proxy70


Correo


Virus Tigre

Señores de Virus Report

Les pido su atención con el fin de plantear una consulta. He tenido
referencias sobre la aparición de un virus llamado "Tigre", que sería
una variante local de un virus proveniente del exterior. Este se
presentó en algunas PC con las cuales tengo contacto por razones de
trabajo. De ser exactas estas referencias, este virus incluiría al final
de los archivos infectados los caracteres "MsDos", lo cual, creo, lo
emparentaría con el "Stoned". De ser posible desearía que me confirmaran
la existencia de dicho virus, lo que provoca y eventualmente la manera
de extirparlo.

Sin otro particular, les deseo el mayor de los éxitos y una larga vida
editorial difundiendo los aspectos técnicos de la computación, tal como
lo han hecho en los primeros números que aparecieron.

Gustavo Reinaldo Giordani - Capital Federal

VR: El caso del virus "Tigre" es muy interesante. Parece que en un
organismo científico dependiente del estado detectaron que algunos
archivos se hacían más largos sin causa aparente. Luego de revisar todo
con antivirus como el Scan no detectaron ningún virus conocido. Como los
archivos habían sido modificados y al final de ellos aparecían los
caracteres "MsDos", enseguida pensaron que era un virus. Rápidamente
crearon un string de identificación con estos caracteres para agregar al
Scan y detectar si el virus estaba muy difundido. Usando ésto detectaron
el virus en la gran mayoría de los ejecutables .com y .exe de sus
discos. Para sacarse de encima al virus borraron todos estos archivos
infectados. Lo mismo sucedió en varios lugares más que estaban en
contacto con este organismo, detectaron el virus y borraron una enorme
cantidad de archivos.

Poco después, un análisis detallado del incidente reveló que los
archivos sólo habían crecido en 5 bytes, precisamente correspondientes a
ese famoso "MsDos". Como hasta ahora no se detectó un virus de menos de
30 bytes y es muy difícil imaginar uno menor, es bastante evidente que
no era un virus. Hay algunos antivirus como el TNT que agregan al final
de los archivos la identificación del Jerusalem ("MsDos", justamente)
para que este virus piense que el archivo ya está infectado y no lo
infecte. Lo que sucedió es que este antivirus había modificado los
ejecutables y por eso surgió la confusión. Confusión bastante grave,
porque se borraron enomes cantidades de archivos y se perdieron
muchísimas horas de trabajo. En definitiva, no existe tal virus y fue
sólo una falsa alarma. Esto es otro ejemplo de por que debe dejarse la
investigación anti virus a expertos y no a improvisados que pueden tener
buena voluntad pero que no tienen conocimientos.

Cabe agregar que una agrupacion universitaria de investigación anti
virus se apuró a anunciarlo como un virus existente antes de
comprobarlo, por lo tanto la confusión empeoró. Como siempre, hay que
tomar las cosas con calma y estar seguros de lo que se hace antes de
tomar decisiones irreversibles.

Preguntas sobre virus

1- ¿Los programas exe, com y demas infectables, no quedan
suficientemente protegidos al marcarlos como de "sola lectura", con el
comando ATTRIB? Si la respuesta es no, ruego que me expliquen la razón.

2- ¿El disco rígido, puede ser protegido por hard contra grabación
indeseada, en forma similar a los diskettes? ¿O acaso por soft,
encriptando o de otra forma?

3- Ha aparecido recientemente un virus ExeBug, que se aloja en el boot
sector de los diskettes y discos rígidos. El Clean no lo remueve. ¿Que
se hace con él (y con otros virus de boot sector) cuando infectan el
disco, aparte de hacer un backup total y reformatear?

Ernesto A. Martina - Resistencia, Chaco.

VR: Los programas ejecutables no pueden ser protegidos marcándolos como
de sola lectura. Esto es porque el virus puede sacar esta marca,
escribir en el archivo, modificarlo, borrarlo, copiarlo, hacer lo que
quiera, y luego puede volver a poner la marca de solo lectura. Esta
marca es sólo eso, una marca.

Se puede proteger al disco rígido contra escritura por varios medios,
por hard (es el más seguro) o por soft (es posible que un virus pueda
pasar por encima de esta protección). Tambien se puede encriptar el
disco, pero en el momento en que queramos escribir o leer en el debemos
tenerlo desencriptado y es ocasión para que un virus entre. El problema
fundamental es: ¿Para que sirve un disco rígido si no podemos escribir
en él? Cada vez que queramos escribir y habilitemos la escritura,
podemos infectarlo con un virus. Además la mayoría de los programas
necesitan escribir en el disco de vez en cuando, así que sería
absolutamente inútil. Con los virus de boot que no se pueden limpiar con
antivirus, lo ideal es hacer un backup y formatear todo de nuevo. A
veces ni siquiera esto sirve porque el virus puede inutilizar a tal
punto la tabla de particiones que ni siquiera con el FDISK se puede
recuperar. Como siempre, lo ideal es buscar a alguien que sepa para
arreglarlo.