Cómo reconocer un virus en el sistema

Es común hoy en día que los equipos presenten diversas fallas de funcionamiento y problemas de rendimiento debido a la presencia y ejecución de códigos malignos conocidos como virus o malware.

En el caso de Windows, un virus puede alterarlo para hacerlo inseguro o puede incluso ocasionar serios problemas de funcionamiento.

Sin duda, el síntoma más característico de la presencia de un virus residente en el SO (Sistema Operativo) es el comportamiento anormal de éste. Es común que en Windows no se pueda restaurar el sistema, ver archivos ocultos, conectarse a Internet, ejecutar programas y desinstalarlos. También resulta frecuente que no sea posible acceder al Editor del Registro (desde el comando Ejecutar, y tecleando “regedit”) porque el sistema muestra que dicha característica ha sido deshabilitada por el Administrador.

También existen otros síntomas secundarios que indicarían la presencia de uno o más virus. El ejemplo más común es cuando encontramos programas que se ejecutan al inicio del sistema que son sospechosos (de nombre, como por ejemplo “msgnrms” o “Internet.exe”) o cuando al iniciar Windows aparecen ventanas molestas que indican mensajes falsos o la posibilidad de limpiar el sistema con herramientas antivirales online (esto fue un caso típico el año pasado).

En el caso de que utilicemos Internet Explorer (a mi gusto, el navegador más contraproducente del mundo…) observaremos que ha sido modificada nuestra página de inicio, que hay barras de herramientas a montones y todas sospechosas, o que nuestro motor de búsqueda (por defecto “Bing” en la versión 8 de IE) ha sido cambiado por otro que fomenta el tan conocido “pishing”.

Otro de los aspectos que notarían los usuarios moderadamente avanzados es el rendimiento, o mejor dicho, el deterioro del mismo. El caso más común es cuando los usuarios se conectan a Internet y su sistema se vuelve lento, casi pasmoso, debido a que el procesador trabaja al 100% gracias al querido proceso “netsvc” su mejor amigo, el “svchost” ha sido infectado con uno o más virus que se encargan de saturar el sistema. Para darnos cuenta si estos procesos están trabajando más de la cuenta (indicando una posible infección) iremos al Administrador de Tareas (presionando Ctrl + Alt + Supr) y veremos en la pestaña “Procesos” que éstos no utilicen más del 50% del procesador (en realidad, deberían utilizar menos del 5% pero…).

Algunas veces, los virus ocasionan problemas más o menos serios que traen más de un dolor de cabeza y suelen requerir la asistencia de un técnico más o menos calificado. Suelen suceder tres cosas:

·         Problemas de arranque (mensajes estilo MS-DOS que dicen que falta el archivo NTDLR.exe o que insertemos un disco booteable y presionemos Enter, o similares) que impiden que Windows inicie en el equipo

·         Problemas de arranque menores, que impiden que Windows inicie correctamente (se reinicia a la mitad de la carga del sistema o no se puede iniciar sesión como usuario).

·         Problemas de estabilidad del sistema operativo, que causan que el sistema se apague solo o se reinicie como si tuviera problemas eléctricos o de temperatura, por ello los usuarios confunden muchas veces este síntoma como una falla de hardware cuando se trata de un problema de software

Todas estas fallas graves suelen requerir una reinstalación completa del sistema, ya que otras soluciones posibles (como copiar archivos del disco de instalación de Windows o intentar resolverlo desde la Consola de recuperación) no representan una solución completa y definitiva al problema, y pronto el sistema volvería a fallar.

Otro síntoma que también notará el usuario avanzado es la aparición de programas desconocidos y que suelen tener poco tamaño en kilobytes (menor a 1024 KB, por ejemplo). ¿Cómo reconocer estos programas? En primer término, habrá que revisar las carpetas de sistema, y por ello representa un riesgo que toquemos cosas si no estamos “duchos” en la materia, por ello, insisto, esto es para usuarios avanzados. Buscaremos en las carpetas “System” y “System 32” principalmente, aunque podremos también encontrar bastante en la carpeta “Windows”. Los programas extraños suelen identificarse porque:

·         Su tamaño es reducido. Hablamos de tamaños entre 10 y 300 KB.

·         Por lo general, tienen el ícono por defecto de los archivos .EXE, que se parecen en Windows Vista y Seven a éste
 

·         Tienen nombres sospechosos. Estos pueden ser nombres que se quieran parecer a otros archivos legítimos de Windows (por ejemplo, el tan conocido “setdebug.exe” que se distribuía por mail en los tiempos de Windows 98 y que tenía un tierno osito gris como icono y que causó estragos en los sistemas de usuarios en todo el globo). También pueden ser nombres que tengan poca lógica, como por ejemplo “Money.exe” o “hakiuwyqiwo.exe”.

·         Suelen estar acompañados de otros archivos con similares características

·         Muchos tienen la particularidad de que si los borramos, vuelven a aparecer en el momento o luego del reinicio del sistema

Por último, otro “super-síntoma” está en nuestras unidades removibles, como pen drives, memorias FLASH, discos portátiles, teléfonos, cámaras digitales y un largo etcétera. Veremos que hay una carpeta extraña llamada “Autorun” o “Autorun.inf” en la carpeta raíz del dispositivo, o que cuando insertamos el pen drive el sistema se comporta de forma anormal. Los virus en pen drives son los que representan hoy en día la amenaza más popular entre las amenazas, ya que se distribuye fácilmente y suele no ser notado en sus primeras etapas de infección por los usuarios. Ocasionan problemas menores y a veces serios, comenzando por impedir que se muestren los archivos ocultos y terminando por impedir que Windows inicie, a la vez que deshabilitan funciones básicas como abrir el Editor del Registro o Restaurar el Sistema.

En fin, como verán, hay multitud de síntomas, y desde luego no he podido detallarlos todos acá. Posiblemente en futuras entradas explique cada uno de éstos con mayor nivel de detalle. Lo importante es que siempre deben prestar atención al estado del sistema y a éstos signos en particular.

En resumen, he aquí los síntomas más comunes que indicarían la infección del sistema:

·         Limitaciones en el sistema: No se pueden ver archivos ocultos, no se puede restaurar el sistema ni abrir el Editor del Registro (regedit.exe).

·         Problemas de navegación en Internet: No se puede conectar a Internet, no se puede abrir determinadas páginas (no confundir con la protección de ciertos antivirus que impiden abrir sitios considerados malignos), se cambia la página de inicio y el motor de búsqueda predeterminado.

·         Problemas al trabajar con programas: Éstos se cierran solos, o a veces ni siquiera se pueden abrir.

·         Problemas en el inicio de Windows: Veremos programas que se ejecutan al inicio del sistema y que no deberían, o que son sospechosos.

·         Problemas de configuración: Aparecen barras de herramientas inútiles que fueron instaladas contra nuestra voluntad.

·         Problemas de rendimiento: Algunos programas o servicios consumen demasiados recursos, principalmente luego de conectarse a internet.

·         Mensajes de error de Windows: Son mensajes que aparecen sin previo aviso y cuando no hemos hecho nada malo o cuando nadie a estado trabajando en el sistema.

·         Archivos sospechosos: Ya sea en las carpetas de sistema de Windows, en el sector de inicio del disco o en la carpeta raíz de nuestras unidades de disco removibles podremos encontrar archivos o carpetas que suenan sospechosos.

·         Problemas de inicio: Windows no inicia, o lo hace parcialmente y luego se reinicia solo.

·         Problemas de estabilidad: Windows se apaga o reinicia solo, o los programas se cierran contra nuestra voluntad.