MÓDULO 5:

ANTIVIRUS

T E M A R I O

MÓDULO 5: ANTIVIRUS

DESCRIPCIÓN:

El antivirus es un programa que evita la activación de los virus, así como su propagación y contagio. Su función es detectar y eliminar virus y otros programas maliciosos comúnmente denominados malware.

OBJETIVO DE APRENDIZAJE:

Al finalizar el módulo el participante será capaz de instalar los diferentes programas Antivirus, Antispyware y Agente ePo, que protejan la integridad de la información y de los sistemas en los equipos de cómputo y aplicará procedimientos para la descontaminación de los mismos.

TEMARIO

1. Conceptos básicos de Antivirus
2. Instructivo de Operación para instalar el antivirus McAfee en Windows 2000, Windows XP y Windows Vista
3. Instalación de McAfee AntiSpyware Enterprise  v.8.5
4. Actualización de VirusScan Enterprise 8.5i y McAfee AntiSpyware 8.5
5. Instalación del agente de ePo
6. Procedimiento de verificación y descontaminación de equipos

DURACIÓN:

8 horas

REQUISITOS:

Introducción a las Microcomputadoras

VIRUS INFORMÁTICOS

Los virus, gusanos y troyanos son programas malintencionados que pueden provocar daños en el equipo y en la información del mismo. También pueden hacer más lento Internet e, incluso, pueden utilizar su equipo para difundirse a amigos, familiares, colaboradores y el resto de la Web. La buena noticia es que con un poco de prevención y algo de sentido común, es menos probable ser víctima de estas amenazas.

VIRUS Código escrito con la intención expresa de replicarse. Un virus se adjunta a sí mismo a un programa y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información.

Al igual que los virus humanos tienen una gravedad variable, desde el virus Ébola hasta la gripe de 24 horas, los virus informáticos van desde molestias moderadas hasta llegar a ser destructivos. La buena noticia es que un verdadero virus no se difunde sin la intervención humana. Alguien debe compartir un archivo o enviar un mensaje de correo electrónico para propagarlo.

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet. Por lo general, los gusanos se propagan sin la intervención del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo por las redes. Un gusano puede consumir memoria o ancho de banda de red, lo que puede provocar que un equipo se bloquee. Debido a que los gusanos no tienen que viajar mediante un programa o archivo, también pueden crear un túnel en el sistema y permitir que otro usuario tome el control del equipo de forma remota. Entre los ejemplos recientes de gusanos se incluyen: Sasser y Blaster.

 

Troyano. Del mismo modo que el caballo de Troya mitológico parecía ser un regalo pero contenía soldados griegos que dominaron la ciudad de Troya, los troyanos de hoy en día son programas informáticos que parecen ser software útil pero que ponen en peligro la seguridad y provocan muchos daños. Un troyano reciente apareció como un mensaje de correo electrónico que incluye archivos adjuntos que aparentaban ser actualizaciones de seguridad de Microsoft, pero que resultaron ser virus que intentaban deshabilitar el software antivirus y de servidor de seguridad. O sea que es un programa informático que parece ser útil pero que realmente provoca daños. Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo. Para proteger mejor a los usuarios, Microsoft suele enviar boletines de seguridad por correo electrónico, pero nunca contienen archivos adjuntos.  Los troyanos también se pueden incluir en software que se descarga gratuitamente. Nunca descargue software de un origen en el que no confíe. Descargue siempre las actualizaciones y revisiones de Microsoft de los sitios Microsoft Windows Update o Microsoft Office Update.

Jokes o virus broma. Son virus que crean mensajes de broma en la pantalla. También pueden acceder al lector de CD/DVD, abriéndolo y cerrándolo, o controlar el propio ratón, incluso el teclado, siempre con un fin de diversión y nunca de destrucción o daño para el contenido del computador, aunque a veces pueden llegar a ser molestos.

Hoaxes o falsos virus. Son mensajes con una información falsa. Normalmente son difundidos mediante el correo electrónico, a veces con fin de crear confusión entre la gente que recibe este tipo de mensajes o con un fin aun peor en el que quieren perjudicar a alguien o atacar al computador mediante ingeniería social. Mensajes como borre este archivo del equipo es un virus muy potente pudiendo ser archivos del sistema necesarios para el arranque u otras partes importante de este.

Virus de macros. Un macro es una secuencia de órdenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy útiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciéndose pasar por una macro y actuaran hasta que el archivo se abra o utilice.

Virus de sector de arranque (boot sector). Residen en las primeras pistas del disco duro o de los disquetes. Su función destructora suele consistir en inutilizar la FAT (tabla de asignación de direcciones de los archivos). La reproducción del virus de este tipo se suele producir en el intercambio de disquetes.

Adware. Este software muestra o baja anuncios publicitarios que aparecen inesperadamente en el equipo, pudiendo hacerlo simultáneamente a cuando se está utilizando la conexión a una página Web o después de que se ha instalado en la memoria de la computadora. Algunas empresas ofrecen software «gratuito» a cambio de publicitarse en su pantalla, otras al instalar el programa, se instalan junto con Spyware sin que lo note.

 

Dialers. Los dialers son programas que llaman a un número telefónico de larga distancia, o de tarifas especiales, para, a través del módem, entrar de forma automática y oculta para el usuario y sin su consentimiento, principalmente a páginas de juegos, adivinación o pornográficas, que van a redituar en beneficio económico a los creadores del malware, pero que además al usuario le crean la obligación de pagar grandes tarifas por el servicio telefónico. Existen en Internet páginas preparadas para descargar, instalar y ejecutar dialers de conexión y virus informáticos capaces de llevar a cabo todo lo anterior, con la desventaja de su rápida propagación. Actualmente las conexiones por medio de banda ancha, han evitado estos problemas.

 

MEDIOS DE CONTAMINACIÓN

 

Prácticamente todos los virus y muchos gusanos no se pueden transmitir a menos que se abra o se ejecute un programa infectado.

Muchos de los virus más peligrosos se difundían principalmente mediante archivos adjuntos de correo electrónico, los archivos que se envían junto con un mensaje de correo electrónico. Normalmente se puede saber que el correo electrónico incluye un archivo adjunto porque se muestra el icono de un clip que representa el archivo adjunto e incluye su nombre. Algunos tipos de archivos que se pueden recibir por correo electrónico habitualmente son fotos, cartas escritas en Microsoft Word e, incluso, hojas de cálculo de Excel. Un virus se inicia al abrir un archivo adjunto infectado (normalmente se hace clic en el icono de archivo adjunto para abrirlo).

Sugerencia: nunca abra nada que esté adjunto a un mensaje de correo electrónico a menos que espere el archivo y conozca el contenido exacto de dicho archivo. Si recibe un correo electrónico con un archivo adjunto de un desconocido, elimínelo inmediatamente. Por desgracia, en ocasiones tampoco resulta seguro abrir archivos adjuntos de personas que conoce. Los virus y los gusanos tienen la capacidad de robar la información de los programas de correo electrónico y enviarse a todos los incluidos en la libreta de direcciones. Por lo tanto, si recibe un correo electrónico de alguien con un mensaje que no entiende o un archivo que no esperaba, póngase siempre en contacto con la persona y confirme el contenido del archivo adjunto antes de abrirlo.

Otros virus se pueden propagar mediante programas que se descargan de Internet o de discos repletos de virus que dejan los amigos o incluso que se compran en una tienda. Existen formas menos habituales de contraer un virus. La mayoría de las personas se contagian de virus si abren y ejecutan archivos adjuntos de correo electrónico desconocidos.

El objetivo primordial de los virus son los archivos que se encuentran en un medio de almacenamiento como los discos duros o disquetes. Más concretamente serán infectados todos aquellos archivos, archivos o documentos (los tres términos indican el mismo concepto, en general) que tengan la característica de ser programas. Un programa no es más que un archivo cuya extensión es EXE o COM, que se puede ejecutar para que realice determinadas operaciones.

También existen virus que se encargan de infectar archivos que no son programas. No obstante, estos archivos contendrán elementos, denominados macros, incluidos en ellos. Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de archivos.

Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios de almacenamiento. De esta forma, atacando a los lugares en los que se guardan archivos, el daño provocado afectará a toda la información contenida en ellos.

La primera pregunta que debemos plantearnos es a través de que medios un virus puede atacar o introducirse en nuestro computador. Si conocemos perfectamente la respuesta, seremos capaces de proteger esas posibles vías de entrada para impedir posteriores infecciones. Los virus utilizan los siguientes medios para ello:

• Unidades de disco extraíbles: las unidades de disco son aquellos medios de almacenamiento en los que se guarda información, mediante archivos, documentos o archivos. Con ellos se puede trabajar en un computador para, posteriormente, utilizarlos en otro diferente. Algunos de estos medios de almacenamiento pueden ser los disquetes, CD-ROMs, unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos discos especiales con mayor capacidad que los disquetes. Si alguno de ellos se encontrase infectado y trabajásemos con él en un computador, éste será infectado.
• Redes de computadores: Una red es un conjunto o sistema de computadores conectados entre sí físicamente, para facilitar el trabajo de varios usuarios. Esto quiere decir que existen conexiones entre cualquiera de los computadores que forman parte de la red, pudiendo transferirse información entre ellos. Si alguna de esta información transmitida de un computador a otro estuviese infectada, el computador en el que se recibe será infectado.
• Internet: Cada día más se utilizan las posibilidades que brinda Internet para obtener información, realizar envíos y recepciones de archivos, recibir y publicar noticias, o descargar archivos. Todas estas operaciones se basan en la transferencia de información, así como en la conexión de diferentes computadores en cualquier parte del mundo. Por tanto, cualquier virus puede introducirse en nuestro computador al mismo tiempo que la información recibida. A través de Internet la infección podría realizarse empleando diferentes caminos como los siguientes:
  • Correo electrónico: En un mensaje enviado o recibido se pueden incluir documentos o archivos (archivo adjunto o anexado, «attached»). Estos archivos podrían estar infectados, contagiando al computador destinatario.
  • Páginas Web: Las páginas que visitamos en Internet son archivos de texto o imágenes escritos en un lenguaje denominado HTML. No obstante también pueden contener programas denominados Controles ActiveX y Applets de Java que son programas. Estos sí pueden estar infectados y podrían infectar al usuario que se encuentre visitando esa página.

Existen dos grandes grupos de contaminaciones, los virus donde el usuario en un momento dado ejecuta o acepta de forma inadvertida la instalación del virus, o los gusanos donde el programa malicioso actúa replicándose a través de las redes.

En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que nos dan la traza del problema y tienen que permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:

• Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto)
• Ingeniería social, mensajes como ejecute este programa y gane un premio.
• Entrada de información en discos de otros usuarios infectados.
• Instalación de software pirata o de baja calidad.
• Todos los nuevos métodos que vayan apareciendo conforme las tecnologías de la información vaya ganando terreno.

Cada uno de los miles de virus existentes utiliza diferentes mecanismos, tanto para realizar la infección como para ocultarse y pasar desapercibido. Estas técnicas evolucionan con el tiempo, como las técnicas utilizadas por los programas antivirus para detectarlos.

FUNCIONAMIENTO DE LOS ANTIVIRUS

Un programa antivirus no es más que un sistema que analiza información de muy diverso tipo y, en caso de que se encuentre infectada, procede a su desinfección. El análisis de la información se produce de muy diferentes maneras dependiendo de dónde provenga. Evidentemente no es lo mismo que un antivirus se dedique a controlar la actividad de la disquetera que la del correo electrónico o la de la red local. El principio de funcionamiento es similar, pero con matices.

La información que está en el «Sistema origen» debe llegar al «Sistema destino». El sistema origen podría ser un disquete y el sistema destino el disco duro del computador, o bien el origen podría ser un ISP “(Internet Service Provider) Proveedor de servicios de Internet” donde está almacenado un mensaje y el destino el sistema de comunicación de Windows de la máquina cliente o Winsock (Windows Sockets. Es una serie de especificaciones para creadores de programas que utilicen TCP/IP que deban funcionar en sistemas basados en Windows).

El funcionamiento del mecanismo de interceptación de la información varía en función de su implantación en sistemas operativos, en aplicaciones o bien de la necesidad de mecanismos especiales. 

El mecanismo de interceptación debe ser específico para cada sistema operativo o componente sobre el que se va a implantar el antivirus. Por ejemplo, en el caso de Windows 9x, estará formado por un driver virtual VxD que monitorice constantemente la actividad del disco. De esta manera, cada vez que se vaya a acceder a la información del disco o de los disquetes, el antivirus interceptará la llamada a la lectura o escritura del disco, analizará la información que se va a leer o grabar y la analizará. Esta misma operación se realiza a través de un driver en modo kernel en Windows NT/2000/XP o un NLM interceptando la actividad de disco en Novell.

En el caso de los antivirus no diseñados directamente para sistemas operativos sino para implementarse sobre otras aplicaciones, el mecanismo de intercepción es distinto. Por ejemplo, en el caso de un antivirus para Firewalls, es el propio firewall el que facilita la información al antivirus para su análisis mediante el protocolo CVP (Content Vectoring Protocol, que permite integrar una protección antivirus en un servidor firewall). O en el caso de un antivirus para SendMail es MilterAPI el que facilita la interceptación de la información.

En determinadas ocasiones no existe un mecanismo propio de interceptación proporcionado por el antivirus). En este caso, se deben utilizar mecanismos especiales entre la aplicación y el antivirus, es decir, recursos que intercepten la información y se la faciliten al antivirus, proporcionando una integración completa para la desinfección de los virus.

Una vez analizada la información, por el método que sea, si se ha detectado cualquier peligro, se llevan a cabo dos acciones:

1. Devolver la información limpia al mecanismo de interceptación que, a su vez, la devolverá al sistema para que siga su curso hasta el destino final. Es decir, si estábamos recibiendo un correo electrónico, dejar que el correo llegue a la bandeja de entrada, o si estábamos copiando un archivo, dejar que se termine el proceso de copia.

2. Emitir una alarma a la interfaz del usuario. Esta interfaz de usuario puede ser también muy diversa. En un antivirus para una estación de trabajo puede ser un mensaje mostrado por pantalla, pero en una solución para servidores la alarma puede consistir en un mensaje de correo electrónico, un mensaje a la red interna, una entrada en un informe de actividad o una comunicación de algún tipo a la herramienta de gestión del antivirus. 

Como vemos, el antivirus no hace ningún milagro extraño, ni es una pieza de software a la que debamos mirar con extrañeza. Es un aliado de nuestra seguridad muy sencillo, pero de una elevada tecnología y precisión. Pensemos que para copiar unos cuantos megas a nuestro disco duro el antivirus debe buscar entre más de 65.000 virus sin que la marcha normal del equipo se interrumpa ni el usuario lo perciba demasiado.

Motores de búsqueda. Independientemente de cómo se haya conseguido la información a analizar, entra en acción la parte más importante de un antivirus: el motor de búsqueda de virus. Este motor se encarga de buscar virus en la información que ha sido interceptada y, si procede, desinfectarla.

Esta búsqueda de información se lleva a cabo de dos maneras. Una consiste en comparar la información recibida con una base de datos de virus (las llamadas «firmas de virus»). Si coincide la información con los patrones previamente conocidos mediante las firmas, se concluye que el archivo está infectado por un virus.

La otra manera es «averiguar» si lo que se está analizando puede ser peligroso sin saber previamente si es un virus o no. Es el llamado «método heurístico». Para ello se analiza cómo se comporta la información y se compara con una lista de patrones de comportamientos peligrosos.

Por ejemplo, si se encuentra que un archivo tiene capacidad de formatear un disco duro el antivirus puede avisar al usuario. Quizá no sea un virus, sino un nuevo sistema de formateo que el usuario está instalando en el sistema; sin embargo, la acción de por sí, es peligrosa. Es el usuario, ante la alerta que le da el antivirus el que debe decidir si elimina el peligro o no.

Cada uno de estos procesos tienen sus ventajas e inconvenientes. Si nos fiamos únicamente del sistema de firmas de virus, deberemos actualizarlo todos los días al menos una vez. Teniendo en cuenta que se están descubriendo 15 virus nuevos todos los días, dejar un antivirus más de dos o tres días sin actualizar es demasiado peligroso.

Y el sistema heurístico puede que nos de alertas con elementos que sabemos que no lo son. Si acostumbramos a trabajar con determinados elementos que pueden ser considerados peligrosos las alertas nos cansarán. Sobre todo los programadores pueden preferir desactivarlo.

Antivirus residentes y bajo demanda. Cuando se habla de un antivirus hay que hacer una distinción muy clara entre los dos tipos de antivirus que hay. Uno son los antivirus residentes, que son los más complejos y más necesarios. Son los antivirus que están constantemente vigilando el sistema para evitar que haya ningún tipo de intrusión.

El otro tipo de antivirus son los analizadores bajo demanda. Éstos, si bien utilizan el mismo motor de búsqueda que el residente, se encargan de analizar partes del sistema solamente cuando el usuario lo ordena. Son llamados en ocasiones especiales. Puede usarse, por ejemplo para analizar un disquete nuevo, o para revisar la información antigua y no utilizada.

La clave de los antivirus reside en unos archivos de configuración (generalmente .DAT o .DEF) donde se almacenan una serie de patrones que sirven para identificar los virus. El antivirus analiza cada uno de los correos entrantes en el sistema, archivos, disquetes, etc. y busca dentro ellos esos patrones. Si el archivo o correo bajo análisis tiene alguno de los patrones, entonces se ha detectado el virus. Dependiendo de la configuración del antivirus, éste informará al usuario o simplemente lo borrará. Por esta razón es muy importante que los archivos de datos del antivirus estén permanentemente actualizados. En general, los antivirus modernos se actualizan automáticamente (conectándose al proveedor) cada vez que se inicia una conexión con Internet.

 A medida que evolucionan las técnicas empleadas por los virus y éstas son investigadas, los programas antivirus incorporan medidas de búsqueda de virus y protección más avanzadas como las siguientes:

Búsqueda de cadenas: Cada uno de los virus contiene determinadas cadenas de caracteres que le identifican. Estas son las denominadas firmas del virus. Los programas antivirus incorporan un archivo denominado «archivo de firmas de virus» en el que guardan todas las cadenas correspondientes a cada uno de los virus que detecta. De esta forma, para encontrarlos, se analizarán todos los archivos especificados comprobando si alguno de ellos las contiene. Si un archivo no contiene ninguna de estas cadenas, se considera limpio, mientras que si el programa antivirus la detecta en el interior del archivo avisará acerca de la posibilidad de que éste se encuentre infectado.

Excepciones: Una alternativa a la búsqueda de cadenas es la búsqueda de excepciones. Cuando un virus utiliza una determinada cadena para realizar una infección pero en la siguiente emplea otra distinta, es difícil detectarlo mediante la búsqueda de cadenas. En ese caso lo que el programa antivirus consigue es realizar la búsqueda concreta de un determinado virus.

Análisis heurístico: Cuando no existe información que permita la detección de un nuevo o posible virus desconocido, se utiliza esta técnica. Se caracteriza por analizar los archivos obteniendo información sobre cada uno de ellos (tamaño, fecha y hora de creación, posibilidad de colocarse en memoria,…etc.). Esta información es contrastada por el programa antivirus, quien decide si puede tratarse de un virus, o no.

Protección permanente: Durante todo el tiempo que el computador permanezca encendido, el programa antivirus se encargará de analizar todos los archivos implicados en determinadas operaciones. Cuando éstos se copian, se abren, se cierran, se ejecutan,…etc., el antivirus los analiza. En caso de haberse detectado un virus se muestra un aviso en el que se permiten la desinfección. Si no se encuentra nada extraño, el proceso recién analizado continúa.

Vacunación: Mediante esta técnica, el programa antivirus almacena información sobre cada uno de los archivos. En caso de haberse detectado algún cambio entre la información guardada y la información actual del archivo, el antivirus avisa de lo ocurrido. Existen dos tipos de vacunaciones: Interna (la información se guarda dentro del propio archivo, de tal forma que al ejecutarse él mismo comprueba si ha sufrido algún cambio) y Externa (la información que guarda en un archivo especial y desde él se contrasta la información).

Anti-espías (Anti-spyware)  

Los Spywares o Programas Espía, son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas para luego enviarla a través de Internet, generalmente a alguna empresa de publicidad. Todas estas acciones se enmascaran tras confusas autorizaciones al instalar terceros programas, por lo que rara vez el usuario es consciente de ello.

Los programas espía pueden instalarse en un computador mediante un virus, un troyano, o bien, como generalmente ocurre, estar ocultos en la instalación de un programa gratuito (freeware o adware). Estos últimos programas permiten al usuario la descarga y uso de su software sin pagar, con la condición de soportar la publicidad insertada en ellos, pero algunos también introducen spywares para recopilar valiosa información de nuestros hábitos de navegación, sin que nosotros tengamos conocimiento de ello.

La información que recopilan los programas espías suele tener un uso estadístico y comercial, valioso para las empresas de publicidad. Pero estos programas pueden, y algunos lo hacen, acceder del mismo modo a información personal que tengamos almacenada (nombre, dirección de correo electrónico…) o incluso a datos vitales como cuentas de usuario y contraseñas.

Otro de los efectos de los spywares más intrusivos es el de cambiar nuestra página de inicio a otra a elección del programa espía, la cual puede ser una página en blanco, erótica o de contenido dudoso. Si se intenta restaurar la página de inicio desde las opciones del explorador se verá que esto no es posible. Los cambios que el espía ha realizado en el registro del sistema no lo permiten. Esta actividad es conocida como «Secuestro del Navegador».

Sin embargo, no hay que confundir los programas espías con virus, troyanos, gusanos, etc. ya que estos últimos se dedican a dañar, de una forma u otra, el equipo infectado. Los programas espías por el contrario se dedican a recopilar ilegalmente información referente al usuario que utiliza el equipo; por ejemplo, páginas en las que navega, qué cosas suele comprar por Internet, software instalado en el sistema, antivirus utilizado… Toda esta información la recopilan ejecutando la aplicación de forma invisible para el usuario pero consumiendo recursos, por lo que afectan la velocidad del computador y la conexión a Internet.

No debe fiarse de todas las herramientas anti-espías que puede descargarse gratuitamente a través de Internet, ya que algunas de ellas pueden contener código malicioso, publicidad engañosa, no ofrecer la protección prometida e incluso dar como resultado falsos positivos. Para asegurarse que se trata de una herramienta confiable, dispone de unas listas actualizadas de aplicaciones de software espía que contienen código sospechoso:

ACTUALIZACIONES DE WINDOWS

Hay tres razones que hacen imprescindible la periódica actualización de los sistemas Windows:

– Necesidad de corregir problemas de seguridad.

– Aparición de nuevas funcionalidades.

– Publicación de nuevas versiones de controladores de hardware.

El procedimiento general de actualización consiste en la conexión a la página del servicio Windows Update de Microsoft: http://windowsupdate.microsoft.com  accesible tan sólo para Internet Explorer, desde donde se lanza un proceso en tres fases:

1. Búsqueda de actualizaciones. El servicio analiza la configuración de su equipo para elaborar la lista de actualizaciones que necesita.

2. Elección de actualizaciones a instalar. El servicio le muestra el conjunto de actualizaciones adecuadas, agrupadas en tres categorías:

– Actualizaciones críticas y service packs.

– Actualizaciones específicas para su versión de sistema operativo.

– Actualizaciones de controladores para el hardware instalado en su equipo.

Las actualizaciones críticas son esenciales para el funcionamiento del equipo y en muchos casos tienen por Objeto la resolución de problemas de seguridad, por lo que se recomienda instalarlas siempre.

3. Comprobación e instalación de actualizaciones. Lanza el proceso de instalación de las actualizaciones. Nótese que algunas de ellas pueden requerir el reinicio del equipo.

A continuación se detallan algunas particularidades de la gestión del acceso al servicio Windows Update

Para cada una de las versiones de Windows.

Windows XP:  Puede acceder al servicio Windows Update desde la opción Windows Update del menú Inicio.

Windows XP permite programar la descarga e instalación de las actualizaciones para que estas se realicen de forma automática o semiautomática. Para ello pulse con el botón derecho del ratón sobre el icono Mi Pc de su escritorio, elija la opción y propiedades, pulse sobre la pestaña Actualizaciones automáticas y escoja las opciones que desee.

Windows 2000:

Puede acceder al servicio Windows Update desde la opción Windows Update del menú Inicio.
Windows 2000 permite programar la descarga e instalación de las actualizaciones para que estas se realicen de forma automática o semiautomática. Para ello abra el Panel de control Actualizaciones automáticas y escoja las opciones que desee.

Se puede programar en todos los equipos las actualizaciones automáticas, para que por medio de internet se estén realizando estas funciones periódicamente:

En el panel de control, seleccionar actualizaciones automáticas:

A continuación seleccionar la opción “Automáticas” programado todos los días a una hora adecuada dependiendo del horario de trabajo del equipo.

Cuando un equipo no está actualizado por que la opción anterior no está habilitada o se tienen dudas respecto a las actualizaciones que tiene, se deberá aplicar las actualizaciones puede ser desde un disco “ejecutando” cada una de las actualizaciones o entrar a la página de Microsoft desde internet:

http://windowsupdate.microsoft.com/

O en el explorador de internet de Windows entrar a herramientas y seleccionar “Windows update”

Seleccionar rápida:

La actualización automáticamente busca las actualizaciones que le hacen falta y en su presenta las opciones para actualizar el equipo, seleccionar “Instalar las actualizaciones”

Se descargan las actualizaciones y presenta la opción para instalarlas seleccionar “Instalación rápida”

Se ejecuta la actualización:

Cuando termina es posible que se presente el mensaje de reiniciar el sistema, en ese caso, cerrar todos los programas que se estén ejecutando y presionar el botón de “Reiniciar ahora”:

Presenta un resumen de las actividades realizadas:

INSTALACIÓN DEL SOFTWARE  VirusScan Enterprise 8.5i

Antes de Instalar VirusScan Enterprise 8.5i , será necesario desinstalar cualquier otra versión anterior del producto y  reiniciar el equipo antes de comenzar.

Procedimiento para desinstalar McAfee Versión 8.0i

PROCEDIMIENTO PARA DESINSTALAR ANTIVIRUS 8.0

Para desinstalar McAfee Versión 8.0i es necesario realizar el siguiente procedimiento, ya que no está disponible la opción desde agregar o quitar programas en Panel de Control para evitar que los usuarios desinstalen el producto y pongan en riesgo la información del instituto.

1.- Darle clic en botón de Inicio y luego en Ejecutar.

2.- copiar esto: C:\Archivos de programa\Network Associates\VirusScan\RepairCache  y dar un clic en aceptar.

3.- Seleccionar y ejecutar el archivo vse800.msi

4.- Y nos aparece la opción de Modificar, reparar o quitar.

5.- Seleccionamos quitar y desinstala el producto.

Como sabemos, en el ftp del Instituto se encuentra la carpeta donde está el software para la instalación del antivirus en su versión 8.5i, la dirección es la siguiente:

ftp://11.254.12.97/Software%20McAfee/VirusScan%208.5%20Con_parche%201/

Sin embargo, la manera más recomendable y dinámica para hacer la instalación, es descargar el software, grabarlo en un CD y ejecutarlo en el equipo.

Instructivo de Operación para instalar el antivirus McAfee en Windows 2000, Windows XP y Windows Vista.

Introducción

La Dirección de Innovación y Desarrollo Tecnológico a través de la Norma que establece las disposiciones en materia de seguridad informática en el IMSS, establece los requerimientos de seguridad en la operación y configuración de la infraestructura informática Institucional para los usuarios finales y/o administradores, este instructivo describe los pasos a seguir para instalar el antivirus en Windows 2000,Windows XP y Windows Vista.

El presente Instructivo de Operación se emite en apoyo a la Norma que establece las disposiciones en materia de seguridad informática en el IMSS, clave, 5000-001-001, con la finalidad de describir los pasos a seguir para que la configuración de los equipos personales y servidores que operan en la red institucional cumplan con las normas establecidas.

Objetivo

Describir los pasos necesarios para instalar el antivirus en todos los equipos del instituto que cuenten con Windows 2000, Windows XP y Windows Vista.

Instrucciones de operación

Instalación

Antes de iniciar con la Instalación de VirusScan Enterprise 8.5i, será necesario desinstalar cualquier otra versión anteriordel producto y  reiniciar el equipo antes de comenzar.

Una vez reiniciado el equipo, necesitaremos ingresar a la siguiente dirección FTP para descargar el software:  ftp://11.254.12.97/Software%20McAfee/ y descargar el archivo llamado paquete 8.5i VirusScan.zip y guardarlo en su equipo.

Posteriormente es necesario extraer los archivos con ayuda de WINZIP y ponerlos en una carpeta para ejecutar el archivo llamado Setupvse.exe como lo muestra la figura 1.

Figura 1: Seleccionamos el archivo Setupvse.exe y damos doble clic sobre el archivo.

Cuando termina el proceso del archivo  Setup.exe, aparece el asistente para iniciar la instalación del antivirus. Damos clic en Siguiente como se muestra en la figura 3.

Figura 3: Asistente para la instalación del antivirus.

Inmediatamente después, aparecerá el contrato de licencia del producto. Debemos seleccionar la opción de Perpetua y México en la locación como se puede ver en la figura 4. Posteriormente Damos clic en  el botón de OK.

Figura 4: Aceptación de los términos de la Licencia.

En la siguiente pantalla seleccionaremos el tipo de instalación, en ella activaremos la casilla que tiene por nombre Típica, como se muestra en la figura 5.  Damos clic en el botón de siguiente.

Figura 5. Seleccionar el tipo de instalación que deseamos.

Aparecerá otra pantalla para seleccionar el nivel de protección de acceso. Se debe tener activada la casilla  Protección estándar como lo muestra la siguiente figura. Damos clic en siguiente.

Figura 6: Seleccionar el nivel de protección de acceso.

En la siguiente pantalla damos clic en Instalar para iniciar con el proceso de instalación.

Figura 7: El asistente esta listo para la instalación.

Se inicia la instalación del antivirus.

Figura 8: Inicio de la instalación del antivirus.

Al finalizar la instalación aparece la siguiente pantalla, donde debemos de quitar la activación de las casillas Actualizar ahora y Ejecutar análisis bajo demanda. Damos clic en finalizar para terminar la instalación.

Nota: Es importante que se desactiven dichas casillas, ya que si se dejan activadas, tardará mucho en actualizarse y después de que termine ejecutará un escaneo bajo demanda.

Figura 9: Fin de la instalación.

Instalación del agente de ePo

Se instalará el agente de ePolicy Orchestrator, para ello, se descarga el archivo Framepkg.exe de la siguiente dirección ftp://11.254.12.97/Agentes_de_Antivirus/ una vez que se tenga el paquete en el equipo, le damos doble clic para iniciar la instalación y aparecerá la siguiente pantalla.

Figura 1: Inicia la instalación del agente.

Sigue la instalación del agente.

Figura 2: Proceso de instalación del agente.

Cuando finalice la instalación, aparecerá un mensaje donde nos indica que la instalación ha finalizado correctamente, damos clic en Aceptar

Figura 3: Fin de la instalación del agente.

Instalación de McAfee AntiSpyware Enterprise  v.8.5

Es importante instalar el módulo antispyware de McAfee porque nos ayuda a detectar diversas amenazas como son Adware, Spyware y Programas no deseados  que el antivirus con sus firmas no puede hacer.

Una vez que se haya instalado VirusScan Enterprise versión 8.5i será necesario descargar el software del módulo antispyware versión 8.5 que se encuentra en el ftp del Instituto, ftp://11.254.12.97/Software%20McAfee/Modulo%20AntiSpyware%20para%20VirusScan%208.5/         

Sin embargo, la manera más recomendable y dinámica para hacer la instalación, es descargar el software y ejecutarlo en el equipo.

Para iniciar con nuestra instalación y una ves que ya descargamos el modulo antispyware es necesario dar doble clic en el archivo VSE85MAS.Exe y aparecerá el instalador de McAfee Antispyware, como en la siguiente pantalla.  Damos clic en el botón siguiente.

Figura 1: Instalador de McAfee AntiSpyware.

Inmediatamente después, aparecerá el contrato de licencia del producto. Donde se debe seleccionar la opción de  Perpetua y la locación México, y aceptamos los términos y condiciones del contrato. Posteriormente damos clic en el botón de OK

Figura 2: Aceptación de los términos de la Licencia.

Se inicia la instalación del módulo como lo muestra la siguiente pantalla.

Figura 3: Inicio de la Instalación de McAfee AntiSpyware.

Al finalizar la instalación mostrara la pantalla que se muestra en la figura siguiente. Damos clic en finalizar

Figura 4: Fin de la Instalación

Actualización de VirusScan Enterprise 8.5i y McAfee AntiSpyware 8.5

Para hacer la actualización del antivirus y del módulo antispyware será necesario descargar el archivo sdat actual, como es de nuestro conocimiento, se descarga del ftp del Instituto, la dirección es la siguiente:

ftp://11.254.12.97/Actualizaciones_McAfee_Dats/sdat/ Cuando haya terminado la descarga, damos doble clic al archivo sdat####.exe (los símbolos de # representan el número actual del datfile) y mostrará la siguiente pantalla. Damos clic en siguiente para iniciar la actualización.

Figura 1: Inicio de la actualización.

Una vez finalizada la actualización de VirusScan y Mcafee AntiSpyware, es posible que sea necesario reiniciar el equipo, si es así, se activa la casilla donde pregunta que si deseamos reiniciar el equipo ahora. Damos clic en finish y el equipo reiniciara.

Figura 2: Fin de la actualización.

SÍNTOMAS DE UN EQUIPO CONTAMINADO.

Es difícil adivinar a simple vista si un computador está infectado por virus. La certeza sólo se consigue teniendo el antivirus actualizado.

Sin embargo, hay ciertos síntomas que delatan la posible presencia de virus en el computador (aunque también pueden deberse a otros problemas ajenos a los virus):

La lentitud no habitual con la que repentinamente funciona un computador, sin ninguna causa aparente, puede deberse a varios motivos: muchos programas trabajando al mismo tiempo o problemas de red, pero también a una infección por virus.

Una de las razones de la imposibilidad de abrir ciertos archivos o de trabajar con determinados programas es que un virus los haya eliminado, o que haya suprimido los archivos que éste necesita para funcionar.
La desaparición de archivos y carpetas es uno de los efectos más comunes de los virus.

En ocasiones, puede ser imposible acceder al contenido de ciertos archivos. Los virus también suelen modificar archivos, dejándolos inservibles. Al abrirlos, se mostrará un aviso de error.

La aparición en pantalla de avisos o mensajes de texto inesperados puede ser un síntoma claro de infección por virus. Generalmente, estos avisos contienen textos que no son habituales (de carácter absurdo, jocoso, hiriente, agresivo, etc.).

La disminución repentina del espacio en disco o de la capacidad de la memoria es también un síntoma de infección por virus, que puede llegar a ocupar todo el espacio libre. En tal caso se muestran avisos indicando que no hay más espacio.

Algunos virus impiden trabajar correctamente con los discos, haciendo muy difícil guardar un archivo o utilizar el disco con normalidad.

La alteración inesperada en las propiedades de un archivo es también un síntoma de infección. Algunos virus modifican los archivos que infectan, aumentando su tamaño, alterando su fecha de creación y modificación o sus atributos, etc.

Si el sistema operativo muestra mensajes de error, puede ser debido a un error real o a la presencia de virus. Si estos mensajes aparecen al realizar operaciones sencillas en condiciones normales, hay que sospechar.
Si aparece un archivo duplicado, y uno de ellos tiene extensión EXE, y otro el mismo nombre, pero extensión COM, es muy probable que el segundo de ellos esté infectado.

En caso de producirse un cambio inesperado del nombre de un archivo, es también un síntoma de infección.
Los problemas al arrancar el computador pueden deberse a varios motivos, pero la infección por parte de un virus de boot es uno de los más frecuentes.

El computador se bloquea (se queda colgado) en momentos de carga excesiva, pero también puede bloquearse por la acción de un virus. Esto es especialmente claro cuando se están realizando operaciones sencillas que no suponen demasiado trabajo para el computador.

El computador se apaga repentinamente sin motivo aparente y vuelve a arrancar. Algunos virus necesitan que esto suceda para activarse y asegurar su funcionamiento, por lo que provocan este tipo de situaciones.

Si un programa se cierra repentinamente mientras estamos trabajando con él, tendremos motivos para sospechar de una infección.

Otros efectos extraños, claros síntomas de la infección por troyanos, son que la bandeja del CD-ROM se abre y se cierra automáticamente, el teclado y el ratón no funcionan correctamente o lo hacen al azar, desaparecen ventanas y aparecen otras nuevas, etc.

La única forma fiable de averiguar si el ordenador está infectado, es realizar una búsqueda de virus con un programa antivirus actualizado. Es vital mantener el antivirus actualizado, ya que no dejan de aparecer nuevos virus cada día.

Además verificar los mensajes del antivirus relativo a la detección de virus y las acciones que realizo este programa, sobre todo si se presentan avisos de problemas de eliminación de virus.

EJECUCIÓN DEL ANTIVIRUS

Es recomendable ejecutar el programa antivirus para verificar que no esté contaminado el equipo, también cuando se introduce un dispositivo de almacenamiento ajeno a nuestro equipo (USB),  dar doble click en Consola de VirusScan

En la siguiente pantalla, seleccionar: Explotación Completa y presionar la flecha verde (Iniciar)

Con esto se ejecuta la verificación del sistema.

También es recomendable ejecutar esta verificación en modo pruebas de fallos, esto es:

Reiniciar el equipo, en el momento que se esté reiniciando, presionar la tecla f8,  Se presenta una pantalla en fondo negro con varias opciones, seleccionar  “Modo Seguro” Seguir las instrucciones, entrando como Administrador y con su clave respectiva.

De este modo se activa el sistema de un modo más básico que permite tener mejor control sobre algunas funciones, de manera que se puede ejecutar el antivirus de una forma más directa, también se puede seleccionar en la pantalla que se describió anteriormente “ Modo seguro con símbolo de sistema “ Con esta opción se entra directamente a una pantalla de MS-DOS

Pasos a seguir para “Vacunar”

Agregarle las siguientes unidades a revisión:

Mi PC       y darle Aceptar

Agregar También  “Todas las Unidades de Red”

Agregar “Memorias para Kits de Raíz”

Pregunta si se desea guardar nueva configuración del análisis

Inicia el análisis en busca de virus

Para vacunar las memorias USB, se hará la detección por Explorador de Windows, click derecho

“Analizar en busca de virus” y/o “Analizar en busca de amenazas” (según la versión del antivirus con el que cuente el  equipo en el que se está trabajando.

Se observa el avance de la detección

En caso de detectar algún tipo de virus, dar un click derecho y seleccionar la opción Eliminar

Y se le dará una segunda analizada a fin de confirmar se haya eliminado el virus.

NOTA: Insistir a los usuarios, nunca abrir las memorias directamente, ni por Mi PC, siempre hay que hacerlo por explorador de Windows.