Correo
Virus Tigre
Señores de Virus Report
Les pido su atención con el fin de plantear una consulta.
He tenido referencias sobre la aparición de un virus
llamado "Tigre", que sería una variante local de un virus
proveniente del exterior. Este se presentó en algunas PC
con las cuales tengo contacto por razones de trabajo. De
ser exactas estas referencias, este virus incluiría al
final de los archivos infectados los caracteres "MsDos",
lo cual, creo, lo emparentaría con el "Stoned". De ser
posible desearía que me confirmaran la existencia de
dicho virus, lo que provoca y eventualmente la manera de
extirparlo.
Sin otro particular, les deseo el mayor de los éxitos y
una larga vida editorial difundiendo los aspectos
técnicos de la computación, tal como lo han hecho en los
primeros números que aparecieron.
Gustavo Reinaldo Giordani - Capital Federal
VR: El caso del virus "Tigre" es muy interesante. Parece
que en un organismo científico dependiente del estado
detectaron que algunos archivos se hacían más largos sin
causa aparente. Luego de revisar todo con antivirus como
el Scan no detectaron ningún virus conocido. Como los
archivos habían sido modificados y al final de ellos
aparecían los caracteres "MsDos", enseguida pensaron que
era un virus. Rápidamente crearon un string de
identificación con estos caracteres para agregar al Scan
y detectar si el virus estaba muy difundido. Usando ésto
detectaron el virus en la gran mayoría de los ejecutables
.com y .exe de sus discos. Para sacarse de encima al
virus borraron todos estos archivos infectados. Lo mismo
sucedió en varios lugares más que estaban en contacto con
este organismo, detectaron el virus y borraron una enorme
cantidad de archivos.
Poco después, un análisis detallado del incidente reveló
que los archivos sólo habían crecido en 5 bytes,
precisamente correspondientes a ese famoso "MsDos". Como
hasta ahora no se detectó un virus de menos de 30 bytes y
es muy difícil imaginar uno menor, es bastante evidente
que no era un virus. Hay algunos antivirus como el TNT
que agregan al final de los archivos la identificación
del Jerusalem ("MsDos", justamente) para que este virus
piense que el archivo ya está infectado y no lo infecte.
Lo que sucedió es que este antivirus había modificado los
ejecutables y por eso surgió la confusión. Confusión
bastante grave, porque se borraron enomes cantidades de
archivos y se perdieron muchísimas horas de trabajo.
En definitiva, no existe tal virus y fue sólo una falsa
alarma. Esto es otro ejemplo de por que debe dejarse la
investigación anti virus a expertos y no a improvisados
que pueden tener buena voluntad pero que no tienen
conocimientos.
Cabe agregar que una agrupacion universitaria de
investigación anti virus se apuró a anunciarlo como un
virus existente antes de comprobarlo, por lo tanto la
confusión empeoró. Como siempre, hay que tomar las cosas
con calma y estar seguros de lo que se hace antes de
tomar decisiones irreversibles.
Preguntas sobre virus
1- ¿Los programas exe, com y demas infectables, no quedan
suficientemente protegidos al marcarlos como de "sola
lectura", con el comando ATTRIB? Si la respuesta es no,
ruego que me expliquen la razón.
2- ¿El disco rígido, puede ser protegido por hard contra
grabación indeseada, en forma similar a los diskettes? ¿O
acaso por soft, encriptando o de otra forma?
3- Ha aparecido recientemente un virus ExeBug, que se
aloja en el boot sector de los diskettes y discos
rígidos. El Clean no lo remueve. ¿Que se hace con él (y
con otros virus de boot sector) cuando infectan el disco,
aparte de hacer un backup total y reformatear?
Ernesto A. Martina - Resistencia, Chaco.
VR: Los programas ejecutables no pueden ser protegidos
marcándolos como de sola lectura. Esto es porque el virus
puede sacar esta marca, escribir en el archivo,
modificarlo, borrarlo, copiarlo, hacer lo que quiera, y
luego puede volver a poner la marca de solo lectura. Esta
marca es sólo eso, una marca.
Se puede proteger al disco rígido contra escritura por
varios medios, por hard (es el más seguro) o por soft (es
posible que un virus pueda pasar por encima de esta
protección). Tambien se puede encriptar el disco, pero en
el momento en que queramos escribir o leer en el debemos
tenerlo desencriptado y es ocasión para que un virus
entre. El problema fundamental es: ¿Para que sirve un
disco rígido si no podemos escribir en él? Cada vez que
queramos escribir y habilitemos la escritura, podemos
infectarlo con un virus. Además la mayoría de los
programas necesitan escribir en el disco de vez en
cuando, así que sería absolutamente inútil.
Con los virus de boot que no se pueden limpiar con
antivirus, lo ideal es hacer un backup y formatear todo
de nuevo. A veces ni siquiera esto sirve porque el virus
puede inutilizar a tal punto la tabla de particiones que
ni siquiera con el FDISK se puede recuperar. Como
siempre, lo ideal es buscar a alguien que sepa para
arreglarlo.