Contra los virus, la estrategia múltiple
Buscar la solución a un problema puntual es simple. Pero al enfrentarnos a un fenómeno complejo tenemos la tendencia a solucionar uno sólo de sus aspectos o simplemente los síntomas, cuando lo correcto es el tratamiento diversificado para que la situación problemática se disuelva o desaparezca. Una vez más un nuevo gusano invade la Red en un momento en que el sistema inmunológico está bajo, y nos obliga a prestarle atención, en vez de usar nuestro tiempo en aprender, trabajar o disfrutar de Internet. Pero de las dificultades también se aprende.
El Sircam de momento no ha destruido información, su construcción no es nada elegante y su método de propagación habría que calificarlo de "ruidoso". Pero está produciendo grandes daños. ¿Por qué? En cierto modo, me hace pensar en las cucarachas: habita en un recipiente de desechos (la papelera de reciclaje) y se alimenta de restos de páginas almacenadas y de nuestro fondo documental. Y como cualquier cucaracha, aspira a reproducirse rápido.
Sentido común
Cuando recibí el primer mensaje infeccioso del virus Sircam, todo parecía normal: el antivirus no detectó nada, el fichero parecía un DOC corriente, pero como tenía desactivada la función de "ocultar extensiones de fichero registradas" (1) noté la duplicidad de la extensión: fichero.doc.pif. Conclusión fácil: era una trampa, un ejecutable PIF camuflado de documento de Word.
En este caso funcionó mi información /formación previa, combinada con mi prudencia y ayudado por una sencilla configuración del sistema. Fue una suerte, pues hasta 24 horas más tarde no hubo información clara ni antivirus apropiado para mi caso.
Sistema "higiénico"
Ante la aparición de algo indetectable, para evitar accidentes activé Zonealarm (2) con nivel de seguridad alto en la zona Internet. No detendrá un virus o gusano (3), pero cierra el acceso a la Red de todos los programas y cuando alguno intenta conectar, solicita autorización. Caso de ser víctima de una infección (aun sin saberlo), el programa-gusano se hubiera delatado al intentar mandar sus mensajes. En este caso, Zonealarm actúa a modo de trampa: se puede entrar, pero no salir. De este modo, la infección queda aislada y no perjudica a terceros.
Sircam escoge, infecta y despacha por correo ficheros existentes en la carpeta "Mis Documentos" algunos de los cuales lógicamente son de usos específicos y no son para publicar. Bien, Zonealarm nos protege de que un documento salga de nuestro sistema sin permiso. Pero por si acaso y de momento, lo existente en "Mis Documentos" ha sido trasladado a otra parte, dejando un fichero inocuo como cebo ante una (ya improbable) infección: si el archivo se llama FICHERO INFECTADO.DOC, espero que incluso los más insensatos se nieguen a abrirlo en caso de que lo reciban.
También sé que Sircam busca direcciones en páginas web almacenadas en la caché de disco del Internet Explorer (los "Archivos temporales de Internet"). Algunos usuarios mantienen una caché gigante (250 Mb o más), y es un error, pues la base de datos se viene abajo con facilidad, y en lugar de acelerar el acceso, lo ralentiza. Con semejante cantidad de "comida" la propagación del gusano desde un ordenador es masiva. Vamos a usar una caché más reducida y funcional, por ejemplo 10 Mb. De este modo evitaré problemas a las personas que figuran en páginas que visito, o al menos reduciré el número de posibles perjudicados.
Por último, enterado de la existencia de actualización adecuada, pongo al día mi antivirus. Mejor tarde que nunca, pero de poco sirvió en las primeras horas. Éste debe considerarse una herramienta de apoyo y análisis, pero nunca un seguro o inmunización contra la actividad de los virus, troyanos o gusanos.
Daños "colaterales"
El librarme del bicho no presupone eludir daños por su causa. Un buzón se bloquea con una docena de mensajes con adjuntos infectados de gran tamaño: aquellos que usan buzones gratuitos o de capacidad muy limitada perderán mensajes personales que otras personas les hayan enviado. Los remitentes recibirán aviso de "mailbox full", buzón saturado, imposible depositar más correspondencia. Aquellos que tengan conexión menos rápida pueden ver cómo su correo nunca acaba de llegar y la sesión se bloquea. Los que usan bonos por minutos de conexión verán como su tiempo y dinero se pierden. Urge un desatascador. Vamos a ver soluciones para esto:
- Existe la posibilidad en muchos clientes de correo de establecer filtros para que borren directamente del servidor mensajes con un texto determinado. Desgraciadamente, esto no funciona siempre (4).
- Abrir una sesión Telnet con el servidor para borrar estos mensajes es algo lento y exclusivo para expertos; además muchos proveedores no permiten Telnet (5). Cabe la posibilidad de cambiar de programa de correo: Pegasus o Becky Mail permiten ver previamente los encabezados, pudiendo evitar la descarga de los archivos que ya podamos reconocer como problemáticos. Pero hay una solución más fácil: algo muy sencillo, que permita ver los encabezados y de qué tratan los mensajes antes de recoger correo.
- Una de esas utilidades es el clásico programa Eremover (6). Sencillo, gratuito, fácil de instalar y usar; el único problema es que está en inglés. Su función es únicamente listar (ver) los encabezados (remitente, fecha, asunto, adjuntos, tamaño) de los mensajes alojados en uno o varios buzones; también permite examinar las primeras líneas del mensaje si es necesario. Luego puedes ordenar el borrado de los que proceda, sin necesidad de descargarlos. Como sólo recupera encabezado y unas pocas líneas (se puede configurar que recoja las líneas que se desee para saber de qué trata el mensaje) no se bloquea fácilmente y es rápido. Hecha esta limpieza ya habremos quitado la basura del buzón, por lo que ya podemos abrir el programa de correo habitual y recuperar los mensajes normales y de remitentes legítimos.
Bien, hemos hablado de Zonealarm, Telnet, filtros y Eremover. Estos programas sirven para salvar una situación conflictiva relacionada con virus informáticos, pero además esas utilidades tienen muchos otros usos cotidianos. Por ejemplo el Eremover sirve para quitar mensajes gigantes que no nos interesan, o descartar un aluvión de publicidad indeseada; Zonealarm nos defiende ante ataques de hackers y ante los troyanos. De modo que este esfuerzo nos va a permitir estar en mejores condiciones para el futuro. Y vamos a ver si, salvada la crisis, podemos continuar con la laboriosa calma estival de estas latitudes.
Como siempre, esperando que resulte de utilidad, a pasarlo bien.
En las notas siguientes hay información abundante acerca de todo lo tratado en los párrafos anteriores
(1) Lamentablemente, en las últimas versiones de Outlook no es posible desactivar la característica "ocultar extensiones". ¿En qué estarán pensando los desarrolladores Microsoft? (2) Encontraremos Zonealarm en http://www.zonelabs.com
En Comunidad Virtual y esta misma sección de Utilidades ya se explicó qué es un cortafuegos o firewall, sus funciones y numerosos enlaces con ayudas y descripciones: http://www.aered.net/comunidad-virtual/010515/util.htm (3) Si bien Zonealarm no detiene un virus e-mail, sí puede poner en "cuarentena" adjuntos recibidos. Antes de presentarlos cambia la extensión para evitar accidentes y si intentamos abrirlo informará de la peligrosidad de la operación (función "Enable Mail-safe protection to quarantine e-mail script attachments") (4) En las últimas versiones Outlook, el filtrado por contenidos del cuerpo del mensaje tampoco funciona correctamente :-( (5) Una sesión Telnet consiste en establecer conexión manual con en el servidor de correo mediante comandos básicos que deben teclearse. Sistema lento y difícil, por simple curiosidad, una muestra del procedimiento: http://iblnews.com/news/noticia.php3?id=19348
(6) Encontraremos el Eremover 2.4 en http://eremover.bizhosting.com En el sitio se explica de modo muy gráfico su instalación y funcionamiento, muy fáciles, pero en inglés. Por ello ponemos una descripción en castellano a disposición de nuestros lectores.
Comunidad Virtual nº 84- 30 de Julio de 2001
