¿Cómo se descubren los virus?

Si nunca le pasó, aguarde. Es una de esas emociones que la computación personal le tiene reservada para el día menos pensado: su antivirus, instalado quizás hace uno o dos meses, de pronto suelta una alarma aterradora y le avisa sobre la posible existencia de un virus desconocido en cierto archivo en su PC. Usted, que hasta ese momento trabajaba tranquilo y relajado con su hoja de cálculo o su procesador de texto, sentirá que se le hiela la sangre.

No sólo una infección, sino una infección por un virus desconocido , la peor pesadilla imaginable en el microscópico mundo de los bits.

Pero espere. Quizá no deba formatear y reinstalar Windows, perdiendo todo su trabajo de años. La cosa es mucho menos seria de lo que parece. Para entender lo que está pasando aquí, vamos a ver cómo funcionan los programas antivirus para PC. Y descubrirá que desconocido no es tan mala noticia en este asunto.

Encontrarlos, ésa es la cuestión

Primero, la idea general. Un software antivirus debe ser capaz de realizar al menos estas tres tareas: reconocer la presencia de virus pegados a los archivos en la PC; detectar operaciones sospechosas activándose en la memoria RAM; eliminar los virus que haya encontrado, es decir, limpiar los archivos.

La clave del asunto es, por lo tanto, la detección de los invasores. Sin detección, no hay limpieza posible.

Para localizar indeseables, estos programas se basan en el reconocimiento de fragmentos característicos de los virus (llamados string , en la jerga). En general, cuando se examina una PC en busca de virus, el programa simplemente compara ciertas partes del código de los ejecutables normales y otros archivos expuestos ( .EXE , .COM , .DLL , .BIN , etcétera) y las compara con una base de datos de string de virus conocidos.

Pero esto no alcanza, porque los autores pueden generar variantes de un virus, cambiando su string . Además, cuando un virus nuevo todavía no ha sido aislado, su string es desconocido para el antivirus. (Este es el principal motivo por el que conviene actualizar este tipo de programas muy frecuentemente; ponerse al día significa básicamente cargar nuevos string en la base de datos que consulta el programa al examinar el sistema.) Como el reconocimiento de string no es suficiente, los detectores necesitan utilizar otros métodos. Son estos procedimientos de detección alternativos, a veces llamados inteligentes o heurísticos, los que pueden disparar una falsa alarma.

Por ejemplo, es frecuente que durante la instalación del antivirus se guarden los datos de los ejecutables en varios archivos ocultos (uno por directorio, usualmente). En la próxima revisión del disco, se compararán estos datos con el estado actual de los ejecutables. Si dicho estado cambió, el resultado es una alarma, porque los virus, al adherirse a los ejecutables, los alteran de algún modo (entre otras cosas cambian su tamaño, aunque algunos pueden obligar al sistema operativo a informar el tamaño anterior a la infección).

El método funciona, pero bastará un archivo que se altere a sí mismo durante el proceso normal de ejecución para que el antivirus ponga el grito en el cielo.

Los antivirus más avanzados también revisan ciertas estructuras de los ejecutables, buscando las que sean propias de los virus. De nuevo, hay muchas aplicaciones normales que tienen una o más de estas estructuras y pueden dar origen a una falsa alarma.

Existen otros métodos, pero éstos son los más comunes. El problema sigue siendo que usted tiene una alarma en la pantalla y no sabe si debe destruir el archivo supuestamente infectado o dejarlo seguir adelante.

Piense

La solución es, como de costumbre, reflexionar cinco minutos (cinco minutos, no cinco segundos) antes de tomar una decisión. Especialmente en el caso de las invasiones (reales o supuestas) de virus, se requiere la cabeza fría para pensar dos veces antes de apretar una tecla equivocada. Para que comprenda la importancia de esto, le contaremos una anécdota real en la que un antivirus nos dejó sin sistema operativo.

Habíamos editado un archivo de texto llamado Msdos.sys que usa Windows para establecer ciertas condiciones del arranque (se llama igual, pero no tiene nada que ver con el msdos.sys del DOS). Bueno, al antivirus no le gustó encontrarse con un archivo de sistema con su contenido alterado y dio la alarma. Desafortunadamente, estábamos escribiendo a todo vapor y presionamos involuntariamente la opción predeterminada, Renombrar el archivo .

Hasta allí, no pasó nada. De hecho, ni siquiera llegamos a ver qué había ocurrido. Fue demasiado rápido.

Al siguiente arranque, sin embargo, sólo obtuvimos una pantalla negra. Ningún mensaje de error. Ningún sistema operativo.

Al reiniciar el equipo en Modo MS-DOS , encontramos el error en el directorio raíz: el msdos.sys había sido renombrado como msdos.vys . La v corta indicaba que había sido obra del programa antivirus. Y lo cómico del asunto es que los archivos de texto ASCII no pueden ser infectados con ninguna clase de virus.

No obstante, el antivirus fue lo bastante poco reflexivo como para darle otro nombre a un archivo de sistema que sólo contenía texto, con los resultados antedichos.

Los básicos

Así que quien debe reflexionar es usted, y ahora tiene más elementos para entender la situación. Si el antivirus le dice que encontró el AntiExe o el WM/Cap.A o cualquier otro virus conocido, la infección es real; un string específico ha sido reconocido. Usted tiene un problema y hay que solucionarlo.

Pero si, como ocurre con mucha mayor frecuencia, recibe el aviso de un virus desconocido, cálmese; un virus desconocido probablemente resulte ser una falsa alarma. Determinar cuándo es una falsa alarma es la parte más difícil y por supuesto es crucial. Aquí van algunas ideas.

Primero, si usted reinstaló hace poco un paquete de software desde un CD-ROM original (es decir, no desde diskettes) y ese ejecutable es el que aparece infectado, el motivo seguramente es que el antivirus detecta que los datos guardados sobre ese ejecutable no coinciden con el programa instalado. No importa que sea exactamente el mismo programa, hay ciertos datos que cambian de una instalación a la siguiente y pueden activar la alarma del antivirus.

Segundo, no será raro que usted tenga un conjunto de archivos que siempre dan la nota. Binarios que se modifican con la ejecución del programa y ejecutables con estructuras anormales (pero inofensivas y necesarias para ese software) son casos bastante comunes. La característica diferencial de este escenario es que sólo estos archivos aparecen como probablemente infectados por un virus desconocido, sin multiplicarse.

Tercero, si no ejecutó ningún programa nuevo de ninguna clase en su computadora ni cargó nada desde diskettes, CD-ROM, la Web, e-mail o FTP, quédese tranquilo. Una de las buenas noticias respecto de los virus es que no se contagian por vía aérea.

Al encontrar algo sospechoso, un antivirus le dará básicamente seis opciones: renombrar el archivo , limpiarlo , borrarlo , matarlo , salir del proceso de búsqueda o continuar sin realizar ninguna acción .

En nuestro próximo encuentro veremos qué significa cada una de estas posibilidades, con las que, tratándose de virus y de archivos valiosos, es preferible no jugar.

Por Ariel Torres

---

Conforme a