Si necesitas proteger tu Windows XP contra posibles ataques, Tumanual te aconseja leer este tutorial, en el se abordan diferentes situaciones y sus modos de protección.

Como tu, no puedes hacer nada para evitar ser atacado lo que harás será dotarte de una buena defensa, para ello deberás de ajustar Windows XP para no dar ninguna facilidad, ejecutando las normas que te propongo para que navegues de modo más seguro

Si formas parte de una red, corresponderá al administrador de la misma dotarla de las suficientes medidas de seguridad, además de las que tu apliques en tu terminal.

Desactivar compartir discos duros.

Desactiva la opción compartir archivos e impresoras. Y desactiva las conexiones de red que no necesites o que estuvieran instaladas anteriormente. En caso que sea indispensable, comparte sólo las carpetas que sean estrictamente necesarias.

Activar el servidor de seguridad incluido en Windows XP.

Para ello iremos a:

- Panel de Control
- Conexiones de Red, clic botón derecho ratón, clic propiedades
- Clic en avanzadas
- Clic en Proteger mi equipo y mi red protegiendo el acceso desde Internet

La protección se puede ver muy ampliada en este punto eligiendo un software de terceros como por ejemplo Zone Alarm.

Activar el Log de registro de actividad de Internet.

- Panel de Control
- Conexiones de Red, clic botón derecho ratón, clic propiedades
- Clic en avanzadas
- Clic en configuración, y allí activamos el archivo de registro, donde podremos ver el historial de nuestra conexión, paquetes perdidos etc.

Activar restauración del sistema.

Deberemos de tener activada esta opción con anterioridad al error, sino de nada nos servirá. Dicha opción se activa desde:

Inicio, Panel de Control, Sistema, Restaurar Sistema y allí marcamos la opción Restaurar el Sistema.

Windows XP dará mejores resultados si estamos usando el formato de ficheros NTFS. Windows XP creará un punto de restauración en cada uno de los siguientes casos:

- Cuando Instalemos una aplicación que utilice Windows Installer.
- Cuando Instalemos un parche desde Windows Update
- Al recuperar copias de seguridad creadas con Microsoft backup incluido en Windows XP
- Al restablecer la configuración anterior de nuevo.

Esta opción no garantiza la recuperación de los datos incluidos en: Mis documentos, archivos temporales de Internet, Papelera, Cookies, Favoritos, archivos gráficos, bases de datos, correo, etc.

Por lo que queda claro que esta opción solo restaura los ficheros de sistema no los ficheros de uso diario y personales. No borrando ninguno de ellos, sino que los respeta, solo sobrescribe los ficheros de sistema.

¿Como hacerlo?

Iniciaremos Windows XP desde una cuenta administrador, con todas las otras sesiones y programas cerrados antes de empezar.

- Inicio, ayuda y soporte técnico.
- Elegimos la opción Deshacer los cambios?.
- Seguir el menú y elegir el punto de restauración deseado.

Usar la consola de recuperación.

Se recomienda estar experimentado en entornos de comandos para usar esta opción. Usándola podremos:

- Manejar archivos y carpetas, borrar, copiar etc..
- Activar o desactivar servicios.
- Recuperar el sector de arranque del disco
- Recuperar el menú de arranque (F8) si no pudiéramos acceder a el.
- Manejar unidades de discos (formatear, crear etc.)

¿Como hacerlo?

Insertar el CD de Windows XP y reiniciar. Pasando por la BIOS para comprobar que el auto arranque del PC será a través del CD ROM, seguiremos el menú y pulsaremos la letra ?R? al ser requeridos, para de esta forma iniciar la consola de recuperación. Allí elegiremos el número de la instalación a la que queremos acceder, caso de que tengamos multiarranque instalado. No pulses INTRO sino el número. Luego escribe la contraseña de Administrador en PRO o déjala en blanco en HOME.

A partir de aquí depende de tus manitas, ya estas dentro? aunque con ciertas restricciones:
Solo se puede acceder al directorio raíz y la carpeta C:/Windows (u otro nombre), a los ficheros en la carpeta CMDCONS y subcarpetas, y a cualquier disquete, disco extraíble ZIP y CD ROM. No podrás cambiar desde aquí la contraseña del Administrador, ni dispones de ninguna herramienta de edición de texto incorporada.
Aunque algunas de estas restricciones se pueden eliminar, no es el motivo de este artículo.
Para salir escribe EXIT e INTRO para reiniciar el equipo una vez finalizado

Cambiar el destino de los ficheros temporales de navegación por Internet y borrando el destino anterior.

Abriremos IE, iremos a Herramientas, Opciones, General y allí pulsaremos en el botón de Configuración en la sección Archivos Temporales de Internet, una vez allí pulsaremos el botón de Mover Carpeta y seleccionaremos cualquier otra en nuestro disco duro. (Lo mejor es crear una nueva a la que podemos llamar C: emporalNavegacion_ie , eso ayudara a que no se puedan ejecutar programas maliciosos, ya que muchos de ellos presuponen la ubicación por defecto. Si nosotros hemos borrado esta ubicación, los programas maliciosos no tendrán donde ejecutarse y estaremos a salvo.

Cambiar la ubicación y modificar permisos de CMD.exe

Muchos programas maliciosos se sirven del ejecutable de la consola (cmd.exe) para arrancar y causarnos anomalías, para evitarlo procederemos a quitarle todos los permisos de ejecución (botón derecho propiedades) de forma que no pueda ser activado, y al mismo tiempo lo copiaremos a otra ubicación por nosotros conocida donde le daremos permisos y si tenemos que ejecutarlo lo haremos desde ahí. Ya que los programas maliciosos presuponen una ubicación por defecto, en la cual dicho fichero no tendrá permisos para ser ejecutado y fallara el intento de ataque.

Directorio de instalación de Windows XP.

Si disponemos de dos discos duros en el PC, procuraremos instalar Windows XP en nuestro disco D: y no llamar a la carpeta donde se instale D:Windows, solo con llamarla D:WinXP nuestras medidas de seguridad habrán aumentado mucho.

Modificar las opciones del Reproductor de Windows Media.

Herramientas, Opciones, Red y allí modificar los puertos y protocolos, según nuestras necesidades. (Este ajuste deberá hacerla un profesional especializado, o el administrador de la Red caso que estemos en una), no modifique nada si no está seguro de lo que esta haciendo.

Instalar un Antivirus y tenerlo actualizado.

Una buena opción, y como buena noticia comentar que, el nuevo Windows Longhorn incorporará uno de fabricación propia que se instalara por defecto. Un 10 para Microsoft.

También existe software destinado a mostrarnos aquello que ocurre mientras estamos navegando por Internet y darnos la opción de modificar la información que esta entrando o que estamos enviando desde nuestro PC, como ejemplo dos de ellos ambos gratuitos:

MBSA en Español.

Microsoft Baseline Security Analyzer (MBSA). Esencialmente, esta herramienta examina equipos basados en Windows para buscar configuraciones de seguridad incorrectas comunes y genera informes de seguridad individuales por cada equipo que examina.

AD-AWARE en Español.

Con este software disfrutará de una extraordinaria protección contra rastreos (trackware) no deseados y software peligroso que pueda introducirse en su sistema mientras navega por Internet. (Cookies etc…)

La mayoría de las opciones que hemos expuesto, se basan en modificar los valores de una instalación por defecto de WindowsXP, y que presumiblemente serán iguales para la mayoría de los PC a los cuales van dirigidos los ataques.

No tendría ningún sentido hacer un script o un troyano o un virus para que infectara sólo a un PC determinado, sino que se hacen para afectar al máximo de ellos. Teniendo en cuenta esta consideración, ahora comprenderemos la importancia de modificar las carpetas de instalación por defecto.

Autor: Ethek
Fecha:2/25/2004 8:44:22 AM

Palabras Clave:

• activar proteccion contra ataques sey en xp
• proteger windows xp contra
• proteger sector booteo
• proteger registro en xp
• proteger ntfs windows xp
• proteger mi xp
• proteger el registro de windows xp
• proteccion contra ataques wimdowsxp
• comoproteger windows xp
• como proteger un ordenador de posibles ataques

Related posts:

1. Como proteger con contraseñas mis archivos o carpetas
2. Resumen de tipos de ataques mas frecuentes
3. Posibles imágenes de Windows 8 pre-alpha

TIPOS DE ATAQUE

A continuación pego un documento que he estado escribiendo. El objetivo de esto es que:

1. Los que hayan utilizado estos metodos los corrijan en sus objetivos y funcionalidades ya que yo no he experimentado la mayoría.

2. Aprender, aprender, aprender… Como veran el doc. debe tener muchos errores y es mi interes tener un buen resumen de todos ellos. Así que espero criticas.

3. Enseñar (si me dejan aplicar este termino). Para aquellos que no los conocen puede serles util.

4. Si les interesa pueden agregar los que quieran al glosario o a algun apunte que deseen realizar

Lo unico que pido es que si utilizan algunos párrafos me mencionen porque no quiero ser denunciado por plagio en un futuro por alguno de uds )

Saludos

Pany

Scanning (Búsqueda)

El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría también se basan en este paradigma.

El Scaneo de puertos pertenece a la Seguridad Informática desde que era utilizado en los sistemas de telefonía. Dado que actualmente existen millones de números de teléfono a los que se pueden acceder con una simple llamada, la solución lógica (para encontrar números que puedan interesar) es intentar conectarlos a todos.

La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de conectado, grabar el número. En otro caso, la computadora cuelga el teléfono y llama al siguiente número. Scanear puertos implica las mismas técnicas de fuerza bruta. Se envía una serie de paquetes para varios protocolos y se deduce que servicios están “escuchando” por las respuestas recibidas o no recibidas.

Existen diversos tipos de Scanning según las técnicas, puertos y protocolos explotados:

TCP Connect() Scanning

Esta es la forma básica del scaneo de puertos TCP. Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está abierto o que no se puede establecer conexión con a él.

Las ventajas que caracterizan esta técnica es que no necesita de privilegios especiales y su gran velocidad.

Su principal desventaja es que este método es fácilmente detectable por el Administrador del sistema. Se verá un gran número de conexiones y mensajes de error para los servicios en los que se ha conseguido conectar la máquina que lanza el scanner e inmediatamente se ha desconectado.

TCP SYN Scanning

Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecer la conexión. La aplicación del Servidor “escucha” todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos.

La información de control llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos.

Los “paquetes” o segmentos TCP tienen banderas que indican el estado del mismo.

El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios (incluyendo el correo electrónico, el web y el IRC) implica esta conexión entre dos máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama Three-Way Handshake (“conexión en tres pasos”) ya intercambian tres segmentos. En forma esquemática se tiene:

1. El programa Cliente (C) pide conexión al Servidor (S) enviandole un segmento SYN (Synchronize Sequence Number). Este segmento le dice a S que C desea establecer una conexión.

2. S (si está abierto y escuchando) al recibir este segmento SYN (activa su indicador SYN) y envía una autentificación ACK de manera de acuse de recibo a C. Si S está cerrado envía un indicador RST.

3. C entonces ACKea (autentifica) a S. Ahora ya puede tener lugar la transferencia de datos.

Cuando las aplicaciones conectadas terminan la transferencia, realizaran otra negociación a tres bandas con segmentos FIN en vez SYN.

La técnica TCP SYN Scanning, se implementa un scaneo de “media-apertura”, dado que nunca se abre una sesión TCP completa. Se envía un paquete SYN (como si se fuera a usar una conexión real) y se espera por la respuesta. Al recibir un SYN/ACK se envía, inmediatamente, un RST para terminar la conexión y se registra este puerto como abierto.

La principal ventaja de esta técnica de escaneo es que pocos sitios están preparados para registrarlos. La desventaja es que en algunos sistemas Unix, se necesitan privilegios de Administrador para construir estos paquetes SYN.

TCP FIN Scanning- Stealth Port Scanning

Hay veces en que incluso el scaneo SYN no es lo suficientemente “clandestino” o limpio. Algunos sistemas (Firewalls y filtros de paquetes) monitorizan la red en busca de paquetes SYN a puertos restringidos. Para subsanar este inconveniente los paquetes FIN, en cambio, podrían ser capaces de pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos, en cambio, suelen ignorar el paquete en cuestión.

Este es un comportamiento correcto del protocolo TCP, aunque algunos sistemas (entre los que se hallan los de Microsoft(r)) no cumplen con este requerimiento, enviando paquetes RST siempre, independientemente de si el puerto está abierto o cerrado. Como resultado, no son vulnerables a este tipo de scaneo. Sin embargo, es posible realizarlo en otros sistemas Unix.

Este último es un ejemplo en el que se puede apreciar que algunas vulnerabilidades se presentan en las aplicación de tecnologías (en este caso el protocolo TCP nacido en los años ´70) y no sobre sus implementaciones. Es más, se observa que una implementación incorrecta (la de Microsoft(r)) soluciona el problema. “Muchos de los problemas globales de vulnerabilidades son inherentes al disño original de algunos protocolos”.

Fragmentation Scanning

Esta no es una nueva técnica de scaneo como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partir una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que pudieran estar ejecutándose en la máquina objetivo.

Sin embargo, algunas implementaciones de estas técnicas tienen problemas con la gestión de este tipo de paquetes tan pequeños, causando una caída de rendimiento en el sistema del intruso o en el de la víctima. Problemas de esta índole convierte en detectables a este tipo de ataque.

Eavesdropping-Packet Sniffing

Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los paquetes que circulan por la red. Los Sniffers pueden ser colocado tanto en una estación de trabajo conectada a la red, como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.

En la cabecera de los paquetes enviados a través de una red, entre otros datos, se tiene, la dirección del emisor y la del destinatario. De esta forma, independientemente de protocolo usado, las tramas llegan a su destino. Cada maquina conectada a la red (mediante una placa con una dirección única) verifica la dirección destino del paquete. Si estas direcciones son iguales asume que el paquete enviado es para ella, caso contrario libera el paquete para que otras placas lo analicen.

Un Sniffers consiste en colocar a la placa de red en un modo llamado promiscuo, el cual desactiva el filtro de verificación de direcciones y por lo tanto todos los paquetes enviados a la red llegan a esta placa (computadora donde está instalado el Sniffer).Inicialmente este tipo de software, era únicamente utilizado por los Administradores de redes locales, aunque con el tiempo llegó a convertirse en una herramienta muy usada por los intrusos.

Actualmente existen Sniffers para capturar cualquier tipo de información específica. Por ejemplo passwords de un recurso compartido o de acceso a una cuenta, que generalmente viajan sin encriptar al ingresar a sistemas de acceso remoto. También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mails entrantes y salientes. El análisis de tráfico puede ser utilizado también para determinar relaciones entre organizaciones e individuos. Para realizar estas funciones se analizan las tramas de un segmento de red, y presentan al usuario sólo las que interesan.

Normalmente, los buenos Sniffers, no se pueden detectar, aunque la inmensa mayoría, y debido a que están demasiado relacionados con el protocolo TCP/IP, si pueden ser detectados con algunos trucos.

Snooping-Downloading

Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla.

Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma.

El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software. Los casos mas resonantes de este tipo de ataques fueron: el robo de un archivo con mas de 1700 números de tarjetas de crédito desde una compañía de música mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.

ATAQUES DE AUTENTIFICACIÓN

Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.

Spoofing-Looping

Spoofing puede traducirse como “hacerse pasar por otro” y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño). Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él.

El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, y tiene la finalidad de “evaporar” la identificación y la ubicación del atacante.

El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país. Otra consecuencia del Looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad están seguramente siendo atacado por un Insider, o por un estudiante a miles de Km de distancia, pero que ha tomado la identidad de otros.

La investigación de procedencia de un Looping es casi imposible, ya que el investigador debe contar con la colaboración de cada Administrador de cada red utilizada en la ruta. El envío de falsos e-mails es otra forma de Spoofing que las redes permiten. Aquí el atacante envía E-Mails a nombre de otra persona con cualquier motivo y objetivo. Tal fue el caso de una universidad en EE.UU. que en 1998, que debió reprogramar una fecha completa de exámenes ya que alguien en nombre de la secretaría había cancelado la fecha verdadera y enviado el mensaje a toda la nómina de estudiantes.

Muchos ataques de este tipo comienzan con Ingeniería Social y los usuarios, por falta de cultura, facilitan a extraños sus identificaciones dentro del sistema usualmente través de una simple llamada telefónica.

Spoofing

Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing

Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima “ve” un ataque proveniente de esa tercera red, y no la dirección real del intruso. El esquema con dos puentes es el siguiente:

Nótese que si la Victima descubre el ataque verá a la PC 3 como su atacante y no el verdadero origen. Este ataque se hizo famoso al usarlo Kevin Mitnick (ver Anexo II).

DNS Spoofing

Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain Name Server-DNS) de Windows NT(c). Si se permite el método de recursión en la resolución de “Nombre”Dirección IP” en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una petición de dirección IP a partir de un nombre que no figura en su base de datos. Este es el método típico (y por defecto) de funcionamiento.

Web Spoofing

En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.

IP Splicing-Hijacking

Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.

Utilización de BackDoors

“Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo”.

Esta situación se convierte en una falla de seguridad si se mantiene, involuntaria o intencionalmente, una vez terminado el producto ya que cualquiera que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos de control normales.

Utilización de Exploits

Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrado un error en los programas utilizados.

Los programas para explotar estos “agujeros” reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo. Nuevos Exploits (explotando nuevos errores en los sistemas) se publican cada día por lo que mantenerse informado de los mismos y de las herramientas para combatirlos es de vital importancia.

Obtención de Passwords

Este método comprende la obtención por “Fuerza Bruta” de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y “diccionarios” que prueban millones de posibles claves hasta encontrar la password correcta. La política de administración de password será discutida en capítulos posteriores.

Uso de Diccionarios

Los Diccionarios son archivos con millones de palabras, las cuales pueden ser passwords utilizadas por los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. El programa encargado de probar cada una de las palabras encripta cada una de ellas (mediante el algoritmo utilizado por el sistema atacado) y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden se ha encontrado la clave de acceso al sistema mediante el usuario correspondiente a la clave hallada. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específico de acuerdo al tipo de organización que se este atacando.

En la siguiente tabla podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo (este número suele ser mucho mayor dependiendo del programa utilizado). Aquí puede observarse la importancia e la utilización de passwords con 8 caracteres de longitud (al menos) y con todos los caracteres disponibles.

DENIAL OF SERVICE (DOS)

Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.

Jamming o Flooding

Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más pueda utilizarla.

Aquí el atacante satura el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (usando Spoofing y Looping). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por el “ping de la muerte” (una versión-trampa del comando ping). Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemas vulnerables. Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas destinos.

Syn Flood

Como ya se explicó en el TCP SYN Scanning el protocolo TCP se basa en una conexión en tres pasos. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado “semiabierto”. El Syn Flood es el más famoso de los ataques del tipo Denial of Service, publicado por primera vez en la revista Phrack. Se basa en un “saludo” incompleto entre los dos hosts. El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el host hostil responda antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se responde a ninguna), el Servidor estará inactivo mucho tiempo esperando respuesta. Esto ocasiona la lentitud en los demás servicios.

El problema es que muchos sistemas operativos tienen un límite muy bajo en el número de conexiones “semiabiertas” que pueden manejar en un momento determinado. Si se supera ese límite, el servidor sencillamente dejará de responder a las nuevas peticiones de conexión que le vayan llegando. Las conexiones “semiabiertas” van caducando tras un tiempo, liberando “huecos” para nuevas conexiones, pero mientras el atacante mantenga el Syn Flood, la probabilidad de que una conexión recién liberada sea capturada por un nuevo SYN malicioso es muy alta.

La potencia de este ataque reside en que muchos sistemas operativos fijan un límite del orden de 5 a 30 conexiones “semiabiertas”, y que éstas caducan alcabo de un par de minutos. Para mantener el servidor fuera de servicio, un atacante sólo necesita enviar un paquete SYN cada 4 segundos (algo al alcance de, incluso, un módem de 300 baudios). Este ataque suele combinarse también con el IP Spoofing, de forma de ocultar el origen del ataque.

Connection Flood

La mayoría de las empresas que brindan servicios de Internet (ISP) tienen un límite máximo en el número de conexiones simultaneas. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas. Así, por ejemplo, un servidor Web puede tener, por ejemplo, capacidad para atender a mil usuarios simultáneos. Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar nuevas conexiones, (como ocurre con el caso del Syn Flood) para mantener fuera de servicio el servidor.

Net Flood

En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas para cursar tráfico útil. Un ejemplo habitual es el de un teléfono: si alguien quiere molestar, sólo tiene que llamar, de forma continua. Si se descuelga el teléfono (para que deje de molestar), tampoco se puede recibir llamadas de otras personas. Este problema es habitual, por ejemplo, cuando alguien intenta mandar un fax empleando el número de voz: el fax insiste durante horas y sin que el usuario llamado pueda hacer nada al respecto.

En el caso de Net Flooding ocurre algo similar. El atacante envía tantos paquetes de solicitud de conexión que las conexiones auténticas simplemente no pueden competir. En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la línea. El siguiente paso consiste en localizar las fuentes del ataque e informar a sus Administradores, ya que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea Ip Spoofing, esto puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a su vez, víctima y el origen último puede ser prácticamente imposible de determinar.

Land Attack

Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP de las plataformas Windows(c). El ataque consiste en mandar a algún puerto abierto de un servidor (generalmente al 113 o al 139) un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección y puerto destino. Por ejemplo se envían un mensaje desde la dirección 10.0.0.1:139 hacia ella misma. El resultado obtenido es que luego de cierta cantidad de mensajes enviados-recibidos la máquina termina colgándose.

Existen ciertas variantes a este método consistente, por ejemplo, en enviar el mensaje a una dirección específica sin especificar el puerto Smurf o Broadcast Storm. Este ataque es bastante simple y a su vez devastador. Consiste en recolectar una serie de direcciones para a continuación mandar una petición ICMP (simulando un Ping) a cada una de ellas en serie, varias veces, falsificando la dirección IP de origen. Este paquete maliciosamente manipulado, será repetido en Broadcast, y cientos ó miles de hosts (según la lista de direcciones de Broadcast disponible) mandarán una respuesta a la víctimacuya dirección IP figura en el paquete ICMP.

Supernuke o Winnuke

Un ataque característico (y quizás el más común) de los equipos con Windows(c) es el Nuke, que hace que los equipos que escuchan por el puerto UDP 137 a 139 (utilizados por los protocolos Netbios de Wins), queden fuera de servicio (o disminuyan su rendimientos) al enviarle paquetes UDP manipulados. Generalmente se envían fragmentos de paquetes, que la máquina víctima detecta como inválidos pasando a un estado inestable.

Teardrop I y II-Newtear-Bonk-Boink

Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT(c) 4.0 de Microsoft(r) es especialmente vulnerable a este ataque. Aunque existen Patchs (parches) que pueden aplicarse para solucionar el problema, muchas organizaciones no lo hacen, y las consecuencias pueden devastadoras.

Los ataque tipo Teardrop son especialmente peligrosos ya que existen multitud de implementaciones (algunas de ellas forman paquetes), que explotan esta debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink.

E-Mail Bombing-Spamming

El E-Mail Bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando así mailbox del destinatario.El Spamming, en cambio se refiere a enviar el e-mail miles de usuarios, hayan estos solicitados el mensaje o no. Es muy utilizado por las empresas para publicitar sus productos. El Spamming esta siendo actualmente tratado por las leyes europeas como una violación de los derechos de privacidad del usuario.

ATAQUES DE MODIFICACIÓN-DAÑO

Tampering o Data Diddling

Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de “bajar” el sistema por parte del atacante; el Administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un competidor.

Son innumerables los casos de este tipo: empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule una deuda impositiva. Múltiples Web Sites han sido víctimas del cambio en sus páginas por imágenes (o manifiestos) terroristas o humorísticos, como el ataque de The Mentor, ya visto, a la NASA. Otras veces se reemplazan versiones de software por otros con el mismo nombre pero que incorporan código malicioso (virus, troyanos, etc.). La utilización de programas troyanos y difusión de virus esta dentro de esta categoría, y se profundizará sobre el tema en otra sección el presente capítulo.

Borrado de Huellas

El borrado de huellas es una de las tareas mas importantes que debe realizar el intruso después de ingresar en un sistema, ya que si se detecta su ingreso el Administrador buscará como conseguir “tapar el hueco” de seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo. Los archivos Logs son una de la principales herramientas (y el principal enemigo del atacante) con las que cuenta un Administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos

Ataques Mediante Java Applets

Java es un lenguaje de programación interpretado desarrollado inicialmente por SUN. Su mayor popularidad la merece en su alto grado de seguridad. Los más usados navegadores actuales, implementan Máquinas Virtuales Java (MVJ) para ser capaces de ejecutar programas (Applets) de Java. Estos Applets, al fin y al cabo no son más que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los Applets son de tal envergadura (imposibilidad de trabajar con ficheros a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad en las implementaciones de las MVJ.

Ataques Mediante JavaScript y VBScript

JavaScript (de empresa Netscape(r)) y VBScript (de Microsoft(r)) son dos lenguajes usados por los diseñadores de sitios Web evitando el uso de Java. Los programas realizados son interpretados por el navegador. Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript, se pueden encontrar algunos de los siguientes:

* Cuando apareció JavaScript, éste permitía el envío de mensajes de correo electrónico sin el reconocimiento del usuario, la lectura del historial de páginas visitadas, la lectura de directorios y de archivos. Estas fueron razón más que suficiente para que cientos de intrusos informáticos se aprovecharan de estas debilidades.

* El problema más importante apareció en Netscape 2.0 y fue bautizado como “Stuck On Load”. Lo que sucedía es que se podía crear una ventana de 1*1 pixeles, por la cual los intrusos podían seguir extrayendo información sin que el usuario se enterase y aún cuando éste hubiese salido de la página, ya que esta ventana (un simple punto en la pantalla) era imperceptible para el usuario.

Ataques Mediante ActiveX

ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft(r). Mediante ActiveX es posible reutilizar código, descargar código totalmente funcional de un sitio remoto, etc. Esta tecnología es considerada la respuesta de Microsoft(r) a Java. ActiveX soluciona los problemas de seguridad mediante certificados y firmas digitales. Una Autoridad Certificadora (AC) expende un certificado que acompaña a los controles activos y a una firma digital del programador. Cuando un usuario descarga una página con un control, se le preguntará si confía en la AC que expendió el certificado y/o en el control ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin ningún tipo de restricciones (sólo las propias que tenga el usuario en el sistema operativo). Es decir, la responsabilidad de la seguridad del sistema se deja en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la acción o un perfecto novato en la materia.

Esta última características es el mayor punto débil de los controles ActiveX ya que la mayoría de los usuarios aceptan el certificado sin siquiera leerlo, pudiendo ser esta la fuente de un ataque con un control dañino.

La filosofía ActiveX es que las Autoridades de Certificación se fían de la palabra del programador del control. Es decir, el programador se compromete a firmar un documento que asegura que el control no es nocivo. Evidentemente siempre hay programadores con pocos escrúpulos o con ganas de experimentar. Así, un conocido grupo de hackers alemanes, desarrolló un control ActiveX maligno que modificaba el programa de Gestión Bancaria Personal Quicken95(c) de tal manera que si un usuario aceptaba el control, éste realizaba la tarea que supuestamente tenía que hacer y además modificaba el Quicken, para que la próxima vez que la víctima se conectara a su banco, se iniciara automáticamente una transferencia a una cuenta del grupo alemán .

Otro control ActiveX muy especialmente “malévolo” es aquel que manipula el código de ciertos exploradores, para que éste no solicite confirmación al usuario a la hora de descargar otro control activo de la Web. Es decir, deja totalmente descubierto a ataques con tecnología ActiveX el sistema de la víctima. La autentificación de usuarios mediante Certificados y las Autoridades Certificadoras será abordada con profundidad en capítulos posteriores.

Ataques por Vulnerabilidades en los Navegadores

Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan las tecnologías que implementan, aunque en este punto analizaremos realmente fallos intrínsecos de los navegadores, como pueden ser los “Buffer Overflow”. Los “Buffer Overflows” consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo, cuando el usuario escribe una dirección en formato URL ésta se guarda en un buffer para luego procesarla. Si no se realizan las oportunas operaciones de comprobación, un usuario podría manipular estas direcciones.

Los protocolo usado pueden ser HTTP, pero también otros menos conocidos, internos de cada explorador, como el “res:” o el “mk:”. Precisamente existen fallos de seguridad del tipo “Buffer Overflow” en la implementación de estos dos protocolos. Para poder lanzar este tipo de ataques hay que tener un buen conocimiento de lenguaje Assembler y de la estructura interna de la memoria del Sistema Operativo utilizado. También se puede citar el fallo de seguridad descubierto por Cybersnot Industries(r) relativo a los ficheros “.lnk” y “.url”de Windows 95(c) y NT(c) respectivamente. Algunas versiones de Microsoft Internet Explorer(c) podían ser utilizadas para ejecutar la aplicación que se deseara siempre que existiera en el ordenador de la víctima (por ejemplo el tan conocido y temido format.com).

Para más información relacionada con los ataques intrínsecos a los navegadores, se aconsejan las páginas no oficiales de seguridad tanto en Internet Explorer(c) como en Netscape Communicator(c).

EXPLOTACIÓN DE ERRORES DE DISEÑO, IMPLEMENTACIÓN Y OPERACIÓN

Muchos sistemas están expuestos a “agujeros” de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de “puertas invisibles” son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible.

Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows(c)). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.

Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.

Saludos — Pany —

Palabras Clave:

• ataque de modificacion en informatica
• ataques más comunes a servidores
• tampering o data diddling tuto en español

Related posts:

1. Como proteger contra posibles ataques tu Windows XP
2. Cuales son los tipos de archivos, extensiones y los programas para su uso
3. Graba búsquedas frecuentes en Windows 7

Con Windows XP Professional, puede conectar varias computadoras directamente para crear su propia red peer-to-peer ideal para el hogar o una oficina pequeña. Cada computadora es un igual o “peer” para las otras, por este motivo el nombre.

Es este tipo de red usted puede:
Compartir archivos, carpetas, impresoras, escáneres y máquinas de fax de su computadora con otras en la red.

Permitir a los usuarios acceder a Internet a través de una conexión. Con esta red usada en casa, los miembros de la familia pueden conectarse a Internet desde diferentes computadoras, individualmente o al mismo tiempo, a través de una línea telefónica.

Windows XP Professional incluye el Asistente para configuración de red y ofrece mucha información acerca de la planeación e implementación de una red en un negocio pequeño o en el hogar.

Para iniciar el Asistente para configuración de red:
Haga clic en Inicio y vaya hacia Programas, después haga clic en Accesorios, Comunicaciones, y entonces Asistente para configuración de red.

Palabras Clave:

• como configurar red peer to pear
• como crear una red entre computadoras xp tutorial
• como se configura una red per to per en windows xp
• configurar red peer to peer win 7
• configurar red xp facilmente
• crear peer to peer xp
• red peer to peer windows 7
• redes peer to peer para windows xp
• tutoriales redes peer to peer

Related posts:

1. ¿Cómo crear cuenta de usuario nuevo?
2. ¿Cómo crear un archivo nuevo?
3. Crear y restaurar copias de seguridad de datos

Windows XP Pro se reserva el 20% del ancho de banda disponible, con el fin de ejecutar aplicaciones especiales. La retención se produce mediante el denominado el programador de paquetes QoS (Quality of Service ? Calidad del Servicio), encargado de la optimización de redes locales.

La idea que inspiró QoS es excelente. En un ambiente normal de oficina, QoS es usado para asegurar que el tráfico digital fluya por la red de la manera más eficiente posible. El programa impide que una máquina de la red quede colgada porque otro usuario recarga la red bajando, por ejemplo, pesados archivos multimedia.

Sin embargo, para los usuarios privados, que sólo tienen un PC en casa, QoS no es una función necesaria; sino todo lo contrario. Windows XP Pro reserva el 20% del ancho de banda aunque el usuario cancele la función QoS, los usuarios de Windows XP tienen la posibilidad de configurar el porcentaje de ancho de banda que QoS ha de reservar, siguiendo estos pasos:

Inicio-Ejecutar y escribe gpedit.msc y pulsa Enter.

Aparecerá el editor de directivas de grupo en la izquierda.

Configuración del equipo – plantillas administrativas – red, en la ventana de la derecha haz clic sobre Programador de paquete QoS y luego en limitar ancho de banda reservado.

En la pestaña de configuración selecciona Habilitada.

En el menú desplegable limite de ancho de banda escribe 0.

Aceptamos y ya estaremos aprovechando  todo nuestro ancho de banda.

Aquí está la explicación oficial de Microsoft, que desmiente todo eso expuesto anteriormente (que fue difundido por una mala interpretación y comprensión del tema):

Explicación Oficial sobre QoS por Microsoft ;Explicación Oficial Parte 2

“Aclaración acerca de QoS en equipos que ejecutan Windows XP
Al igual que en Windows 2000, los programas pueden aprovechar QoS a través de las interfaces de programación de aplicaciones (API) de Windows XP. Hay un cien por ciento de ancho de banda disponible para compartir entre todos los programas a menos que un programa solicite específicamente ancho de banda prioritario. Ese ancho de banda “reservado” sigue estando disponible para los demás programas si el programa que lo ha solicitado no está enviando datos. De forma predeterminada, los programas pueden reservar un ancho de banda agregado de hasta el 20 por ciento de la velocidad del vínculo subyacente en cada interfaz de un equipo. Si el programa que reservó el ancho de banda no está enviando datos suficientes para utilizarlo completamente, la parte sin utilizar del ancho de banda reservado queda disponible para otros flujos de datos del mismo host.

Para obtener más información acerca del programador de paquetes de QoS, consulte la Ayuda de Windows XP. Hay información adicional acerca de QoS de Windows 2000 disponible en la biblioteca técnica de Windows 2000.

Corrección de algunas afirmaciones incorrectas acerca de la compatibilidad de QoS de Windows XP
En varios artículos técnicos publicados y artículos de grupos de noticias se afirma que Windows XP siempre reserva el 20 por ciento del ancho de banda disponible para QoS.

Estas afirmaciones son incorrectas.

La información de la sección “Aclaración acerca de QoS en equipos que ejecutan Windows XP” de este artículo se describe correctamente el comportamiento de los sistemas Windows XP.”

Esta otra web explica que no sirve para internet:Explicación DSL Reports

Salu2.

@Sonic999

Palabras Clave:

• como hacer qos en win xp
• como quitar el 20 porciento que windows se reserva para internet en vista
• como quitar el porcentaje de banda de window
• como se hace una red con windows xp proesional
• qutar el 20 por ciento de winwos
• windows xp profesional en una red

Related posts:

1. Una sencilla manera de quitar el ancho de banda del QoS
2. Cómo acelerar el acceso a los programas
3. Cómo hacer para que programas de XP se ejecuten en Vista

Mientras los anexos son populares y convenientes formas para mandar documentos, son también una fuente común de virus.
Deben ser usados con precaución cuando se abren, aún cuando parecen haber sido enviados por alguien conocido. Usando cuidadosamente los anexos de correos

Los correos circulan fácilmente. Anexar correos es tan sencillo que los virus pueden rápidamente infectar muchas maquinas.

La mayoría de los virus ni siquiera requieren que los usuarios manden un correo el mismo, estos escanean usuarios de la computadora para encontrar direcciones de correo y automáticamente envían mensajes infectados a todas las direcciones que encuentran. Los atacantes toman ventaja de que los usuarios confiaran en que los mensajes son enviados por alguien de confianza.

Los programas utilizados para enviar correos tratan de enviarse a todos los usuarios.

Casi cualquier tipo de archivo puede ser enviado como anexo mediante un correo electrónico, así que los atacantes tiene más libertad para mandar todo tipo de virus

Algunos programas de correo tiene características que facilitan la vida a los usuarios.

Tienen la opción de bajar automáticamente los archivos anexados, los cuales exponen la computadora a un ataque de virus por medio de estos anexos.

¿Qué medidas se pueden tomar para protegerse, así como para proteger a los contactos de la agenda de direcciones?

Se debe estar atento de anexos no solicitados , aun por los de personas conocidas.

No porque un mensaje diga que viene de mama, de la abuela o del jefe no significa que lo sean. Muchos virus pueden rastrear la dirección de regreso, haciéndolo parecer autentico. Si es posible, verificarlo con la persona que supuestamente lo envió el mensaje para asegurarse de que es legitimo antes de abrir el anexo.

Esto incluye mensajes en donde viene el nombre de la marca del software que se tiene en la maquina asegurando que son parches para dicho software.

Guardar y escasear cualquier anexo antes de abrirlo

Si se tiene que abrir un anexo antes de verificar la fuente, se deben tomar los siguientes pasos:
Asegurarse de las firmas en el software anti-virus están actualizadas
Salvar el archivo en el disco duro de la computadora.
Escanear manualmente el archivo utilizando el software antivirus.
Abrir el archivo.
Desactivar la opción de bajar los anexos para simplificar el proceso de lectura de correos muchos software ofrecen dicha característica. Se debe verificar la configuración si es que el software ofrece esta opción, y asegurarse de desactivarla.
Considerar practicas adicionales de seguridad Se pueden filtrar ciertos tipos de anexos a través del software de correo o mediante un firewall personal por ejemplo.

Palabras Clave:

• como anexo un link a un correo electronico
• como defragmentar un correo anexado
• enviar anexos desde iphone
• mail con correos anexos
• pasos al enviar un correo electronico con anejo

Related posts:

1. ¿Que son y que hacer ante mensajes enganosos y cadenas?
2. ¿Que hacemos ante la amenaza de un virus informatico?
3. ¿Que es y como combatimos un Troyano?

El formato del contenido del archivo hosts es el siguiente
127.0.0.1 localhost
72.9.249.210 www.trucoswindows.net

Ubicación del archivo hosts
En sistemas Windows 95/98/Me:
C:Windows

En sistemas Windows NT/2000/2003
C:WinntSystem32driversetc

En sistemas Windows XP
C:WindowsSystem32driversetc

La dirección IP:
Son los números que identifican de forma inequívoca a una determinada computadora en una red. Para las computadoras, este es un sistema mucho más sencillo y eficiente de denotarlas. Otro uso de las direcciones IP, o más bien una extensión de su uso, es identificar sitios web, es a esta orientación a la que dirigiremos nuestro desarrollo.

Las direcciones IP están formadas por cuatro bloques de números que van desde el 0 hasta el 255, lo cual significa que el primer número o dirección IP es el 0.0.0.0 y el último es el 255.255.255.255. Al menos es así en líneas generales. Aunque hay mucho más que decir sobre estos números, no viene al caso en este breve artículo.

El nombre de dominio:
Al igual que para las computadoras es mucho más sencillo manejar números como identificadores, para los seres humanos, es más fácil manejar palabras, por lo tanto, nosotros nos referimos a las computadoras que forman una red mediante nombres. Estos nombres, son, por ejemplo, cosas como: trucoswindows.net, google.com, internic.net, etc.

Recurso de red:
Es todo aquello que puede ser requerido o direccionado mediante una dirección IP, por ejemplo, una impresora, un scanner, una computadora, un sitio web, etc.

¿Qué es el archivo hosts?

Es un archivo de texto que contiene direcciones IP y nombres de sitios web relacionados en pares unívocos.

¿Cuál es el fin principal del archivo hosts?

Cuando una máquina se conecta a una red y desde una aplicación hacemos una petición para ver un recurso de red, lo hacemos con el léxico que no es común, es decir, mediante palabras; usamos Nombres de Dominio.

Para la máquina, estos Nombres de Dominio, no tienen mayor sentido, por lo tanto, han de traducirse a algo que puedan entender antes de proveernos con un resultado o respuesta, para hacer esto, recurren a máquinas con listas que relacionan los Nombres de Dominio con sus respectivas direcciones IP.

Esta solicitud, suele ser realizada a unas máquinas específicas que se encuentran en diversas partes del mundo; a su vez, estas máquinas han de responder las solicitudes de cientos o miles de máquinas, lo cual puede resultar un poco complicado. Sin embargo, el sistema cuenta con una herramienta interna y sencilla para evitar estas peticiones, al menos algunas de ellas. Como podrán imaginar, esta herramienta es el archivo hosts.

Hay otras herramientas más poderosas y completas, pero eso queda fuera del alcance de este articulo.

Así que el fin principal de este archivo, es descargar de trabajo a los Servidores de Nombres de Dominio y acelerar la obtención de resultados en las máquinas locales al solicitar recursos de red.

Mecánica de resolución de Nombres de Dominio:
En líneas generales, el sistema sigue este orden para obtener la dirección IP que le corresponde a un Nombre de Dominio:
El propio sistema (localhost)
El archivo hosts
Un Servidor de Nombres de Dominio

¿Cómo ayuda a acelerar la navegación el archivo hosts?

Hemos visto que el sistema trata de conseguir la dirección correcta primero en el archivo hots que en un Servidor de Nombres, por lo tanto, si tenemos la dirección de un sitio que queramos visitar en nuestro archivo hosts, accederemos a este antes que si hemos de consultar su dirección en otra máquina de la red y más aun si la máquina con la respuesta es externa a nuestra red.

Dependiendo del sistema, este paso es más notorio.

Hay que mencionar que si agregamos a esta lista de direcciones las correspondientes a sitios que frecuentemos o que tengan una sola dirección IP, ganaremos un poco de velocidad, pero si lo hacemos con grandes sitios distribuidos por el globo, perderemos eficiencia y calidad de servicio. Por ejemplo, si asignamos a un buscador una dirección determinada, puede ocurrir que si un día dicha máquina está averiada, en mantenimiento o desactualizada, no podamos acceder en modo alguno al buscador ya que nuestro sistema estará encadeado a esa dirección.

Personalmente, desaconsejo el uso de este archivo para tratar de acelerar la localización de paginas que frecuentemos ya que cualquier día pueden cambiar de ip y en un primer momento, cuando no podamos llegar a ellas, no sabremos que ha pasado. Dependiendo de cada uno, recordar que tenemos la página en cuestión asignada en el archivo hosts, puede llevarnos unos minutos o varios días.

¿Cómo ayuda a aumentar la seguridad el archivo hosts?

Como hemos visto ya, existe una dirección que es común a todas las máquinas, esta dirección es 127.0.0.1 o localhost.

Si a cualquier Nombre de Dominio le asignamos esta dirección en nuestro archivo hosts, los navegadores y demás aplicaciones que hagan uso de este archivo, no podrán acceder correctamente al recurso ya que habremos modificado su dirección.

Recordemos que para la computadora los nombres que nosotros escribimos y recordamos no significan nada y más aun, carecen del valor intrínseco que les otorgamos, para nuestro sistema google.com puede hallarse en 64.233.183.147 o en 127.0.0.1.

Pero claro, no nos interesa que google.com esté en nuestra máquina, ya que obviamente no lo está y si desde un navegador tratamos de acceder al buscador, no podremos realizar ninguna. Sin embargo, siguiendo con el mismo razonamiento, podemos asignar la dirección local a todos aquellos sitios que consideramos inadecuados por una u otra razón.

Por ejemplo, si no queremos que nuestro sistema pueda acceder a trucoswindows.net, bastará con que agreguemos al archivo hosts la siguiente línea:
127.0.0.1 trucoswindows.net

Con ello estaremos indicando que trucoswindows.net se encuentra en nuestra PC, cosa que es falsa y jamas podremos acceder a la web.

¿Cuál es el contenido mínimo que debe tener el archivo hosts?

Bueno, esto es relativo, pero en principio, debe ser algo así:

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo “#”

#

# Por ejemplo:

#

# 102.54.94.97 rhino.acme.com # servidor origen

# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost

Cuando añadimos el carácter # delante de una línea estaremos eliminando dicha línea, de hay que de lo anteriormente expuesto solamente exista para el sistema que 127.0.0.1 localhost.

Como veis todo lo demás son explicaciones y ejemplos.

¿Cuál es la longitud máxima de este archivo?

Esta pregunta es más interesante, personalmente, tengo un archivo hosts con unas 100 líneas y no conozco un límite real, aunque deberá de existir.

La única desventaja, es que en ciertas configuraciones del Windows, específicamente en sistemas basados en el núcleo NT, la carga del sistema se puede demorar mientras el archico hosts es leído. No hay una buena razón para que el sistema haga esto, sin embargo, ocurre. Pero aun cuando esto ocurra, la desventaja de tener que esperar un poco más por el inicio contra el beneficio de la seguridad agregada, bien vale la pena.

Nota final:
El archivo se llama “hosts.” y no tiene extensión, por lo que para abrirlo deberás de escoger Abrirlo con… escoge el bloc de notas
Es una buena práctica cambiar las propiedades del archivo y marcarlo para que sea de solo lectura, esto le dificulta el trabajo a virus y troyanos que puedan intentar modificarlo.

Palabras Clave:

• que es rhino acme com
• archivo host rhino acme com
• archivos host tutorial
• contenido minimo de archivo hosts en mac
• en informatica que es un archivo host
• manual archivo hosts
• que es rhino acme com?
• rhino acme com

Related posts:

1. ¿Cómo crear un archivo nuevo?
2. Elegir el programa con el que queremos que se abra un archivo
3. Error en archivo DLL ¿Que hago?

Virus

Se trata de programas informáticos capaces de multiplicarse infectando otros archivos. Llegan al ordenador de formas muy diversasfundamentalmente a través de los archivos adjuntos del correoelectrónico y pueden permanecer ocultos en el sistema hasta el momentode activarse. Los hay malos y peores, dependiendo de las órdenes dadaspor su programador: pueden ocasionar sólo pequeñas molestias perotambién incapacitar completa y definitivamente un ordenador.

Virus biológicos

Eltérmino virus para referirse a los programas maliciosos viene de sugran parecido con los virus biológicos. Comparten con éstos las fasesde su ciclo vital y la forma de actuación: igual que los virusbiológicos infectan una célula del organismo humano que a su vezinfectará otras células de su entorno para extenderse, los informáticosinfectan archivos introduciendo en ellos su código. Para que un virusinformático se active y se extienda primero debe ejecutarse.

Gusanos
Al contrario que los virus, los gusanos son un?código malicioso? que se limita a realizar copias de sí mismo y nonecesita infectar otos archivos para multiplicarse. Por tanto no estácreado para infectar y destruir equipos, pero es capaz de consumirrecursos de redes y sistemas hasta saturarlos. Los gusanos son losvirus más abundantes y normalmente se difunden mediante el correoelectrónico (empleando la libreta de direcciones para propagarse)aunque en realidad utilizan varios métodos para distribuirse formamasiva:

- A través de los recursos compartidos de un red local, que pueden terminar colapsando.
- A través de programas de intercambio de archivos P2P (peer to peer), creando en los directorios compartidos archivos con nombres atractivos para que los usuarios los localicen y descarguen.
- Mediante programas de mensajería instantánea, una amenaza creciente, o chat.
- Dentrodel código HTML de los mensajes de correo electrónico, por lo que bastacon pinchar sobre el email (previsualizarlo) para activarlos.

Troyanos

Los caballos de Troya o troyanos son programas que se introducen en elordenador por diversos medios, se instalan de forma permanente y tratande tomar el control del sistema afectado. Se les llama así porque suforma de actuar recuerda a la treta empleada por los griegos paraconquistar Troya: llegan a través de un programa aparentementeinofensivo que al ejecutarse instala el troyano. Aunque no suelen servirus destructivos, pueden capturar datos personales y enviarlos alatacante o abrir brechas de seguridad para que éste pueda tomar elcontrol de la máquina de forma remota (a los que realizan esta acciónse les conoce específicamente como backdoor o ?puerta trasera?).Los troyanos son también muy abundantes, aunquetienen la virtud de pasar desapercibidos para el usuario. Son capacesde llevar a cabo distintos tipos de acciones, por lo que a su vez seles puede clasificar como destructivos, parecidos al resto de virus, backdoors, keylogger (registran las teclas pulsadas por el usuario para que el atacante obtenga información) o fake (muestran falsos mensajes de error con el objetivo de capturar nombres de usuario y contraseñas).
Por tanto, los virus se reproducen infectando a otros archivos o programas, los gusanos se propagan realizando copias de si mismos y los troyanos abren un agujero de seguridad.

Subespecies y mutaciones
La distinción entre virus, gusanos y troyanos topacon el ingenio de los programadores de virus, que cada día idean nuevastécnicas para evadir los sistemas antivirus. Por ejemplo, existengusanos-troyanos, una especie muy abundante, que contienencaracterísticas de ambos tipos de virus, y también ?códigos maliciosos?capaces de propagarse como un gusano e infectar archivos ejecutablescomo los virus.
Además, los virus van cambiando de forma con eltiempo. A medida que rebotan por la Red y caen en manos de usuarios conlos suficientes conocimientos y ganas de molestar, sufren mutaciones(se les modifica o añade nuevo código) que les convierten en más omenos dañinos. En cualquier caso, estas mutaciones sirven paradespistar tanto a las víctimas como a los programas antivirus.

Cómo protegerse
Para minimizar el riesgo de los virus hay quecombinar la precaución con los sistemas de protección (antivirus). Estan importante contar con un antivirus instalado como tenerlo activadopara que vigile el correo electrónico y actualizarlo permanentemente,porque las amenazas se renuevan cada día. Pero la primera barrera deprotección es el propio usuario, que debe saber cómo se contrae unvirus informático y qué debe hacer para evitarlo.
La mayoría de los virus llegan a través del email, escondidos dentro de un archivo adjunto. Por eso:

- No se deben abrir mensajes de procedencia desconocida.
- Jamásse debe abrir un archivo adjunto si no estamos seguros de que la fuentees fiable. Hay que prestar especial atención a las extensiones dearchivo extrañas o dobles (del tipo ?archivo.txt.vbs?).
- Nohacer caso a las alarmas de virus que nos instan a eliminar algúnarchivo del disco duro, seguramente se trate de una falsa amenaza o hoax.

También es posible contraer algún tipo de infección, especialmente programas espía (spyware), al navegar por Internet o al instalar algunos programas gratuitos. Por eso no se deben pinchar en los enlaces de los pop-ups (ventanas emergentes) sospechosos; hay que cerrar las ventanas sin dara ?cancelar? (en ocasiones el propio botón de cancelar es un enlacepara la descarga de software malicioso). Hay páginas web que empleanlos controles ActiveX, tecnología de Microsoft para incluirelementos interactivos en las páginas web, para colar algún virus. Elnavegador Firefox no los acepta y en las opciones de seguridad deInternet Explorer se pueden desactivar u obligar a que pidan permisopara activarse.

Herramientas

La mayoría de los antivirus son programas comerciales por los que hayque pagar, al menos para mantenerlos actualizados. Sin embargo, hayalgunos antivirus de escritorio gratuitos, como BitDefender, AVG Antivirus Free edition o Clam AntiVirus, y herramientas online para escanear el PC, ofrecidas por fabricantes de antivirus como Panda Software, Tred Micro o Computer Associates.
Además, los fabricantes de programas antivirus también suelen colgar en sus páginas web herramientas de desinfección gratuitas para amenazas concretas.

Autor:www.consumer.es

Palabras Clave:

• ante amenaza de troyano
• manual virus gusano troyano
• que hacemos con los virus
• que hacer ante gusanos
• todos codigos para crear virus ;gusanos;troyanos:etc
• tutorial manual de gusanos
• tutoriales para crear programas gusanos

Related posts:

1. ¿Que hacemos ante la amenaza de un virus informatico?
2. Todo sobre virus informaticos – 2
3. Todo sobre virus informaticos – 1

Se denomina troyano (o caballo de Troya, traducción más fiel del inglés Trojan horse aunque no tan utilizada) a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona, pero sin afectar al funcionamiento de ésta.

Un troyano no es de por sí, un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un “troyano” solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano evita provocar daños porque no es su objetivo.

Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.

Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas u otra información sensible.

La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística. Es recomendable también instalar algún software anti troyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano. Otra solución bastante eficaz contra los troyanos es tener instalado un firewall.

Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.

Los troyanos están actualmente ilegalizados, pero hay muchos crackers que lo utilizan.
Las cuatro partes de los troyanos
Los troyanos están compuestos principalmente por dos programas: un cliente (es quién envía las funciones que se deben realizar en la computadora infectada) y un servidor (recibe las funciones del cliente y las realiza, estando situado en la computadora infectada). También hay un archivo secundario llamado Librería (con la extensión *.dll)(pero que no todos los troyanos tienen de hecho los más peligrosos no lo tienen) que es necesaria para el funcionamiento del troyano pero no se debe abrir, modificar ni eliminar. Algunos troyanos también incluyen el llamado EditServer, que permite modificar el Servidor para que haga en el ordenador de la víctima lo que el cracker quiera.
Troyanos de conexión directa e inversa
Los troyanos de conexión directa son aquellos que el cliente se conecta al servidor. A su diferencia los troyanos de conexión inversa son los que es el servidor quién se conecta al cliente; las ventajas de éste son que traspasan la mayoría de los firewall y pueden ser usados en redes situadas detrás de un router sin problemas. El motivo de porque éste obtiene esas ventajas es que la mayoría de los firewall no analizan los paquetes que salen de la computadora infectada, ya que si analizan los que entran (por eso los de conexión directa no poseen tal ventaja); y se dice que traspasa redes porque no es necesario que se redirijan los puertos hacia una computadora que se encuentre en la red.
¿Qué puedo hacer para saber si el programa que acabo de ejecutar es un troyano o no?.
Daremos unas pequeñas pautas generales para intentar descubrir si oculta o no un troyano.
1. Comprobar la nueva aparición de DLLs o EXEs en c:windows o c:windowssystem. Hay diversos métodos. Uno de ellos es usar find con la opción de búsqueda por fecha de modificación o creación. Otra es usar utilidades específicas como FileMon, un utilísimo programa gratuito que podemos obtener de http://www.sysinternals.com/filemon.htm y que ayuda a monitorizar cualquier cambio en el sistema de ficheros.

2. La única manera de mantener el control de nuestra maquina por un troyano es abriendo alguna conexión con nuestro ordenador , para ello comprobaremos las conexiones abiertas con un netstat -an. Cualquier conexión sospechosa debe ser analizada en profundidad.

3. Comprobaremos el Registry de Windows, desconfiando de nuevas entradas que aparecen espontáneamente al ejecutar cualquier programa. Hay que tener especial cuidado con las claves que cuelguen de

HKEY_LOCAL_MACHINESOFTWARE Microsoft Windows CurrentVersion Run,

ya que suele ser el lugar escogido por la mayoría de troyanos para instalar una clave que apunte al fichero que quieren que se ejecute cada vez que se reinicia Windows. En cualquier caso, también nos será de gran ayuda la utilidad gratuita RegMon, que ayuda a monitorizar cualquier cambio en el Registry de Windows.

Por último, no está de más recordar que existen herramientas creadas especialmente para la detección/eliminación de troyanos. Aunque muchos antivirus hoy en día detectan y eliminan muchos troyanos, la protección que ofrecen no puede considerarse, en ningún caso, suficiente. Las herramientas anti-troyanos específicas, aunque aún tienen mucho que mejorar, son en general muy superiores con respecto a los antivirus. Mencionaremos dos de ellas: Jammer, que tiene una versión freeware y LockDown2000.

Fuentes: Wikipedia y Criptonomicón

Related posts:

1. Se encuentra troyano para Linux (bienvenido al club)
2. Como ver las conexiones de red
3. ¿Que hacemos con los virus, gusanos, troyanos…?

¿Qué hacer con los virus informáticos?

En el mundo de la informática hay enfermedades, hay problemas de salud, hay médicos y hay cirugías de vida o muerte. Por eso muchas veces lo mejor es pensar como en la vida real y aplicar, también, el sentido común.

¿Deja usted de salir de casa por temor a contagiarse? ¿Reniega del cuerpo humano cuando sufre una infección? ¿Va con guantes y mascarilla a trabajar por miedo a lo que pueda respirar? Es usted de los que no se conecta a Internet por que está lleno de virus y problemas.

¿Es de los que viaja al trópico sin vacunarse? ¿Le gusta salir a la autopista sin cinturón de seguridad? ¿Deja la puerta de su casa o empresa abierta cuando se marcha por la noche? Es usted de los que navega sin antivirus, o no le importa la procedencia o actualidad de su software.

Seamos sensatos. Por eso conviene mantenerse en el término virtuoso del punto medio, entre el alarmismo y la calma total. La seguridad informática es muy importante, pero no por ello vamos a limitar las posibilidades que la tecnología pone a nuestro servicio. En Microsoft hemos visto empresarios que prácticamente no usan el correo electrónico atemorizados por los virus, y empresas que no disponen de ningún tipo de dispositivo de seguridad, lanzándose al vacío de la ruleta.

Siempre queda aquello de a mi no me ha pasado nunca que es justo lo que dicen todo el día antes de que les suceda por primera vez.

Sea cual sea su caso, algunos consejos se imponen. Como que realice copias de seguridad de sus archivos de forma rutinaria (una vez por semana, por ejemplo), que mantenga actualizados sus programas, y, que no olvide que todo lo que podamos contarle sobre soluciones de protección, pasa porque los programas que tenga instalados sean legales: piratear con la seguridad de su empresa es, además de ilegal, un riesgo demasiado costoso.

Pero ¿qué es un virus?

Un virus es un programa informático que intenta transmitirse de un equipo a otro al adjuntarse por sí mismo a un archivo informático. Un virus requiere normalmente la intervención humana para transmitirse, por ejemplo, al compartir un archivo o abrir un correo electrónico.

Un gusano informático, al igual que un virus, está diseñado para copiarse a sí mismo de un equipo a otro, pero lo hace automáticamente al tomar control de las funciones del equipo que sirven para transportar archivos o información. Una vez que se haya instalado un gusano en su sistema, podrá viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números.

Los virus informáticos, como los que atacan nuestra salud, tienen distintas clasificaciones: por su gravedad, por su tiempo de infección, etcétera. No todos los virus destruyen su ordenador, ni todos actúan el viernes. Es importante que se informe de los tipos que existen y que no desespere tampoco ante la idea de que vayan a surgir nuevos. Muchos profesionales y empresas trabajan a destajo para que usted permanezca tranquilo y concentrado en su negocio.

Una de las tácticas de reproducción más insidiosas de un gusano consiste en enviar más mensajes de correo electrónico con archivos adjuntos malintencionados a todos los contactos en la libreta de direcciones de un usuario. De esta forma se disfraza como un mensaje de correo electrónico que proviene de un amigo de confianza. Por esta razón, es muy importante que sea precavido a la hora de abrir un archivo adjunto de correo electrónico.

Si ya es tarde y su ordenador está infectado, no lo dude, desconéctelo de la red, sobre todo si forma parte de una red local de una empresa, y busque la solución en alguna de las direcciones que le recomendamos. Hasta hoy, siempre que ha habido un virus de extremada gravedad, todas las páginas de desarrolladores de software (Microsoft, panda, symantec, etcétera) han colgado en sus webs las soluciones de forma gratuita y con sencillas explicaciones para solucionar el problema.

Prevenir: El sentido común

La mejor forma de prevenir la infección de un gusano es tomar precauciones al abrir archivos adjuntos de mensajes de correo electrónico. Si recibe un archivo adjunto en un correo electrónico de un amigo, lo más seguro es ponerse en contacto con él y preguntarle si le ha enviado ese archivo adjunto. Si recibe un archivo adjunto en un correo electrónico de alguien a quien no conoce, lo más seguro es eliminarlo.

No conecte sus equipos a Internet si no cumple con las tres reglas que le contamos en este artículo, es como salir a una autopista sin saber si tienes o no los frenos en perfecto funcionamiento.

Cuidado con los archivos que se descarga de la red. Dude de la procedencia de los mismos por defecto.
¿Abre un paquete alegremente si este le llega sin remite a su casa? Igualmente con todo lo que transporte en dispositivos como los disquetes, los cds, etcétera.
Antes de nada, pase el antivirus para asegurarse de que no contienen ningún virus. Que usted tenga cuidado no significa en absoluto que sus amigos lo tengan.

Seguramente su oficina disponga de alguna alarma contratada con una empresa de seguridad. Seguramente esto le supone un gasto adicional.

¿Acaso duda de él? ¿Tuvo alguna duda al contratar a profesionales para que hicieran ese delicado trabajo?
Seguro que no. Pues es casi lo mismo, con la diferencia de que la probabilidad de que un virus se cuele en sus equipos sin protección es cien veces mayor a que lo hagan delincuentes en una oficina sin el cerrojo echado.

De la misma forma ¿acudiría usted a un médico que desconoce las enfermedades de los últimos veinte años? ¿Le inspira confianza un hospital cuyas medicinas se encuentran caducadas? Esto, exactamente esto, es a lo que usted se arriesga con software sin actualizar. ¿Le gustaría que a su hija le opere un cirujano sin título? Esto es dejar su empresa en manos del software pirata. Así de simple.

Los tres pasos que no debe olvidar

La información que Microsoft posee sobre seguridad y protección de los equipos ocuparía varios volúmenes en una enciclopedia. Sin embargo, y con clara intención de hacer las cosas más sencillas, ha resumido en tres pasos lo que usted debe hacer para que su equipo esté protegido. Desde aquí le aconsejamos encarecidamente que considere sagrados estos pasos y no deje de tenerlos presentes.

1.- Utilice un servidor de seguridad. Antes de conectar su equipo a Internet, debería instalar un servidor de seguridad. Es un software o hardware que ayuda a proteger su PC de hackers y muchos tipos de virus y gusanos informáticos. Si dispone, por ejemplo, del sistema operativo Microsoft Windows® XP, utilice el Servidor de seguridad de conexión a Internet integrado.

2.- Mantenga su software actualizado. Cuando usted adquiere software tiene derecho a las actualizaciones del mismo. Éstas se realizan de manera muy sencilla, o incluso automáticamente, como sucede en Microsoft Windows XP.

3.- Utilice un software antivirus actualizado. Un software antivirus es un programa que el equipo ya tiene instalado, o que se adquiere y se instala después. Le ayuda a proteger su equipo contra los virus, gusanos, troyanos y otros invasores no deseados, que pueden hacer enfermar a su equipo. Hay muchos en el mercado y seguramente los conoce (Panda, Symentec, McAfee)

Palabras Clave:

• que hacer ante una amenaza de virus informatico
• como configurar acciones ante una amenaza de un virus informatico
• configurar acciones ante una amenaza de virus informatico
• cuales son las amenazas ante un virus humano
• que hacer en amenaza de virus
• realiza acciones ante una amenza de virus informatico
• VIRUS INFORMATICO LO MAS IMPORTANTE RESUMIDO

Related posts:

1. ¿Que hacemos con los virus, gusanos, troyanos…?
2. Todo sobre virus informaticos – 1
3. Todo sobre virus informaticos – 2

CAMOUFLAGE II: Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla de partición de los discos rígidos. Es bastante simple y fácil de ser detectado.

LEPROSO: Creado en 1993, en Rosario, provincia de Santa Fé. Se activa el día 12 de Enero (cumpleaños del autor), y hace aparecer un mensaje que dice: Felicitaciones, su máquina está infectada por el virus leproso creado por J. P.. Hoy es mi cumpleaños y lo voy a festejar formateando su rígido. Bye… (Vamos Newell”s que con Diego somos campeones).

PINDONGA: Virus polimórfico residente en memoria que se activa los días 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la información contenida en el disco rígido.

TEDY: Es el primer virus argentino interactivo. Apareció hace poco tiempo. Infecta archivos con extensión .EXE, y se caracteriza por hacer una serie de preguntas al usuario.

Una vez activado, una pantalla muestra: ¡TEDY, el primer virus interactivo de la computación!

Responda el siguiente cuestionario: ¿Los programas que Ud. utiliza son originales (s/n) ¿Los de Microsoft son unos ladrones (s/n)

Si se responde afirmativamente a la primer pregunta, el virus contestará: 5 archivos menos por mentiroso

En caso contrario: 2 archivos menos por ladrón. En cuanto a la segunda pregunta, el único mensaje que se ha visto es:

Te doy otra oportunidad para responder bien. Con este virus, los archivos infectados aumentan su tamaño en 4310 bytes.

¿QUÉ NO ES UN VIRUS?

Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.

Estos no-virus carecen de por lo menos una de las tres características identificatorias de un virus (dañino, autorreproductor y subrepticio).

Veamos un ejemplo de estos no – virus : Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de salutación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red.

Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus.

Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no:

BUGS (Errores en programas).

Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs.

Falsa alarma.

Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una falsa alarma luego de correr nuestro programa antivirus.

Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda:

¿Es sólo un archivo el que reporta la falsa alarma? o quizás varios, pero copias del mismo.

¿Solamente un producto antivirus reporta la alarma? Otros productos dicen que el sistema está limpio.

¿Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa.

Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma.

Programas corruptos.

A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.

¿Que es un antivirus?

No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.

La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.

El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda.

La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo.

El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori : es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado.

Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.

En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades.

Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee, que se verá más adelante.

En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados.

Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.

Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.

De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchísimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico.

Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon”s Toolkit.

Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad.

Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.

Modelo antivirus:

La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:

Módulo de control: posee la técnica verificación de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de información de un disco rígido que no son modificados a menos que el usuario lo requiera.

Otra opción dentro de este módulo es la identificación de virus, que incluye diversas técnicas para la detección de virus informáticos. Las formas más comunes de detección son el scanning y los algoritmos, como por ejemplo, los heurísticos.

Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la información del disco rígido.

Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.

Finalmente, el módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la acción de un programa restringiéndole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o evitar que se ejecuten funciones de formato del mismo.

Módulo de respuesta: la función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla.

Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para mantener la operatividad del sistema hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo.

Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.

Detección y prevención.

Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas como la pérdida de performance. De todas maneras la siguiente es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté infectada por alguno de los virus más comunes:

Operaciones de procesamiento más lentas.

Los programas tardan más tiempo en cargarse.

Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido.

Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM disponible, en forma constante o repentina.

Aparición de programas residentes en memoria desconocidos.

La primera medida de prevención a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la única forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al disco rígido de la computadora, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mínimo posible todo tipo de tráfico.

Además de utilizar un sistema antivirus y controlar el tráfico de archivos al disco rígido, una forma bastante eficaz de proteger losarchivos ejecutables es utilizar un programa chequeador de integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes que puedan ser parasitados por un virus convencional, se impediría su accionar.

Para prevenir la infección con un virus de sector de arranque, lo más indicado es no dejar disquetes olvidados en la disquetera de arranque y contar con un antivirus. Pero, además, puede aprovecharse una característica que incorpora el setup de las computadoras más modernas: variar la secuencia de arranque de la PC a primero disco rígido y luego disquetera (C, A). De esta manera, la computadora no intentará leer la disquetera en el arranque aunque tenga cargado un disquete.

Algunos distribuidores o representantes de programas antivirus envían muestras de los nuevos virus argentinos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas versiones o upgrades, con la demora que esto implica.

En consecuencia, la detección alternativa a la de scanning y las de chequeo de actividad e integridad resultan importantes, ya que pueden detectar la presencia de un virus informático sin la necesidad de identificarlo. Y esta es la única forma disponible para el usuario de detectar virus nuevos, sean nacionales o extranjeros.

De todas maneras, existe una forma de actualizar la técnica de scanning. La misma consiste en incorporarle al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de código (strings) significativos del sector vital de cada nuevo virus que todavía no esté incorporado en la base de datos del programa.

De todas formas, esta solución será parcial: la nueva cadena introducida sólo identificará al virus, pero no será capaz de erradicarlo.

Es muy importante que los strings que se vayan a incorporar al antivirus provengan de una fuente confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces.

Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, F-Prot y Thunderbyte.

La NCSA (National Computer Security Association, Asociación Nacional de Seguridad de Computadoras) es la encargada de certificar productor antivirus.

Para obtener dicha certificación los productos deben pasar una serie de rigurosas pruebas diseñadas para asegurar la adecuada protección del usuario.

Antiguamente el esquema de certificación requería que se detectara (incluyendo el número de versión) el 90 % de la librería de virus del NCSA, y fue diseñado para asegurar óptimas capacidades de detección. Pero esta metodología no era completamente eficiente.

Actualmente, el esquema de certificación enfoca la amenaza a las computadoras empresariales. Para ser certificado, el producto debe pasar las siguientes pruebas:

Debe detectar el 100% de los virus encontrados comúnmente. La lista de virus comunes es actualizada periódicamente, a medida que nuevos virus son descubiertos.

Deben detectar, como mínimo, el 90% de la librería de virus del NCSA (más de 6.000 virus)

Estas pruebas son realizadas con el producto ejecutándose con su configuración por defecto.

Una vez que un producto ha sido certificado, la NCSA tratará de recertificar el producto un mínimo de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador del programa. Esta es una buena manera de asegurar que el producto satisface el criterio de certificación.

Si un producto no pasa la primera o segunda prueba, su distribuidor tendrá siete días para proveer de la corrección. Si este límite de tiempo es excedido, el producto será eliminado de la lista de productos certificados.

Una vez que se ha retirado la certificación a un producto la única forma de recuperarla es que el distribuidor envíe una nueva versión completa y certificable (no se aceptará sólo una reparación de la falla.

Acerca de la lista de virus de la NCSA, aclaremos que ningún desarrollador de antivirus puede obtener una copia. Cuando un antivirus falla en la detección de algún virus incluido en la lista, una cadena identificatoria del virus le es enviada al productor del antivirus para su inclusión en futuras versiones.

En el caso de los virus polimórficos, se incluyen múltiples copias del virus para asegurar que el producto testeado lo detecta perfectamente. Para pasar esta prueba el antivirus debe detectar cada mutación del virus.

La A. V. P. D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una asociación formada por las principales empresas informáticas del sector, entre las que se cuentan:

Cheyenne Software

I. B. M.

Intel

McAfee Associates

ON Tecnology

Stiller Research Inc.

S&S International

Symantec Corp.

ThunderByte

Algunos antivirus.

DR. SOLOMON”S ANTIVIRUS TOOLKIT.

Certificado por la NCSA. Detecta más de 6.500 virus gracias a su propio lenguaje de detección llamado VirTran, con una velocidad de detección entre 3 y 5 veces mayor que los antivirus tradicionales.

Uno de los últimos desarrollos de S&S es la tecnología G. D. E. (Generic Decription Engine, Motor de Desencriptación Genérica) que permite detectar virus polimórficos sin importar el algoritmo de encriptación utilizado.

Permite detectar modificaciones producidas tanto en archivos como en la tabla de partición del disco rígido. Para ello utiliza Checksumms Criptográficos lo cual, sumado a una clave personal de cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptación.

Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y tablas de partición la protección es genérica, es decir, independiente del virus encontrado.

Otras características que presenta este antivirus, son:

Ocupa 9K de memoria extendida o expandida.

Documentación amplia y detallada en español y una enciclopedia sobre los virus más importantes.

Actualizaciones mensuales o trimestrales de software y manuales.

Trabaja como residente bajo Windows.

A. H. A. (Advanced Heuristic Analysis, Análisis Heurístico Avanzado).

NORTON ANTIVIRUS.

Certificado por la NCSA. Posee una protección automática en segundo plano. Detiene prácticamente todos los virus conocidos y desconocidos (a través de una tecnología propia denominada NOVI, que implica control de las actividades típicas de un virus, protegiendo la integridad del sistema), antes de que causen algún daño o pérdida de información, con una amplia línea de defensa, que combina búsqueda, detección de virus e inoculación (se denomina “inoculación” al método por el cual este antivirus toma las características principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en dichas áreas, NAV avisa al usuario y provee las opciones de Reparar – Volver a usar la imagen guardada – Continuar – No realiza cambios – Inocular – Actualizar la imagen.

Utiliza diagnósticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos.

El escaneo puede ser lanzado manualmente o automáticamente a través de la planificación de fecha y hora. También permite reparar los archivos infectados por virus desconocidos. Incluye información sobre muchos de los virus que detecta y permite establecer una contraseña para aumentar así la seguridad.

La lista de virus conocidos puede ser actualizada periódicamente (sin cargo) a través de servicios en línea como Internet, América On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros.

VIRUSSCAN.

Este antivirus de McAfee Associates es uno de los más famosos. Trabaja por el sistema de scanning descrito anteriormente, y es el mejor en su estilo.

Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Código).

Una de las principales ventajas de este antivirus es que la actualización de los archivos de bases de datos de strings es muy fácil de realizar, lo cual, sumado a su condición de programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuración de cómo detectar, reportar y eliminar virus.

CONCLUSIONES.

En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:

No todo lo que afecte el normal funcionamiento de una computadora es un virus.

TODO virus es un programa y, como tal, debe ser ejecutado para activarse.

Es imprescindible contar con herramientas de detección y desinfección.

NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede producir daños graves e indiscriminados.

Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:

UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo ejecutable (es decir, que la máquina pueda ser arrancada desde este disco) con protección contra escritura y que contenga, por lo menos, los siguientes comandos: FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes del MS-DOS).

POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO:Se puede considerar actualizado a un antivirus que no tiene más de tres meses desde su fecha de creación (o de actualización del archivo de strings). Es muy recomendable tener por lo menos dos antivirus.

UNA FUENTE DE INFORMACIÓN SOBRE VIRUS ESPECÍFICOS: Es decir, algún programa, libro o archivo de texto que contenga la descripción, síntomas y características de por lo menos los cien virus más comunes.

UN PROGRAMA DE RESPALDO DE ÁREAS CRÍTICAS: Algún programa que obtenga respaldo (backup) de los sectores de arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot Record) de los discos rígidos. Muchos programas antivirus incluyen funciones de este tipo.

LISTA DE LUGARES DÓNDE ACUDIR: Una buena precaución es no esperar a necesitar ayuda para comenzar a buscar quién puede ofrecerla, sino ir elaborando una agenda de direcciones, teléfonos y direcciones electrónicas de las personas y lugares que puedan servirnos más adelante. Si se cuenta con un antivirus comercial o registrado, deberán tenerse siempre a mano los teléfonos de soporte técnico.

UN SISTEMA DE PROTECCIÓN RESIDENTE: Muchos antivirus incluyen programas residentes que previenen (en cierta medida), la intrusión de virus y programas desconocidos a la computadora.

TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos más importantes, además, se recomienda respaldar todos los archivos ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble, por si uno de los discos de respaldo se daña. Los respaldos también pueden hacerse en cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el costo que las unidades de cinta representan.

REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser revisado, inclusive los programas originales (pocas veces sucede que se distribuyan discos de programas originales infectados, pero es factible) y los que se distribuyen junto con revistas de computación.

REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO:Cualquier disco que se haya prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan archivos de datos, deben ser revisados antes de usarse nuevamente.

REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O REDES: Una de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales es común la transferencia de archivos, pero no siempre se sabe desde dónde se está recibiendo información.

REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se puede considerar que una buena frecuencia de análisis es, por lo menos, mensual.

Finalmente, es importante tener en cuenta estas sugerencias referentes al comportamiento a tener en cuenta frente a diferentes situaciones:

Cuando se va a revisar o desinfectar una computadora, es conveniente apagarla por más de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegido contra escritura, para eliminar virus residentes en memoria. No se deberá ejecutar ningún programa del disco rígido, sino que el antivirus deberá estar en el disquete. De esta manera, existe la posibilidad de detectar virus stealth.

Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido infectado, es preferible restaurar el sector desde algún respaldo, puesto que en ocasiones, los sectores de arranque genéricos utilizados por los antivirus no son perfectamente compatibles con el sistema operativo instalado. Además, los virus no siempre dejan un respaldo del sector original donde el antivirus espera encontrarlo.

Antes de restaurar los respaldos es importante no olvidar apagar la computadora por más de cinco segundos y arrancar desde el disco libre de virus.

Cuando se encuentran archivos infectados, es preferible borrarlos y restaurarlos desde respaldos, aún cuando el programa antivirus que usemos pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si el virus detectado es el mismo para el cual fueron diseñadas las rutinas de desinfección del antivirus, o es una mutación del original.

Cuando se va a formatear un disco rígido para eliminar algún virus, debe recordarse apagar la máquina por más de cinco segundos y posteriormente arrancar el sistema desde nuestro disquete limpio, donde también debe encontrarse el programa que se utilizará para dar formato al disco.

Cuando, por alguna causa, no se puede erradicar un virus, deberá buscarse la asesoría de un experto directamente pues, si se pidiera ayuda a cualquier aficionado, se correrá el riesgo de perder definitivamente datos si el procedimiento sugerido no es correcto.

Cuando se ha detectado y erradicado un virus es conveniente reportar la infección a algún experto, grupo de investigadores de virus, soporte técnico de programas antivirus, etc. Esto que en principio parecería innecesario, ayuda a mantener estadísticas, rastrear focos de infección e identificar nuevos virus, lo cual en definitiva, termina beneficiando al usuario mismo.

Trabajo realizado por: Lic. Marcelo Manson.

Palabras Clave:

• manuales de soporte sobre los virus informaticos
• todo sobre informatica ii

Related posts:

1. Todo sobre virus informaticos – 1
2. ¿Que hacemos con los virus, gusanos, troyanos…?
3. ¿Que hacemos ante la amenaza de un virus informatico?