Unidad Didáctica No 02

Protege computadoras de virus

informáticos
CONTENIDOS
ªª Virus herramientas para otros
ªªInformática de la actualidad análisis del antivirus

computación básica
de virus ªªAutoevaluación

Módulo No. 03
ªªEl procesamiento de la
información
ªªTipos de virus informáticos
ªªTécnicas de programación de
virus creado por hackers
ªªComo saber si tiene un virus
ªªLos antivirus
ªªPráctica N°11 Instalar
antivirus
ªªPráctica N°12 Configurar
escudos del antivirus
ªªPráctica N13 Usar

51
51
 UNIDAD
DIDÁCTICA No 02 OBJETIVO DE APRENDIZAJE:
Identificar los virus informáticos existentes en la
Protege computadoras de computadora.
virus informáticos

Virus

Los virus informáticos son programas de

computación hechos por programadores, los
computación básica

cuales se reproducen así mismos e interfieren

con el hardware de una computadora o con su
Módulo No. 03

sistema operativo. Los virus están diseñados para

reproducirse y evitar su detección. Como cualquier
otro programa informático, un virus debe ser
ejecutado para que funcione: es decir, la computadora
debe cargar el virus desde la memoria y seguir sus
instrucciones. Estas instrucciones se conocen
como carga activa del virus. La carga activa puede
trastornar o modificar archivos de datos, presentar
un determinado mensaje o provocar fallos en el sistema operativo.

Informática de la actualidad de virus

Para crear un virus de computadora, no se requiere capacitación especial, ni una

genialidad significativa, sino conocimientos de lenguajes de programación, de algunos
temas no difundidos para público en general y algunos conocimientos puntuales sobre
el ambiente de programación y arquitectura de las computadoras.

En la vida diaria, más allá de las especificaciones técnicas, cuando un programa invade
inadvertidamente el sistema, se replica sin conocimiento del usuario y produce daños,
pérdida de información o fallas del sistema.
Los virus actúan enmascarados por “debajo” del sistema operativo, como regla general,
y para actuar sobre los periféricos del sistema, tales como disco rígido, cd -room, hacen
uso de sus propias rutinas aunque no exclusivamente.

52
52
Un programa “normal”, usa las rutinas del sistema operativo para acceder al control de
los periféricos del sistema, y eso hace que el usuario sepa exactamente las operaciones
que realiza, teniendo control sobre ellas. Los virus, por el contrario, para ocultarse a
los ojos del usuario, tienen sus propias rutinas para conectarse con los periféricos de
la computadora, lo que les garantiza cierto grado de inmunidad a los ojos del usuario,
que no advierte su presencia, ya que el sistema operativo no refleja su actividad en la
computadora.
Esto no es una “regla”, ya que ciertos virus, especialmente los que operan bajo Windows,
usan rutinas y funciones operativas que se conocen como API’s. Windows, desarrollado
con una arquitectura muy particular, debe su gran éxito a las rutinas y funciones que
pone a disposición de los programadores, también disponibles para los desarrolladores
de virus. Una de las bases del poder destructivo de este tipo de programas radica en el
uso de funciones de manera “sigilosa”.
La clave de los virus radica justamente en que son programas. Un virus para ser activado

computación básica
debe ser ejecutado y funcionar dentro del sistema al menos una vez. Los virus no “surgen”
de las computadoras espontáneamente, sino que ingresan al sistema inadvertidamente
para el usuario, y al ser ejecutados, se activan.

Módulo No. 03
El procesamiento de la información

Los virus informáticos se difunden cuando

las instrucciones o código ejecutable que
hacen funcionar los programas pasan de una
computadora a otra. Una vez que un virus está
activado, puede reproducirse copiándose en las
unidades de almacenamiento y en programas
informáticos auténticos (no piratas) o a través
de redes informáticas. Estas infecciones son
mucho más frecuentes en las computadoras
que en servidores, porque los programas
de las computadoras se intercambian
fundamentalmente a través de las unidades de almacenamiento o de redes informáticas
no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan,
por eso, si una computadora está conectada a una red informática que está infectada,
la computadora deja de ejecutar los programas de esa red por lo que no se infectará
necesariamente.

53
53
 Normalmente, un usuario no ejecuta conscientemente un código informático
potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema
operativo de la computadora o al usuario informático para que ejecute el programa
viral.
Algunos virus tienen la capacidad de adherirse a programas auténticos (no piratas).
Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo.
Cuando se ejecuta dicho programa, ocurre lo mismo con el virus. Los virus también
pueden residir en las partes del disco duro que cargan y ejecutan el sistema operativo
cuando se arranca la computadora, por lo que dichos virus se ejecutan automáticamente.
En las redes informáticas, algunos virus se ocultan en el software que permite al usuario
conectarse al sistema.

Como se producen las infecciones

La propagación de los virus informáticos a las computadoras personales, servidores o

computación básica

equipo de computación se logra mediante distintas formas, como por ejemplo: a través
de unidades de almacenamiento o cualquier otro medio de entrada de información. El
Módulo No. 03

método en que más ha proliferado la infección con virus es en las redes de comunicación y
más tarde el internet. Es con el Internet y especialmente el correo electrónico que millones
de computadoras han sido afectadas creando pérdidas económicas incalculables.
Los usuarios pueden infectarse al estar navegando en el internet, aunque no estén
bajando archivos ya que existen páginas que utilizan objetos ActiveX que son archivos
ejecutables que el navegador de internet va a ejecutar en las computadoras, si en el
ActiveX se le codifica algún tipo de virus este va a pasar a la computadora con tan solo
estar observando esa página.
Cuando se reciben correos electrónicos, se debe ser selectivo en los archivos que se
descargan. Es más seguro bajarlos directamente a la computadora para luego revisarlos
con un antivirus antes que ejecutarlos directamente de donde están.
Un virus informático puede estar oculto en cualquier sitio, cuando un usuario ejecuta
algún archivo con extensión .exe, que es portador de un virus, todas las instrucciones
son leídas por la computadora y procesadas por ésta hasta que el virus es alojado en
algún punto del disco duro o en la memoria del sistema. Luego ésta va pasando de
archivo en archivo infectando todo a su alcance añadiéndole bytes adicionales
a los demás archivos y contaminándolos con el virus. Los archivos que son
infectados mayormente por los virus son tales cuyas extensiones son: .exe, .com,
.bat, .sys, .pif, .dll y .drv.

Características de los virus

1. Son de programas de computadoras

2. Son dañinos
3. Se auto reproducen
54 4. Están ocultos
54
Las acciones de los virus son diversas, y en su mayoría inofensivas, aunque algunas
pueden provocar efectos molestos y, en ciertos casos un grave daño sobre la información,
incluyendo pérdidas de datos. Hay virus que no están diseñados para activarse, por lo
que sólo ocupan espacio en disco, o en la memoria. Sin embargo, es recomendable y
posible evitarlos.

ClasificaciÓn de virus informaticos

Virus infomáticos por su lugar de alojamiento:

computación básica
Infectores de archivos ejecutables:
Estos residen en la memoria de la computadora e infectan archivos ejecutables de

Módulo No. 03
extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl.
A su vez, comparten con los virus de área de boot el estar en vías de extinción desde
la llegada de sistemas operativos que reemplazan al viejo DOS. Los virus de infección
de archivos se replican en la memoria siempre que un archivo infectado es ejecutado,
infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de haber
sido activados, en ese caso se dice que son virus residentes, o pueden ser virus de
acción directa, que evitan quedar residentes en memoria y se replican o actúan contra el
sistema sólo al ser ejecutado el programa infectado. Se dice que estos virus; son virus
de sobreescritura, ya que corrompen al fichero donde se ubican.

Virus multipartitos (Multi-partite):

Una suma de los virus de área de boot y de los virus de infección de archivos,
infectan archivos ejecutables y el área de booteo de discos.

Virus Infectores directos:

El programa infectado tiene que estar ejecutándose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas).

 Virus Infectores residentes en memoria:

El programa infectado no necesita estar ejecutándose, el virus se aloja en la
memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destrucción.
55
55
 Virus Infectores del sector de arranque:
Tanto los discos duros como en las unidades ópticas contienen un sector de
arranque, el cual contiene información específica relativa al formato del disco
y los datos almacenados en él. Contiene un pequeño programa llamado Boot
Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo.
Este programa es el que muestra el famoso mensaje de “Non-system Disk” o
“Disk Error” en caso de no encontrar los archivos del sistema operativo. Este es
el programa afectado por los virus de sector de arranque. La computadora se
infecta con un virus de sector de arranque al intentar bootear desde una unidad
infectada. En este momento el virus se ejecuta e infecta el sector de arranque del
disco duro o unidad óptica. A pesar del riesgo que esconden estos virus, son de
una clase que está tendiendo a desaparecer, sobre todo desde la explosión de
internet, las redes y los sistemas operativos posteriores al DOS. Algunos virus
computación básica

de boot sector no infectan el sector de arranque del disco duro (conocido como
MBR).
Módulo No. 03

Para erradicarlos, es necesario inicializar la computadora en modo seguro y

proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector
infectado con el sector de arranque original.

Macrovirus:
Son los virus más populares de la actualidad. No se transmiten a través de
archivos ejecutables, sino a través de los documentos de las aplicaciones que
poseen algún tipo de lenguaje de macros.
Por lo tanto, son específicos de cada aplicación, y no pueden afectar archivos de
otro programa o archivos ejecutables.
Entre ellos están todos los pertenecientes al paquete Office (Microsoft Word,
Microsoft Excel, Microsoft PowerPoint, Microsoft Access) y también el Corel
Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el
control y se copia a la plantilla base de nuevos documentos (llamada en el Word
normal.dot), de forma que sean infectados todos los archivos que se abran o
creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy
poderosos y poseen capacidades como para cambiar la configuración del
sistema operativo, borrar archivos, enviar e-mails, etc.
Estos virus pueden llevar a cabo, como en el caso de los otros tipos, una gran
variedad de acciones, con diversos efectos.

56
56
 De Actives Agents y Java Applets
En 1997, aparecen los Java Applets y Actives controls.
Estos pequeños programas se graban en el disco duro del usuario cuando está
conectado a internet y se ejecutan cuando la página web sobre la que se navega
lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho
de banda. Los virus desarrollados con Java Applets y Actives controls acceden
al disco duro a través de una conexión WWW de manera que el usuario no los
detecta.
Se pueden programar para que borren o corrompan archivos, controlen la
memoria, envíen información a un sitio Web, etc.

De HTML
Un mecanismo de infección más eficiente que el de los Java Applets y Actives

computación básica
controls apareció a fines de 1998 con los virus que incluyen su código en
archivos HTML.

Módulo No. 03
Con solo conectarse a internet, cualquier archivo HTML de una página Web
puede contener y ejecutar un virus.
Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de
Windows 98, 2000 y de las últimas versiones de Explorer. Esto se debe a que
necesitan que el Windows Scripting Host se encuentre activo. Potencialmente
pueden borrar o corromper archivos.

 Troyanos :
Los troyanos son programas que imitan programas útiles o ejecutan algún
tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario
ejecutan el código dañino.
Los troyanos no cumplen con la función de auto reproducción, sino que
generalmente son diseñados de forma que por su contenido sea el mismo
usuario el encargado de realizar la tarea de difusión del virus. (Generalmente
son enviados por e-mail).
Los troyanos suelen ser promocionados desde alguna página Web poco
confiable, por eso hay que tomar la precaución de bajar archivos ejecutables
sólo de sitios conocidos y revisarlos con un antivirus antes de correrlos. Pueden
ser programados de tal forma que una vez logre su objetivo se autodestruya
dejando todo como si nunca nada hubiese ocurrido.

57
57
 Virus informáticos por su acción

Bombas:
Se denomina así a los virus que ejecutan su acción dañina como si fuesen una
bomba. Esto significa que se activan segundos después de verse el sistema
infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse
cierto tipo de condición lógica del equipo (bombas lógicas). Ejemplos de bombas
de tiempo son los virus que se activan en una fecha u hora determinada.
Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido
solo le queda el 10% sin uso, etc.

Retro Virus
computación básica

Son los virus que atacan directamente al antivirus que está en la computadora.
Generalmente lo que hace es que busca las tablas de las definiciones de virus
Módulo No. 03

del antivirus y las destruye.

Virus lentos:
Los virus de tipo lento hacen honor a su nombre infectando solamente los
archivos que el usuario hace ejecutar por el sistema operativo, simplemente
siguen la corriente y aprovechan cada uno de los programas que se ejecutan.
Por ejemplo, un virus lento únicamente puede infectar el sector de arranque de
un disco duro o unidad óptica cuando se use el comando FORMAT o SYS para
escribir algo en dicho sector. De los archivos que pretende infectar realiza una
copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad
encuentra nuevos archivos avisa al usuario, que no presta demasiada atención
y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus
son programas residentes en memoria que vigilan constantemente la creación
de cualquier archivo y validan cada uno de los pasos que se dan en dicho
proceso.
Otro método es el que se conoce como Decoy launching. Se crean varios
archivos .exe y .com cuyo contenido conoce el antivirus. Los ejecuta y revisa
para ver si se han modificado sin su conocimiento.

Virus voraces
Alteran el contenido de los archivos indiscriminadamente. Este tipo de virus lo
que hace es que cambia el archivo ejecutable por su propio archivo. Se dedican
58
58 a destruir completamente los datos que estén a su alcance.
Sigilosos o Stealth
Este virus cuenta con un módulo de defensa sofisticado. Trabaja a la par con el
sistema operativo viendo como este hace las cosas y tapando y ocultando todo
lo que va editando a su paso.
Trabaja en el sector de arranque de la computadora y engaña al sistema operativo
haciéndole creer que los archivos infectados que se le verifica el tamaño de
bytes no han sufrido ningún aumento en tamaño.

Polimorfos o Mutantes
Encripta todas sus instrucciones para que no pueda ser detectado fácilmente.
Solamente deja sin encriptar aquellas instrucciones necesarias para ejecutar el
virus.
Este virus cada vez que contagia algo cambia de forma para hacer de las suyas

computación básica
libremente. Los antivirus normales hay veces que no detectan este tipo de
virus y hay que crear programas específicamente (como son las vacunas) para

Módulo No. 03
erradicar dichos virus.

Camaleones:
Son una variedad de virus similares a los Caballos de Troya que actúan como
otros programas parecidos, en los que el usuario confía, mientras que en realidad
están haciendo algún tipo de daño.
Cuando están correctamente programados, los camaleones pueden realizar
todas las funciones de los programas legítimos a los que sustituyen (actúan
como programas de demostración de productos, los cuales son simulaciones
de programas reales).
Un software camaleón puede, por ejemplo, emular un programa de acceso a
sistemas remotos realizando todas las acciones que ellos ejecutan , pero como
tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los
diferentes logins y passwords para que posteriormente puedan ser recuperados
y utilizados ilegalmente por el creador del virus camaleón.

Reproductores:
Los reproductores (también conocidos como conejos-rabbits) se reproducen en
forma constante una vez que son ejecutados hasta agotar totalmente (con su
descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar
para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema,
especialmente en un entorno multiusuario interconectado, hasta el punto que el
sistema principal no puede continuar con el procesamiento normal.
59
59
  Gusanos (Worms):
Los gusanos son programas que constantemente viajan a través de un sistema
informático interconectado, de computadora en computadora, sin dañar
necesariamente el hardware o el software de los sistemas que visitan. La función
principal es viajar en secreto a través de equipos anfitriones recopilando cierto
tipo de información programada (tal como los archivos de passwords) para
enviarla a un equipo determinado al cual el creador del virus tiene acceso. Más
allá de los problemas de espacio o tiempo que puedan generar, los gusanos no
están diseñados para perpetrar daños graves.

Backdoors:
Son también conocidos como herramientas de administración remotas ocultas.
Son programas que permiten controlar remotamente la computadora infectada.
Generalmente son distribuidos como troyanos.
computación básica

Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo,

al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se
lo ve en la lista de programas activos.
Módulo No. 03

Los Backdoors permiten al autor tomar total control de la computadora infectada

y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes
al usuario, etc.

“Virus” Bug-Ware:
Son programas que en realidad no fueron pensados para ser virus, sino para
realizar funciones concretas dentro del sistema, pero debido a una deficiente
comprobación de errores por parte del programador, o por una programación
confusa que ha tornado desordenado al código final, provocan daños al hardware
o al software del sistema.
Los usuarios finales, tienden a creer que los daños producidos en sus sistemas
son producto de la actividad de algún virus, cuando en realidad son producidos
por estos programas defectuosos. Los programas Bug-Ware no son en absoluto
virus informáticos, sino fragmentos de código mal implementado, que debido
a fallos lógicos, dañan el hardware o inutilizan los datos del computador. Son
programas con errores, pero funcionalmente el resultado es semejante al de los
virus.
 Virus de MIRC:
Al igual que los bug-ware y los mail-bombers, no son considerados virus. Son una
nueva generación de programas que infectan las computadoras, aprovechando
las ventajas proporcionadas por internet y los millones de usuarios conectados
a cualquier canal IRC a través del programa Mirc y otros programas de chat.
Consisten en un script para el cliente del programa de chateo. Cuando se accede
a un canal de IRC, se recibe por DCC un archivo llamado “script.ini”.
60
60
 Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde
está instalado el programa, esto causa que el “script.ini” original se sobre escriba
con el “script.ini” maligno. Los autores de ese script acceden de ese modo a
información privada de la computadora, como el archivo de claves, y pueden
remotamente desconectar al usuario del canal IRC.

Virus Falsos (Hoax):

Un último grupo, que decididamente no puede ser considerado virus. Se trata
de las cadenas de e-mails que generalmente anuncian la amenaza de algún
virus “peligrosísimo” (que nunca existe, por supuesto) y que, por temor, o con la
intención de prevenir a otros, se envían y reenvían incesantemente. Esto produce
un estado de pánico sin sentido y genera un molesto tráfico de información
innecesaria.

computación básica
Módulo No. 03
ACTIVIDAD DE APRENDIZAJE

Introducción: Elabore un mapa conceptual con el contenido de los virus informaticos de

acuerdo a su clasificación.

Técnicas de programación de virus

creados por hackers

Los hackers de virus, son programadores que utilizan diversas técnicas de programación
con el fin de ocultar a los ojos del usuario la presencia del virus, favorecer su reproducción
y por ello a menudo también tienden a ocultarse de los antivirus.

A continuación, se citan las técnicas más conocidas para crear

virus

Stealth: técnica de ocultación utilizada para esconder los signos visibles de la

infección que pueden delatar su presencia.
Sus características son:
¤¤ Mantienen la fecha original del archivo.
¤¤ Evitan que se muestren los errores de escritura cuando el virus
intenta escribir en discos protegidos.
¤¤ Restan el tamaño del virus a los archivos infectados cuando se
hace un DIR. 61
61
 ¤¤ Modifican directamente la FAT.
¤¤ Modifican la tabla de vectores de interrupción (IVT).
¤¤ Se instalan en los buffers del DOS y por encima de los 640 KB
normales del DOS.
¤¤ Soportan la reinicialización del sistema por teclado.
Encriptación o auto encriptación: técnica de ocultación que permite la encriptación
del código del virus y que tiene como finalidad enmascarar su código viral y sus
acciones en el sistema. Por este método los virus generan un código que dificulta
la detección por los antivirus.

Anti-debuggers: es una técnica de protección que tiende a evitar ser desensamblado

para dificultar su análisis, paso necesario para generar una “vacuna” para el
antivirus.
computación básica

Polimorfismo: es una técnica que impide su detección, por la cual varían el método
Módulo No. 03

de encriptación de copia en copia, obligando a los antivirus a usar técnicas

avanzadas.
Debido a que el virus cambia en cada infección es imposible localizarlo
buscándolo por cadenas de código, tal cual hace la técnica de escaneo.
Esto se consigue utilizando un algoritmo de encriptación que de todos modos, no
puede codificar todo el código del virus.
Una parte del código del virus queda inmutable y es el que resulta vulnerable
y propicio para ser detectado por los antivirus. La forma más utilizada para la
codificación es la operación lógica XOR, debido a que es reversible; En cada
operación se hace necesaria una clave, pero por lo general, usan una clave distinta
en cada infección, por lo que se obtiene una codificación también distinta.
Otra forma muy usada para generar un virus polimórfico consiste en sumar un
número fijo a cada byte del código vírico.

Tunneling: es una técnica de evasión que tiende a burlar los módulos residentes de
los antivirus mediante punteros directos a los vectores de interrupción.
Es altamente compleja, ya que requiere colocar al procesador en modo paso a paso,
de tal manera que, al ejecutarse cada instrucción, se produce la interrupción 1,
para la cual el virus ha colocado una ISR (Interrupt Service Routine), ejecutándose
instrucciones y comprobándose si se ha llegado a donde se quería hasta recorrer
toda la cadena de ISR’s que haya colocado el parche al final de la cadena.

Residentes en memoria o TSR: algunos virus permanecen en la memoria de las

computadoras para mantener el control de todas las actividades del sistema y
62 contaminar todos los archivos que puedan.
62
 A través de esta técnica permanecen en memoria mientras la computadora
permanezca encendida. Para lograr este fin, una de las primeras cosas que hacen
estos virus, es contaminar los ficheros de arranque del sistema para asegurar su
propia ejecución al ser encendido el equipo, permaneciendo siempre cargado en
RAM.

¿Cómo saber si tiene un virus?

La mejor forma de detectar un virus es con un antivirus, pero en ocasiones los antivirus
pueden fallar en la detección.
Puede ser que no se detecte nada y aún seguir con problemas. En esos casos “difíciles”,

computación básica
es conveniente la presencia de un técnico informático.
Muchas veces las fallas atribuidas a virus son en realidad fallas de hardware y es muy

Módulo No. 03
importante que la persona que verifique el equipo tenga conocimientos de arquitectura
de equipos, software, virus, placas de hardware, conflictos de hardware, conflictos de
programas entre sí y bugs o fallas conocidas de los programas o por lo menos de los
programas más importantes. Las modificaciones del Setup, cambios de configuración
de Windows, actualización de drivers, fallas de RAM, instalaciones abortadas, rutinas
de programas con errores y aún oscilaciones en la línea de alimentación del equipo
pueden generar errores y algunos de estos síntomas. Todos estos aspectos deben ser
analizados y descartados para llegar a la conclusión que la falla proviene de un virus no
detectado o un virus nuevo aún no incluido en las bases de datos de los antivirus más
importantes.

Posibles síntomas de virus

1. Reducción del espacio libre en la memoria RAM: un virus, al entrar al sistema, se sitúa en la
memoria RAM, ocupando una porción de ella. El tamaño útil y operativo de la memoria
se reduce en la misma cuantía que tiene el código del virus. Siempre en el análisis
de una posible infección es muy valioso contar con parámetros de comparación
antes y después de la posible infección. Por razones prácticas muy pocos analizan
detalladamente su computadora en condiciones normales y por ello casi nunca
se cuentan con patrones antes de una infección, pero sí es posible analizar estos
patrones al arrancar una computadora con la posible infección y analizar la memoria
arrancando el sistema desde un disco libre de infección.
2. Las operaciones rutinarias se realizan con más lentitud: los virus son programas, y como
tales requieren de recursos del sistema para funcionar y su ejecución, más al ser
repetitiva, llevan a un enlentecimiento global en las operaciones.
63
63
 3. Aparición de programas residentes en memoria desconocidos: el código viral, ocupa parte de
la RAM y debe quedar “colgado” de la memoria para activarse cuando sea necesario.
Esa porción de código que queda en RAM, se llama residente y con algún utilitario que
analice la RAM puede ser descubierto. Es importante comparar antes y después de la
infección o arrancando desde un disco “limpio”.
4. Tiempos de carga mayores: corresponde al enlentecimiento global del sistema, en el cual
todas las operaciones se demoran más de lo habitual.
5. Aparición de mensajes de error no comunes: en mayor o menor medida, todos los virus,
al igual que programas residentes comunes, tienen una tendencia a “colisionar” con
otras aplicaciones. Por lo que se aplica el análisis pre / post-infección.
6. Fallos en la ejecución de los programas: programas que normalmente funcionaban bien,
comienzan a fallar y generar errores durante la sesión.
computación básica

Medidas de protección

La mejor y más efectiva medida es adquirir un antivirus, mantenerlo actualizado

Módulo No. 03

y tratar de mantenerse informado sobre las nuevas técnicas de protección y

programación de virus. Gracias a Internet es posible mantenerse al tanto a través de
servicios gratuitos y pagos de información y seguridad.
Hay innumerables boletines electrónicos de alerta y seguridad que advierten sobre
posibles infecciones de mejor o menor calidad. Existen herramientas, puede decirse
indispensables para aquellos que tienen conexiones prolongadas a Internet que tienden
a proteger al usuario no sólo detectando posibles intrusiones dentro del sistema,
sino chequeando constantemente el sistema, a modo de verdaderos escudos de
protección.
Hay herramientas especiales para ciertos tipos de virus, ejemplo protectores especiales
contra el Back Oriffice, que certifican la limpieza del sistema o directamente remueven
el virus del registro del sistema.

Prevención y eliminación de virus

a) Cree copias de seguridad:

Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que
desee. Mantenga esas copias en un lugar diferente de la computadora y protegido de
campos magnéticos, calor, polvo y personas no autorizadas.

b) Instale copias de programas originales:

¤¤ No instale los programas desde los discos originales.
¤¤ Haga copia de los discos y utilícelos para realizar las
64 instalaciones.
64
 ¤¤ No acepte copias de origen dudoso.
¤¤ Evite utilizar copias de origen dudoso, la mayoría de las
infecciones provocadas por virus se deben a discos de origen
desconocido.
c) Utilice contraseñas:
Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a
ella.

d) Instale antivirus:
Tenga siempre instalado un antivirus en su computadora, como medida general
analice todos los discos que desee instalar. Si detecta algún virus elimine la instalación
lo antes posible.

computación básica
e) Actualizar periódicamente su antivirus:
Un antivirus que no esté actualizado es inservible. Todos los antivirus existentes

Módulo No. 03
en el mercado permanecen residentes en la computadora para controlar todas las
operaciones de ejecución y transferencia de ficheros analizando cada fichero para
determinar si tiene virus, mientras el usuario realiza otras tareas.

ACTIVIDAD DE APRENDIZAJE

Introducción: Elabore un cuadro sinóptico de los temas “ Posibles síntomas de virus,

prevención y eliminación de virus”.

Los antivirus

¿Qué es un antivirus?

Un antivirus es un programa de computadora cuyo

propósito es combatir y erradicar los virus informáticos.
Para que el antivirus sea productivo y efectivo hay
que configurarlo cuidadosamente de tal forma que se
aprovechen todas las cualidades que poseen. Hay que
saber cuáles son sus fortalezas y debilidades y tenerlas
en cuenta a la hora de enfrentar a los virus. 65
65
 En la vida humana hay virus que no tienen cura, lo mismo sucede en el mundo digital
y hay que tener mucha precaución. Un antivirus es una solución para minimizar los
riesgos y nunca es una solución definitiva, lo principal es mantenerlo actualizado. Para
mantener el sistema estable y seguro el antivirus debe estar actualizado, tomando
siempre medidas preventivas y correctivas y estar constantemente investigando sobre
los virus y nuevas tecnologías.
El antivirus normalmente escanea cada archivo en la computadora y lo compara con
las tablas de virus que guarda en disco. Esto significa que la mayoría de los virus son
eliminados del sistema después que atacan a éste. Por esto el antivirus siempre debe
estar actualizado, es recomendable que se actualice una vez por semana para que sea
capaz de combatir los virus que son creados cada día. También, los antivirus utilizan la
técnica avanzada que permite detectar virus que aún no están en la base de datos del
antivirus. Es sumamente útil para las infecciones que todavía no han sido actualizadas
en las tablas porque trata de localizar los virus de acuerdo a ciertos comportamientos
ya preestablecidos.
computación básica

Un buen antivirus es el que se ajusta a las necesidades. No se debe creer todo lo que
dice la propaganda de los antivirus las que ofrecen la detección y eliminación de muchos
Módulo No. 03

virus porque la mayoría de virus o son familias derivadas o nunca van a llegar al país
donde residimos. Muchos virus son solamente de alguna región o de algún país en
particular.
A la hora de comprar un buen antivirus se debe saber con qué frecuencia las empresas
sacan actualizaciones de las tablas de virus ya que estos son creados diariamente para
infectar los sistemas. El antivirus debe constar de un programa detector de virus que
siempre este activo en la memoria y un programa que verifique la integridad de los
sectores críticos del disco duro y sus archivos ejecutables. Hay antivirus que cubren
esos dos procesos, pero si no se puede obtener uno con esas características hay que
buscar dos programas por separado que hagan esa función teniendo muy en cuenta
que no se produzca ningún tipo de conflictos entre ellos.
Un antivirus además de proteger el sistema contra virus, debe permitirle al usuario
hacer alguna copia del archivo infectado por si se corrompe en el proceso de limpieza,
también la copia es beneficiosa para intentar una segunda limpieza con otro antivirus si
la primera falla en lograr su objetivo.
En la actualidad no es difícil suponer que cada vez hay más gente que está consciente
de la necesidad de hacer uso de algún antivirus como medida de protección básica. Sin
embargo, en principio lo deseable es poder tener un panorama de los distintos productos
que existen y poder tener una guía inicial para proceder a evaluarlos.

Técnicas de detección de los antivirus

Teniendo en cuenta los puntos débiles de la técnica de escaneo (scannig) surgió la

necesidad de incorporar otros métodos que complementan la acción del antivirus.
66
66
La detección consiste en reconocer el accionar de un virus, usando los conocimientos
sobre el comportamiento que se tiene sobre ellos, sin que sea tan importante su
identificación exacta. El escaneo (scannig) busca un código que intenta modificar la
información de áreas sensibles del sistema sobre las cuales el usuario convencional no
tiene control y a veces no tiene conocimiento, como es el Master Boot record, el boot
sector, la FAT, entre los más conocidos.
Análisis heurístico

La técnica de detección más común es la de análisis heurístico. Consiste en buscar en

el código de cada uno de los archivos, cualquier instrucción que sea potencialmente
dañina, acción típica de los virus informáticos. Es una solución interesante tanto para
virus conocidos como para los que no los son; inconveniente es que muchas veces se
presentan falsas alarmas, situaciones que el scanner heurístico considera peligrosas y
que en realidad no lo son.Por ejemplo: tal vez el programa revise el código del comando
DEL (usado para borrar archivos) de MS-DOS y determine que puede ser un virus, lo que

computación básica
en la realidad resulta bastante improbable. Esto hace que el usuario debe tener algunos
conocimientos precisos sobre su sistema, con el fin de poder distinguir entre una falsa

Módulo No. 03
alarma y una detección real.
Eliminación de virus

La eliminación de un virus consiste en extraer el código del archivo infectado y reparar

de la mejor manera el daño causado en este. A pesar de que los programas antivirus
pueden detectar miles de virus, no siempre pueden erradicar la misma cantidad, por lo
general pueden quitar los virus conocidos y más difundidos de los cuales pudo realizarse
un análisis profundo de su código y de su comportamiento. Resulta lógico entonces
que muchos antivirus tengan problemas en la detección y erradicación de virus de
comportamiento complejo, como el caso de los polimorfos, que utilizan métodos de
encriptación para mantenerse indetectables. En muchos casos el procedimiento de
eliminación puede resultar peligroso para la integridad de los archivos infectados, ya
que si el virus no está debidamente identificado las técnicas de erradicación no son las
adecuadas para el tipo de virus.
Hoy en día los antivirus más populares están muy avanzados, pero existe la posibilidad
de que este tipo de errores se de en programas más desfasados. Para muchos el
procedimiento correcto es eliminar completamente el archivo y restaurarlo de la copia
de respaldo. Si no hay archivos infectados significa que la infección se realizó en algún
sector crítico de la unidad del disco duro; la solución es borrarlo, que conlleva algún
riesgo de eliminar un archivo vital para el sistema operativo.
Muchos técnicos recomiendan reparticionar la unidad y reformatearla para asegurarse
de la desaparición total del virus, lo que resulta poco operativo y fatal para la información
del sistema. Como alternativa existe para el sistema operativo MS-DOS / Windows una
opción no documentada del comando FDISK que resuelve todo en cuestión de segundos.

67
67
 El parámetro /MBR se encarga de restaurar el registro maestro de booteo (lugar donde
suelen situarse los virus) impidiendo así que este vuelva a cargarse en el inicio del
sistema. Vale aclarar que cualquier dato que haya en ese sector será sobrescrito y puede
afectar mucho a sistemas que tengan la opción de bootear con diferentes sistemas
operativos. Muchos de estos programas que permiten hacer la elección del sistema
operativo se sitúan en esta área y por consiguiente su código es eliminado cuando se
usa el parámetro mencionado.

Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con
soporte técnico local, que sus definiciones sean actualizadas periódicamente y que el
servicio técnico sea apto para poder responder a cualquier contingencia que surja en el
camino.

Proteger áreas sensibles

computación básica

Muchos virus tienen la capacidad de “parasitar” archivos ejecutables. Con esto se afirma
Módulo No. 03

que el virus localiza los puntos de entrada de cualquier archivo que sea ejecutable (los
archivos de datos no se ejecutan por lo tanto son inutilizables para los virus) y los desvía
a su propio código de ejecución. Así, el flujo de ejecución corre primero el código del
virus y luego el del programa y, como todos los virus poseen un tamaño muy reducido
para no llamar la atención, el usuario seguramente no notará la diferencia. Este vistazo
general de cómo logra ejecutarse un virus le permite situarse en memoria y empezar a
ejecutar sus instrucciones dañinas.
A esta forma de comportamiento de los virus se lo conoce como técnica subrepticia, en
la cual prima el arte de permanecer indetectado.
Una vez que el virus se encuentra en memoria puede replicarse a sí mismo en cualquier
otro archivo ejecutable. El archivo ejecutable por excelencia que ataca los virus es el
COMMAND.COM, uno de los archivos fundamentales para el arranque en el sistema
operativo MS-DOS. Este archivo es el intérprete de comandos del sistema, por lo tanto,
se carga cada vez que se necesite la shell.
La primera vez es en el inicio del sistema y, durante el funcionamiento, se llama al
COMMAND.COM cada vez que se salga de un programa y vuelva a necesitarse la
intervención de la shell. Con un usuario desatento, el virus logra replicarse varias veces
antes de que empiecen a notarse síntomas extraños en la computadora.
El otro “ente” ejecutable capaz de ser infectado es el sector de arranque de los discos
duros. Aunque este sector no es un archivo en sí, contiene rutinas que el sistema
operativo ejecuta cada vez que arranca el sistema desde esa unidad, resultando este
un excelente medio para que el virus se propague de una computadora a la otra. Una
de las claves de un virus es lograr permanecer oculto dejando que la entidad ejecutable
que fue solicitada por el usuario corra libremente después de que él mismo se halla
ejecutado.
68
68
Durante el arranque de la computadora con el disco de instalación en el CD ROOM
insertado, el sistema operativo MS-DOS intenta ejecutar el código contenido en el sector
de booteo del disco duro. El problema es que en esa posición se encuentra el código del
virus, que se ejecuta primero y luego apunta hacia la ejecución a la nueva posición en
donde se encuentran los archivos para el arranque. El virus no levanta sospechas de su
existencia más allá de que existan o no archivos de arranque en el sector de booteo.
Los virus se encuentran ahora en memoria y no tiene problemas en replicarse a las
unidades ópticas cuando se intente bootear desde esta. Hasta que su módulo de ataque
se ejecute según fue programado, el virus intenta permanecer indetectado y continua
replicándose en archivos y sectores de booteo de otros discos que se vayan utilizando,
aumentando potencialmente la dispersión del virus cuando los discos sean llevados a
otras máquinas.

computación básica
Módulo No. 03
Aplicar cuarentena

Es posible que un programa antivirus muchas veces quede descolocado frente al ataque
de virus nuevos. Para esto incluye esta opción que no lo elimina, solo aísla el archivo
infectado. El antivirus reconoce el accionar de un posible virus y presenta un cuadro de
diálogo informando su detección.
Además de las opciones clásicas de eliminar el virus, aparece la opción de ponerlo en
cuarentena. Este procedimiento encripta el archivo y lo almacena en un directorio hijo
del directorio donde se encuentra el antivirus.

De esta manera se está impidiendo que ese archivo pueda volver a ser utilizado y que
continúe la dispersión del virus. Como acciones adicionales el antivirus permite restaurar
este archivo a su posición original como si nada hubiese pasado o permite enviarlo a un
centro de investigación donde especialistas en el tema pueden analizarlo y determinar
si se trata de un virus nuevo, en cuyo caso su código distintivo debe ser incluido en las
definiciones de virus.

69
69
 Medidas de seguridad para antivirus

Ninguna computadora es inmune a los virus. Un programa antivirus por muy bueno que
sea se vuelve obsoleto muy rápidamente ante los nuevos virus que aparecen día a día.

Algunas medidas de seguridad para antivirus son:

¤¤ Desactivar compartir archivos e impresoras.
¤¤ Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.
¤¤ Actualizar el antivirus.
¤¤ Activar la protección contra macro virus de Word y de Excel.
¤¤ Ser cuidadoso al bajar archivos de internet (Analice si vale el riesgo y si el sitio es
seguro)
computación básica

¤¤ No envíe su información personal ni financiera a menos que sepa quien se la

solicita y que sea necesaria para la transacción.
Módulo No. 03

¤¤ No comparta discos con otros usuarios.

¤¤ No entregue a nadie sus claves, incluso si lo llaman del servicio de internet u
otros.
¤¤ Enseñe a los usuarios las prácticas de seguridad, sobre todo la entrega de
información.
¤¤ Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL.
¤¤ Proteja contra escritura el archivo Normal.dot
¤¤ Distribuya archivos RTF en vez de documentos.
¤¤ Realice backup.

Tipos de antivirus

Mejores Antivirus de Pago hasta el 2018 para Windows PC y Mac

¤¤ Panda Dome Essential & Premium

¤¤ McAfee AntiVirus Plus
¤¤ Bitdefender Antivirus Plus
¤¤ Symantec Norton Security Deluxe
¤¤ Kaspersky Anti-Virus
¤¤ ESET NOD32 Antivirus 10
¤¤ Avast Free Antivirus
70
70 ¤¤ AVG AntiVirus Free
Programas útiles de seguridad y protección

¤¤ Malwarebytes: Mantiene su computadora a salvo de amenazas dañinas y se

asegura de que siempre tenga un entorno seguro. Se puede usar junto con su
antivirus favorito sin generar algún conflicto.
¤¤ AdwCleaner: Ayuda a limpiar Adware y barras de herramientas de su PC que
han sido instalados por otro software en su ordenador. Es una herramienta
indispensable si se tiene gran cantidad de barras de herramientas y programas
publicitarios y quiere deshacerse de todos ellos.
¤¤ Kaspersky TDSSKiller : Es una herramienta anti-rootkit, que permite eliminar los
Rootkits de su computadora. Los Rootkit, son utilidades que ayudan a esconder
el malware en su computadora.
¤¤ Norton Power Eraser : Es una herramienta de eliminación de virus. Los detecta

computación básica
cuando no pueden ser encontrados por otros antivirus y ayuda a que los
desconecte de la computadora.

Módulo No. 03
¤¤ USB Disk Security: Una fuente conocida de amenazas es una memoria USB. USB
Disk Security le ayuda a mantener su computadora a salvo de infecciones que
pueden venir de conectar una unidad USB en el computador.

71
71
 Práctica No 11
Instalar antivirus

Proceso de Ejecución:

1° Paso Revise que el equipo a utilizar esté en buenas condiciones.

2° Paso Haga doble clic en el navegador instalado.

computación básica

3° Paso Haga doble clic en el buscador de su preferencia.

Observación:
Módulo No. 03

Entre los buscadores más usados están:

www.google.com/
www.yahoo.com/
www.bing.com/

4° Paso Haga clic en la barra de búsqueda

a. Escriba el nombre de la página del antivirus que desea comprar o
descargar gratuitamente.

Observación:
Utilice la palabra clave de la información que está buscando, para
obtener el resultado óptimo.

72
72
5° Paso Haga clic en la dirección de la página solicitada.
Observaciones:
El primer sitio web es el recomendado por Google.
Busque en varios sitios web hasta encontrar la información
deseada.

computación básica
Módulo No. 03
6° Paso Haga clic en la descarga gratuita en descargar con opción a compra.

73
73
 7° Paso Haga clic en descargar ahora.

8° Paso Haga clic en equipo

computación básica

a) Haga clic en la carpeta de descargas ver el programa descargado.

Módulo No. 03

9° Paso Haga clic derecho con el mouse en el programa, para instalarlo.

a) Haga clic en ejecutar como administrador .

Observación:
Recuerde siempre instalarlo en modo administrador.

74
74
10° Paso Haga clic en el tipo de instalación deseada.

computación básica
Módulo No. 03
11° Paso Elija la carpeta de destino
a) Haga clic en el botón “Siguiente”
b) Haga clic en siguiente.

75
75
 12° Paso Haga clic en acepto los términos de licencia.
computación básica
Módulo No. 03

13° Paso Reinicie su computadora para la instalación completa.

76
76
14° Paso Haga clic en el icono de avg en el escritorio de Windows.

a) Verifique que el antivirus está instalado.

computación básica
Módulo No. 03
15° Paso Revise que el equipo no tenga virus y seleccione analizar equipo.

77
77
 16° Paso Verifique la finalización del análisis si no se encontraron virus
computación básica
Módulo No. 03

78
78
Práctica No 12
Configurar escudos del antivirus

Proceso de Ejecución:

1° Paso Revise que el antivirus esté instalado.

computación básica
Módulo No. 03
2° Paso Haga clic sobre el icono del antivirus para entrar a la configuración.

79
79
 3° Paso Haga clic en equipo para activar los escudos.
a) Haga clic en archivos y carpetas.

b) Haga clic en aplicaciones y programas.

computación básica
Módulo No. 03

4° Paso Haga clic en web y correo electrónico para activar los escudos.
a) Haga clic en bloquea las descargas no seguras.
b) Haga clic en los ataques web y los sitios web no seguros.

80
80
5° Paso Haga clic en ataque a hackers para activar los escudos.
a) Haga clic en corta fuegos.
b) Haga clic en protección ransomware.

computación básica
Módulo No. 03
6° Paso Haga clic en privacidad para activar los escudos.
a) Haga clic en protección de web cam.
b) Haga clic en escudo de datos confidenciales.

81
81
 7° Paso Haga clic en pagos para activar los escudos.
a) Haga clic en Anti Spam.
b) Haga clic en escudos contra sitios web falsos.
computación básica
Módulo No. 03

Observación:
Para activar los escudos utilice la prueba gratis de 30 dias o
compre la licencia original

82
82
Práctica No 13
Usar herramientas para otros análisis del antivirus

Proceso de Ejecución:

1° Paso Revise que el antivirus esté instalado.

computación básica
Módulo No. 03
2° Paso Haga clic sobre el icono del antivirus para entrar a la configuración.

83
83
 3° Paso Haga clic en el botón de herramientas para realizar otro análisis.
computación básica
Módulo No. 03

4° Paso Haga clic en “Análisis del equipo” para que el mismo sea analizado.

84
84
5° Paso Haga clic en resolver si el análisis del equipo tiene problemas.

computación básica
Módulo No. 03

85
85
 6° Paso Haga clic en análisis exhaustivo.
computación básica
Módulo No. 03

Observación:
El análisis exhaustivo puede durar minutos hasta horas.

86
86
7° Paso Haga clic en resolver o eliminar los virus encontrados después del análisis.

8° Paso Haga clic en análisis de USB/DVD para analizar los dispositivos externos.

computación básica
Módulo No. 03
9° Paso Haga clic en resolver o eliminar los virus encontrados después del análisis.

87
87
 10° Paso Haga clic en análisis de archivos o carpetas.
computación básica
Módulo No. 03

11° Paso Haga clic en los directorios, archivos o carpetas que desea escanear.

12° Paso Haga clic en resolver o eliminar los virus encontrados después del análisis.

88
88
13° Paso Haga clic en análisis de rendimiento para verificar algún problema de
rendimiento o archivos no deseados.

computación básica
Módulo No. 03
14° Paso Haga clic en resolver o eliminar los virus encontrados después del análisis.

89
89
 15° Paso Haga clic en análisis durante el arranque, para eliminar virus de arranque si
Windows tiene problemas.
computación básica
Módulo No. 03

16° Paso Haga clic en el botón de activar para que al siguiente reinicio de la
computadora se realice el análisis.

90
90
17° Paso Haga clic en programar análisis.

computación básica
Módulo No. 03
18° Paso Haga clic en los parámetros y seleccione las opciones que
quiere dejar programadas para el escaneo.

91
91
 19° Paso Haga clic en menú para ver el estado de cuarentena.
computación básica
Módulo No. 03

92
92
 20° Paso Haga clic en enviar a analizar, restauración o restablecer como si hay
archivos con virus.

21° Paso Haga clic en menú y en destructor de archivos para eliminar carpetas o
archivos confidenciales.

computación básica
Módulo No. 03
22° Paso Haga clic en la carpeta o archivos que desea destruir por infecciones.

93
93
 Unidad Didáctica No 02
Virus Informaticos
AUTOEVALUACIÓN

Tipo Desarrollo Estructurado

Instrucciones: A continuación, se le presentan varias preguntas, conteste en forma

clara y precisa lo que se le pide.

1) ¿Qué es un virus?
computación básica

2) ¿Qué es un antivirus?
Módulo No. 03

3) ¿Cuáles son las medidas de seguridad que se deben tomar para no tener virus en la
computadora?

4) ¿Cuales son los pasos para eliminar virus de la computadora?

Tipo Enumeración

Instrucciones: Escriba en el espacio en blanco lo que a continuación se le pide.

1. Escriba cuatro tipos de virus informáticos.

a) ____________________ b) ________________________

c)____________________ d) _________________________

2. Son virus informáticos según su accción.

a) ____________________ b) ________________________

c)____________________ d) _________________________
94
94
3. Escriba cuatro antivirus

a) ____________________ b) ________________________

c)____________________ d) _________________________

4. Son los escudos que se deben tener activados en el antivirus.

a) ____________________ b) ________________________

c)____________________ d) _________________________

e) ____________________

computación básica
Módulo No. 03

95
95