INFORMAMOS.NETINFORMAMOS.NET - PARA QUIENES VIVEN LA INFORMACION
  PARA QUIENES VIVEN LA INFORMACION

NOVEDADES  EMPRESARIALES     -    TECNOLOGIA      -   SALUD     -    CULTURA      -   TELECOMUNICACIONES         -

Colombia                                                    2008 

2004

TELECOMUNICACIONES

EMPRESARIALES

TECNOLOGIA

SALUD

CULTURA

CONTACTENOS

PAGINA PRINCIPAL

CONSULTA POR EDICIONES

LIBROS: SECCION PERMANENTE

7 pasos para detectar y recuperarse de un incidente de virus

  • La experiencia demuestra que se pueden tomar medidas específicas y efectivas, aun si usted carece de las últimas herramientas o infraestructura. En este artículo le explicaremos cómo detectar los virus y, si usted descubre que ya está infectado, qué respuesta inmediata debe dar y qué medidas provisionales debe tomar.

1. Identificación del ataque
El correo electrónico es el método más corriente de contagio de los virus, pero no es la única forma en que éstos pueden penetrar en el entorno de la red IP. Por ejemplo, los usuarios finales pueden traer disquetes infectados de casa, o pueden efectuar descargas FTP o HTTP desde sitios infectados. Recientemente, los creadores de virus e intrusos expertos se han puesto de acuerdo para desarrollar códigos virales que penetran las redes aprovechando conocidas fallas de seguridad en varias aplicaciones.

Una vez que un virus penetra en su red, se desplaza de computador en computador de muchas maneras. Algunos virus buscan en la red sistemas configurados para permitir la utilización compartida de archivos y tratan de acceder e infectar los archivos. Otros virus se envían a sí mismos por el correo electrónico con destino a nodos en la red. Algunos hacen ambas cosas, mientras que otros se propagan por medios inesperados, incluyendo el uso de sistemas de mensajería instantánea o de aplicaciones entre iguales. Un solo computador infectado en su red puede rápidamente infectar muchos otros sistemas en la red IP.

2. ¿Se trata realmente de un virus?
Si su software antivirus puede detectar una infección o un intento de infección, usualmente podrá tratar efectivamente la situación y, por lo tanto, usted no tendrá un incidente de virus. Estos incidentes se producen cuando un virus puede escapar de su programa antivirus y/o la exploración de la detección de intrusos.

Cuando esto ocurre, el virus, típicamente, hará notar su presencia, bien como resultado directo de su intento por propagarse o bien como un efecto secundario. Entre los indicadores usuales de una infección por virus, se encuentran los siguientes:

Sonidos o imágenes inesperados en la pantalla. Especialmente si estos ocurren en múltiples sistemas, pueden ser la señal de la existencia de virus. Aunque estos indicadores no son destructivos, esto no significa que el virus mismo no lo sea.

Los indicadores de archivo son los más comunes, pero generalmente los más difíciles de detectar. Incluyen la aparición de múltiples archivos desconocidos en las estaciones de trabajo del usuario o en los servidores de archivos; la desaparición de múltiples archivos por razones desconocidas; la pérdida de datos dentro de los archivos de datos; o el reemplazo del contenido de los archivos. Si el virus es capaz de infectar archivos, aquellos que contienen códigos ejecutables pueden repentinamente cambiar de tamaño, cuando el virus se inserta a sí mismo en el código y se ejecuta cuando un usuario o una aplicación intenta hacer funcionar el código en el archivo original.

Los indicadores del sistema son usualmente fáciles de detectar puesto que a menudo interfieren con la capacidad para usar el sistema. Entre los ejemplos se incluyen la imposibilidad de dividir los archivos o la destrucción de sistemas completos de archivos. Esta clase de daño sucede rara vez porque interfiere con la capacidad del virus para propagarse. Cuando ocurre, es a menudo el efecto secundario de una pobre programación por parte del creador del virus- pero puede ser también el efecto de la así llamada bomba lógica, una porción de código malicioso colocada por el creador para que se ejecute en una fecha específica o se base en algún otro desencadenante. Sus usuarios le informarán siempre acerca de esta clase de indicador.

Los indicadores de red son provocados usualmente por los efectos secundarios que causan los intentos del virus por propagarse e incluyen tormentas en la red e interrupciones no programadas del correo electrónico. Esta clase de indicador resulta generalmente obvio para muchos usuarios al mismo tiempo, pero puede detectarse también a través del uso de herramientas administrativas de la red con capacidad para dar la alarma.

Los indicadores personalizados son aquellos que usted instala en su propio entorno específicamente para detectar nuevos virus no descubiertos por el software antivirus. Por ejemplo, usted puede querer instalar un grupo de listas de cuentas ficticias para correo electrónico Microsoft Exchange, que incluya solamente cuentas de usuarios ficticios, en tal forma que pueda detectar gusanos de correo electrónico que utilizan Microsoft Outlook para propagarse.

Mientras a muchos indicadores de virus se les puede seguir fácilmente la pista hasta una acción o un desencadenante específicos, en otros casos el indicador puede presentarse de manera impredecible, al azar. Estos indicadores son los más difíciles de rastrear y de determinar si un virus, en efecto, los está causando.

3. Evalúe los antecedentes
El primer paso es erradicar los indicadores no virales. Programas burlones, mensajes publicitarios, errores de aplicación, equivocaciones comunes del usuario, fallas de los sistemas y fallas de hardware de la red que se encuentran entre los eventos que pueden provocar indicadores confusos.

A continuación tenemos varias fuentes que pueden ayudarle a identificar los problemas conocidos de tipo viral y no viral que podrían causar los mismos indicadores:

Los proveedores de software antivirus
El Equipo de Respuesta a Emergencias Informáticas (CERT), en el sitio Web: http://www.cert.org/ 

La Metabase del ICAT: icat.nist.gov 

La página Web del Instituto de Seguridad y Redes para la Administración de Sistemas (SANS): http://www.sans.org/  

El sitio Web de NTBug Track: http://www.ntbugtrac.com/ , el cual mantiene una base de datos de problemas conocidos de las aplicaciones.
Sitios específicos de sistemas operativos, como Microsoft y Sun.
Sitios de aplicaciones específicas para el software utilizado en su entorno
Sitios de hardware específicos para aquellos sistemas afectados

El sitio Web de Computer Virus Myths, http://www.vmyths.com/ , el cual mantiene una base de datos de conocidos virus falsos y de problemas de las aplicaciones que generalmente son confundidos con virus.

4. Identificación y evaluación del vector infeccioso
Una vez que usted determina que un virus es la causa de un indicador, el siguiente paso es identificar la naturaleza del ataque. Sería ideal que usted tuviera el tiempo suficiente para determinar completamente qué sistemas se hallan afectados, pero algunos virus pueden propagarse más rápido de lo que usted tardaría en evaluar su impacto. Las infecciones que no pueden ser rápidamente tratadas actualizando el software antivirus, requieren mayor diagnóstico antes de que se pueda diseñar un plan para erradicarlas.

Para poder decidir acerca de cómo proceder, debe saber con qué clase de virus está tratando y las posibles repercusiones en su entorno. Aprenda sobre cómo los virus se propagan, sus métodos de ataque y el posible daño que pueden provocar. No debe depender únicamente de la información que le suministran sobre los virus sus proveedores de antivirus o de detección de intrusos; aunque debería considerarlos como árbitros en caso de informaciones conflictivas.

Una vez que haya identificado el virus, debe hacer una buena evaluación concerniente a la gravedad de la infección. Formúlese las siguientes preguntas para evaluar el vector infeccioso y para identificar las maneras más rápidas de evitar que el virus continúe propagándose:

5. ¿Cómo penetra en la red?
Si penetra a través del correo electrónico SMTP, el filtrado de contenidos debería detenerlo. Si penetra porque se explora un servidor infectado, puede bloquear las direcciones URL. Si llega a través de las aplicaciones entre iguales o de las aplicaciones de chat en Internet, trate de bloquear los puertos específicos utilizados por estas aplicaciones en el firewall.

¿Está el virus consciente de la existencia de la red y se propaga a través de la utilización compartida de archivos? Si así es, es más probable que se propague a otros sistemas, a no ser que usted tenga la costumbre de eliminar los archivos compartidos de administración y deshabilitar las funciones de la utilización compartida de archivos.

¿Utiliza el virus los programas grupales o los gateways del correo electrónico para propagarse más? Si utiliza los sistemas internos del correo electrónico para diseminarse, nuevamente el filtrado de contenidos debería detenerlo. Si, en cambio, instala su propio servidor SMTP para enviar correos electrónicos, usted podría bloquear temporalmente el puerto 25 en el firewall.

¿Penetra en el entorno a través de agujeros de seguridad? En ese caso, usted debería ser capaz de aplicar parches de software para detener su infiltración.

Igualmente, debe evaluar la propagación de la infección. Revise todas las computadoras de administración de uso prioritario y de uso continuo y, si algunas se hallan infectadas, desconéctelas de la red. Puesto que es más probable que otros sistemas hayan accedido a ellas, es probable que el virus se haya esparcido más. Por consiguiente, debe considerar la desconexión de la red de los servidores no infectados, para prevenir su contagio.

Si el virus sabe de la existencia de la red, revise para comprobar si algunas cuentas del administrador de la red se encuentran comprometidas. Esto ocurre a menudo debido a la infección de un sistema del administrador de la red. Cuando sucede, es probable que el virus que sabe de la existencia de la red se haya propagado mucho. Seguramente, tendrá que suprimir las cuentas de usuario afectadas.

6. Unir esfuerzos
Si usted no lo ha hecho todavía, es hora de reunir a un equipo para enfrentarse a la amenaza, el cual será responsable de determinar las opciones, de recomendar la solución apropiada e implementar aquella que sea seleccionada. Utilice su equipo y procedimientos de respuesta a incidentes, si dispone de ellos. En caso contrario, necesita reunir un equipo.

En primer lugar, nombre al líder del equipo, quien deberá supervisar todo el proceso diseñado para la solución de la infección viral, y luego tenga en cuenta los siguientes recursos para su equipo:

Personal de información, el cual a menudo lanza la primera voz de alarma, y continúa recibiendo las llamadas de los usuarios que se quejan de la aparición de los indicadores de infección. Ellos mismos pueden comunicar a los usuarios los procesos para responder al ataque.

Si el equipo de respuesta a incidentes existe, éste deberá ser el agente coordinador, investigando las especificaciones del virus, las soluciones recomendadas y los puntos iniciales de la infección.

Personal de estaciones de trabajo y de servidores operacionales, el cual podrá rastrear los sistemas infectados, identificar los puntos prioritarios que necesitan protección y comunicar la solución a los usuarios. Ambos equipos pueden requerir el parcheo de los sistemas como parte de dicho proceso de respuesta.

Personal de redes, que puede tener que bloquear las conexiones en el perímetro y/o segmentar la red para contener la propagación del virus. Además, pueden revisar los registros de firewall y de los routers para localizar los puntos iniciales de la infección.

El equipo de mensajería, que puede ser llamado para poner fuera de servicio o para reconfigurar los servidores de correo electrónico, o para aplicar parches, como parte del proceso de respuesta. Puede también revisar los registros del correo electrónico en busca de indicadores de los puntos iniciales de infección.

Puede necesitarse un representante legal, para prestar asistencia en las actividades de investigación forense, una vez que se haya contenido el virus.
Se puede requerir un contable, para determinar el impacto financiero del incidente viral y la conveniencia de llevar a cabo una investigación.

El personal de Relaciones Publicas puede ser indispensable, si el virus o la respuesta afecta a los socios comerciales, a los clientes o a terceros.

El Personal de Recursos Humanos puede involucrarse, si el incidente viral es el resultado de la violación de las políticas empresariales por parte de un empleado o de un contratista.

La participación de los altos directivos puede ser necesaria, si las decisiones que implique la respuesta al ataque viral llegasen, probablemente, a afectar negativamente a la compañía, a los socios, clientes o demás.
Los representantes de las unidades y de los departamentos comerciales afectados, deben mantenerse informados.

Como parte del esfuerzo de recuperación, usted puede requerir asistencia externa.

A medida que usted comience a desarrollar el proceso de respuesta a incidentes, necesitará establecer la manera de comunicar el problema a todos los equipos, el modo de reportar el problema apropiadamente, la forma de hacerle un seguimiento al progreso de la solución y la oportunidad para involucrar a cada equipo en tal proceso. Una comunicación clara resulta invaluable para ayudar a determinar la causa del virus, los puntos de infección inicial, la propagación de la infección y para coordinar apropiadamente la respuesta.

7. Contención del ataque
No siempre basta con actualizar las definiciones antivirus, ni explorar los sistemas para eliminar el virus de su entorno. Debe localizar todos los sistemas que se encuentran infectados y limpiarlos todos completamente, para recuperar el control de su red. En muchos casos, es más fácil decirlo que hacerlo y puede demorarse. Al mismo tiempo, debe tomar medidas para contener la continua amenaza.

Si ésta existe, base sus medidas de contención en su política de respuesta a incidentes y ejecútela solamente después de que haya reunido suficiente información para tomar una decisión apropiada y de que haya obtenido la aprobación gerencial necesaria en cada medida. El plan de contención debería incluir cuándo las medidas provisionales deben revertirse, para volver al funcionamiento normal.

Todas las actividades de contención deberían controlarse de forma centralizada, después de notificarlo a las partes afectadas. Esto podría incluir personas a cargo de los servidores de mensajería, de los servidores Web, del acceso a Internet, de los servidores de archivo y de impresión y/o de los servidores de aplicación. A veces es más fácil determinar quién está afectado, basándose en las divisiones por departamentos o en la localización de la red.

Si el virus puede propagarse a través del correo electrónico y el acceso a HTTP o FTP, concéntrese en actualizar primero la protección en sus servidores de correo electrónico o de software de grupo, en los servidores proxy y en los servidores gateway de correo electrónico SMTP; estos son los medios a través de los cuales se propaga más rápidamente la infección tanto interna como externamente. Actualizar la protección puede implicar la instalación de parches de software, la actualización de las firmas de los virus, la implementación de filtrado de contenidos y otras medidas.

Si la infección se está propagando más rápidamente de lo que usted puede distribuir las reparaciones, deberá contener el ataque deshabilitando los servicios que permiten la llegada de peticiones. Esto es especialmente importante en las situaciones siguientes:

Cuando el proveedor no tiene todavía disponibles las firmas de antivirus.

Cuando no es posible el filtrado del contenido debido al contenido cambiante.
Cuando los usuarios no están adiestrados apropiadamente con respecto a las amenazas virales y al papel que deben desempeñar en cuanto a la protección.

Cuando estén disponibles, consulte las publicaciones técnicas del proveedor sobre el virus, siempre que piense adelantar acciones de contención. Las posibles acciones incluyen:

  • Divida la red usando firewalls, routers o conmutadores.
  • Reconfigure el servidor DNS para desactivar el correo electrónico SMTP que entra.
  • Cambie el software de filtrado de contenidos para bloquear todos los archivos anexos de correo electrónico.
  • Cambie el software de filtrado de contenidos para bloquear el correo electrónico que contenga algunas cadenas de texto.
  • Bloquee los accesos HTTP o FTP a Internet.
  • Considere el enviar a casa a los usuarios de los departamentos que hayan sido seriamente afectados por la interrupción o retire de la red las estaciones de trabajo que no hayan resultado afectadas para que los usuarios puedan seguir trabajando localmente.
  • Considere el proteger contra escritura los datos importantes que sean accesibles al virus en sistemas de alta prioridad.
  • Cree archivos ficticios en sistemas que no hayan sido infectados, para evitar la infección del sistema.
  • Si el riesgo es extremadamente alto, desconecte completamente la red de Internet.
  • También debería usted pensar en desactivar los servicios que proveen peticiones que salen, con el fin de proteger a sus socios comerciales, a los clientes y a otras empresas. Esto puede incluir el desactivar los mensajes electrónicos que salen o algunos puertos en su firewall.

Si usted puede cumplir todo lo anteriormente mencionado, ha tenido un buen comienzo para recuperarse de un ataque de virus.

TELECOMUNICACIONES / EMPRESARIAL | TECNOLOGIA
SALUD | CULTURA
CONTACTENOS | PRINCIPAL

 

INFORMAMOS.NET

bandera_gif

TECNOLOGÍA:

EVENTOS Y CAPACITACIÓN

JUEGOS Y ENTRETENIMIENTO

HARDWARE
PC'S
PORTÁTILES
MONITORES

IMPRESIÓN
ESCÁNERES
IMPRESORAS
MULTIFUNCIONALES

NOMBRAMIENTOS

NOTICIAS DEL SECTOR

REDES

SEGURIDAD

SERVIDORES

SOFTWARE

SOLUCIONES

TECNOLOGÍA AUDIOVISUAL:
CÁMARAS-VIDEO-TV
ENTRETENIMIENTO

TECNOLOGÍA MÓVIL - PDA

TEMAS DE INTERÉS

multimedios

ARTÍCULOS PROMOCIONALES:

AGENDAS

ARTÍCULOS OFICINA Y ESCRITORIO

ARTÍCULOS PUBLICITARIOS PROMOCIONALES  REGALOS SOUVENIRS

BOLÍGRAFOS EJECUTIVOS

BOLÍGRAFOS PROMOCIONALES

BOLSAS Y EMPAQUES PUBLICITARIOS

BOTONES PUBLICITARIOS

CALCULADORAS

CAMISETAS POLO Y T-SHIRT

CARPETAS SEMINARIOS

CHAQUETAS Y CHALECOS EMPRESARIALES

CUIDADO PERSONAL

CUADERNOS Y LIBRETAS EMPRESARIALES

DUMMY CERÁMICA PUBLICITARIO

GORRAS

HERRAMIENTEROS

HOGAR

ILUMINACIÓN
LINTERNAS
LÁSER

INFLABLES

LÍNEA DE OFICINA
CUADERNOS NOTAS LIBRETAS-TACOS

LLAVEROS

JUEGOS

MALETINES

MORRALES Y
CANGUROS

MUG Y TERMOS

PAD MOUSE
ERGONÓMICOS

PARAGUAS

PENDONES

PORTA CARNETS
YOYOS

PORTA TARJETAS

RADIOS

RELOJES

REGALOS EMPRESARIALES

SERVICIO PUBLICIDAD IMPRESA

SOUVENIRS
 REGALOS

VARIEDADES

VASOS PUBLICITARIOS

multimedios

 

Todos los derechos reservados 2008 - Bogotá, D.C. - Colombia - Suramérica