* Prevención
En la actualidad, la principal vía de infección es la propia red: la web, el correo electrónico, los grupos de noticias y el IRC.

Algunos sitios en Internet resultan peligrosos, pero los lugares virtuales con mayor densidad de virus por byte son los grupos de noticias y el correo electrónico. El consejo profiláctico puede sintetizarse en las siguientes orientaciones:

1) No descargar «programas pirateados», sobre todo desde páginas web sospechosas, porque pueden estar infectados.
2) Analizar («escanear») todas las descargas, ya sean ficheros ejecutables o documentos. Es conveniente realizar la operación antes y después de ejecutar los programas o abrir los ficheros.
3) No descargar tampoco «software» pirata desde grupos de noticias.
4) Evitar la lectura de grupos de noticias «underground», que muchas veces vienen mantenidas por maliciosos creadores o propagadores de virus.
5) Desconfiar de las ofertas de «software» desde grupos de noticias. Los mismos o mejores programas se pueden obtener, en sus versiones de prueba, desde las páginas oficiales de los fabricantes profesionales de programas.
6) Rechazar los ficheros adjuntos no solicitados que nos llegan desde los grupos de noticias o a través de nuestra dirección de correo electrónico. Algunos virus suplantan la identidad del usuario infectado, y adjuntan archivos sin permiso a mensajes que ést eenvía o incluso ellos mismos generan mensajes nuevos, utilizando como destinatarios las direcciones de correo que con las que el usuario infectado mantiene correspondencia. Hay dos buenas medidas para evitar este tipo de contagio: por un lado, cuando se quiere enviar un archivo adjunto, indicar en el cuerpo del mensaje el archivo que se está adjuntando, de forma que si no coincide, se debería eliminar y, por otro lado, guardar, pero nunca abrir, el arhcivo sospechoso y preguntar al remitente si realmente se trata de un archivo que nos quiere enviar.
7) Analizar («escanear») los ficheros que los programas clientes (por ejemplo, mIRC o PIRCH) de IRC (Internet Relay Chat) pueden transmitir, pues no es infrecuente que expandan los llamados «gusanos».

* Diagnóstico
Ante la posible presencia de una infección, es de capital importancia no perder la tranquilidad. Borrar archivos o programas «sin ton ni son» puede llevar situaciones peores que las que el propio virus produciría en el curso de la patología. Diariamente se producen, literalmente, miles de ataques víricos en el mundo y, sin embargo, sólo un exiguo porcentaje representa un peligro real para la integridad de los datos. No es un exceso de optimismo señalar que prácticamente todos los virus informáticos pueden ser desinfectados. En el peor de los casos, bastaría con reinstalar el sistema y las aplicaciones de uso más común. En la literatura no se describen sino algún raro caso, epidemiológicamente insignificante, en los que el virus ha llegado a producir el «éxitus» del ordenador.

En definitiva, cuando un virus infecta nuestro ordenador, se pueden producir tres situaciones:

1.ª Que no tengamos antivirus.
En este supuesto, estamos siempre expuestos al contagio y es, absolutamente imprescindible, instalar uno. El problema es qué antivirus elegir. A la hora elegir un antivirus hay que fijarse en cinco parámetros fundamentales:
- Que tenga un «escáner» de calidad. Se trata del módulo principal de todo antivirus, que hace que el programa se ejecute de manera periódica rastreando nuestro disco duro en busca de virus. Lo indicado es que este análisis se realice semanalmente, como mínimo, bien manualmente, o bien programándolo previamente.
- Que contenga el módulo «monitor residente», que, como su nombre indica, reside permanentemente en la memoria y supervisa cualquier operación sospechosa que tienen lugar en el ordenador, avisando cuando se dispone a ejecutar una aplicación potencialmente infectada.
- Que proporcione actualizaciones muy frecuentes. Cada día aparecen nuevos virus, por lo que los programas antivirus caducan con celeridad. Por esta razón es decisivo que el producto se actualice con mucha frecuencia, casi semanalmente. La mayor parte de los antivirus se autoactualizan por Internet, tan pronto como sus programadores crean vacunas para neutralizar los nuevos virus. También se pueden actualizar desde la web del fabricante o por mensajes a nuestro correo electrónico.
- Que tenga la llamada capacidad «heurística» (interpretación). Su funcionamiento está basado en la búsqueda genérica de fragmentos de código que suelen ser característicos de los virus. Gracias a esta capacidad es posible evitar infecciones de virus recién distribuidos por sus creadores, porque el antivirus localiza fragmentos característicos de los virus en uno o más ficheros y los interpreta como sospechos, avisando al usuario de una posible infección.
- Que disponga de soporte técnico, de forma que el usuario tenga la garantía de que todas sus dudas serán resueltas. En la práctica hay tal competencia, que los equipos de programadores de antivirus resuelven los problemas con prontitud y eficacia.

2.ª Que el virus no sea detectado por el antivirus.
Si el virus no está identificado en la lista del antivirus y la capacidad heurística de éste no ha conseguido detectar el virus, el propio usuario descubrirá la presencia del virus por alguna sintomatología: efecto sonoro, efecto gráfico, mensaje en pantalla no solicitado o por cualesquiera otras señales anómalas. Pero no conviene perder la calma, puesto que esta activación del virus (conocida como payload) no suele acarrerar consecuencias graves. En todo caso, hay que aplicar el tratamiento correspondiente, como veremos a continuación.

3.ª Que el virus sea detectado por el antivirus.
En el caso de que el virus sea detectado por el antivirus, puesto que está identificado en su lista, desaparece el problema porque el programa se encarga de eliminar la infección.

* Tratamiento
Toda la acción terapéutica está dirigida a aislar y erradicar la infección. Si el programa antivirus no ha sido capaz de detectar y eliminar el virus, los pasos a seguir son cinco:

1.º Recoger muestras.
La primera medida consiste en copiar en un disquete una selección de los ficheros bajo sospecha de infección. Pero, ¿cuáles son sospechosos de infección? El protocolo de esta punción determina las siguientes actuaciones:

- Acceder a las carpetas que contengan los programas más utilizados.
- Seleccionar los ficheros de extensión «*.exe».
- Copiar dichos archivos al disquete.
- Repetir la operación hasta recoger un mínimo de diez muestras.
- Incluir, asimismo, los ficheros de texto que en encuentren en Inicio/Documentos.

2.º Enviar las muestras a una compañía antivirus.
Los servicios técnicos de los fabricantes de antivirus analizarán las muestras y nos determinarán el tratamiento a seguir. Es importante enviar las muestras desde un ordenador no contagiado. Bastará con seguir el tratamiento indicado para eliminar la infección.

3.º Eliminar los rastros.
Algunos virus pueden dejar algún tipo de activación destructiva cuando se reinicia el sistema. Por tanto, es conveniente:

- Comprobar los contenidos del menú Inicio de Windows.
- Abrir, mediante el Bloc de notas, el fichero C:\autoexec.bat e inspeccionar su contenido en busca de fragmentos del tipo del o deltree, cuya función es borrar ficheros y, en consecuencia, borrar del o deltree.
- Repetir la operación anterior con el fichero C:\winstart.bat, que, en caso de existir, es muy probable que esté favoreciendo al virus.

4.º Desinfectar el ordenador.
Una vez recibida la respuesta del fabricante del programa antivirus se debe copiar la vacuna enviada en un disquete, protegerlo contra escritura y ejecutar el antivirus en el ordenador.

5.º Si las actuaciones clínicas anteriores no ha tenido éxito, es preciso acudir a remedios quirúrgicos, esto es, reinstalar el sistema y las aplicaciones que se deseen. Si no se tiene mucha experiencia, la indicación es que la reinstalación sea efectuada por el equipo técnico de una casa de venta de ordenadores o por un profesional competente.

Autor: SEEIUC
Web: http://www.seeiuc.com