No se ejecutarán algunas herramientas relacionadas con la seguridad. Para obtener una lista de herramientas conocidas, visite la siguiente página web de Microsoft y, a continuación, haga clic en la ficha Analysis para obtener información sobre
Win32/Conficker.D. Para obtener más información, visite la siguiente página web de Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Para obtener más información acerca del gusano Win32/Conficker, visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft): http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
Volver al principio | Propocionar comentarios
Métodos de propagaciónWin32/Conficker presenta varios métodos de propagación. Entre los que se incluyen:
La explotación de la vulnerabilidad revisada por la actualización de seguridad 958644 (MS08-067)
El uso de recursos compartidos de red
El uso de la función Reproducción automática
Por lo tanto, debe tener cuidado al limpiar una red para que la amenaza no vuelva a introducirse en los sistemas que ya se han desinfectado.
Nota La variante Win32/Conficker.D no se propaga a unidades extraíbles ni a carpetas compartidas en una red. Win32/Conficker.D se instala por variantes anteriores de Win32/Conficker.
Volver al principio | Propocionar comentarios
Prevención Utilice contraseñas seguras del administrador que sean únicas para todos los equipos. No inicie sesión en equipos utilizando credenciales de administrador de dominio ni
credenciales que tengan acceso a todos los equipos.
Asegúrese de que se ha aplicado a todos los sistemas las últimas actualizaciones de seguridad.
Deshabilite las funciones de Reproducción automática. Para obtener más información, consulte el paso 3 de la sección "Crear un objeto de directivas de grupo".
Quite derechos excesivos a recursos compartidos. Esto incluye quitar permisos de escritura al directorio raíz de cualquier recurso compartido.
Volver al principio | Propocionar comentarios
Pasos de mitigación
Detener la propagación de Win32/Conficker mediante la configuración de directivas de grupoNotas
Importante Asegúrese de que documenta la configuración actual antes de realizar los cambios sugeridos en este artículo.
Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, sólo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. También puede seguir los pasos que se indican en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo de Knowledge Base para quitar el malware del sistema de forma manual.
Es posible que no pueda instalar correctamente aplicaciones, Service Packs o cualquier otra actualización mientras los cambios de permisos recomendados en los pasos siguientes estén activados. Esto incluye, pero no está limitado, a la aplicación de actualizaciones usando Windows Update, el servidor Microsoft Windows Server Update Services (WSUS) y el System Center Configuration Manager (SCCM), ya que estos productos dependen de los componentes de Actualizaciones automáticas. Asegúrese de que cambia los permisos a su configuración predeterminada después de limpiar el sistema.
Para obtener información sobre los permisos predeterminados para la clave del Registro SVCHOST y la carpeta Tareas que se mencionan en la sección "Crear un objeto de directivas de grupo", consulte Tabla de permisos predeterminada al final de este artículo.
Crear un objeto de directivas de grupoCree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, según sea necesario en su entorno.
Para ello, siga estos pasos:
1. Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs.
Para ello, siga estos pasos:
a. Abra la Consola de administración de directivas de grupo (GPMC). b. Cree un nuevo GPO. Asígnele el nombre que desee.
c. Abra el nuevo GPO y, a continuación, desplácese a la carpeta siguiente:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro
d. Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.
e. En el cuadro de diálogo Seleccionar clave de registro, amplíe el Equipo y desplácese hasta la siguiente carpeta:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
f. Haga clic en Aceptar. g. En el cuadro de diálogo que aparece, haga clic en la casilla de verificación
Control total para desactivarla tanto para los Administradores como para el Sistema.
h. Haga clic en Aceptar.
i. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
j. Haga clic en Aceptar.
Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el malware de Conficker cree tareas programadas que puedan volver a infectar el sistema.
Para ello, siga estos pasos:
a. En el mismo GPO que ha creado anteriormente, desplácese hasta la siguiente carpeta:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Sistema de archivos
b. Haga clic con el botón secundario en Sistema de archivos y, a continuación, en Agregar archivo.
c. En el cuadro de diálogo Agregar un archivo o carpeta, desplácese hasta la carpeta %windir%\Tareas. Asegúrese de que Tareas está resaltada y que aparece en el cuadro de diálogo Carpeta.
d. Haga clic en Aceptar.
e. En el cuadro de diálogo que se abre, desactive las casillas Control total, Modificar y Escribir tanto para Administradores como para Sistema.
f. Haga clic en Aceptar.
g. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
h. Haga clic en Aceptar.
Deshabilite las funciones de Reproducción automática (Ejecución automática). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproducción automáticas de Windows.
Nota Para poder deshabilitar correctamente la funcionalidad de la ejecución automática, debe tener instaladas las actualizaciones pertinentes para ello, que variarán en función de la versión de Windows que disponga.
o Para deshabilitar la funcionalidad en cuestión en Windows Vista o en Windows Server 2008, debe tener instalada la actualización de seguridad 950582 (descrita en el boletín de seguridad MS08-038).
o Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualización de seguridad 950582, o las actualizaciones 967715 o 953252.
Para deshabilitar las funciones de Reproducción automática (Ejecución automática), siga estos pasos:
a. En el mismo GPO que ha creado anteriormente, desplácese a las siguientes carpetas:
Para un dominio de Windows Server 2003 domain, desplácese a la siguiente carpeta:
Configuración del equipo\Plantillas administrativas\Sistma
Para un dominio de Windows 2008, desplácese a la siguiente carpeta:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Políticas de reproducción automática
b. Abra la directiva Desactivar reproducción automática. c. En el cuadro de diálogo Desactivar reproducción automática, haga clic en
Habilitada.
d. Haga clic en Todas las unidades en el menú desplegable.
e. Haga clic en Aceptar.
Cierre la Consola de administración de directivas de grupo.
Vincule el GPO creado recientemente con la ubicación en la que desee que se aplique.
Deje pasar el tiempo suficiente para que la configuración de directivas de grupo se actualice en todos los equipos. Por norma general, el proceso de replicación de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas será suficiente. Sin embargo, es posible que se necesite más tiempo en función del entorno.
Después de que se haya propagado la configuración de directivas de grupo, limpie el malware del sistema.
Para ello, siga estos pasos:
a. Ejecute análisis de antivirus completos en todo el equipo.
b. En caso de que el software antivirus no detecte Conficker, puede usar la Herramienta de eliminación de software malintencionado (MSRT) para eliminar dicho malware. Para obtener más información al respecto, visite la siguiente página web de Microsoft:
http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx
Note Es posible que tenga que seguir algunos pasos manuales para que desaparezcan por completo los efectos del malware. Le recomendamos que revise los pasos mencionados en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo para que desaparezcan por completo los efectos del malware.
Volver al principio | Propocionar comentarios
Recuperación
Ejecute la herramienta Malicious Software Removal (MSRT).Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) ha actualizado esta herramienta. Se trata de un binario independiente que puede resultar de utilidad para la eliminación de software malintencionado extendido, además de ayudar a eliminar la familia de malware Win32/Conficker.
Nota La herramienta MSRT no evita que se vuelva a infectar porque no es un programa antivirus en tiempo real.
Puede descargar la herramienta MSRT de los siguientes sitios Web de Microsoft:
http://www.update.microsoft.comhttp://support.microsoft.com/kb/890830
Para obtener información detallada sobre implementaciones específicas para MSRT, haga clic en el número de artículo siguiente para consultarlo en Microsoft Knowledge Base:
891716 Implantación de la Herramienta de eliminación de software malintencionado de Microsoft Windows en un entorno empresarial
Nota La herramienta Stand-Alone System Sweeper (Sistema independiente de limpieza) también eliminará esta infección. Esta herramienta está disponible como componente de Microsoft Desktop Optimization Pack 6.0 o a través de los Servicios de soporte técnico y de asistencia al cliente. Para obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft siguiente:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
Si Windows Live OneCare o Microsoft Forefront Client Security se están ejecutando en el sistema, estos programas bloquearán también la amenaza antes de que se instale.
Pasos para eliminar el virus Win32/Conficker de forma manualNotas
Estos pasos manuales ya no se requieren y sólo deberían utilizarse si no dispone de ningún software antivirus para quitar el virus Conficker.
Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta sección.
Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema:
1. Inicie sesión en el sistema con una cuenta local.
Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. Especialmente, no inicie sesión con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesión y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague.
2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método.
Nota El servicio del servidor sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta aún más evidente en los servidores de producción, ya que este paso afectará a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor.
Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos:
a. En función del sistema que utilice, realice lo siguiente:
En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.
En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.
b. Haga doble clic en Servidor.
c. Haga clic en Detener.
d. Seleccione Deshabilitado en el cuadro Tipo de inicio.
e. Haga clic en Aplicar.
Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema.
Detenga el servicio Programador de tareas.
o Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe.
o Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.
Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003
.a Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y haga clic en regedit.exe en la lista Programas.
.b Busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
.c En el panel de detalles, haga clic con el botón secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuación, haga clic en Modificar.
.d En el cuadro Información del valor, escriba 4 y haga clic en Aceptar.
.e Cierre el Editor del Registro y reinicie el equipo.
Nota El servicio Programador de tareas sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto se aplica especialmente a Windows Vista y Windows Server 2008, porque este paso afectará a diversas Tareas programadas integradas. En cuanto se haya limpiado el entorno, vuelva a habilitar el servicio del servidor.
Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx
Nota Es posible que este sitio esté bloqueado debido a una infección de malware. En ese caso, debe descargar la actualización desde un equipo que no esté infectado y
transferir a continuación el archivo de actualización al sistema infectado. Se recomienda que grabe la actualización en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la única forma de copiar la actualización en el sistema infectado sea mediante una unidad de memoria USB extraíble. Si utiliza una unidad extraíble, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualización en una unidad extraíble, asegúrese de establecer la unidad en modo de sólo lectura, siempre que esta opción esté disponible para el dispositivo. Si este modo está disponible, normalmente se habilita mediante un modificador físico que se encuentra en el dispositivo. A continuación, una vez copiado el archivo de actualización en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extraíble. Si es así, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extraíble esté conectada al equipo.
Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/es-es/library/cc875814.aspx
En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar. Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio aleatorio.
Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y se encontraba en la parte inferior de la lista. Con las variantes más recientes, el nombre de servicio puede estar en cualquier lugar de la lista y puede parecer legítimo. Si el nombre de servicio aleatorio no está en la parte inferior, compare su sistema con la "Tabla Servicios" de este procedimiento para determinar el nombre de servicio que ha agregado Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios" con un sistema similar que se sabe que no está infectado.
Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso.
Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.
Notas sobre la tabla Servicios
o Todas las entradas de la tabla Servicios son entradas válidas, excepto para los elementos que están resaltados en negrita.
o Los elementos resaltados en negrita son ejemplos de lo que puede agregar el virus Win32/Conficker al valor netsvcs en la clave del Registro SVCHOST.
o Es posible que no sea una lista completa de servicios, dependiendo de lo que esté instalado en el sistema.
o La tabla Servicios procede de una instalación predeterminada de Windows.
o La entrada que agrega el virus Win32/Conficker a la lista es una técnica de confusión. En la entrada malintencionada resaltada la primera letra parece ser una "L" minúscula. Sin embargo, en realidad es una "I" mayúscula. Debido a la fuente utilizada por el sistema operativo, la "I" mayúscula se parece a una "l" minúscula.
Tabla Servicios
Ampliar esta tabla
Windows Server 2008
Windows VistaWindows
Server 2003Windows XP
Windows 2000
AeLookupSvc AeLookupSvc AppMgmt 6to4EventSystem
wercplsupport wercplsupport AudioSrv AppMgmt Ias
Themes Themes Browser AudioSrv Iprip
CertPropSvc CertPropSvc CryptSvc Browser Irmon
SCPolicySvc SCPolicySvc DMServer CryptSvc Netman
lanmanserver lanmanserver EventSystem DMServerNwsapagent
gpsvc gpsvc HidServ DHCP Rasauto
IKEEXT IKEEXT Ias ERSvc Iaslogon
AudioSrv AudioSrv Iprip EventSystem Rasman
FastUserSwitchingCompatibility
FastUserSwitchingCompatibility
IrmonFastUserSwitchingCompatibility
Remoteaccess
Ias IasLanmanServer
HidServ SENS
Irmon Irmon LanmanWork Ias Sharedac
station cess
Nla Nla Messenger Iprip Ntmssvc
Ntmssvc Ntmssvc Netman Irmon wzcsvc
NWCWorkstation NWCWorkstation Nla LanmanServer
Nwsapagent Nwsapagent Ntmssvc LanmanWorkstation
Rasauto RasautoNWCWorkstation
Messenger
Rasman Rasman Nwsapagent Netman
Iaslogon Iaslogon Iaslogon Iaslogon
Remoteaccess Remoteaccess Rasauto Nla
SENS SENS Rasman Ntmssvc
Sharedaccess SharedaccessRemoteaccess
NWCWorkstation
SRService SRService Sacsvr Nwsapagent
Tapisrv Tapisrv Schedule Rasauto
Wmi Wmi Seclogon Rasman
WmdmPmSp WmdmPmSp SENS Remoteaccess
TermService TermService Sharedaccess Schedule
wuauserv wuauserv Themes Seclogon
BITS BITS TrkWks SENS
ShellHWDetection ShellHWDetection TrkSvr Sharedaccess
LogonHours LogonHours W32Time SRService
PCAudit PCAudit WZCSVC Tapisrv
helpsvc helpsvc Wmi Themes
uploadmgr uploadmgr WmdmPmSp TrkWks
iphlpsvc iphlpsvc winmgmt W32Time
seclogon seclogon wuauserv WZCSVC
AppInfo AppInfo BITS Wmi
msiscsi msiscsiShellHWDetection
WmdmPmSp
MMCSS MMCSS uploadmgr winmgmt
browser ProfSvc WmdmPmSN TermService
winmgmt EapHost xmlprov wuauserv
SessionEnv winmgmt AeLookupSvc BITS
ProfSvc schedule helpsvc ShellHWDetection
EapHost SessionEnv helpsvc
hkmsvc browser xmlprov
schedule hkmsvc wscsvc
AppMgmt AppMgmt WmdmPmSN
sacsvr hkmsvc
En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga estos pasos:
a. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
b. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos.
c. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas.
d. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar las siguientes casillas de verificación:
Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..
Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.
Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:
a. Haga doble clic en la entrada "ServiceDll".
b. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente:
%SystemRoot%\System32\doieuln.dll
Cambie el nombre de la referencia para que sea similar a:
%SystemRoot%\System32\doieuln.oldc. Haga clic en Aceptar.
Elimine la entrada del servicio de malware de la subclave Run del Registro.
a. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
b. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada.
c. Cierre el Editor del Registro y reinicie el equipo.
Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. A continuación, se muestra un ejemplo de un archivo Autorun.inf válido normal:
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).
Elimine cualquier archivo Autorun.inf que no parezca válido. Reinicie el equipo.
Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos:
a. En el paso 12b, ha anotado la ruta de acceso al archivo .dll de malware al que se hace referencia. Por ejemplo, ha observado una ruta similar a la siguiente:
%systemroot%\System32\doieuln.dll
En el Explorador de Windows, abra el directorio %systemroot%\System32 o el directorio que contiene el malware.
b. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.c. Haga clic en la ficha Ver.
d. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.
e. Haga clic en Aceptar.
Seleccione el archivo .dll.
Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos:
a. Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga clic en Propiedades.
b. Haga clic en la ficha Seguridad.
c. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir.
d. Haga clic en Aceptar.
Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32\doieuln.dll.
Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC).
Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos:
a. En función del sistema que utilice, instale una de las siguientes actualizaciones:
Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 967715. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
967715 Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
950582 MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código
b. Nota La actualización 967715 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b.
b. Escriba el siguiente comando en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f
En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema:
netsh interface tcp set global autotuning=normal
Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones:
No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf.
La actualización de seguridad de MS08-067 no se ha instalado correctamente.
Este malware puede cambiar otros valores de configuración que no se describen en este artículo. Visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) para obtener la información más reciente acerca del gusano Win32/Conficker: http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
Compruebe que el sistema está desinfectado.Compruebe que se han iniciado los siguientes servicios:
Actualizaciones automáticas (wuauserv) Servicio de transferencia inteligente en segundo plano (BITS)
Windows Defender (windefend, si procede)
Servicio de informe de errores de Windows
Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de cada comando:
Sc.exe query wuauservSc.exe query bitsSc.exe query windefendSc.exe query ersvc
Una vez ejecutados todos los comandos, aparecerá un mensaje similar al siguiente: NOMBRE_DE_SERVICIO: wuauservTIPO : 20 WIN32_SHARE_PROCESSESTADO : 4 RUNNING(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)CÓDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0)CÓDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0)PUNTO_DE_CONTROL : 0x0ESPERA : 0x0
En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se está ejecutando.
Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos:
1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
2. En el panel de detalles, haga doble clic en netsvcs y, a continuación, revise los nombres de servicio que aparecen en la lista. Desplácese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker, se mostrará un
nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "Iaslogon".
Si estos pasos no resuelven el problema, póngase en contacto con el proveedor del software antivirus. Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: 49500 Lista de proveedores de software antivirus
Si no hay ningún proveedor de software antivirus disponible o éste no puede ayudarle, póngase en contacto con los Servicios de soporte técnico y de asistencia al cliente de Microsoft.
Una vez que el entorno se haya desinfectado completamenteUna vez que el entorno se haya desinfectado completamente, siga estos pasos:
1. Vuelva a habilitar el servicio del servidor y el servicio Programador de tareas. 2. Restablezca los permisos predeterminados en la clave del Registro SVCHOST y en la
carpeta Tareas. Debería cambiarse a la configuración predeterminada usando la configuración de directivas de grupo. Si sólo se elimina una directiva, es posible que los permisos predeterminados no vuelvan a cambiarse. Para obtener más información, consulte la tabla de permisos predeterminados en la sección "Pasos de mitigación".
3. Actualice el equipo mediante la instalación de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) o un producto de administración de actualizaciones de terceros. Si utiliza SMS o SCCM, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o SCCM no podrá actualizar el sistema.
Volver al principio | Propocionar comentarios
Identificación de sistemas infectadosSi tiene problemas para identificar los sistemas que están infectados con Conficker, puede ayudar la información proporcionada en el siguiente blog de TechNet:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx
Volver al principio | Propocionar comentarios
Tabla de permisos predeterminadaEn la tabla siguiente se muestran los permisos predeterminados para cada sistema operativo. Estos permisos están activos antes de aplicar los cambios que recomendamos en este artículo. Estos permisos pueden diferir de los permisos establecidos en su entorno. Por tanto, debe anotar la configuración antes de realizar cualquier cambio. Debe hacerlo para poder restaurar la configuración una vez limpio el sistema.
Ampliar esta tabla
Sistema operativo
Windows
Server 2008
Windows
Vista
Windows
Server 2003
Windows XP
Windows
2000
Configuración
Registro Svchost
Carpeta Tareas
Registro Svchost
Carpeta Tareas
Registro Svchost
Carpeta Tareas
Registro Svchost
Carpeta Tareas
Registro Svchost
Carpeta Tareas
Cuenta
Administradores (Grupo local)
Control total
Control total
Control total
Control total
Control total
Control total
Control total
Control total
Control total
Control total
SistemaControl total
Control total
Control total
Control total
Control total
Control total
Control total
Control total
Control total
Control total
Usuarios avanzados (Grupo local)
no aplicable
no aplicable
no aplicable
no aplicable
Lectura
no aplicable
Lectura
no aplicable
Lectura
no aplicable
Usuarios (Grupo local)
Especial
no aplicable
Especial
no aplicable
Lectura
no aplicable
Lectura
no aplicable
Lectura
no aplicable
Se aplica a: Esta clave y subclaves
Se aplica a: Esta clave y subclaves
Consultar un valor
Consultar un valor
Enumerar las subclaves
Enumerar las subclaves
Notificar
Notificar
Leer un control
Leer un control
Usuarios autenticados
no aplicable
Especialno aplicable
Especialno aplicable
no aplicable
no aplicable
no aplicable
no aplicable
no aplicable
Se aplica a: Esta carpeta sólo
Se aplica a: Esta carpeta sólo
Recorrer carpeta
Recorrer carpeta
Mostrar carpeta
Mostrar carpeta
Leer atributos
Leer atributos
Leer atributos extendidos
Leer atributos extendidos
Crear archivos
Crear archivos
Leer permisos
Leer permisos
Operadores de copia de seguridad (Grupo local)
no aplicable
no aplicable
no aplicable
no aplicable
no aplicable
Especialno aplicable
Especial
Se aplica a: Esta carpeta
Se aplica a: Esta carpeta
sólo sólo
Recorrer carpeta
Recorrer carpeta
Mostrar carpeta
Mostrar carpeta
Leer atributos
Leer atributos
Leer atributos extendidos
Leer atributos extendidos
Crear archivos
Crear archivos
Leer permisos
Leer permisos
Todosno aplicable
no aplicable
no aplicable
no aplicable
no aplicable
no aplicable
no aplicable
no aplicable
no aplicable
Especial
Se aplica a: Esta carpeta, subcarpetas y archivos
Recorrer carpeta
Mostrar carpeta
Leer atributos
Leer atributos
extendidos
Crear archivos
Crear carpetas
Escribir atributos
Escribir atributos extendidos
Leer permisos
Volver al principio | Propocionar comentarios
PropiedadesId. de artículo: 962007 - Última revisión: lunes, 07 de septiembre de 2009 - Versión: 7.1
La información de este artículo se refiere a:
Windows Server 2008 Datacenter without Hyper-V Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Service Pack 1 para Windows Vista sobre las siguientes plataformas
o Windows Vista Business
o Windows Vista Enterprise
o Windows Vista Home Basic
o Windows Vista Home Premium
o Windows Vista Starter
o Windows Vista Ultimate
o Windows Vista Enterprise 64-bit edition
o Windows Vista Home Basic 64-bit edition
o Windows Vista Home Premium 64-bit edition
o Windows Vista Ultimate 64-bit edition
o Windows Vista Business 64-bit edition
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Windows Vista Enterprise 64-bit edition
Windows Vista Home Basic 64-bit edition
Windows Vista Home Premium 64-bit edition
Windows Vista Ultimate 64-bit edition
Windows Vista Business 64-bit edition
Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
o Microsoft Windows Server 2003, Standard Edition (32-bit x86)
o Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
o Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
o Microsoft Windows Server 2003, Web Edition
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes plataformas
o Microsoft Windows Server 2003, Standard Edition (32-bit x86)
o Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
o Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
o Microsoft Windows Server 2003, Web Edition
o Microsoft Windows Server 2003, Datacenter x64 Edition
o Microsoft Windows Server 2003, Enterprise x64 Edition
o Microsoft Windows Server 2003, Standard x64 Edition
o Microsoft Windows XP Professional x64 Edition
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows XP Service Pack 2 sobre las siguientes plataformas
o Microsoft Windows XP Home Edition
o Microsoft Windows XP Professional
Service Pack 3 para Microsoft Windows XP sobre las siguientes plataformas
o Microsoft Windows XP Home Edition
o Microsoft Windows XP Professional
Service Pack 4 de Microsoft Windows 2000 sobre las siguientes plataformas
o Microsoft Windows 2000 Advanced Server
o Microsoft Windows 2000 Datacenter Server
o Microsoft Windows 2000 Professional Edition
o Microsoft Windows 2000 Server
Palabras clave:
kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
Qué es el virus ConfickerConficker (conocido también con el nombre de Downup, Downandup y Kido) es un gusano informático que apareció en octubre del 2008. Hasta la fecha habría infectado millones de PCs, especialmente en las empresas, pero también en hospitales, la Marina Francesa, la Royal Navy británica y la armada alemana. Esta amenaza ha sido tomada en serio e incluso Microsoft ha ofrecido una recompensa de 250 000 dólares a quien dé información que permita arrestar al autor de este gusano.
Conficker, una vez instalado en el PC, desactiva las actualizaciones de Windows y de algunos programas de seguridad, impidiendo la conexión a los sitios Web de Microsoft o creadores de antivirus. Luego se conecta a un servidor, permitiendo que un hacker tome el control del equipo y recabe información personal, instale otros programas maliciosos o realice actos ilícitos (enviar emails con spam, atacar un sitio Web para ponerlo fuera de servicio, etc.)
Para saber si tu PC está infectada con este gusano haz clic en este enlace.
Cómo evitar infectarse con ConfickerPara propagarse, esta infección explota una falla de Windows. Un parche corrigiendo esta vulnerabilidad fue publicado el 15 de octubre por Microsoft, pero como casi siempre, muchos usuarios no lo han instalado. Si desactivaste las actualizaciones automáticas y aun no has instalado este parche, puedes descargarlo del siguiente enlace: Página de Microsoft
Conficker también puede propagarse a través de dispositivos móviles (memorias USB, discos duros externos, etc.) y dentro de una red abierta o protegida por contraseñas no muy seguras. Utiliza USBFix para vacunar tus dispositivos móviles, y protege tu red utilizando contraseñas seguras.
Desinfectar un PC infectado por Conficker
Pasos previosHay que tomar ciertas precauciones para evitar que el virus se propague, y para impedir volver a infectar el PC cada vez que se intente desinfectar.
Desconecta temporalmente tu PC de la red. Detén temporalmente el servicio Servidor:
o Menú Inicio > Ejecutar (o barra de búsqueda en Windows Vista) > escribe services.msc y presiona Enter. Haz clic derecho sobre el servicio "Servidor", selecciona "Propiedades". En la ventana que aparece, haz clic en "Detener", En Tipo de inicio pon "Deshabilitado", luego dale clic a "Aceptar".
Desinfecta y vacuna todos los discos móviles (memoria USB, discos duros externos, reproductores mp3, etc.). Ver este articulo
Descarga el parche de Microsoft para corregir la vulnerabilidad explotada por Conficker: Página de Microsoft
Probablemente no lo puedas hacer desde tu PC: en ese caso, hazlo desde otro y transfiere el parche a un disco móvil vacunado (ver más abajo).
Eliminar la infecciónUna vez tomadas todas las precauciones, puedes comenzar con la desinfección. Probablemente no tengas acceso a ningún sitio Web de creadores de antivirus, ni al sitio de Microsoft...Por lo tanto deberás bajar los programas de desinfección desde un PC que no esté infectado, y pasarlos al PC infectado utilizando un dispositivo USB vacunado.
Primero intenta analizar el PC con tu antivirus, o con MalwareBytes Anti-Malware por ejemplo. Luego puedes postear el informe en el foro Virus y Seguridad para que alguien te pueda ayudar.
Microsoft ofrece también una Herramienta para eliminar programas malintencionado (MSRT) que te puede ayudar a desinfectar el PC (puedes encontrar información para implementarlo en un entorno empresarial en el sitio Web de Microsoft.
Luego puedes intentar con herramientas de desinfección especificas creadas por ciertos desarrolladores de antivirus, por ejemplo: [ Kaspèrsky], BitDefender, Sophos, F-Secure.
Sin embargo Conficker es bastante difícil de eliminar ya que crea archivos que se asocian a procesos legítimos de Windows como Svchost. Por ello, es muy posible que todas las recomendaciones dadas anteriormente no sean suficientes: en ese caso, no dudes en poner un mensaje en el foro Virus y Seguridad
win32/AutoRun.IRCBot.CX gusano, lo que hace, si, es volverlo loco a uno, lo que hace este virus, como lo dice su nombre, es alertar al antivirus, de que el existe, pero no es todo, el antivirus no te elimina el AutoRun, lo que hace es lo contrario te aparecen ventanas del antivirus que no dejaran de aparecer, por que la auto-abre lo que dice su nombre."AutoRun". Lo que te recomiendo, es que vayas a la memoria conectada y busques un archivo llamado autorun.exe eliminalo y eliminalo otra vez de la papelera. y listo. A mi me ha funcionado
Hola, como puedo eliminar un gusano llamado Win32/Conficker el q se aloja en la memoria de mi equiupo como un archivo system32\xqzhsk.dll, el cual vulnero al Nod32... e probado casi todo, HijackThis, Hazard Shield.... ayuda porfavor
¿Qué es una herramienta de desinfección?
Una herramienta de desinfección es un pequeño archivo ejecutable que sirve para limpiar un equipo que ha sido infectado por un virus determinado. Por lo tanto, cada herramienta de desinfección es capaz de eliminar un tipo de virus en particular o una versión particular de un virus.
Las herramientas de desinfección que se describen a continuación no sustituyen a los programas antivirus. Los antivirus cumplen un rol preventivo al interceptar los virus antes de que hayan infectado el equipo. Pero si un equipo se infecta de todas maneras, las utilidades de desinfección que están disponibles para descargar en este sitio le ayudarán a tomar medidas correctivas para eliminar al virus.
¿Cómo se utilizan las utilidades de desinfección?
Para eliminar un virus que encontró en su equipo, suponiendo que conoce el virus que infectó el sistema, el mejor método es, en primer lugar, desconectar el equipo de la red y después aplicar la respectiva herramienta de desinfección.
A continuación, debe reiniciar el equipo en modo a prueba de errores (a no ser que use Windows NT) y abrir la herramienta de desinfección.
Sin embargo, algunos gusanos se esparcen gracias a una falla de seguridad de Microsoft Internet Explorer, es decir que su equipo se puede infectar al visitar un sitio infectado. Para solucionar este problema, se debe descargar el parche para Microsoft Internet Explorer 5.01 o superior. Por lo tanto, verifique la versión de su navegador y descargue el parche de ser necesario:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
Descargar las herramientasHerramienta de desinfección Editor Tamaño Plataforma Descarga
AutoUpder Symantec 159 KB Windows Descarga
BadTrans.A Trend Micro 36 KB DOS Descarga
BadTrans.B Symantec 121 KB Windows Descarga
Blaster/MSBlaster/Lovsan/Poza Sophos 128 KB Windows Descarga
Blaster Symantec 139 KB Windows Descarga
BleBla Trend Micro 36 KB DOS/Windows Descarga
BuddyList Desconocido 208 KB Windows Descarga
CIH Desconocido 50 KB DOS/Windows Descarga
CodeRed Symantec 114 KB Windows Descarga
DLder Kazaa 137 KB Windows Descarga
ExploreZip Symantec 51 KB DOS Descarga
FunLove Symantec 29 KB DOS Descarga
Gibe Symantec 166 KB Windows Descarga
Gigger Trend Micro 48 KB DOS Descarga
Gozar Trend Micro 40 KB DOS Descarga
Goner.A Symantec 405 KB Windows Descarga
Happy99 Norton Antivirus 208 KB Windows Descarga
HapTime.A Symantec 69 KB Windows Descarga
Hybris Trend Micro 24 KB DOS Descarga
I Love you Symantec 24 KB DOS Descarga
I-Worm Symantec 84 KB DOS Descarga
Kak Panda Software 391 KB Windows Descarga
Kak.B Norton 125 KB Windows Descarga
Klez / Elkern Symantec 142 KB Windows Descarga
Kriz Symantec 29 KB DOS Descarga
LifeStages Symantec 216 KB Windows Descarga
LoveLetter Symantec 228 KB Windows Descarga
Magistr.A Trend Micro 19 KB DOS Descarga
Magistr.B Trend Micro 24 KB DOS Descarga
Mtx Symantec 185 KB DOS Descarga
MyLife Symantec 169 KB Windows Descarga
MyParty Trend Micro 88 KB DOS Descarga
Navidad Symantec 205 KB Windows Descarga
Nimda.A Symantec 457 KB Windows Descarga
Nimda.E Symantec 449 KB Windows Descarga
Potok Symantec 70 KB Windows Descarga
Passer Sophos 79 KB Windows Descarga
Sasser F-Securec 91 KB Windows Descarga
Shoho Trend Micro 96 KB DOS Descarga
Sircam Symantec 74 KB Windows Descarga
Sobig.F Symantec 176 KB Windows Descarga
Welch Symantec 176 KB Windows Descarga
Zoher Trend Micro 80 KB Windows Descarga
ESTE VIRUS SE APROVECHA DE UNA VULNERAVILIDAD DEL SISTEMA OPERATIVO POR LO QUE ES ACONSEJABLE ACTUALIZAR TU S.O.
AMIGO, LA MEJOR FORMA DE ELIMINARLO ES LA SIGUIENE:
1.- DEBES TENER ACTUALIZADO TU SISTEMA OPERATIVO CON TODOS LOS PARCHES, EN ESPECIAL ESTE "KB958644". 2.- CORRER A MODO A PRUEBA DE FALLOS EL SIGUIENTE PARCHE DE WINDOWS "kb890830-v2.7". 3.- EN MODO A PRUEBA DE FALLOS CORRER TU ANTIVIRUS, NO IMPORTA CUAL SEA POR QUE TODOS YA ESTAN ACTUALIZADOS PARA ELIMINAR EL VIRUS CONFIKER EN SUS 200 VARIACIONES. 4.- ESTE PASO ES OPCIONAL PERO MUY RECOMENDADO EJECTUAR ESTE SOFTWARE: "stinger10000482", ES UN SOFTWARE GRATIS DE MCAFFE Y LO DESCARGAS DE ESTA PAGINA: http://vil.nai.com/vil/stinger/
Tipos de Vírus Informáticos
Todos los virus tiene en comun una caracteristica, y es que crean efectos perniciosos. A continuación te presentamos la clasificacion de los virus informaticos, basada en el daño que causan y efectos que provocan.
Caballo de Troya:
Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia asi mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna.
Virus de macros:
Un macro es una secuencia de oredenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy utiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciendose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobreescritura:
Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.
Virus de Programa:
Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que se utilizan mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque maestro (Master Boot Record) de los discos duros; también pueden infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automáticamente en la memoria de la computadora y desde ella esperan la ejecución de algún programa o la utilización de algún archivo.
Virus de enlace o directorio:
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimórficos:
Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.
Virus falso o Hoax:
Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuídas a través del correo electrónico y las redes. Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo.
Virus Múltiples:
Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.
Para obtener informacion de antivirus para eleminar los diferentes tipo de virus presentados anteriormente visita software antivirus
INTRODUCCION
Actualmente los virus informáticos se han incrementado notablemente; desde la primera aparición su crecimiento ha sido sorprendente. En la actualidad se crean cinco virus diarios aproximadamente, los virus no solamente copian sus códigos en forma parcial a otros programas sino que además lo hacen en áreas importantes de un sistema (sector de arranque, tabla de partición, entre otros).
Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en memoria y desde allí ataque a un determinado tipo de archivo o áreas del sistema y lo infecte. Con Internet se hace más fácil tener el total control de los virus informáticos, lo que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rápido tratamiento usando las técnicas de prevención, detección y eliminación de virus informáticos, teniéndose que llevar a cabo de forma rápida y eficiente .
Como causa de éste crecimiento innumerable de los virus informáticos, aparece, paradójicamente la solución, mediante las actualizaciones de los antivirus.
HISTORIA DE LOS VIRUS
Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con el advenimiento y auge de Internet. A continuación, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras.
1939-1949 Los Precursores
En 1939, el famoso científico matemático John Louis Von Neumann, de orígen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos", donde demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura.
Cabe mencionar que Von Neuman, en 1944 contribuyó en forma directa con John Mauchly y J.Presper Eckert, asesorándolos en la fabricación de la ENIAC, una de las computadoras de Primera Generación, quienes construyeran además la famosa UNIVAC en 1950.
John Louis von Neumann (1903-1957)
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros.
Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales
A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), ya que por aquella época se desconocía el concepto de los softwares antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América, precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días en desarrollar el programa antivirus correspondiente.
Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados minutos.
1981 La IBM PC
En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC. Un año antes, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar, viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".
Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS.
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs).
La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier programa con extensión EXE o COM.
1983 Keneth Thompson
Este joven ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático.
1984 Fred Cohen
Al año siguiente, el Dr. Fred Cohen al ser galardonado en una graduación, en su discurso de agradecimiento incluyó las pautas para el desarrollo de un virus. Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque hubo varios autores más que actuaron en el anonimato.
El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y experimentos", donde además de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribió "El evangelio según Fred" (The Gospel according to Fred), desarrolló varias especies virales y experimentó con ellas en un computador VAX 11/750 de la Universidad de California del Sur.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la revista BYTE reportaron la presencia y difusión de algunos programas que actuaban como "caballos de Troya", logrando infectar a otros programas.
Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones.
1986 El comienzo de la gran epidemia
En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.
El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massashussets).
Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario.
1991 La fiebre de los virus
En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo en el cual, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones.
En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose terriblemente famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a tal punto que se han escrito muchos artículos y hasta más de un libro acerca de este virus, el mismo que posteriormente inspiró en su propio país la producción masiva de sistema generadores automáticos de virus, que permiten crearlos sin necesidad de programarlos.
1995 Los macro virus
A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podían auto replicarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos.
En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor información sírvanse revisar la opción Macro Virus, en este mismo módulo.
1999 Los virus anexados (atachados)
A principios de 1999 se empezaron a propagar los virus anexados (atachados) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue
difundidos a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más.
A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensión .SHS.
Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresión cultural de "graffiti cibernético", así como los crackers jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha del bien y el mal ahora se ha extendido al ciber espacio.
HISTORIA DE LOS VIRUS EN EL PERU
En 1986 se detectan los primeros virus informáticos en el Perú: Stoned, Bouncing Ball y Brain
Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron en el ámbito nacional.
Continuando con la lógica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción.
¡¡virus!!
DEFINICION DE LOS VIRUS INFORMÁTICOS
Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados por expertos programadores, los cuales tienen la capacidad de reproducirse por sí mismos, unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayoría de estas acciones son hechas con mala intención.
Un virus informático, ataca en cualquier momento, destruyendo toda la información que no esté protegida con un antivirus actualizado.
La mayoría de los virus suelen ser programas residentes en memoria, se van copiando dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras personas, también encontrarán en el interior archivos con virus.
Un virus tiene la capacidad de dañar información, modificar los archivos y hasta borrar la información un disco duro, dependiendo de su programador o creador.
En la actualidad los virus informáticos no solo afectan a los archivos ejecutables de extensión .EXE y .COM, sino también a los procesadores de texto, como los documentos de Word y hojas de cálculo como Excel, esta nueva técnica de elaboración de virus informático se llama Macro Virus.
¿POR QUÉ LLAMARLOS VIRUS?
La gran similitud entre el funcionamiento de los virus computacionales y los virus biológicos, propició que a estos pequeños programas se les denominara virus.
Los virus en informática son similares a los que atacan el organismo de los seres humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo objetivo es destruir o molestar el "huésped".
Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de que causen la "muerte" del huésped...
Los virus de las computadoras no son mas que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas.
Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de información (diskette, disco duro, cinta), hasta daños al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al equipo.
CARACTERÍSTICAS:
Estos programas tienen algunas características muy especiales:
Son muy pequeños.
Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creación.
Se reproducen a sí mismos.
Toman el control o modifican otros programas.
MOTIVOS PARA CREAR UN VIRUS:
A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de computadora no ocurren en forma natural, cada uno debe ser programado. No existen virus benéficos.
Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores.
Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificación.
FASES DE INFECCION DE UN VIRUS
Primera Fase (Infección)
El virus pasa a la memoria del computador, tomando el control del mismo, después de intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de ejecutar un archivo infectado.
El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente con normalidad, de esta forma el usuario no se da cuenta de que su sistema está siendo infectado.
Segunda Fase (Latencia)
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
cuando son ejecutados o atacando el sector de arranque del disco duro.
De esta forma el virus toma el control del sistema siempre que se encienda el computador, ya que intervendrá el sector de arranque del disco, y los archivos del sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura, dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar el sistema.
Tercera Fase (Activación)
Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace presente.
La activación del virus trae como consecuencia el despliegue de todo su potencial destructivo, y se puede producir por muchos motivos, dependiendo de como lo creó su autor y de la versión de virus que se trate, debido a que en estos tiempo encontramos diversas mutaciones de los virus.
Algunos virus se activan después de un cierto número de ejecuciones de un programa infectado o de encender el sistema operativo; otros simplemente esperan a que se escriba el nombre de un archivo o de un programa.
La mayoría de los virus se activan mediante el reloj del sistema para comprobar la fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna condición y por último atacan, el daño que causan depende de su autor.
CLASES DE VIRUS:
VIRUS POLIMORFICOS
o Muy difíciles de detectar y eliminar, debido a que cada copia del virus es diferente de otras copias.
o Sus instrucciones cambian cada vez que se autoencriptan.
o El virus produce varias copias diferentes de sí mismo.
o Cambian su forma (código) cada vez que infectan un sistema, de esta manera parece siempre un virus distinto y es más difícil que puedan ser detectados por un programa antivirus.
o Pero existe un fallo en está técnica, y es que un virus no puede codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la que buscan los antivirus para la detección del virus.
VIRUS ESTATICOS
Tipo de virus más antiguos y poco frecuentes.
Su medio de propagación es a través de programas ejecutables.
Su forma de actuar es sencilla.
Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo que no este todavía infectado.
Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos fijos como el COMMAND.COM del Sistema Operativo.
No permanecen en memoria más que el tiempo necesario para infectar uno o varios archivos.
Pueden ser virus destructivos en el caso de que sobrescriban la información del programa principal con su código de manera irreversible.
A veces bloquean el control del sistema operativo, sobrescribiéndolo.
VIRUS RESIDENTES
Virus que permanecen indefinidamente en memoria incluso después de haber finalizado el programa portador del virus.
Una vez ejecutado el programa portador del virus, éste pasa a la memoria del computador y se queda allí hasta que apaguemos el ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que utilicemos.
VIRUS DESTRUCTIVOS
Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros datos.
Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro.
Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestión de segundos inutilizan los datos del disco duro.
VIRUS BIPARTIDOS
o Es un virus poco frecuente.
o Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su código (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus destructivo.
VIRUS COMPAÑEROS
o Son los virus más sencillos de hacer.
o Cuando en un mismo directorio existen dos programas ejecutables con el mismo nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS carga primero el archivo con extensión .COM.
o Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo .COM que contiene el virus. Después el virus llamaría al programa original.
o El archivo infectado no podría ser visto con un simple comando DIR en C :\, porque contiene el atributo de oculto.
o VIRUS DE BOOT (SECTOR DE ARRANQUE)
Como su nombre lo indica, infecta el sector de arranque del disco duro.
Dicha infección se produce cuando se intenta cargar el sistema operativo desde un disco infectado.
Infecta los diskettes o discos duros, alojándose en el boot sector.
Cuando se enciende el computador, lo primero que hace la BIOS es inicializar todo (tarjetas de vídeo, unidades de disco, chequear memoria, entre otros).
Y entonces lee el primer sector del disco duro, colocándolo en la memoria.
Normalmente es un pequeño programa que se encarga de preparar al Sistema Operativo.
Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el virus informático para que se cargue en el Sistema Operativo.
Almacenando el boot sector original en otra parte del disco o simplemente lo reemplaza en su totalidad.
También localiza un sitio en el Disco Duro para guardar la antigua rutina que había en el BOOT.
AUTOREPLICABLES
Realizan funciones parecidas a los virus biológicos. Ya que se autoreplican e infectan los programas ejecutables que se encuentren en el disco.
Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir de su última ejecución o simplemente al sentir que se les trata de detectar.
o ESQUEMA DE PROTECCIÓN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que está protegido contra escritura.
También se ejecutan cuando se intenta copiar softwares o programas.
o VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
La infección se produce al ejecutar el programa que contiene el virus, en ese momento busca todos los programas cuyas extensiones sean .COM o .EXE.
Cuando un programa infectado está ejecutándose, el virus puede permanecer residente en memoria e infectar cada programa que se ejecute.
Los virus de este tipo tienen dos formas de alojarse en el ejecutable.
Graban su código de inicio al principio del archivo, realizando un salto para ejecutar el programa básico y regresar al programa infectado.
Sobrescribiendo en los sectores del disco, haciendo prácticamente imposible su recuperación, si no cuenta con los originales.
o VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo mediante varias técnicas.
Pueden modificar el tamaño del archivo infectado, para que no se note que se le ha añadido un virus.
Pueden utilizar varias técnicas para que no se les pueda encontrar en la memoria del ordenador engañando a los antivirus.
Normalmente utilizan la técnica de Stealth o Tunneling.
o PROGRAMAS MALIGNOS
Son programas que deliberadamente borran archivos o software indicados por sus autores eliminándose así mismo cuando terminan de destruir la información.
Entre los principales programas malignos tenemos :
Bombas Lógicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya
Bombas Lógicas y de Tiempo
Son programas ocultos en la memoria del sistema o en el disco, o en los archivos de programas ejecutables con extensión .COM y .EXE.
Una Bomba de Tiempo se activa en una fecha, hora o año determinado.
Puede formatear el disco duro.
El daño que las bombas de tiempo puedan causar depende de su autor.
Una Bomba Lógica se activa al darse una condición específica.
Tanto las bombas lógicas como las bombas de tiempo, aparentan el mal funcionamiento del computador, hasta causar la pérdida de la información.
Jokes
Son programas desarrollados con el objetivo de hacer bromas, de mal gusto, ocasionando distracción y molestias a los usuarios.
Simulan el comportamiento de Virus, constituyen Bombas Lógicas o de Tiempo.
Muestran en la pantalla mensajes extraños con la única intención de fastidiar al usuario.
Gusanos
Es un programa que se autoreproduce.
No infecta otros programas como lo haría un virus, pero crea copias de él, las cuales crean más copias.
Son más usados para atacar en grandes sistemas informáticos mediante una red de comunicaciones como Intranet o Internet, donde el gusano creará más copias rápidamente, obstruyendo el sistema.
Se propagan rápidamente en las computadoras.
Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad de éste.
Caballos de Troya
Son aquellos programas que se introducen en el sistema bajo una apariencia totalmente diferente a la de su objetivo final.
Se presentan como información perdida o basura sin ningún sentido.
Pero al cabo de un determinado tiempo y esperando la indicación del programa, se activan y comienzan a ejecutarse.
Sus autores lo introducen en los programas más utilizados o softwares ilegales como por ejemplo :
Windows 95
No se autoreproducen.
Su misión es destruir toda la información que se encuentra en los discos.
TÉCNICAS DE VIRUS
Las tecnologías de software han evolucionado asombrosamente en los últimos tiempos al igual que las arquitecturas de hardware y continúan haciéndolo día a día. De este avance no se podría dejar de mencionar la creación de los virus y sus programas antivirus, lo cual ha motivado que ahora se empleen nuevas técnicas y sofisticadas estrategias de programación, con el objeto de lograr especies más dañinas y menos detectables y por consiguiente los software antivirus tienen que ser más acuciosos y astutos.
El lenguaje de programación por excelencia para desarrollar virus, es el Assembler pues los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de bases de datos, etc. han sido diseñados para producir software aplicativos. Una excepción a la regla son los Macro Virus, tratados por separado y los virus desarrollados en Java Scripts, Visual Basic Scripts y de Controles Activex, a partir de 1999.
Estos hechos demuestran fehacientemente que no existe ningún impedimento para que se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de ellos se podría generar las órdenes directas para tomar control de las interrupciones, o saltar de un programa anfitrión (host) o receptor, a otro en forma tan rápida y versátil.
El autor de virus por lo general vive muy de prisa y tal pareciera que además de haber incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores programadores de virus que han permitido que sus especies virales sean fácilmente detectadas, y es por ello que sin dejar de lado las formas tradicionales de programación, ha creado además sofisticadas rutinas y nuevas metodologías.
Han transcurrido más de 16 años desde que el Dr. Fred Cohen expusiese sus conceptos y teorías y los autores de virus no solamente se han convertido en más creativos e ingeniosos, sino que continuarán apareciendo nuevas Técnicas de Programación, aprovechando de la facilidad de propagación de sus especies virales, a causa del auge de Internet.
Algunas técnicas y estrategias de programación de virus:
INFECTOR RAPIDO
Un virus infector rápido es aquel que cuando está activo en la memoria infecta no solamente a los programas cuando son ejecutados sino a aquellos que son simplemente abiertos para ser leídos. Como resultado de esto sucede que al ejecutar un explorador (scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar como resultado que todos o por lo menos gran parte de los programas sean infectados.
Esta técnica usa la función 3dh de la interrupción 21h para abrir un archivo ejecutable en forma muy rápida, empezando preferentemente con el COMMAND.COM y ubicándose en clusters vacios detrás de un comando interno, por ejemplo DIR, de tal modo que no solamente no incrementa el tamaño del archivo infectado sino que además su presencia es inadvertible.
Puede darse el caso además, de que cuando se ejecuta un archivo EXE o COM éste no es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son alterados. Si bajo esta técnica se ha decidido atacar a las áreas del sistema el código viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a
otra posición en el disco, pero a su vez emulará al verdadero, y al ser un "clon" de boot le le será muy fácil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones, imposibilitando el acceso al disco.
INFECTOR LENTO
El término de infector lento se refiere a un virus que solamente infecta a los archivos en la medida que éstos son ejecutados, modificados o creados, pero con una salvedad: puede emplear también parte de la técnica del infector rápido pero sin la instrucción de alteración o daño inmediato al abrirse un archivo. Con la interrupción 1Ch del TIMER su autor programa una fecha, la misma que puede ser específica o aleatoria (ramdom) para manifestarse.
Mientras tanto el virus permanece inactivo y encriptado en el archivo o área afectada esperando su tiempo de activación. Los virus del tipo "infector lento" suelen emplear rutinas de anti-detección sumamente eficientes, algunas de las cuales inhabilitan a las vacunas de los antivirus mas conocidos.
Existen muchísimos software Utilitarios u otras herramientas Tools), que se obtienen en forma gratutita por Internet, que muestran las interrupciones que usan las vacunas al cargarse en memoria. Una vez conocidos estos IRQ's resultará muy fácil para un desarrollador de virus encontrar la forma de deshabilitar o saltear el control de ciertas vacunas.
ESTRATEGIA PARSE
Esta técnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta únicamente a los archivos de menor extensión y al infectarlos en forma ocasional se minimiza la posibilidad de descubrirlo fácilmente.
Por otro lado, el contador de ejecuciones de los archivos infectados con virus que emplea esta modalidad, tiene por lo general más de una rutina de auto encriptamiento.
La técnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy lamentables.
MODALIDAD COMPANION (acompañante)
Modalidad Companion (acompañante) es aquella por la cual el virus en lugar de modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre, el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien recuerde el nombre de todos los archivos de los sub-directorios de su disco duro.
Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, éste invoca al conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal modo que éste es ejecutado en primer lugar, por ser un archivo COM de una sóla imágen (máximo 64k) y puede arrastrar el código viral sin que el usuario se percate. Y así continuará haciéndolo. Mas aún, los verificadores de integridad (integrity checkers) fallarán en la acción de detectar este tipo de virus ya que éstos utilitarios solo buscan los archivos existentes.
Debido a que ésta no es una técnica frecuentemente empleada, algunos investigadores de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro criterio no es su exacto concepto y clasificación.
ESTILO ARMORED
También conocido como virus blindado, es una forma muy peculiar de programación, donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells), en el archivo que contiene el virus, para que éste no pueda ser fácilmente "rastreado" y mucho menos desensamblado.
Pueden ser una o más rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les conoce también como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria en 1987 fué el primer virus que usó conjuntamente las tecnologías ARMORED y STEALTH. En Junio del 2000 se reportó el gusano VBS/Stages.SHS, el primer virus oculto propagado masivamente a
través de mensajes de correo electrónico en Internet.
TECNICA STEALTH
Un virus "stealth" es aquel que cuando está activado esconde las modificaciones hechas a los archivos o al sector de arranque que están infectados. Esta técnica hace uso de todos los medios posibles para que la presencia del virus pase totalmente desapercibida, anulan efectos tales como el tamaño de los archivos, los cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O (entrada y salida) y redireccionando cualquier intento de leer este sector infectado.
Cuando un virus "Stealth" está activo en memoria cualquiera de estos cambios pasarán desapercibidos al realizar un DIR, por ejemplo, ya que el virus habrá tomado control de todo el sistema. Para lograr este efecto, sus creadores usan la interrupción 21h función 57h.
Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con la protección contra escritura, al efectuar la misma orden DIR se detectarán los cambios causados a los archivos infectados. Un virus de boot programado con esta técnica reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y al cual mueve hacia otro lugar del disco pero que con una instrucción de salto vuelve otra vez a utilizarlo.
Hoy día es posible crear virus con la técnica Stealth, en cualquier lenguaje de programación, además del Assembler.
VIRUS POLIMORFICOS (mutantes)
Son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la programación van cambiando secuencialmente cada vez que se autoencriptan, de tal forma que sus cadenas no son las mismas. El virus polimórfico produce varias, pero diferentes copias
de sí mismo, manteniendo operativo su microcódigo viral.
Un fácil método de evadir a los detectores consiste en producir rutinas auto encriptadoras pero con una "llave variable". La técnica polimórfica o "mutante" es muy sofisticada y demanda mucho conocimiento, ingenio y trabajo de programación tal como se puede apreciar en el código fuente del virus DARK AVENGER.
Sin embargo existe uno de los más ingeniosos generadores automáticos de virus, llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un polimorfismo en la forma de módulo objeto. Con este generador cualquier virus puede convertirse en polimórfico al agregarle ciertas llamadas a su código assembler y "enlazándolas" al Mutation Engine, por medio de un generador de números aleatorios.
Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier área vital del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en su totalidad. Este estilo de programación también emplea el control de memoria dinámica así como algoritmos de compresión y descompresión de datos.
FUNCION DESACTIVADORA o TUNNELING
Un virus que emplea la técnica del " túnel" intercepta los manipuladores de la interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse, habiéndose descubierto virus que usan originales artimañas para infectar a un sistema sin ser descubiertos. Mencionaremos el caso particular del búlgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno CPW Arica.
Todos ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's ocupados por las vacunas logrando desactivarlas para acceder
directamente a los servicios del DOS y del BIOS tomando absoluto control del sistema y sin restricción alguna.
Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de Microsoft y otros antivirus son muy conocidas por los creadores de virus.
Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus suelen utilizar esta técnica en su necesidad de "by-pasear" un virus nuevo y desconocido que podría estar activo cuando se está explorando un sistema.
PROGRAMADORES DEL PPI
La mayoría de virus "musicales" y los que afectan a los periféricos pertenecen a esta categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta de sonido, un módem o CD-ROM por ejemplo, el software instalador de cada uno de éstos se encarga de programar automáticamente el PPI (Interfase Programable de Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt request), los cuales son asignados para ser usados específicamente por cada periférico, para evitar que tengan conflictos con otros ya existentes.
Programar el PPI por medio del lenguaje assembler es relativamente fácil y si a esta programación se le incluye la función correspondiente al TIMER y caracteres de sonido, se estará creando un virus "musical". Del mismo modo, pero con otras instrucciones se podrá afectar a las impresoras, tarjetas de sonido, de redes o módems, provocando diferentes efectos o manifestaciones.
Las técnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se pueden programar virus combinando cualquiera de las modalidades explicadas en este módulo.
VIRUS ANEXADO
El virus anexado (attached) no es una técnica de programación de virus, es una nueva modalidad de difundirlo.
Con el incremento del intercambio de información por correo electrónico, a causa de la gran demanda de uso de los servicios de Internet, los desarrolladores de virus han hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un mesaje de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con consecuencias de daño inmediato a los sistemas de los usuarios, que por motivos de curiosidad cometan el error de abrir estos archivos.
Para lograr este propósito de despertar la curiosidad innata en el ser humano, los autores de esta modalidad de difusión emplean argumentos en el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una información muy interesante que te va a convenir", etc., etc.
Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP, ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o archivos con extensión .SHS y si además contienen instrucciones de auto-enviarse a la Libreta de Direcciones del software de correo del usuario, su propagación tendrá un efecto multiplicador.
Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orígen totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo, asi como también el mensaje de orígen.
El virus Melissa, difundido en Marzo de 1999, así como el virus Papa son muestras de esta modalidad de difusión y recientemente el ExploreZip, el LoveLetter y el VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo el mundo.
VIRUS EN JAVA
En 1991 Sun Microsystems, empezó a desarrollar un proyecto de lenguaje, con el código GREEN,
bajo la dirección de James Goslin, inicialmente con el propósito de administrar y controlar interactivamente los dispositivos conectados a las redes. Surgieron algunas situaciones frustrantes, pero por suerte, en pocos años se empezó a popularizar Internet.
Entonces el proyecto se convirtió en un intento de resolver simultáneamente, todos los problemas que se le planteaban a los desarrolladores de software por la diversidad de arquitecturas incompatibles, los sistemas operativos y lenguajes de programación y la dificultad de crear aplicaciones distribuidas en Internet.
Java fué inicialemente desarrollado en C++, pero paulatinamente se fué independizando, escribiendo su propio lenguaje denominado Oak, que finalmente terminó convirtiéndose en Java. En 23 de Mayo de 1995 fué lanzado al mercado el HotJava Browser, y ese mismo año Netscape decidió habilitar a Java en su versión 2.0 de 1996. Es a partir de esa oportunidad que Java empezó a popularirase en todo el mundo.
Las características mas importantes de Java son:
1. Es de arquitectura portable, neutral y robusta.
2. Es simple, orientada a objeto y muy versátil.
3. Es interpretado. El intérprete Java (system run-time) puede ejecutar directamente el código objeto.
Un Applet de Java es un programa dinámico e interactivo que puede ser ejecutado dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un programa Java puede ser ejecutado por sí mismo. En todos los casos, bajo una jerarquía de Clase, Sub-Clase o Super Clase.
Con todas estas características de un poderoso lenguaje, los creadores de virus pensaron también en Java, como un medio para producir especies virales. Debido a ciertas restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos, así como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables:
Java.Beanhive
La tecnología empleada en este virus tiene varias ventajas. La forma multi-componente de infección permite al virus esconder su código en los archivos infectados: su longitud crece en muy pequeños valores y después de una ligera observación el código insertado pareciera no ser dañino.
La combinación del llamado starter-main también le permite a su autor, "actualizar" el virus con nuevas versiones al reemplazar el código principal en su servidor. Cabe mencionar que este virus o cualquier virus de Java se puede propagar y reproducir en condiciones limitadas. La protección estándar de seguridad de los navegadores cancela cualquier intento de acceder a las unidades de disco o recoger (download) archivos como una aplicación Java, aún en modo remoto.
Consecuentemente el virus puede ser propagado únicamente cuando es ejecutado en un archivo de disco, como una aplicación Java, al usar el Java machine.
Detalles Técnicos
El ejecutor del virus es un pequeño programa Java de apenas 40 líneas de código, que cuando toma el control de un sistema, se conecta al servidor WEB remoto, envía (download) el código del virus que es guardado en el archivo BeanHive.class y se ejecuta como una sub-rutina. El código viral está dividido en 6 partes y es almacenado en 6 diferentes archivos Java:
BeanHive.class : búsqueda de archivos en un árbol de directorio
+--- e89a763c.class : analiza el formateo de archivo
|--- a98b34f2.class : acceso a las funciones del archivo
|--- be93a29f.class : preparación para la infección (parte 1)
|--- c8f67b45.class : preparación para la infección (parte 2)
+--- dc98e742.class : insertado del virus en el sistema infectado
Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el código de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de códigos, la invocación para su sub-rutina loadClass "BeanHive". El parámetro enviado "BeanHive" apunta al nombre del archivo remoto en el servidor WEB y empieza la infección con su código viral.
VIRUS EN VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000 este tipo de archivos dejó de ser empleado y fué reemplazado por los Visual Basic Scripts.
Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada.
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones
que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus en VBS:
1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")
El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat).
Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales.
Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicación entre 2 personas).
Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable.
Como atacan los gusanos (VBS/Worms)
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script.
Este script que contiene el código viral sobrescribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal.
Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98.
2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook.
Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS
Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.
Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.
VIRUS EN .SHS
La última modalidad de propagación masiva de virus, a través de Internet ha surgido a partir de la creación de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene algunas variantes,
VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaña a los usuarios al
mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS), pero con la extensión .SHS
Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura).
Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la extensión .SHS. Los archivos Scrap fueron creados desde la primera versión de Windows 95, para permitir que los textos y gráficos puedan ser arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft Office.
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y ejecutará el programa que contiene en forma oculta, al hacerle un doble click. Cuando es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es grabado al disco duro, desaparecerá otra vez.
Al tener estas características, puede ocultar archivos ejecutables, mayormente usados como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.
Con esta nueva modalidad de propagación se facilita e incrementa el factor de riesgo de infección de virus entre los usuarios de Internet, quienes a su vez infectarán a los que se conecten sus estaciones de trabajo, dentro de redes locales o Intranets.
¿QUE ES UNA MUTACION ?
Se conoce con el nombre de mutación a la alteración intencional o accidental de un virus informático que ya fue creado con anterioridad.
Decimos que es una mutación accidentada cuando son ocasionadas por programadores que buscan la eliminación de estos virus, provocando en sus investigaciones variaciones en el código original del virus, dando lugar a nuevas versiones del mismo virus.
Pero también hay mutaciones intencionales cuando los programadores solo buscan causar daños perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada vez más peligrosos.
SINTOMAS DE UN EQUIPO INFECTADO
Del procedimiento de Detección
ElProcedimiento de Detección de los virus informáticos debe garantizar que la posible existencia de un virus en un medio magnético u óptico no ingrese directamente al Sistema.
Para ello, el programa de detección de virus debe ser instalado en la memoria, a fin de que permanentemente se controle cualquier medio de almacenamiento que sea utilizado con el equipo de cómputo.
Se consideran medios de infección por virus a los siguientes :
De un diskette infectado proveniente de una fuente exterior al equipo de cómputo.
A través de la adquisición o
movimiento de máquinas infectadas en el centro de cómputo.
A través de los diferentes tipos de comunicación entre equipos de cómputo.
Cuando un Sistema Operativo está infectado, se presenta cualquiera de los siguientes síntomas :
o El cargado de los programas toma más tiempo de lo normal.
o Demora excesiva en los accesos al disco, cuando se efectúan
operaciones sencillas de escritura.
o Se producen inusuales mensajes de errores.
o Se encienden las luces de acceso a los dispositivos, cuando no son requeridos en ese momento.
o Disposición de menos memoria de lo
normal.
o Desaparecen programas o archivos misteriosamente.
o Se reduce repentinamente el espacio del disco.
o Los archivos ejecutables cambian de tamaño.
o Aparecen, inexplicablemente, algunos archivos escondidos.
o Aparece en la pantalla una serie de caracteres especiales sin ninguna explicación lógica.
o Algunos comandos no pueden ser ejecutados, principalmente los archivos con extensión .COM y .EXE.
o A veces infectan primero el COM
MAND.COM, pero como su función es la de seguir infectando éste continuará operando.
o La razón por la que ciertos ejecutables no pueden ser activados se debe a que simplemente el virus puede haberlos borrado.
o Al prender el equipo no
se puede accesar al disco duro, esto es debido a que el virus ya malogró el comando COMMAND.COM y se muestra el siguiente mensaje :
<>"bad or missing command interpreter"
o Los archivos ejecutables de los gestores de bases de datos como dBase, Clipper, FoxPro, etc.,
están operativos, sin embargo la estructura de los archivos DBF están averiados o cambiados. Lo mismo puede ocurrir con las hojas de cálculo como Lotus 1-2-3, Q-Pro, Excel, etc.
o El sistema empieza a ´colgarse´. Puede ser un virus con la orden
de provocar reseteos aleatorios.
o Cierto periféricos tales como : la impresora, módem, tarjeta de sonido, entre otros no funcionan.
o El sistema no carga normalmente o se interrumpe en los procesos.
o Los archivos ejecutables segui
rán existiendo pero como el código del virus está presente en la mayoría de los casos aumentará el tamaño de los archivos infectados.
o La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como basura, se escuchan sonidos
intermitentes, se producen bloqueos de ciertas teclas.
o COMO PREVENIR LOS VIRUS INFORMATICOS
Control de la Información Ingresa
da :
No deben utilizarse diskettes usados, provenientes del exterior de
la Institución.
Utilizar siempre software comercial original.
Mantene
r la protección de escritura en todos los discos de programas origi
nales y de las copias de seguridad
En especial de los discos del sistema operativo y de las herramientas antivirus.
Si por raz
ones de trabajo fuera necesario la utilización de un medio magnético u
óptico venido del exterior, éste deberá necesariamente pasar por lo
s controles siguientes :
Identificar el medio de almacenamiento que contiene la información. Los medios magnéticos u ópticos dealmacenamiento(diskettes, cintas, cartuchos, discos u otros) que contienen archivos de información, deben estar debidamente etiquetados, tanto interna como externamente.
Chequear el medio magnético u óptico, mediante un procedimiento de detección de virus, establecido por el organismo competente de la Institución.
Registrar el medio magnético u óptico, su origen y la persona que lo porta.
Los medios de detec
ción de virus deben ser actualizados mensualmente, de acuerdo a las nuevas versiones de los detectores de virus que adquiera la Institución. Deberá utilizarse programas antivirus originales.
Del Persona
l Usuario de las Computadoras :
El personal que tiene acceso a las computadoras en forma monousuaria, deberá encargarse de detectar y eliminar en los medios magnéticos u ópticos, la infección o
contagio con virus. A tal efecto, utilizará los procedimientos establecidos por el órgano competente de la Institución.
Este personal es responsable del control de los medios magnéticos u ópticos venidos del exterior así como de la posible introducción de virus en el equipo de computo.
Las computadoras conectadas a una Red, preferentemente, no deberán tener unidades de diskettes, a fin de prevenir la infección de virus informáticos. El uso de los diskettes deberá ser efectuado por el administrador de red.
Otras Medidas de Prevención
Contra Virus :
Semanalmente deberá efectuarse un respaldo de toda la información útil que se encuentra almacenada en el disco duro.
Dicha actividad será realizada por el responsable designado para este fin.
En caso de que se labore en red o en modo
multiusuario, el administrador de la red hará un respaldo diario de la información útil del disco.
Por ningún motivo debe usarse los servidores de red como estaciones de trabajo.
Sólo los archivos de datos y no los programas ejecutables deberán ser copiados de una computadora a otra.
Todo diskette debe, normalmente, estar protegid
o contra escritura para evitar su posible infección al momento de la lectura.
El Sistema debe cargarse desde un diskette que sea original, o en su defecto desde una copia, especialmente preparada y verificada para que no contenga virus informáticos.
Nunca se debe de ejecutar programas de origen desconocidos.
No se debe añadir archivos de datos
o programas a diskettes que contienen programas originales.
Efectuar periódicamente la depuración de archivos en los discos duros de la computadora.
11. DAÑOS DE LOS VIRUS.
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad
de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.
DAÑOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el más común):
En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.
DAÑOS MENORES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este
virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.
DAÑOS MODERADOS.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo
que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.
DAÑOS MAYORES.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar
desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó.
Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo note
mos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backu
p limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
DAÑOS SEVEROS.
Los daños severos son hechos cuand
o un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).
DAÑOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHE
EBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
LOS MACRO VIRUS
losmacro virus, son las especies virales que rompieron los esquemas de programación y ejecución de los virus tradicionales
Los macro virus son una nueva familia de virus que infectan documentos y hojas de cálculo. Fueron reportados
a partir de 1995, cambiando el concepto que los virus tan sólo podían infectar o propagarse a través de archivos ejecutables.
Los daños que ocasionan estos virus depende de sus autores siendo capaz desde cambiar la configuración del
Windows, borrar archivos de nuestro disco duro, enviar por correo cualquier archivo que no nos demos cuenta, mandar a imprimir documentos inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macr
o Virus, son capaces de tomar el control de ambiente en el que viven.
CARACTERISTICAS DE LOS MACRO VIRUS :
Los macro virus tienen 2 características básicas :
Infectan únicamente documentos de MS-Word o Ami Pro y hojas de
cálculo Excel.
Poseen la capacidad de infectar y propagarse por sí mismos.
Los macro virus, no pueden grabar los documentos infectados en ningún otro formato que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningún otro directorio, usando el comando SAVE AS.
Estos son algunos de los virus más conocidos que afectan a las macros :
CAP : Es un conjunto de
diez macros encriptados (el usuario infectado no puede verlos ni editarlos), muestra el si
guiente texto en la pantalla :
C.A.P : Un virus social...Y ahora digital..."j4cKy Qw3rTy" ([email protected])Venezuela, Maracay, Dic 1996
PD : Que haces gochito
Cuando infecta el Word, el virus modif
ica cinco menús existentes, redireccionándolos al código del virus. Los
problemas que crea son diferentes, dependiendo del tipo de instalació
n y el lenguaje del Word que este en uso. Al infectar los documentos, bo
rra todos los macros preexistentes, pero no tiene un efecto destructi
vo en sí mismo. Oculta en el menú de Herramientas la opción Macros.
WM.CO
NCEPT : Es un macro virus MS-Word que usa cinco macros para infe
ctar, y propagarse. Los macros se llaman :
AAAZAO, AAAZFS, AutoO
pen, FileSavesAs, Payload.
WAZZU : Es un macro virus que infecta d
ocumentos de Microsoft Word para Windows, solo contiene la macro
Autoopen. Cuando un documento es abierto el virus genera un númer
o aleatorio mayor a 0 y menor a 1. Si este número es menor que 0.2, el virus
mueve la palabra a otro lugar al azar, dentro del mismo documento, si el nú
mero es menor que 0.25, el virus insertará la palabra :
"wazzu"
MDMA : Es un virus que borra archivos específicos de Windows 95,
haciendo uso de la macro AutoClose, o el FORMAT.C, el virus dentro de la macro AutoOpen ordena formatear el disco duro.
XM.LAROUX :Es el primer macro virus funcional en EXCEL, descubierto en julio de 1996. El código del macro consiste de dos macros llamados : Auto_Open y Check_Files. Los macros son almacenados en una hoja de datos escondida, llamada
´Laroux´.
XM.SOFA : Descubierto en diciembre de 1996, se propaga por medio de un archivo llamado BOOK.XLT. Este virus contiene cuatro macros :
Auto_Open, Auto_Range, Current_Open y Auto_Close.
Cuando se abre un archivo infectado, el virus toma el control y cambia el título arriba de la ventana a ´Microsofa Excel´ en lugar
de ´Microsoft Excel´.
METODO DE INFECCION Y EFECTOS DE LOS MACRO VIRUS
INFECCIÓN
Cuando un documento es abierto por primera vez, la aplicación (Word, Excel, etc.) buscan la presencia del macro AutoOpen, si lo encuentra y la variable global DisableAutoMacros no está seleccionada, entonces Word o Excel automáticamente ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando se cierra la aplicación, se ejecuta la macro AutoClo
se si está presente.
En Word, los macros son guardados en archivos denominados "plantillas", así que durante una infección, los macro virus son capaces de convertir los documentos a plantillas y copiarse en ellos.
Al momento de ser infectado, los datos son mezclados con código ejecutable, que normalmente están escondidos a la vista del
usuario. Entonces cuando se vea el documento, este estará infectado, se podrá trabajar normalmente pero la plantilla con virus seguirá infectando documentos y las macros que utilice.
Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se graban automáticamente al final de cada sesión de trabajo.
EFECTOS
Una vez que se infecta
un documento u hoja de cálculo, los macro virus son capaces de adueñarse de las funciones de la aplicación, evitando por ejemplo, que el usuario guarde la información que ha estado escribiendo por minutos u horas, no se puede mandar a imprimir, entre otros.
En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la que el usuario utiliza
para crear archivos nuevos. Cuando abramos un archivo o lo guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con el archivo Personal.XLS. En el menú de la Barra de Herramientas desaparece la opción Macros.
Los macros virus más conocidos actualmente son de documentos de Microsoft Word.
Los macros son un conjunto de instrucciones y comandos. El lenguaje de macros, es una herramienta poderosa, nos permite ejecutar tareas como por ejemplo : copiar archivos, ejecutar programas, cambiar archivos, etc.
ELIMINACION DE UN MAC
RO VIRUS MANUALMENTE.
El documento infectado se convierte en plantilla.
En el menú de herramientas el virus oculta la opción "Macros".
Para descubrirlo
Menú "Ver" se escoge la opción "Barra de Herramientas"
Se pulsa el botón "personalizar".
Se escoge la opción "Herramientas", después "Menú" y por último "Lista de Macros"
Se pulsa el botón "Agregar".
Abrimos el menú "Herramientas", hacemos click en la opción Macros, luego la opción Normal.dot, ahí observaremos las macros del virus.
Crear un nuevo directorio de archivos.
Abrir el documento infectado.
Seleccionar el documento y en el menú "Edición", darle la opción copiar.
Abrir el Word Pad o el Write y en el menú "Edición" escoger la opción "Pegar".
Guardar el documento en el directorio previamente creado.
Repetir todos los pasos anteriores con los documentos infectados.
Eliminar todos los documentos infectados.
Borrar la plantilla "Normal.dot".
ANTIVIRUS
¿QUÉ ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo
no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora.
Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicional
es que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
LOS ANTIVIRUS INFOR
MATICOS
Un antivirus es cualquier metodología, programa o sistema para prevenir la activación de los virus, su propagación y contagio dentro de un sistema y su inmediata eliminación y la reconstrucción de archivos o de áreas afectadas por los virus informáticos.
Los antivirus permiten la detección y eliminación de virus. Un virus es
identificado mediante una cadena del antivirus que busca, encuentra y elimina los distintos virus informáticos.
El software antivirus contrarresta de varias maneras los efectos de los virus informáticos para detectarlos. La mayoría de las soluciones se basan en tres componentes para la detección : exploración de acceso, exploración requerid
a, y suma de comprobación.
La exploración de acceso : Inicia automáticamente una exploración de virus, cuando se accede a un archivo, es decir al introducir un disco, copiar archivos, ejecutar un programa, etc.
La exploración requerida : El usuario inicia la exploración de virus. Las exploraciones se pueden ejecutar inmediatamente,
en un directorio o volumen determinado.
La suma de comprobación o comprobación de integridad : Método por el que un producto antivirus determina si se ha modificado un archivo.
Como el código vírico se une físicamente a otro archivo, se puede determinar tal modificación guardando la información del archivo antes de la infección.
La suma de comprobación es generalmente exacta y no necesita actualizaciones. Sin embargo la suma de comprobación no proporciona ni el nombre, ni el tipo de virus.
Los programas antivirus se componen fundamentalmente de dos partes : un programa que rastrea (SCAN), si en los dispositivos de almacenamiento se encuentra alojado algún virus, y otro
programa que desinfecta (CLEAN) a la computadora del virus detectado.
TIPOS DE ANTIVIRUS
Antivirus Detectores o Rastreadores Son aquellos antivirus que usan técnicas de búsqueda y detección explorando o rastreando todo el sistema en busca de un virus. Estos programas se utilizan para detectar virus que pueden estar en la memoria, en el sector de arranque del disco duro, en la zona de partición del disco y en algunos programas. Dependiendo de la forma de analizar los archivos los podemos clasificar a su vez en antivirus
de patrón y heurístico.
Antivirus de Patrón :Realizan el análisis de los archivos por medio de la búsqueda en el archivo de una cualidad particular de los virus. Existen antivirus específicos para un determinado virus, conociendo su forma de atacar y actuar.
Antivirus Heurístico :Este antivirus busca situaciones sospechosas en los programas, simulando la ejecución y observando el comportamiento del programa.
Limpiadores o EliminadoresUna vez desactivada la estructura del virus procede a eliminar o erradicar elvirus de un archivo, del sector de arranque de un disco, en la zona de partición de un disco y en algunos programas.
Estos antivirus deben tener una base de datos con información de cada virus para saber que método de desinfección deben usar para eliminar el virus.
Dependiendo de los efectos de la especie viral procederá a reconstruir las partes afectadas por el virus informático.
Protectores o Inmunizadores: Es un programa para prevenir la contaminación de virus, estos programas no son muy usados
porque utilizan mucha memoria y disminuyen la velocidad de la ejecución de algunos programas y hasta del computador.
Residentes: Permanecen en memoria para el reconocimiento de un virus desde que es ejecutado. Cada vez que cargamos un programa, el antivirus lo analiza para verificar si el archivo esta infectado o no, con algún virus informático.
TECNICAS DE LOS ANTIVIRUS
Escaneo de Firmas :La mayoría de los programas antivirus utilizan esta técnica. Revisan los programas para localizar una secuencia de instrucciones que son únicas de los virus.
Chequeo de Integridad:
Utilizan el Chequeo de Redundancia Cíclica (CRC), es decir toman las instrucciones de un programa como si fuesen datos y se hace un cálculo, se graban en un archivo los resultados, y luego se revisa si el programa fué modificado o alterado.
Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas, por ejemplo cuando un programa pide cargarse en memoria y permanecer residente, alterar el área de arranque o modificar un archivo de algún programa. Esta técnica funciona residente en memoria supervisando continuamente cuando se ejecuta un programa, entonces intercepta los llamados a funciones sospechosas.
Análisis Heurístico :Analiza cada programa sospechoso sin ejecutar sus instrucciones, lo que hace es desensamblar el código de máquina para saber que haría el programa si se ejecuta. Avisa al usuario si el programa tiene instrucciones para hacer algo raro en un programa normal, pero que es común en los virus, puede revisar varios o todos los programas de un disco, e indica que puede suceder algo raro cuando se ejecute el programa.
ANTIVIRUS INTERNACIONALES
La primera generación de antivirus eran vacunas TSR o eliminad
ores para cada especie de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP para el Brain, MBSTOP para el Marihuana, los cuales debían instalarse en el Autoexec.bat para poder proteger el sistema contra estos virus. Cuando la programación de virus aumentó se volvió imposible ubicar las diferentes vacunas residentes en la memoria y ello
motivó la generación de los softwares antivirus.
Uno de los primeros programas antivirus fueron : FLU-SHOT, VPROTECT y VIRUSCAN.
Actualmente existen muchos programas antivirus, con diversos estilos de programación nombres como el Dr. SOLOMON´S Toolkit de Alan Solomon, NORTON ANTIVIRUS de Symantec, CPAV de
Central Point, F-PROT de Fridrik Skulason, VIRUSSCAN de McAfee entre otros.
A continuación algunos antivirus extranjeros y sus características :
TBAV : THUNDERBYTE ANTIVIRUS
El Thunderbyte Antivirus provee : Detección por firmas (TbScan), chequeo de integridad por cálculo (TbSetup y TbScan), bloqueo de
instrucciones sospechosas (TbMem, TbFile y TbDisk).
F-PROT ANTIVIRUS
Brinda detección de virus por firmas y detección heurística de instrucciones sospechosas.
ANTIVIRUS ANYWARE
Protección permanente, reconoce y elimina más de 11,400 virus, incluyendo los macro virus. Detecta virus no conocidos mediante
el método heurístico, analiza los archivos comprimidos.
VIRUSSCAN DE MCAFEE
Fácil de instalar no ocupa mucha memoria, tiene una grande base de datos, incluyendo los virus macros, permanece en memoria, se actualiza constantemente por Internet.
Entre otros antivirus extranjeros tenemos :
Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software
ANTIVIRUS NACIONALES
THE HACKER
Hacksoft es una empresa peruana dedicada al desarrollo de software de seguridad de datos.
La empresa tiene un prestigio ganado por su producto THE HACKER, el cual protege, detecta y elimina a virus informáticos, esta empresa también
brinda el servicio de asesoramiento y recuperación de la información.
Las primeras investigaciones en el área se inician a finales de 1,990 la primera versión del antivirus THE HACKER es emitida en agosto de 1,992.
PER ANTIVIRUS
En 1,993 se crea
PER SYSTEM S.A., que tiene como principal servicio el desarrollo de software aplicativo para PC´s, haciendo uso en primera instancia del Lenguaje BASIC, luego del Quick BASIC y posteriormente del Turbo Pascal.
En 1,985, inicia sus investigaciones sobre los virus informáticos debido a la aparición en Lima y rápida propagación de los virus (c) Brain y Bouncin
g Ball (Bolita Saltarina), concibiendo así el antivirus PER cumpliendo con las expectativas de los usuarios de esa época, desarrollando permanentemente estudios de investigación como aporte empresarial para la detección, eliminación y prevención de virus a las diferentes Instituciones y Entidades Públicas como a usuarios.
CONCLUSION
ES GENERALES
En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:
No todo lo que afecte el normal funcionamiento de una computadora es un virus.
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
Es imprescindible contar con herramientas de detección y desinfección.
NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede
producir daños graves e indiscriminados.
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
UN DISCO DE SISTEMA PROTEGIDO CONT
RA ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema ope
rativo ejecutable (es decir, que la máquina pueda ser arrancada desd
e este disco) con protección contra escritura y que contenga, por lo m
enos, los siguientes comandos: FORMAT, FDISK, MEM y CHKDSK (o SCA
NDISK en versiones recientes del MS-DOS).
POR LO MENOS UN PROGR
AMA ANTIVIRUS ACTUALIZADO: Se puede considerar actualizado a u
n antivirus que no tiene más de tres meses desde su fecha de creació
n (o de actualización del archivo de strings). Es muy recomendable tene
r por lo menos dos antivirus.
UNA FUENTE DE INFORMACIÓN SOBRE V
IRUS ESPECÍFICOS: Es decir, algún programa, libro o archivo de tex
to que contenga la descripción, síntomas y características de por lo me
nos los cien virus más comunes.
UN PROGRAMA DE RESPALDO DE ÁRE
AS CRÍTICAS: Algún programa que obtenga respaldo (backup) de
los sectores de arranque de los disquetes y sectores de arranque ma
estro (MBR, Master Boot Record) de los discos rígidos. Muchos pro
gramas antivirus incluyen funciones de este tipo.
LISTA DE LUGARE
S DÓNDE ACUDIR: Una buena precaución es no esperar a necesitar a
yuda para comenzar a buscar quién puede ofrecerla, sino ir elaboran
do una agenda de direcciones, teléfonos y direcciones electrónicas de
las personas y lugares que puedan servirnos más adelante.
Si se cuenta con un antivirus comercia
l o registrado, deberán tenerse siempre a mano los teléfonos de soporte técnico.
UN SISTEMA DE PROTECCIÓN RESIDENTE: Muchos
antivirus incluyen programas residentes que previenen (en cierta m
edida), la intrusión de virus y programas desconocidos a la computad
ora.
TENER RESPALDOS: Se deben tener respaldados en disco los a
rchivos de datos más importantes, además, se recomienda respaldar
todos los archivos ejecutables. Para archivos muy importantes, es
bueno tener un respaldo doble, por si uno de los discos de respaldo s
e daña. Los respaldos también pueden hacerse en cinta (tape backup), a
unque para el usuario normal es preferible hacerlo en discos, por el co
sto que las unidades de cinta representan.
REVISAR TODOS LOS DISC
OS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no haya sido
previamente utilizado debe ser revisado, inclusive los programas o
riginales (pocas veces sucede que se distribuyan discos de progr
amas originales infectados, pero es factible) y los que se distribuy
en junto con revistas de computación.
REVISAR TODOS LOS DISCOS Q
UE SE HAYAN PRESTADO: Cualquier disco que se haya prestado a algún
amigo o compañero de trabajo, aún aquellos que sólo contengan arc
hivos de datos, deben ser revisados antes de usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O RE
DES: Una de las grandes vías de contagio la constituyen Internet y los
BBS, sistemas en los cuales es común la transferencia de archivos, pe
ro no siempre se sabe desde dónde se está recibiendo información.
REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se puede considera
r que una buena frecuencia de análisis es, por lo menos, mensual.
Finalmente, es importan
te tener en cuenta estas sugerencias referentes al comportamiento a tener en cuenta frente a diferentes situaciones:
Cuando se va a revisar o desinfectar una computadora, es conveniente apagarla por más de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegido contra escritura, para eliminar virus residentes en memoria
. No se deberá ejecutar ningún programa del disco rígido, sino que el antivirus deberá estar en el disquete. De esta manera, existe la posibilidad de detectar virus stealth.
Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido infectado, es preferible restaurar el sector desde algún respaldo, puesto que en ocasiones, los sectores de
arranque genéricos utilizados por los antivirus no son perfectamente compatibles con el sistema operativo instalado. Además, los virus no siempre dejan un respaldo del sector original donde el antivirus espera encontrarlo.
Antes de restaurar los respaldos es importante no olvidar apagar la computadora por más de cinco segundos y arrancar desde el disco
libre de virus.
Cuando se encuentran archivos infectados, es preferible borrarlos y restaurarlos desde respaldos, aún cuando el programa antivirus que usemos pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si el virus detectado es el mismo para el cual fueron diseñadas las rutinas de desinfección del antivirus, o es una
mutación del original.
Cuando se va a formatear un disco rígido para eliminar algún virus, debe recordarse apagar la máquina por más de cinco segundos y posteriormente arrancar el sistema desde nuestro disquete limpio, donde también debe encontrarse el programa que se utilizará para dar formato al disco.
Cuando, por alguna causa, no se puede erradicar
un virus, deberá buscarse la asesoría de un experto directamente pues, si se pidiera ayuda a cualquier aficionado, se correrá el riesgo de perder definitivamente datos si el procedimiento sugerido no es correcto.
Cuando se ha detectado y erradicado un virus es conveniente reportar la infección a algún experto, grupo de investigadores de virus, soporte técnico de
programas antivirus, etc. Esto que en principio parecería innecesario, ayuda a mantener estadísticas, rastrear focos de infección e identificar nuevos virus, lo cual en definitiva, termina beneficiando al usuario mismo.
Ranking de los más difundidos
1) VBS/LoveLetter: Este virus se distribuye a través del e-mail, en un archivo llamado LOVE-
LETTER-FOR-YOU.TXT.vbs. El LoveLetter worm se activa sobresescribiendo archivos de imágenes y música en drives locales y de red, específicamente archivos con extensión JPG, JPEG, MP3 y MP2
2) Win32/SKA: Este virus generalmente es enviado con el nombre Happy99.exe. Este troyano se encarga de enviar una copia de si mismo a todas las personas
a las cuales se les envía un E-mail.
3) W97/Melissa: El virus se propaga tomando las primeras 50 direcciones del Outlook Global Address Book del usuario
4) Win32/Pretty Park: Este programa cuando corre se copia a si mismo al FILES32.VXD, Y usa al VXD vía el entorno para ejecutar algunos archivos ejecutables. Esto hace que el virus se re-envía a si mismo
a toda la libreta de direcciones
5) W97M/Ethan.A: es un virus de macro de Word97, El virus se propaga a si mismo por la Normal.dot. Hay 3 de 10 chances que el virus modifique las propiedades del documento in fectado de archivos infectados.
¡¡HACKERS!!
ntivirus
Un antivirus es un programa que detecta y elimina virus, gusanos, troyanos y otro software malicioso. Es imprescindible que un producto debe ser parte de la configuración básica de cada equipo.
botnet
Una botnet es una red informática compuesta exclusivamente de los ordenadores infectados. Detrás de estos es un centro de control de la computadora que utilizan las computadoras infectadas para atacar a otros equipos o para enviar spam. A menudo los usuarios de PCs infectados no se dan cuenta de esta actividad maliciosa, un hecho que fácilmente puede conducir a que se conviertan en cómplices involuntarios por los delincuentes cibernéticos.
delito cibernético
Delito Cibernético (delitos informáticos) incluye todos aquellos delitos en los que los equipos juegan un papel clave. Cibercrimen incluye delitos como el acceso a los datos personales (tales como contraseñas), así como los datos de tarjetas de crédito y el fraude de banca en línea.
Drive-By
El drive-by download no tiene conocimiento de la actividad de descarga de software (por lo general maliciosos) en un equipo. Los equipos de los usuarios pueden estar infectados con malware con sólo visitar un sitio web que parece fiable.
Exploit
Una explotación puede ser un programa, una pieza de código o incluso un conjunto de datos escritos por un hacker o un virus que está diseñado para explotar un bug o una vulnerabilidad en una aplicación o sistema operativo.
Cifrado
Esta es una forma muy efectiva de proteger sus datos. El uso de un algoritmo de cifrado que transforma un texto en un código legible. Sólo aquellos que conocen el algoritmo correcto es capaz de descifrar la información secreta y que sea legible. La encriptación es especialmente importante para las computadoras portátiles, para proteger esa información comercial confidencial de miradas indiscretas.
GhostNet espionaje electrónico
GhostNet virus es un espía. Parece que se originó en China y ha sido detectada por investigadores en 2009. Más de 1000 equipos en las embajadas, bancos y ministerios en todo el mundo se dice que han sido infectadas por este virus.
heurística reconocer códigos maliciosos (virus, gusanos, troyanos, etc.
Esta es la técnica utilizada por los antivirus para detectar virus desconocidos en una computadora.
Keylogger
Un keylogger puede ser utilizado por los ciberdelincuentes para obtener datos confidenciales (datos de acceso, contraseñas, números de tarjetas de crédito, PINs, etc), interceptando la entrada de teclado de la PC. Troyanos de puerta trasera suelen estar equipados con un registrador de teclado ..
malware
Este término proviene de la unión de las palabras "maliciosas" y "software" se utiliza para describir todos los programas de ordenador diseñado deliberadamente para causar daño.
hijackers
Los programas "hijackers" son piezas de software que, aunque en realidad no causa daño, técnicamente no entran en la descripción de malware. Estos programas, sin embargo, a menudo son molestos, ya que pueden, por ejemplo, cambia la página de inicio del navegador o cambiar la configuración de búsqueda en Internet.
phishing"
El phishing es un método de fraude generalizado en Internet. El objetivo de un ataque de phishing es robar contraseñas de los usuarios. con el fin de robar información de acceso a cuentas online. El método clásico de "phishing" involucra el envío de mensajes de correo electrónico falso diseñado para asemejarse lo más posible a los informes de los bancos o empresas conocidas. Estos mensajes suelen contener enlaces a sitios web falsos que contienen malware o están diseñados para robar información de acceso .
Control Parental
El control parental es un componente de seguridad en muchos programas de seguridad informática que los padres pueden utilizar para proteger a sus hijos de los peligros de Internet. incluyen características de seguridad para los niños. Además de utilizar estas funciones para limitar la cantidad de tiempo que sus hijos pasan en Internet, los padres también pueden definir los sitios web y los programas pueden ser vistos por comprobar todas sus comunicaciones.
spam
Spam es el término utilizado para describir los mensajes no deseados de correo electrónico. En la actualidad, alrededor del 90 por ciento de todos los mensajes de correo electrónico a esta categoría, muchos de los cuales son anuncios. El spam también se utiliza en los ataques de phishing, y distribuir el código maligno.
problema no es sólo el tráfico de correo electrónico, así como mensajería y aplicaciones para teléfonos móviles que pueden ser utilizados para enviar spam.
troyano
Este es el nombre dado al malware que se disfraza como una aplicación útil, pero en realidad lleva a cabo funciones dañinas en el fondo sin el conocimiento del usuario. Los troyanos no se propagan a otros ordenadores, pero por el contrario se puede instalar la "puerta trasera en el PC
vulnerabilidades
Una vulnerabilidad es un error (agujero de seguridad) en un sistema operativo o las aplicaciones que permite a un hacker o un programador del virus para obtener acceso no autorizado y el control de la computadora de un usuario. Para explotar esta vulnerabilidad, un atacante normalmente escribe un código específico.
Gusano informáticos
Un gusano es un tipo de malware que no sólo causa daño, pero también es capaz de propagarse. Su propagación es a través de ya sea una red o memorias USB, como los gusanos son extremadamente flexibles. El gusano puede, por ejemplo, para explotar agujeros de seguridad en Windows, con el fin de acceder a la computadora, robo de contraseñas y se extendieron a través de las direcciones de correo electrónico almacenadas en la libreta de direcciones del ordenador.
Cuáles son mas dañinos: ¿Los virus (informáticos) actuales, o los antiguos?
Desde que se inició internet, se iniciaron también los virus que atacaban las máquinas sin piedad alguna.Hoy en día, no sólo son las PC, sino los celulares y casi cualquier dispositivo, son un blanco factible para ellos. Y es que así como la tecnología y el mismo internet han evolucionado, también los virus.Es por eso que desde 1989 se reconoce la "potencia criminal" de los virus, recalca neoteo.com. Por ejemplo el virus Jerusalem, que buscaba atentar contra el rendimiento del ordenador, es considerado el primer virus malicioso.Además de ese, existieron otros como el Stoned, que solicitaba la legalización de la marihuana, siendo parte de los virus que eran una especie de broma o prueba de concepto.Otros que aparecieron fueron Dactacrime y FuManchu, este último una modificación del Jerusalem. Así también surgieron las familias de virus Vacsina y Yankee, explica el portal viruslist.com
El Vacsina era de extremo peligro, pues iniciaba un formateo del cilindro del disco duro, que permitía la destrucción de tablas FAT y la perdida de datos; lo que causó una histeria total en el mundo entero. Colombus Day, era el nombre por el que era conocido en Estados Unidos.Más tarde apareció el virus gusano conocido como Wank, que cambiaba los mensajes del sistema por: "Worms against DecNet Killers" y "Tu sistema ha sido oficialmente Wanked". Así como las contraseñas al azar.Disquetes infectados con un troyano también dieron la vuelta al mundo; eran 20 mil discos que llegaron a varias partes del mundo. Luego de 90 descargas, codificaba los nombres de los archivos y los mantenía invisibles y sólo uno accesible, que recomendaba dar dinero a una cuenta específica.
Fue así como a finales de la década de los ochenta, las epidemias de virus invadieron al mundo, lo que llevó a que se iniciaran proyectos para combatirlos y se diera pauta al negocio de los antivirus, con los que las personas sienten más seguridad en sus computadoras y cualquier dispositivo que esté expuesto.
Sin embargo, hoy en día, los virus siguen siendo parte de la configuración básica de cualquier ordenador o dispositivo. Esto porque, a pesar de que pasan los años, no se ha podido erradicar el riesgo de infección en las PC.Hoy en día, virus como los que menciona el sitio onlinegratis.tv, son los que siguen preocupando a los usuarios de la red; tales como el Botnet, el cual es una red informática de ordenadores infectados, que busca atacar a otros equipos enviando spam. La mayoría de los usuarios que lo tienen, no se dan cuenta y lo envían sin saberlo. Seguro te ha tocado verlo cuando alguien, por ejemplo, por el chat te manda una "conversación" con un link. Eso es Botnet. El Drive-By Download es un tipo de virus que una persona acepta al visitar una página, por ejemplo, que parece de confianza, y acepta descargar algo sin saber las consecuencias, que es infectarse de malware.Los Exploit, son aquellas secuencias de comando, pieza de software que buscan causar un error en cualquier aplicación, con el único fin de causar un comportamiento no deseado en los programas de tu computadora o un ataque de denegación de servicio.
El GhostNet es el llamado espionaje electrónico. Se ha detectado en China y ha sido capaz de infiltrarse en miles de computadoras de bancos, embajadas y ministerios de todo el mundo. Es decir, se desarrolla en China, pero tiene información del mundo entero.El Keylogger es un tipo de virus que se utiliza para obtener datos importantes y confidenciales como contraseñas, número de tarjetas y pins; lo hace por medio del registro de pulsaciones que se hacen en el teclado, que después envía por internet, lo que permite que otras personas tengan acceso a tus datos privados. Lo mismo que pasa con el phishing, que por lo general manda correos con identidades falsas que te presentan un link de un sitio web falso también, diseñados para robar tu información.Otra cosa con la que nos podemos encontrar es con los programas hijackers, que básicamente secuestran tu navegador de internet, cambiando las configuraciones de búsqueda.Estos son virus que podemos encontrar dentro de las PC, pero también existen para las Macintosh, a diferencia de la creencia popular de que estas máquinas no tienen virus, sí existen. En los ochenta, el antivirus Virex se creó para detectar y eliminar al Scores, un virus para Mac.
Actualmente, un troyano que se ha difundido por redes sociales y correo electrónico, afecta el sistema operativo de Mac OS X, publicó suite101.net. Es conocido como osx.boonana.a, que luego de instalarse, puede extraer información de tu computadora, extrayendo archivos y enviando información. Generalmente aparece con la leyenda "Is this you in this video?", a la que si le das clic, estás asegurando que entre el malware, con el que se envía spam mediante correo, se modifican ficheros que utilizan password y básicamente tendrás a otra persona en tu equipo que tendrá acceso a información privada como tarjetas de crédito, contraseñas, etcétera. Así que lo mejor que puedes hacer es instalar un antivirus, pero debes tomar en cuenta otras recomendaciones que desde los ochenta son factibles; tales como: realizar respaldos periódicamente, sospechar de todo aquello que no conozcas, conocer lo que instalas en tu equipo y estar al pendiente de correos electrónicos y mensajes en redes sociales. Eres tú contra el virus.
Qué es el phishing y cómo protegerse.
Seguro que estos últimos meses lleva escuchando en los medios de comunicación varias veces la palabra “Phishing” y además relacionándolo la mayoría de la veces con la banca por Internet. Debido a la confusión que existe en algunos internautas noveles y a algún medio de comunicación, que puede llevar a confusión al internauta por el tratamiento de las noticias de forma alarmista, donde incluso se puede deducir que la banca online no es segura, dejando en entredicho la seguridad de las entidades bancarias. Por todo esto, la Asociación de Internautas quiere explicar que es el Phishing y cómo protegerse del mismo.
28-05-2005 - ¿Qué es el Phishing?El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En que consiste?Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad publica", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
¿Cómo lo realizan?El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
http://seguridad.internautas.org/html/1/425.html
Ejemplo de web falsa que simula una entidad bancaria;http://seguridad.internautas.org/html/1/447.html
- Correo electrónico, el más usado y más conocido por los internautas. El procedimiento es la recepción de un correo electrónico donde SIMULAN a la entidad o organismo que quieren suplantar para obtener datos del usuario novel. Los datos son solicitados supuestamente por motivos de seguridad, mantenimiento de la entidad, mejorar su servicio, encuestas, confirmación de su identidad o cualquier excusa, para que usted facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos originales, imágenes oficiales, etc., todo para que visualmente sea idéntica al sitio web original. También aprovechan vulnerabilidades de navegadores y gestores de correos, todo con el único objetivo de que el usuario introduzca su información personal y sin saberlo lo envía directamente al estafador, para que luego pueda utilizarlos de forma fraudulenta: robo de su dinero, realizar compras, etc.
¿Cómo protegerme?La forma más segura para estar tranquilo y no ser estafado, es que NUNCA responda a NINGUNA solicitud de información personal a través de correo electrónico, llamada telefónica o mensaje corto (SMS).
Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o
pérdida y ellos se lo facilitarán. Ellos NUNCA se lo van a solicitar porque ya los tienen, es de sentido común.
Para visitar sitios Web, teclee la dirección URL en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la banca por internet.
¿Como lo denuncio?Cuando usted sea víctima de este tipo de intento de estafa informe a las autoridades competentes, la Asociación de Internautas creó hace varios meses un conducto a través del cual los internautas pueden denunciar los correos que simulan ser entidades bancarias, web falsas o cualquier tipo de estafa por medio del uso de phishing en internet.
Para ello solo tiene que mandar un correo a [email protected] adjuntando el mail recibido o la web que intenta el robo de datos. Nosotros lo denunciamos a la empresa u organismo afectado y avisamos a las fuerzas del Estado.
El propósito de la Asociación de Internautas es evitar y ERRADICAR DE UNA VEZ los posibles intentos de estafas realizado mediante el uso de phishing.
Realizado por;José María Luque GuerreroComisión de seguridad en la red. http://seguridad.internautas.org/ www.seguridadenlared.org Asociación de Internautas. www.internautas.org
Volver<<< VolverImprimir Impresora | PDF
Compartir este articulo:
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario
Tu email: Tu email
Email de tu amigo: Email de tu
