Con tanto virus existente actualmente (conocemos en el momento de editar este informe más de 63.467 variantes de virus informáticos), y dada la progresión diaria de los mismos, así como los muchos caminos que utilizan los virus para entrar en los sistemas, conviene estar muy alerta, ‘parchear’ todos los agujeros de seguridad conocidos, y tener el antivirus bien instalado y configurado, aparte de poder complementarlo, según cada caso, con un cortafuegos (firewall) para evitar intrusismo, y pérdida de privacidad.

Para empezar, debemos tener presente que conviene tener el antivirus instalado en todos los ordenadores de la empresa, y no sólo en los que se conectan a Internet o los que reciben correo, pues hay virus de todos los tipos, empezando por lo que entran por disquete con el BOOT infectado (de los cuales en España ha habido grandes infecciones, desde el ANTITEL o TELECOM, hasta el BLEAH, especialmente este último por venir en disquetes preformateados nuevos) manteniéndose en la actualidad activo el denominado WYX.

Continuamos con las posibilidades de infección al ejecutar ficheros infectados, o por edición de documentos de Word con macros infectadas, pudiendo llegar dichos ficheros bien por copia manual de los mismos, o anexados a e-mails, aparte de los entrados vía recursos compartidos e intrusismo, tanto desde máquinas de una misma red, como desde Internet. Además, cualquier visita a una web puede ocasionar la descarga de un fichero, desde una cookie, a un virus, sea gusano o troyano.

El antivirus VirusScan de McAfee es capaz de detectar todos los virus conocidos hasta la fecha, si está residente, actualizado y bien configurado. Sin embargo, la compartición de recursos de Windows puede permitir que se escriba remotamente a las máquinas en las que, además del antivirus, no haya instalado un cortafuegos, y, aunque el intento de copia del fichero infectado sea detenido por VirusScan (como en el caso del w32/Opaserv.worm), la llamada a ejecutar dicho fichero puede haber sido previamente escrita (en WIN.INI, en el caso de w32/Opaserv.worm), razón por la que creamos utilidades complementarias para muchos virus, y así evitar el transtorno de que al reiniciar Windows, tras haber sufrido un intento de entrada de virus, no aparezca el mensaje de ‘fichero no encontrado’ ... y pida conformidad.

Nuestras más de 100 utilidades facilitan la eliminación de virus genéricos (p.e. virus de BOOT) o específicos, que precisan detener el proceso vírico en memoria (p.e. virus FUNLOVE), eliminar claves de registro (p.e. virus w32/Klez@MM), o las entradas en fichero de inicio (p.e. gusano w32/Opaserv.worm).

En este documento, anunciamos una nueva utilidad, CFGVS451.EXE, para estaciones de trabajo que tengan instalado VirusScan v4.5.1, de modo que configurará VirusScan con los parámetros que aconsejamos utilizar actualmente. Con su ejecución se activarán, si no lo estuvieran, los siguientes controles:

En el entorno de exploración de SCAN32.EXE:

- Activa la exploración, "Todos los Archivos".

- Activa la exploración, "Incluir Subcarpetas".

- Activa la exploración, "Archivos Comprimidos".

- Activa la "Exploracion Heurística de Programas y Macros".

- Elimina la exclusión de la carpeta "C:\RECYCLED".

- Añade la exclusión de la carpeta "C:\_RESTORE"

En las propiedades de la Exploración del Sistema:

- Activa la Exploración del Sistema.

- Activa la exploración, "Archivos Predeterminados"

- Activa la exploración, "Archivos Comprimidos".

- Activa la exploración, "Unidades de Red".

- Activa la "Exploracion Heurística de Programas y Macros".

- Anula el botón "Excluir" en la pestaña de "Acción".

- Elimina la exclusión de la carpeta "C:\RECYCLED".

En las propiedades de la Exploración del Correo Electrónico:

- Activa la exploración de archivos adjuntos del correo electrónico

- Activa el "Correo de Internet" (para el Outlook Express), solo en el caso

de no estar activo el "Correo Corporativo" y el "Correo de Internet".

- Activa la exploración, "Todos los Archivos".

- Activa la "Exploracion Heurística de Programas y Macros".

En la Exploración de Elementos Descargados:

- Activa la Exploración de Elementos Descargados.

- Activa la "Exploracion Heurística de Programas y Macros".

En el Filtro de Internet:

- Activa el Filtro de Internet.

Es especialmente importante la ejecución de CFGVS451.EXE para asegurar que esté activada la casilla Unidades de Red dentro de las propiedades de la Exploración de Sistema, y de este modo poder controlar los virus que quieran entrar por recursos compartidos, tanto desde otras máquinas de la LAN como desde Internet (Es imprescindible para ello tener instalado Service pack 1 para VirusScan 4.5.1, que comprobaremos mas adelante)

Igualmente, esta utilidad activa la opción Exploración de archivos adjuntos de correo electrónico. Si el usuario utiliza Microsoft Outlook y tiene activada la casilla Correo Corporativo, esta se respeta, y sino, se entiende que utiliza un correo que no es MAPI simple (Outlook Express, Eudora, Pegasus Mail, etc..), y se activa la casilla de Correo de Internet.

Tras la ejecución de CFGVS451.EXE sólo hay que comprobar que pulsando con el botón derecho del mouse sobre el icono del Vshield (escudo azul con V roja situado en la esquina inferior derecha de la pantalla junto al reloj), al seleccionar Acerca de, la información sea:

Si la versión de VirusScan NO es v4.5.1, y la versión instalada fuera todavía 4.5.0, deberá primero actualizar a v4.5.1 desde el CDROM de Mayo, nº 4200, y tras ello instalar el SP1 (Service Pack 1), pues de otra forma no se controlarían los recursos compartidos.

Si la versión instalada fuera anterior a la 4.5.0 (por ejemplo v4.0.3), debería desinstalar totalmente el antivirus desde Panel de Control | Agregar o quitar programas, e instalar desde cero VirusScan v4.5.1 y luego SP1

Si la versión de VirusScan es v4.5.1 pero NO está instalado SP1, proceder a instalar SP1 (se incluye en nuestro CDROM 4200) o también disponible en nuestra web, http://www.satinfo.es/db/antivirus/utilitats/vsc451less1.zip

Si los ficheros DAT y motor de exploración no fueran recientes (en el momento de escribir este documento disponemos de DATS 4237 y motor de exploración 4160), recomendamos descargar y ejecutar el fichero Superdat (sdat4237.exe)

Tras lo anterior, el antivirus estará debidamente instalado, configurado y actualizado. Añadir que es muy importante aplicar los últimos parches acumulativos para Ms Internet Explorer, ya que dos de los programas de correo electrónico más utilizados (Ms Outlook, y Ms Outlook Express) utilizan a MSIE como intérprete de HTML, y las vulnerabilidades que afectan a este son aprovechadas por los creadores de virus para provocar la propagación de nuevos virus a través de correo electrónico (p.e. aprovechando la vulnerabilidad Exploit-MIME)

Puede encontrar enlaces a los últimos parches acumulativos para Ms Internet Explorer, pulsando en aquí http://www.satinfo.es/web/noticies/2002/q328970.html

Agradecemos la atención prestada al respecto, garantizándole que los minutos dedicados a ello le pueden representar evitar muchas horas de pérdida de trabajo por no haber detenido virus destructivos como el W32/KORVAR, que por leer un e-mail infectado, sin el antivirus debidamente instalado y configurado, o con el Internet Explorer anticuado o no parcheado, borra todos los ficheros del disco duro que no están en uso, por lo que es mucho mas conveniente PREVENIR QUE LLORAR .

Pulse aquí para descargar la utilidad CFGVS451

SATINFO, VIRUSCAN SPAIN SERVICE 12 de Diciembre 2002

Anterior