sábado, 5 de diciembre de 2009

¿Que hacer si detecto un virus desconocido?

 

 
Sin duda uno de los peores momentos por los que puede pasar cualquier usuario es encontrarse con el ataque de un virus desconocido, especialmente cuando ve como todo su equipo informático se viene abajo. Saber cómo reaccionar ante tales casos es fundamental para que la posible perdida de información sea la mínima posible.

Ante todo hemos de distinguir dos tipos de "víctimas" distintas: los usuarios domésticos, con tan sólo un ordenador en su hogar y los administradores de sistemas de una red con varios o cientos de máquinas. La actuación lógicamente varía de uno a otro caso, pero ante todo la regla de oro es calma y tranquilidad. Hay que actuar rápidamente, pero sin dejarse llevar por el pánico.

Usuario doméstico
En esta entrega explicaremos la actuación que debe seguir un usuario doméstico para evitar que la actuación de un virus instalado en su ordenador termine en catástrofe. El primer paso es, con toda lógica, identificar que tenemos un virus en el sistema. El usuario debe tener en cuenta los factores que pueden indicar la presencia de un virus. Debemos distinguir dos fases: por un lado la presencia de un virus en estado de latencia y, por el otro, una vez que éste ha puesto en marcha su efecto o "payload". En el segundo de los casos parece lógico que los efectos serán visibles y que el usuario puede con cierta facilidad detectar que se trata de un virus: mensajes en la pantalla, efectos gráficos o, en el peor de los casos, pérdida de datos, son efectos habituales de los virus.

Reconocer un virus durante la fase en la que permanece latente, infectando de forma sigilosa nuestro sistema es, sin duda, la que nos puede evitar desagradables sorpresas. Debemos de estar atentos ante cualquier actividad sospechosa que pueda presentarse en nuestro quehacer diario. Uno de los factores que pueden delatar la presencia de virus son el aumento del tamaño de los ficheros, señal de que pueden haber sido contagiados por adjuntarse a ellos un virus. También una fecha inusual o una hora imposible -por ejemplo tener más de 59 segundos en un reloj o fecha-, es otro factor que puede delatarnos su presencia, ya que muchos utilizan este tipo de marcas para conocer qué ficheros han sido ya infectados.

En el caso de los documentos, deberemos evitar en todo momento el uso de macros, a menos que sea imprescindible. Cuando abrimos un documento, que sabemos a ciencia cierta que no contiene macros, un aviso de la aplicación indicando lo contrario nos debe alertar de la presencia del virus.

Otros efectos colaterales de los virus, como son el bloqueo del sistema, errores a la hora de ejecutar programas, reducción del espacio del disco duro o la memoria, se consideraban indicios casi indudables de presencia de virus en los sistemas MSDOS. Sin embargo, en Windows las causas pueden ser otras bien distintas, por lo que no son concluyentes, aunque deben hacernos sospechar y seguir observando para encontrar más evidencias. Lentitud del ordenador, programas que dejan de funcionar adecuadamente, archivos duplicados que aparecen de repente o que el ordenador se bloquee continuamente o no llegue a arrancar, son buenas pistas que debemos observar detenidamente.

Si el efecto no ha atacado a nuestros archivos directamente, o si la pérdida ha sido parcial, deberemos recoger muestras de posibles ficheros infectados. Recordemos que, en la mayoría de las ocasiones, pueden ser ficheros ejecutables o documentos, sin olvidar otro tipos de virus como los de boot, aunque con la entrada de Windows han disminuido.

Si el efecto ha sido causado mientras trabajábamos con un documento, por ejemplo Word, deberemos intentar enviar al laboratorio de virus el mismo documento o, en su defecto, algún otro del mismo formato y que hayamos utilizado recientemente. En el caso de que el efecto se haya producido al ejecutar un programa o al iniciar el sistema, seguramente estamos ante un caso de infección por virus "binario". A la hora de elegir la muestra, y al igual que con los documentos, intentaremos que sea el mismo fichero con el que se produjo el efecto al ejecutarlo.

Por desgracia, puede ocurrir que el virus haya destruido toda la información de nuestro disco duro. En tal caso, debemos acudir a los discos que hayamos utilizado recientemente, donde deberemos buscar algún documento o ejecutable que pudiera haber sido infectado.

Estas son algunas indicaciones básicas y generales a la hora de reportar una muestra del virus desconocido. No obstante, una llamada al servicio técnico de la casa antivirus nos asegurará la forma de actuación correcta de la mano de un técnico especializado.

No hay comentarios: