home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Experimental BBS Explossion 3
/
Experimental BBS Explossion III.iso
/
virus
/
skudo400.zip
/
MANUAL.DOC
< prev
next >
Wrap
Text File
|
1994-06-05
|
80KB
|
1,779 lines
Bienvenido a
SKUDO versión 4.00
(El cazador de virus residente)
(c)1990-1994 Jordi Mas Hernández
Todos los derechos resevados
Indice:
──────
I. Introducción
1. Licencia de Uso.
2. Requerimientos del Sistema.
3. Soporte Técnico.
4. ¿Cómo Registrar Skudo?
5. Introducción a los virus informáticos.
6. ¿Qué es Skudo?
7. Razones para instalar Skudo.
8. Historia de Skudo y novedades de esta versión.
9. Futuras versiones (problemas no resueltos, nuevas ideas, etc...)
10. Agradecimientos del Autor.
II. Instalación de Skudo.
1. Ficheros de Skudo.
2. Instalación Automática.
3. Instalación Manual.
4. Configuración de Skudo.
III. Usando de Skudo.
1. Métodos básicos de protección
2. ¿Cómo funciona Skudo?
3. Métodos de comprobación del sistema.
4. Menú de configuración residente.
5. Parámetros de Skudo.
6. Compatibilidad con Otros Entornos.
7. Compatibilidad con Gestores de Memoria.
8. Virus detectables por Skudo.
IV. Software Complementario.
1. SkudoCRC
4.1.1 ¿Qué es SkudoCRC?
4.1.2 Funcionamiento de SkudoCRC
4.1.3 Opciones de SkudoCRC
2. Trobavir
4.2.1 ¿Qué es Tobavir?
4.2.2 Funcionamiento de Trobavir.
4.2.3 Lista de virus que detecta.
3. ForavirF y ForavirD
4.3.1 ¿Qué son ForavirF y ForavirD?
4.3.2 Funcionamiento de ForavirF.
4.3.3 Funcionamiento de ForavirD.
4.3.4 Lista de virus que eliminan.
V. Apéndice.
1. Preguntas más comnunes con Skudo.
2. Glosario de Términos.
3. Trademarks.
┌───────────────────┐
│ I. Introducción │
└───────────────────┘
1. Licencia de Uso
───────────────
Todo el Kit Antivírico Skudo es propiedad exclusiva de su autor
Jordi Mas. Este Kit Antivírico NO está cedido al dominio público,
sino que se trata de un programa soprtado por el usuario. Es decir,
el usuario puede realizar una evaluación del mismo durante un período
de 60 días desde su instalación. Una vez pasado este período de
tiempo el usuario DEBE adquirir el programa.
Skudo representa muchas horas de investigación, diseño, programación y
trabajo y después del período de evaluación el autor considera que el
programa debe adquirirse o dejarse de utilizar.
El autor ha mantenido la funcionalidad total de Skudo una vez
superado el período de 60 días de evaluación. Así que adquirir Skudo
pasados los 60 días queda bajo la decisión moral del usuario.
Licenciar Skudo para un PC cuesta únicamente 2.500 pesetas e incluye
un gran número de ventajas y comodidades para el usuario registrado (para
más información consultar ¿Cómo Registrar Skudo? Sección I apartado 4).
Agradezco a todos vuestra aportación ya que ésta permitirá desarrollar
nuevas versiones de Skudo con mucha más facilidad.
2. Requerimientos del Sistema
──────────────────────────
Skudo tiene los siguientes requerimientos del sistema para funcionar
correctamente:
■ Hardware: Skudo funciona perfectamente en cualquier IBM PC, XT, AT,
386, 486, Pentium y compatible.
También es totalmente compatible con cualquier tipo de
Trajeta de Red, CD-ROMs, etc...
■ Memoria : Skudo requiere un máximo 18 Kb de memoria del sistema.
Aunque se recomienda la utilización de memoria EMS si
existe ya que este numero quedará reducido a 9Kb.
■ DOS : Skudo es compatible con cualquier MS-DOS 3.0 o superior,
DR-DOS 6, Novell DOS 7, IBM-PC DOS, 4DOS.
■ Entonros: Skudo es compatible con Windows 3.x, Windows NT, OS/2,
DESQview, DESQview 386 y DESQview/X
3. Soporte Técnico
───────────────
Si necesita realizar consultas, desea realizar comentarios respecto al
Kit Antivírico Skudo o ha tenido cualquier tipo de problema relacionado
con el mismo, puede ponerse en contacto con el autor por las siguientes
vías:
■ Enviando un mensaje a Jordi Mas en el área R34.SKUDO de FIDONet
que se ha creado especialmente para éste propósito.
Area name: R34.SKUDO
Comment: [FIDO] Antivirus Skudo: soporte & betas
■ Enviando un mensaje privado al autor Jordi Mas, ya sea vía FIDONet o
vía RedBBS. Las direcciones del autor son las siguientes:
FIDONet: 2:343/121@fidonet.org
2:343/127@fidonet.org
RedBBS: 757:101/4@redbbs.org
757:101/14@redbbs.org
Internet: jordi@qdeck.com
■ Llamando vía módem a Paradise BCN las 24 horas del día (BBS del mismo
autor).
Paradise BCN I 34-3-443-2190
Paradise BCN II 34-3-443-2191
■ Enviando una carta a:
Jordi Mas
Apartado de Correos 24.258
08080 Barcelona
4. ¿Cómo Registrar Skudo?
──────────────────────
Con el registro del Kit Antivírico Skudo usted recibirá una versión de
Skudo ampliada, una copia impresa del manual ampliado y todas la nuevas
versiones que aparezcan de Skudo durante un año.
Si usted ha decidido registrar su copia de Skudo tiene que realizar los
siguientes pasos:
1) Rellene el siguiente cuestionario:
<<< SKUDO versión 4.00, Junio 1994 >>>
< SOLICITUD DE LICENCIA PARA UN SOLO USUARIO >
Nombre: ___________________________________________________________
Dirección: ________________________________________________________
: ________________________________________________________
: ________________________________________________________
Población/País: _________________________________ C.P.: ________
Teléfono Voz: ______________________ FAX: ______________________
Comentarios: ______________________________________________________
: ______________________________________________________
: ______________________________________________________
: ______________________________________________________
: ______________________________________________________
: ______________________________________________________
2) Prepare un cheque a nombre de Jordi Mas Hernández por valor de 2.500
pesetas, o incluya el mismo valor en efectivo (ENVIE LA CARTA
CERTIFICADA).
3) Compruebe que todos los datos pedidos con anterioridad sean correctos y
envíe la solicitud de licencia junto con el cheque o el valor en efectivo
al siguiente apartado de correos:
Jordi Mas Hernández
Apartado 24258
08080 Barcelona
Contacte con el autor para solicitar licencias para varios usuarios o
centros de enseñanza
5. Introducción a los virus informáticos
─────────────────────────────────────
Antes de empezar a describir qué es Skudo vamos a hacer una pequeña
introducción sobre los virus informáticos para todas aquellas personas
que no estén demasiado familiarizadas con el tema. Quienes conozcan el
tema pueden omitir este apartado ya que pocos conocimientos nuevos puede
aportarles este apartado.
Los virus informáticos aparecieron en el mundo de los PC y
compatibles a mediados del año 1986 cuando el virus Brian fue distribuido
masívamente en una tienda israelí que se dedicaba a la venta de programas
piratas de ordenador. Este virus llego a EEUU (clientes potenciales de
este tipo de tiendas en aquella época) y en poco tiempo se produjo una
difusión masiva. El virus Brian se puede encontrar, hoy por hoy, en
cualquier país del mundo con un parque mínimo de ordenadores, como es el
caso de España.
Durante la segunda mitad de los años ochenta y hasta el final de
dicha década se distinguían cuatro tipos de programas peligrosos para el
usuario:
■ Worms (gusanos):
Los gusanos tienen como objetivo particular saturar el ordenador
ocupando progresivamente la memoria que exista en el mismo. Generalmente
una vez se ha ejecutado un Worm, éste se copia a si mismo constantemente
en memoria. Cada copia del Worm que aparece en el sistema amplía el
proceso ya que el Worm generado se dedica a lo mismo que su primogénito.
Es decir, que la saturación del sistema tienen una tendencia exponecial.
Una característica peculiar es que todas las copias creadas por los Worms
mantienen una comunicación con la copia original.
■ La Bomba lógica:
Es un programa que efectúa un borrado parcial o total de la información
contenida por nuestro disco duro una vez se hayan cumplido unas
determinadas condiciones. Las bombas se suelen activar por fechas o por
número de ejecuciones. Un ejemplo típico de bomba es aquella en la que se
destruye el disco después de una fecha. Este tipo de programas fueron en
su época ampliamente usados por programadores que eran despedidos de sus
respectivas empresas. Programaban la bomba para que borrara toda la
información un mes o dos después del abandono de la misma.
■ Caballo de Troya:
Se trata de segmentos de código introducidos en programas legítimos y
que distraen la atención del usuario mientras efectúa alguna operación
maligna en el disco duro. Los caballos de Troya no tienen la facultad de
reproducirse por sí mismos, pero suelen estar incluidos en paquetes que
tienen una gran difusión. El efecto detructivo de los caballos de Troya
puede aparecer instantaneamente o puede quedar latente durante un
determnado tiempo antes de empezar su acción maligna.
■ Virus informáticos:
Al principio eran los más conocidos pero menos numerosos debido a que
hacer un virus requería ciertos conocimientos elevados del sistema,
mientras que una bomba lógica o un Caballo de Troya se podían efectuar
incluso en lenguaje Basic, porque no eran demasiado complejos.
Los virus informáticos han sido los supervivientes de estos tres
tipos de programas, lo cual es un hecho lógico, ya que pueden realizar las
funciones de una bomba o un caballo troyano y, lo que es más importante,
pueden reproducirse. Una bomba sólo afecta a un usuario y es muy difícil
que otro usuario la copie, mientras que la difusión de un virus resulta
mucho más sencilla. Existen muchos virus que llevan incorporadas bombas
de tiempo como el famoso Viernes 13.
En nuestro país los primeros virus empezaron a verse a principios
del año 1988 cuando algunos usuarios en su trabajo habitual empezaron a
ver un punto rebotando por los márgenes de la pantalla de su ordenador.
Era el virus de la pelota, había llegado ya la primera infección notable
a nuestro país, poco después apareció el virus Brian, todos ellos
provenían de intercambios de software con el extranjero, y encontraron su
caldo de cultivo entre los usuarios universitarios. Pocos meses después
se produciría una infección masiva con el virus Viernes 13 al aparecer por
error de una revista informática que se distribuía en formato de diskette
y que tenía ámbito nacional.
Los años 1990 y 1991 han sido los años de la invasión de virus. Hoy
en día podemos encontrar virus como el Anarkia, Cascade, Pelota, Flip,
Brian, Anti-Telefónica, 1210, 1720, Michaelangelo y un largo etcétera
ampliamente distribuidos en nuestro país. En el mes de Abril de 1990
aparecieron varias notas de prensa y artículos periodísticos hablando de
una nueva infección masiva en Cataluña y Valencia de un nuevo virus, al
parecer de origen español, que se ha dado a llamar Anti-Telefónica, ya
que promueve una campaña contra esta compañía. Sin duda lo que más ha
alarmado a los usuarios es que este virus es totalmente destructivo, a
los 333 arranques borra toda la información del disco duro haciéndola
irrecuperable.
Como hemos visto los virus informáticos son, hoy en día, un problema
grave para todos los usuarios de ordenadores responsables. Este tipo de
engendros no son más que programas con capacidad para reproducirse en
otros soportes magnéticos. Hoy en día existen más de 500 virus originales
(y cientos de mutaciones) para sistema operativo MS-DOS, y su número, por
desgracia, va en aumento.
Protegerse ante tal amenaza potencial parece cada vez más difícil,
los detectores de virus que existen en el mercado se basan en su gran
mayoría en buscar cadenas (parte del código del virus) en las partes del
sistema que son ostensibles de ser infectadas por un virus (sector cero
del disco, ficheros ejecutables...). Este método aunque resulta eficaz
para detectar los virus conocidos resulta totalmente inútil ante un nuevo
virus, y a menudo nos vemos en el caso de que tenemos un programa que
detecta, por ejemplo, más de 500 virus y no detecta justamente el virus
con el que nos hemos infectado.
Hay varias respuestas para ello. La primera es que este tipo
de detectores son extranjeros y están preparados para detectar la fauna
informática específica de su país, siendo la segunda el que algunos virus
de origen español, a pesar de estar ámpliamente distribuidos, no llegan a
difundirse más allá de nuestro ámbito geográfico. Una segunda respuesta
es que cada vez que sale un virus nuevo, tiene que ser encontrado,
asilado, y reportardo a los programadores, y durante este tiempo
(usualmente un mes o más) los antivirus de cadenas no pueden detectar el
"nuevo" virus. Es alrededor de esta carencia dónde nace y gira la
filosofía de prevención que utiliza Skudo.
6. ¿Qué es Skudo?
──────────────
El Kit Antivírico Skudo es un potente programa que controla todas las
funciones peligrosas del sistema operativo y se encarga de proteger
eficazmente todos los puntos vulnerables de nuestro ordenador ante
posibles virus conocidos o no por Skudo.
El problema de los virus es que cada día aparecen de nuevos, y no
siempre podemos poseer las últimas actualizaciones de programas
antivíricos. Ésta es una de las razones por las que Skudo se basa en
controlar el sistema para poder detectar cualquier virus, sea nuevo o no,
de todas formas Skudo es capaz de identificar más de 2500 virus incluyendo
variantes y mutaciones. Por ello es uno de los más serios candidatos para
la protección de ataques víricos, al realizar una perfecta combinación
entre las típicas técnicas de detección de virus por cadenas y la
constante supervisión que realiza Skudo de todos aquellos puntos delicados
y vulnerables del sistema ya que es un programa residente.
A continuación enumeraré algunas de las razones por las cuales es muy
aconsejable instalar Skudo en su sistema.
7. Razones para instalar Skudo
───────────────────────────
Cuatro motivos para instalar Skudo en su sistema:
· Porque Skudo no se basa solamente en el obsoleto método de busqueda
de virus por cadenas (que le hacen depender de las actualizaciones
constantes a que son sometidos estos antivirus) sino en métodos generales
para detectar cualquier tipo de virus, incluso aquellos que aparezcan a
posteriori. Skudo lo consigue haciendo comprobaciones de todos los
ficheros que son ejecutados, de las partes delicadas del sistema,
controlando programas residentes, incoporando la tecnología necesaria
para detectar virus MTE and Stealth y detectando más de 2500 virus
distintos incluyendo variantes y mutaciones.
· Porque Skudo es un producto en castellano, fácil de usar, de los
llamados de instalar y olvidar que hará todo el trabajo por usted.
Ya no será necesario que vaya escaneando cada disco que introduce
en su sistema, ni preocuparse de cual fue la última vez que ejecutó
su scanner de virus.
· Porque aunque Skudo ocupa solamente 9 Kb de memoria convencional si
usted posee un PC con memoria expandida podrá usted cargar Skudo en
memoria superior para que estos 9 Kb no se reduzan de la memoria del DOS
disponible para sus aplicaciones.
· Porque Skudo es uno de los pocos sistema antivíricos que también
propociona protección contra bombas lógicas y caballos de troya, evitando
la perdida de información en disco.
Si analiza los motivos aquí expuestos y las explicaciones realizadas
con anterioridad respecto a Skudo, usted mismo se dará cuenta de que está
ante uno de los paquetes antivíricos más efectivos, eficaces y
profesionales que se pueden encontrar hoy en día en el mercado del
software.
8. Historia de Skudo y novedades de esta versión
─────────────────────────────────────────────
Skudo fue programado durante los años 1990-91 como herramienta de apoyo
para combatir nuevos virus. Ya en aquella época, observamos que los
detectores del tipo de cadena algún día tendrían su fin, y apostamos por
una antivirus de tipo residente.
Muchas cosas han cambiado desde la versión 2.30 que fue la última
versión freeware que realicé (la versión 3.0+ es casi idéntica pero
comercial).
Historia de Skudo:
La verdad es que esta última versión de Skudo, más que una nueva
versión, es casi una nuevo programa. Ya que he re-escrito la gran mayoría
del código aunque he mantenido la filosofía y el diseño que me llevó a
crear Skudo. He adaptado Skudo a los nuevos recursos de programación, los
recursos ofrecidos por el sistema operativo que disponemos actualmente y
aportando nuevas ideas, opciones, técnicas etc.. que he ido recopilando y
creando durante el tiempo transcurrido desde el lanzamiento de la última
versión oficial de Skudo (la versión 3.00+). A continuación la lista de
las mejoras más importantes:
■ Mejoras de la versión 4.00 de Skudo respecto a la 3.00+
- La parte residente de Skudo ha sido en su gran parte re-escrita y
modificada para poder utilizar datos y variables que se encuentren en
memoria expandida (EMS).
- La parte no residente de Skudo que comprueba el sistema ha tenido que
ser en gran parte re-escrita para adaptarse al nuevo sistema de
configuración.
- La totalidad del código fuente ha sido indentado, comentado, y
re-organizado para facilitar futuras versiones.
- Setup/Instalación totalmente re-escrito, super-configurable y con ayuda
on-line.
- Utiliza memoria expandida (EMS 4.0) para reducir el tamaño dentro del
primer megabyte que necesita Skudo.
- Protección de la tabla de partición y de la BOOT del disco duro contra
escritura y formateos de cualquier programa.
- Posibilidad de definir password en cada una de las ventanas de Skudo
evitando así que cualquiera pueda autorizar avisos.
- Soporte para todo tipo de unidades lógicas. Incluye soporte de red
(Novell,Lantastic), CD-ROM, etc...
- Protección del disco contra escrituras no realizadas por el DOS.
Protección contra trojans.
- Más compatibilidad con programas DOS. Guarda/Recupera PSP. Ejemplo:
ONLAN de Novell no funcionaba, y otros programas que utilizaban Btrieve.
- Posibilidad de instalar Skudo en un directorio. Ya no es necesario tener
Skudo.CRC en la ROOT. Soporte de la variable de entorno SKUDO.
- Soporte real para DESQview, DESQview/X. Skudo se desactiva al entrar en
estos entornos, pudiéndose activar una copia de Skudo en cada ventana.
- Detección de nuevos virus españoles, virus mutados y variantes.
- Se han excriptado todas las cadenas víricas de Skudo para no causar
falsas alarmas al ejecutar otro tipo de programas víricos (Ejemplo: Scan
de McAfee detectaba, cuando Skudo estaba en memoria, una posible versión
del Jeru que evidentente no existía.
- Mejora del soporte para Windows 3.1
- Mejora de la presentación. Soporte de colores en pantalla incial. Más
información al cargarse.
- Soporte para la opción MAXPRO eliminado. Esta característica es
altamente incompatible. En próximas versiones intentaré
compatibilizarla.
- Añadido soporte para la compartición de ficheros. Esto permitirá ahora
rastrear un disco OS/2, Netware sin problemas.
- Revisados todos los parámetros y ajustados los nuevos. Skudo/? informa
de la lista de parámetros que dispone Skudo.
- Soporte más compatible con el OPTIMIZE de QEMM. Skudo funcionará siempre
sin problema durante la fase OPTIMIZE.
- Posibilidad de llamar a un menú de configuración residente desde
cualquier informe, permitiendo cambiar la configuración de Skudo en
situaciones altamente molestas: muchos avisos del sistema de detección
anti-bombas... etc.
- Añadido control de errores en la ejecución de SkudoCRC. Si Skudo busca
ficheros en unidades removibles no presentes (ejemplo: un programa
ejecutado desde un diskette) y no puede acceder a la unidad o hay error
borrará la entrada del fichero en Skudo.CRC directamente. Recordemos
que anteriormente mostraba un mensaje de unidad no preparada...
■ Mejoras de la versión 3.00+ de Skudo respecto a la 2.00
- Skudo no entrará en memoria si se pulsa cualquiera de los SHIFTs
mientras se carga Skudo en el AUTOEXEC.
- Skudo y Trobavir detectan ya 350 virus.
- Mejorada la tecnología para detección de virus Stelth y MTE.
Skudo, SkudoCRC, TROBAVIR, FORAVIRD, y FORAVIRF han sido íntegramente
desarrollados en lenguaje Ensamblador. INSTALAR y SkudoCFG han sido
desarrollados en Turbo C versión 2.0 utilizando también las TCXL
library de Innovative Data Concepts.
9. Futuras Versiones
─────────────────
Después de la versión 3.00+ Skudo sufrió un paro y un estancamiento en
su desarrollo. Bien, después de bastante tiempo aparece en escena la
versión cuarta del paquete antivírico, pero que tampoco será la última ya
que tengo nuevas ideas para futuras versiones, tales como:
■ Optimización del código de SKUDO para hacerlo más rápido, especialmente
en la ejecución de programas.
■ Posibilitar la eliminación de cualquier virus de BOOT directamente al
ser detectado por Skudo.
■ Posibilitar a Skudo para que guarde la BOOT y la TDP. Y en caso de
infección poderlas recuperar sin ningún problema.
■ Programa para Windows que muestre los mensajes y avisos de Skudo
directamente en entorno Windows.
■ Posibilidad de realizar un LOG de todas las actividades de Skudo.
■ Incorporación de nuevas cadenas de víricas.
■ Incorporación de un programa listador del manual de Skudo, que permita
imprimirlo y escribirlo en disco.
■ Se intentará asegurar la compatibilidad de Skudo con más tipo de
software que exista en el mercado.
Como todas las mejoras planteadas dependen mucho de la compatibilidad
que se pueda asegurar de todas ellas, especialmente las que tengan que
trabajar bajo el soporte de Windows.
10. Agradecimientos del Autor
─────────────────────────
Durante todos estos años ha habido mucha gente que ha colaborado
en las versiones de Skudo, a todos vosotros gracias. A continuación las
colaboracioes de esta cuarta versión:
· En la creación de la versión Castellana de este manual:
David Pastor, Agustín Pérez, Alex Tutusaus, Jaume Guinovart, y Jordi
Mas.
· Reportando fallos, dando ideas y en general testeando el programa:
Alex Bergonzini, Alex Ros, Antonio Herrero, Arcadi Magre, Carlos
Leira, Clemente de Blas, David Pastor, Eduard Sanchez Biete,
Francisco Navarro, Guillermo Piquer, Joan Lasierra Miró, Jordi
Sese, Jordi Sole Mundi, Jordi Viader Dañczuk, Jose Gonzalvo,
Jose-Luis Velasco, Josep Font, Josep M Gasso, Oscar Mas (Ey,
brother!) Marcos Novo, Michel Izquierdo, Nica Mlg, Paco Ribas,
Rafa Gawenda, Toni Nicolau, Toni Panades...
A todos ellos, GRACIAS =-:)
┌────────────────────────────┐
│ II. Instalación de Skudo │
└────────────────────────────┘
Antes de realizar una explicación de la instalación de Skudo o de
intentar instalar Skudo directamente, es aconsejable que el usuario
compruebe que ha recibido todos los ficheros componentes del Kit
Antivírico. A continuación le remitimos la lista de los ficheros que
integran el paquete.
1. Ficheros del Kit Antivírico Skudo
─────────────────────────────────
Los ficheros componentes del Kit Antivírico son los siguientes:
SKUDO COM Programa principal de SKUDO
MANUAL DOC Manual del Kit Antivírico Skudo v4.00
INSTALAR EXE Programa Instalador
SKUDOCFG EXE Programa de Configuración
SKUDOCFG HLP Ayuda del programa de configuración
SKUDOCRC COM Programa para realizar CRC de ficheros
TROBAVIR COM Rastreador de virus
FORAVIRD COM Elimina virus de BOOT
FORAVIRF COM Elimina virus de fichero
NUEVO DOC Novedades respecto última versión
REGISTRO DOC Información de como registrar SKUDO
PREGUNTA DOC Lista de preguntas y respuestas más comunes sobre SKUDO
Si falta alguno de estos ficheros en el paquete recibido, llamar a
Paradise BCN para conseguir una copia original de evaluación del programa.
2. Instalación Automática
──────────────────────
En esta cuarta versión se ha implementado un nuevo programa para
poder realizar una instalación de Skudo de una manera rápida y automática.
Es prácticamente un instalador para novatos, ya que instalar Skudo es
realmente fácil.
Si usted opta por realizar la instalación automática ejecute el
programa "INSTALAR.EXE". Éste, si instalamos Skudo por primera vez, nos
pedirá cual es el directorio fuente (donde se debe encontrar todo el
paquete antivírico) y cual es el directorio destino. En caso de que los
directorios no existan, INSTALAR los creará. Una vez copiado los ficheros
que forman el Kit Antivírico, INSTALAR realizará las modificaciones
necesarias en el AUTOEXEC.BAT del sistema para que Skudo pueda encontrar
todos los ficheros que necesita ejecutar y que se encuentran en el
directorio de destino que le hemos indicado. Ésto se consigue creando una
variable de entorno en el sistema (este procedimiento es automático y
transparente al usuario).
Una vez INSTALAR halla terminado, salga al DOS y ejecute SkudoCFG.EXE
para configurar Skudo adecuándolo a sus necesidades. Es necesario que lo
ejecute ya que de no ser así Skudo no funcionará correctamente, al no
tener ningún tipo de configuración definida.
Una vez terminada la configuración de Skudo ya podemos salir al DOS
y realizar un Cold Boot, es decir un reset total del ordenador, ya que
INSTALAR también se encarga de incluir la carga de Skudo en el AUTOEXEC.BAT
NOTA: Si el usuario utiliza en su sistema algún tipo de gestor de memoria
como QEMM, etc... consultar la sección 3.9 de este manual
(Compatibilidad de Skudo con Gestores de Memoria).
3. Instalación Manual
──────────────────
En este caso siga los siguientes pasos para instalar correctamente el
Kit Antivírico Skudo:
1) Cree un directorio en la unidad donde desee instalar Skudo.
2) Copie todos los ficheros que forman el Kit Antivírico Skudo dentro del
directorio creado.
3) Skudo puede utilizar la variable de entorno "SKUDO" para poder
especificar donde está instalado. De esta forma Skudo, SkudoCFG,
SkudoCRC buscaran allí los ficheros Skudo.CFG y Skudo.CRC. Esta
variable tiene que definirse en el AUTOEXEC.BAT para que Skudo
funcione correctamente (la orden sería SET SKUDO = XXX). En caso de
no especificar la variable "SKUDO", Skudo buscará todos los
ficheros que precisa para su ejecucción en el directorio actual.
Ejemplo:
SET SKUDO = C:\SKUDO
4) Fuerce la carga de Skudo en el AUTOEXEC.BAT
5) Ejecute SkudoCFG.EXE para configurar Skudo a las necesidades del
usuario. Es necesario que lo ejecute ya que si no es así Skudo no
funcionará bien al no tener ningún tipo de configuración definida.
Una vez haya realizado estos pasos debe hacer un Cold Boot, es decir
un reset total del ordenador.
NOTA: Si el usuario utiliza en su sistema algún tipo de gestor de
memoria como QEMM, etc... consultar la sección 3.9 de este
manual (Compatibilidad de Skudo con Gestores de Memoria).
4. Configuración de Skudo
──────────────────────
Otra nueva mejora añadida al Kit antivírico Skudo es la del entorno de
configuración (SkudoCFG.EXE). Gracias a este entorno conseguimos adecuar
totalmente el control que ejerce Skudo sobre el sistema con las necesidades
individuales que el usuario pueda tener. Es decir, que con este programa
podemos configurar Skudo a nuestro gusto dejándole un control mayor o menor
del sistema según sea necesario. La utilización de SkudoCFG.EXE es
realmente sencilla y cómoda.
Una vez ejecutado SkudoCFG aparecerá un menú desde el cual podremos
acceder a todas las opciones que Skudo soporta. A continuación la
explicación de todas las opciones que podemos selecionar con SkudoCFG.
Configuración General:
─────────────────────
■ Definir unidades lógicas:
Con esta opción podemos selecionar cuáles son las unidades lógicas
existentes en el sistema que queremos que Skudo compruebe. Si activamos
esta opción Skudo efectuará un CRC de cada fichero que sea ejecutado
desde esa unidad lógica. Es recomendable activar esta opción en todas
las unidades de disco no removibles (discos duros, Streamers, etc...).
■ Definir residentes autorizados:
Skudo da un aviso cada vez que un programa residente intenta instalarse
en memoria (por defecto). Esto puede llegar a ser realmente molesto en la
utilización de programas cotidianos que son residentes y que se instalan
en memoria temporalmente y luego se desinstalan automáticamente (un caso
típico y bien claro es la utilización del DPMI en el sistema). Es por
ello que Skudo ha incluido una lista de residentes autorizados a la
instalación en memoria sin que Skudo avise al usuario de ello. Como es
natural, ésto implica un pequeño riesgo que debe ser asumido por el
usuario.
En la lista de residentes autorizados únicamente hay que indicar a
Skudo el nombre y la extensión del residente que queremos permitir el
acceso libre a la memoria del DOS. Una vez hayamos finalizado la lista
debemos de grabarla en disco presionando la siguiente combinación
de teclas: CTRL+ENTER
■ Definir directorios autorizados:
Esta opción también está ideada para la comodidad del usuario. Como
hemos visto, al indicar a Skudo las unidades de disco sobre las que
queremos que haga CRC, éste comprueba todos los ficheros que ejecutemos
en ese disco. Esta opción puede ser molesta si tenemos un directorio
en el cual vamos creando nuestro propio software, ya que cada vez que
compilamos un programa éste varía de tamaño y el CRC que realizará Skudo
cuando ejecutemos dicho programa también variará. Por eso podemos indicar
hasta 18 directorios en los cuales no queremos que Skudo haga un CRC de
los ficheros que se ejecuten allí. Una vez hayamos finalizado la lista
debemos grabarla en disco presionando la siguiente combinación de
teclas: CTRL+ENTER
Si usted desea utilizar esta opción es aconsejable que el directorio
en el cual usted cree nuevo software no sea el mismo donde se encuentren
los programas compiladores ni linkadores, sino que sea otro donde usted
tenga almacenados todos los programas nuevos que está realizando. En caso
de no separarlos y realizar sus programas en el mismo directorio del
compilador estará dejando desprotegido los programas ejecutables de
dicho directorio, permitiendo que se puedan infectar los ficheros que
allí residen sin que Skudo pueda hacer nada al respecto ya que usted así
lo ha autorizado.
■ Definir clave de acceso:
Esta opción permite definir una clave de acceso que Skudo nos obligará
a introducir cada vez que detecte algo extraño en el sistema. Además, si
definimos la clave de acceso para entrar en SkudoCFG también
necesitaremos conocerla.
■ Elegir colores de Skudo:
Mediante esta opción podemos definir los colores que Skudo utilizará
al mostrarnos sus mensajes. Es recomendable no seleccionar el mismo color
de fondo que de tinta ya que en caso de hacerlo así no se visualizará
nada.
■ Técnicas y compatibilidad:
Esta opción estaba acompañada con la antigua MAXPRO que permitía a
Skudo realizar comprobaciones utilizando sistemas poco convencionales.
En esta nueva versión ha sido eliminada al ser altamente problemática e
incompatible con muchos sistemas. En cambio se ha añadido a Skudo una
versión alternativa, más sencilla, del parámetro MAXPRO que está activa
en todo momento por defecto.
La opción que encontramos es la de soporte EMS. Skudo ha evolucionado y
ha incorporado un soporte EMS para poder utilizar datos y variables
internas del programa en memoria EMS. Esto ha permitido dejar más memoria
convencinal libre para utilizar otros programas. Así Skudo únicamente
ocupa en memoria convencional 10 Kb. La mejora ha sido notable, ya que en
anteriores versiones de Skudo este espacio era de unos 20 a 30 Kb. Esta
opción está activada por defecto, ya que su utilización es muy
aconsejable (siempre y cuando el hardware existente lo permita).
Comprobaciones del Sistema:
───────────────────────────
Es en esta sección de SkudoCFG donde podremos seleccionar las
opciones globales que deseemos que realice Skudo. Cuando se carga Skudo en
memoria comprueba las partes críticas de nuestro sistema, partes del
sistema que suelen ser modificadas por virus para propagarse o engañar al
sistema para ocultarse. En caso de no decir lo contrario todas las opciones
estarán activadas por defecto en el SkudoCFG.
■ Comprobar RAM Base:
Siempre que arrancamos, nuestro ordenador tiene la misma capacidad de
memoria convencianal (normalmente 640 Kb). En caso de estar infectada la
secuencia de arranque de nuestro ordenador por algún tipo de virus (ya sea
en la BOOT, TDP o en algún fichero ejecutado en el CONFIG.SYS o
AUTOEXEC.BAT) es muy provable que el virus haya reservado la memoria que
necesite de la existente en el DOS como convencional. Para que la memoria
que el virus reserva para su uso no sea machacada por algún programa que
cargue el usuario, el virus engaña al DOS falseando la información que
tiene el DOS de la cantidad total de memoria convencional que existe en el
sistemas disminuyéndola. Así el virus puede permanecer en memoria sin que
otro programa se solape encima de él, ya que el DOS no dejará ejecutar el
programa (que machacaría al virus) al no haber memoria suficiente. Por
ejemplo, en caso de estar infectado por un virus de estas características
cuando yo mirase la cantidad de memoria que tengo, el DOS me diría que
tengo un total de 638 KB en vez de los 640 Kb que tengo en realidad. En
estos 2 Kb sería donde el código del virus se alojaría y donde mis
programas no podrían acceder ya que a efectos del dos la memoria TOTAL es
de 638 Kb.
■ Comprobar TDP del disco:
La TDP es una de las partes del disco duro más delicadas, ya que su
destrucción ocasiona la perdida del acceso al disco duro. Además es uno
de los lugares elegidos por algunos virus para alojar el código del mismo
(ya que a partir del la versión 3.00 del DOS la TDP ocupa un cilindro de
disco, aunque la información alojada no lo colme). Cada vez que Skudo se
carga efectúa una comprobación para poder determinar si esta área ha sido
modificada o no.
■ Comprobar BOOT del disco:
El área Boot o sector de arranque la poseen todos los discos (en cambio
la TDP es exclusiva de los discos duros). En ella se ubica un pequeño
programa que permitirá cargar el sistema operativo, es el BootStrap. Esta
área es usada por muchos virus para alojarse. Skudo comprueba cada vez
que se arranca que no se haya efectuado ninguna alteración en esta zona
del disco.
■ Comprobar Interrupción 13:
La interrupción 13h (Servicios I/O para discos y discos duros) apunta
siempre a un lugar fijo de la ROM cada vez que arrancamos el ordenador.
Cuando un virus de BOOT o TDP entra en el sistema esta interrupción cambia
de dirección, por eso cada vez que se arranca el ordenador, Skudo comprueba
esta interrupción.
■ Comprobar COMMAND.COM:
El fichero COMMAND.COM, conocido como el intérprete de mandatos del
sistema operativo, es un fichero que se ejecuta cada vez que encendemos el
ordenador y la secuencia BootStrap carga el sistema operativo. Muchos virus
lo primero que hacen al instalarse en memoria es infectar el fichero
Command.Com, porque de esta manera se aseguran que cada vez que encendamos
el ordenador el virus estará en memoria y podrá propagarse con más
facilidad infectando ficheros. Por lo expuesto, Skudo efectúa una
comprobación de este fichero cada vez que se carga en memoria.
■ Comprobar Kernel del DOS:
Cada vez que se arranca el ordenador, Skudo realiza una comprobación
del Kernel del DOS (interior del DOS, ver Glosario) para comprobar que
ningún virus lo ha desviado o modificado.
■ Comprobar RAM disponible:
Indica a Skudo que debe controlar la cantidad de memoria libre que
tenemos disponible cada vez que ejecutamos Skudo. Este parámetro puede
llegar a ser engorroso, por lo que en principio no recomendamos su uso
cotidiano. Por defecto esta opción está desactivada.
■ Comprobar buffers del sistema:
Los buffers son un espacio que reserva el DOS para efectuar
operaciones de entrada y salida, y su número puede ser definido en el
CONFIG.SYS, con la orden "BUFFERS = XX". Existen algunos sofisticados virus
que reducen el número de buffers disponibles en el sistema y lo utilizan
para instalarse en memoria. Skudo efectúa una comprobación del número de
buffers cada vez que se ejecuta.
■ Autocomprobación de Skudo:
Con esta opción indicamos a Skudo que compruebe su integridad para
comprobar que ningún virus o ninguna persona ajena al autor ha realizado
modificaciones en Skudo. Aunque no se utilize esta opción Skudo incorpora
una segunda proteción adicional siempre activa (de menor grado) que
informará al usuario en caso de que se produzca alguna modifcación del
fichero.
Parte del Residente:
────────────────────
Una vez Skudo ha tomado el control del sistema, está capacitado para
realizar una serie de comprobaciones constantes en las zonas críticas de
nuestro sistema. Es aquí donde debemos especificar a Skudo qué
comprobaciones queremos que realice Skudo. Esta capacidad permite tener un
control constante del sistema a Skudo impidiendo que posibles virus o
programas sospechosos de serlo modifiquen estas zonas del sistema. A
continuación la explicación de todas las opciones que permiten especificar
el comportamiento de Skudo cuando está activo en memoria.
■ Comprobar CRC ficheros ejecutados:
Una vez cargado Skudo en memoria, éste realizará una comprobación de
todos los ficheros que se ejecuten en aquellas unidades lógicas que
hayamos indicado a Skudo mediante SkudoCFG y descartando aquellos ficheros
que se encuentren en los directorios autorizados. Cada vez que se ejecute
un fichero se realizará un CRC del mismo. Si es la primera vez que se
ejecuta el fichero teniendo Skudo activo, el CRC calculado será almacenado
en el fichero Skudo.CRC junto con otro tipo de información.
■ Buscar virus tipo BOOT/TDP:
Indica a Skudo que debe controlar los diskettes que introduzcamos en
nuestro PC para detectar una posible infección de virus en la BOOT o en
la TDP (Tabla de Particiones) de las unidades fijas que existan en el
sistema.
■ Buscar virus en ejecutables:
Esta opción indica a Skudo que compruebe mediante cadenas víricas
directas que el fichero ejecutado no esté infectado por ninguno de los
virus detectables por Skudo. Este proceso de búsqueda de ficheros se
realizará en la ejecución de todos los ficheros que ejecutemos en
cualquiera de las unidades lógicas que existan en el sistema.
■ Comprobar residentes normales:
Indica a Skudo que queremos que cada vez que un programa residente
normal (vía interrupción 27h o 31h) intente quedarse en memoria informe
de ello. Skudo nos dirá cual es el nombre del programa que desea quedarse
residente en memoria y la cantidad de memoria que está solicitando para
su uso. Aquí podremos acceder a la petición del programa (dejándolo
ejecutarse normalmente) o negársela (realizando un reset) al ver por
ejemplo que el programa solicitante no tendría que intentar quedarse
residente o la cantidad de memoria es totalmente contradictoria. Como es
normal Skudo dejará pasar sin ningún problema todos aquellos residentes
que estén autorizados por el usuario.
■ Comprobar residentes por MCBs:
Esta es una comprobación alternativa que permite detectar virus más
sofisticados que utilizan métodos alternativos para quedarse reidentes en
memoria que las clásicas interrupciones 27h y 31h del DOS. Muchos virus
modifican los MCB (Memory Control Blocks) para quedarse residentes y no
ser detectados. Skudo detecta este tipo de virus teniendo un control de los
MCBs del sistema. Como es normal Skudo dejará pasar sin ningún problema
todos aquellos residentes que estén autorizados por el usuario.
■ Comprobar residentes dobles:
Podemos tener la mala suerte de que un virus residente infecte un
programa que originalmente ya era residente. Skudo entonces informará de
que el programa se ha quedado dos veces residente. En caso que ésto ocurra
con un residente autorizado Skudo detectará igualmente el doble intento de
residencia del programa.
■ Comprobar password en ventanas:
Si hemos definido una clave de acceso en SkudoCFG está opción
determina si queremos que el password se utilice o no. Esta opción está
pensada para restringir el acceso a la configuración de Skudo y a las
posibles acciones que pueda determinar el usuario en caso que Skudo informe
de algún cambio peligroso realizado en el sistema (ideal para centros de
enseñanza, oficianas, etc...).
■ Comprobar Kernel del DOS:
Esta opción indica a Skudo que compruebe si algún programa modifica
el Kernel del DOS para poder tener de esta manera un control total del
sistema (para más información sobre el Kernel ver Glosario).
■ Protección Anti-Bombas:
Está es una opción especial e indica a Skudo que tiene que realizar un
control especial en aquellos intentos de escritura en disco. Muchos virus
no utilizan las interrupciones de escritura normales, sino que utilizan
métodos alternativos evitando así el posible control que se pueda ejercer
sobre dichas interrupciones. La utilización de esta opción puede llegar a
ser verdaderamente engorrosa y no sugerimos su uso cotidiano, así que por
defecto estará desactivada.
■ Proteger Tabla de Particiones:
Esta opción fuerza a Skudo a realizar un control de la Tabla de
Particiones del disco duro (TDP), evitando la escritura en ella de
cualquier programa.
┌─────────────────────────┐
│ III. Utilizando Skudo │
└─────────────────────────┘
1. Métodos básicos de protección
─────────────────────────────
A parte de los programas antivirus que pueda o haya adquirido (como
Skudo), existen una serie de recomendaciones y consejos que son
fundamentales para prevenir las posibles infecciones de virus en su
ordenador, estos consejos son:
1) Hacer copias de seguridad. Se trata sin duda de una práctica
básica para evitar los desastres que produce un virus. Además cada día nos
enfrentamos a cortes de tensión, fallos del ordenador e incluso que un
buen día el disco duro se canse de funcionar. Así que es necesario
mantener una copia de seguridad del disco duro y actualizarla al menos
una vez cada mes, aunque si poseemos datos de interés no estaría de más
aumentar la frecuencia con la que realizemos las copias de seguridad.
2) Hacer un reset después de ejecutar un juego. Muchos virus se
transmiten a través de los juegos porque son los programas que todo el
mundo se copia. Una vez acabado el juego, no está de más hacer un reset.
3) Comprobar el uso de su ordenador. Es importante que si trabajamos
en un ordenador compartido, mantengamos un control de la gente que
lo frecuenta y de los programas que se ejecutan en él.
4) Guardar una copia del sistema operativo etiquetada. Resulta muy
importante guardar una copia del sistema operativo que tenemos instalado
en disco duro o que usamos habitualmente protegida contra escritura, ya
que la necesitaremos algunas veces para arrancar el ordenador
asegurándonos que éste se encuentra libre de virus o simplemente para
restaurar el sistema operativo que en la mayoría de casos es afectado
al producirse una infección vírica.
5) Evitar en lo posible la copia de programas de procedencia
sospechosa como los extraídos de Centros de Enseñanza, Universidades,
oficina de la empresa etc...
6) Desconfiar de amigos y conocidos. El que un disco venga de manos
de un amigo o de una persona que es rigurosamente estricta en el control
de su ordenador no implica que el diskette no esté infectado. Muchos
virus se manifiestan después de cierto tiempo de hallarse en un
determinado ordenador para asegurar su propagación. Incluso se ha dado
el caso de programas originales que por error han sido infectados y se
han llegado a comercializar. Por eso es conveniente ser precavido y
revisar a fondo todos los programas que obtengamos.
7) Proteger los diskettes contra escritura. Los discos que no vayan
a contener datos o programas que necesiten escribirse en el mismo
deberemos protegerlos ya que es una buena práctica y evita totalmente
que cualquier virus infecte el disco.
A continuación un pequeño test orientativo que nos permitirá
descrubrir posibles síntomas de infecciones de nuestro sistema por algún
virus.
- ¿Los programas tardan más de lo normal en cargarse en memoria?
- ¿Se efectúan excesivos accesos a disco para tareas sencillas?
- ¿Ocurren errores no usuales con creciente regularidad?
- ¿Se encienden las luces de acceso a dispositivos cuando estos
dispositivos no están siendo utilizados?
- ¿Hay menos memoria del sistema disponible que de costumbre?
- ¿Hay programas o ficheros que desaparezcan misteriosamente?
- ¿Se ha producido una reducción brusca del espacio diponible en disco?
Cualquier repuesta afirmativa a alguna de estas preguntas podría
significar que ese sistema está bajo el control de algún virus.
2. ¿Cómo funciona Skudo?
─────────────────────
Skudo protege nuestro sistema a siete niveles:
1) Las Comprobaciones del Sistema:
Lo primero que hace Skudo cuando se carga, es comprobar las zonas
críticas del sistema, zonas que suelen ser modificadas por virus.
2) Control de programas residentes:
Skudo controla los programas que se quedan residentes avisando al
usuario de su presencia y la cantidad de memoria que reservan. Si Skudo
detecta que el residente utiliza métodos no convencionales para
quedarse en memoria mostrará un aviso adiccional. Se puede definir una
lista de programas residentes, de los cuales no queremos ser avisados
mediante la opción Definir Residentes Autorizados de la configuración
general de Skudo.
3) Control de los programas ejecutados:
Skudo mantiene un riguroso control de todos los programas que son
ejecutados. Cada vez que ejecutamos un programa Skudo efectuará un CRC
(comprobación de integridad) del mismo y lo guardará en el fichero
Skudo.CRC, la próxima vez que ejecutemos el mismo programa tan sólo lo
comprobará para ver que ese fichero no ha sido modificado. Debemos
indicar en qué discos queremos que Skudo lleve este control ya que
puede interesarnos que Skudo compruebe los ficheros del disco duro,
pero no los de los diskettes o de la red local.
4) Búsqueda de cadenas al ejecutar programas:
Al ejecutar cualquier programa Skudo comprueba si ha sido infectado
por alguno de los virus existentes que es capaz de detectar
directamente por cadenas, si es así, informa de ello al usuario
avisando de la infección y dando el nombre del virus encontrado.
5) Control de los diskettes que utilizamos habitualmente:
Cada vez que utilizamos un diskette comprueba si contiene en el
sector cero alguno de los virus de BOOT o de TDP conocidos.
6) Protección de la TDP y la BOOT del disco:
Skudo protege nuestra tabla de particiones y nuestro sector de
arranque del disco contra modificiaciones de cualquier programa.
7) Protección Anti-Bombas Lógicas:
Skudo incluye un sistema de protección contra bombas lógicas que
es capaz de detectar qué programas están intentando escribir al disco
de una forma no autorizada. En general se recomienda tener este
sistema activo solamente cuando introduzacamos programas nuevos en el
PC.
3. Métodos de comprobación del sistema
───────────────────────────────────
Skudo realiza las siguientes comprobaciones del sistema cada vez que
se ejecuta Skudo. Estas comprobaciones permiten tener un estricto control
de las zonas críticas del sistema, asegurando de esta manera que el
sistema no ha sido infectado o alterado peligrosamente por algún programa ajeno
antes de la ejecución del Skudo. Las comprobaciones que realiza Skudo son:
· Comprobación RAM Base (Memoria Total).
· Comprobación TDP (Tabla de Particiones).
· Comprobación BOOT (Sector de Arranque).
· Comprobación Interrupción 13h.
· Comprobación del COMMAND.COM del DOS.
· Comprobación del KERNEL del DOS.
· Comprobación RAM DISPONIBLE.
· Comprobación de los BUFFERS del sistema.
Podemos activar o desactivar cada uno de estos métodos de comprobación del
sistema desde el programa SkudoCFG.EXE. Cada una de ellos han sido
explicados detalladamente en el bloque II del apartado 4.
4. Menú de Configuración residente
───────────────────────────────
Skudo ha implementado, en esta nueva versión, una opción que permite
reconfigurar algunas de las opciones de comprobación del sistema que
Skudo realiza permanentemente.
El menú de Configuración residente se activa con la pulsación de la
siguiente combinación de teclas: CTRL+SHIFT+ESPACIO. Una vez activado el
menú, aparecerá el mismo por pantalla. Las opciones que aparecen en él son
las siguientes:
■ CRC de Ficheros: Se activa o desactiva pulsando la tecla A. Esta opción
permite que Skudo compruebe el CRC de los ficheros
ejecutados o bien cree el CRC en aquellos ficheros
que se ejecutan por primera vez en el sistema.
■ Comprobar Virus BOOT: Se activa o desactiva pulsando la tecla B. Esta
opción indica a Skudo que tiene que realizar
comprobaciones de la BOOT de las unidades lógicas del
sistema.
■ Comprobar Residentes: Se activa o desactiva pulsando la tecla C. Esta
opción indica a Skudo que debe efectuar un control de
los programas residentes que se ejecutan en el sistema.
■ Comprobar MCBs: Se activa o desactiva pulsando la tecla D. Esta opción
indica a Skudo que ha de realizar comprobaciones
complementarias en el sistema (Control de los MCBs) para
controlar el acceso al sistema de programas que utilizan
los MCBs para conseguir la residencia en memoria.
■ Comprobar Residentes Dobles: Se activa o desactiva pulsando la tecla E.
Esta opción indica a Skudo que ha de controlar los
residentes que acceden a la memoria de manera que éstos
no queden instalados dos residentes que provengan de
un mismo fichero o programa.
■ Protección Anti-Bombas: Se activa o desactiva pulsando la tecla F. Esta
opción fuerza a Skudo a realizar comprobaciones extras,
para evitar la utilización de métodos de escritura poco
ortodoxos por algún programa ejecutado en el sistema.
■ Activación de Skudo: Se activa o desactiva pulsando la tecla H. Esta
opción permite al usuario dejar latente el control que
ejerce Skudo en el sistema de manera temporal. Podiendo
activarlo de nuevo pulsando la misma opción.
Una vez actualizada la configuración residente de Skudo, volveremos al DOS
presionando la tecla ESC.
5. Parámetros de Skudo
───────────────────
Skudo admite una serie de parámetros para poder personalizarlo desde la
línea de comandos del DOS. Estos parámetros permiten condicionar
rápidamente el funcionamiento de Skudo. Son los siguientes:
■ Parámetro DCRC: Este parámetro nos permite desactivar los CRC de los
ficheros. Es muy útil cuando no poseemos disco duro ya
que impedirá la dependencia de un diskette para que
Skudo vaya grabando el fichero Skudo.CRC en el mismo.
■ Parámetro NCHK: No se efectuarán checksums al inicio ni se realizara
ninguna comprobación del sistema.
■ Parámetro NOKE: Desactiva el control que realiza Skudo sobre las
llamadas al Kernel del DOS. Este parámetro debe ser usado
cuando Skudo tiene problemas con algun tipo de red local,
driver o similar.
■ Parámetro NOTE: Elimina la posibilidad de desactivar el Skudo desde
el teclado. Este parámetro está pensado para que no pueda
ser desactivado en ordenadores de escuelas o trabajos.
■ Parámetro NOPR: Este parámetro provoca que después de la respuesta del
usuario a cualquier aviso de Skudo se realize un reset del
ordenador. Este parámetro está pensado para evitar
autorizaciones de usuarios en colegios y empresas cuando
Skudo avise al usuario de alguna anomalía peligrosa en el
sistema.
■ Parámetro DES: Desactiva totalmente Skudo de la memoria, liberando
la memoria que el programa estaba ocupando.
■ Parámetro NCOMM: Desactiva la comprobación del COMMAND.COM que Skudo
realiza al cargarse.
■ Parámetro NINT13: Desactiva la comprobación del puntero original de la
interrupción 13h de la BIOS.
■ Parámetro NSON: Cada vez que Skudo muestra una ventana generá un sonido,
con este paramámetro desactivamos este sonido, de tal
forma que Skudo no emitirá ruidos.
■ Parámetro NBUFF: Desactiva la comprobación de los buffers del DOS.
■ Parámetro NKER: Desactiva el control realizado por Skudo a las llamadas
del Kernel del DOS.
■ Parámetro NTDP: Provoca que Skudo no efectúe comprobaciones en la tabla
de particiones del disco duro.
■ Parámetro NBOOT: Provoca que Skudo no efectúe comprobaciones de la BOOT
de los discos.
■ Parámetro ?: Muestra la lista de parámetros que acepta Skudo desde la
línea de comandos del DOS.
6. Compatibilidad con otros Entornos
─────────────────────────────────
Skudo soporta tanto MS-DOS y compatibles, Windows 3.X, DESQview,
DESQview 386, DESQview/X y OS/2 2.X. Sin embargo, Skudo actúa de una forma
especial bajo entornos Windows, DESQview, DESQview 386 y DESQview/X.
Una vez ejecutado cualquiera de estos entornos y teniendo Skudo en
memoria, éste se auto-desactivará. En el momento en que volvamos al DOS
Skudo se volverá a activar automáticamente. Skudo realiza esta operación
por motivos de compatibilidad con estos entornos. De manera que cuando
estemos trabajando con ventanas DOS dentro de estos entornos, Skudo no nos
protegerá el sistema de posibles infecciones. Para solventar dicho
problema podemos cargar una segunda copia de Skudo en la ventana DOS en
esa sesión.
7. Compatibilidad con Gestores de Memoria
──────────────────────────────────────
Skudo es compatible con la gran mayoría de gestores de memoria
existentes en el mercado del software (QEMM, VMAX, EMM386etc...). Esto
permite cargar Skudo en memoria alta, dejando libre la memoria
convencional del sistema.
Si usted ha instalado por primera vez Skudo y tenía algún gestor de
memoria activo en su sistema, recuerde que después de la instalación de
Skudo es recomendable reajustar el comportamiento del gestor de memoria
para optimizar la utilización de los recursos del sistema (se recomienda
la ejecución de OPTIMIZE en caso de terner QEMM, MEMAKER perteneciente al
propio software de gestión de memoria del MS-DOS v6.00, etc...)
8. Virus detectables por Skudo
───────────────────────────
Skudo detecta más de 2500 virus concretos incluyendo variantes y
mutacionesre. Estos virus se pueden dividir en las siguientes tipos de
virus:
■ Los Virus de BOOT:
El primer tipo de virus está formado por los virus que se introducen
en nuestro ordenador a través de un diskette, cuando la máquina está
arrancando. Habitualmente se alojan en el sector 0 del disco (es la
área de BOOT).
Estos virus se cargan antes que el propio sistema operativo y
normalmente disminuyen la cantidad de memoria total direccionable por
el DOS (640Kb en la mayoría de PC de hoy en día) en 1Kb o más.
Estos virus sólo se pueden transmitir por copias de disco, y no por
otros medios (redes locales, modems...); esto provoca que su contagio
sea difícil, aunque una vez el virus consigue infectar un ordenador,
cualquier disco que pase por él será "contagiado". Así, por ejemplo,
un simple comando "dir" provocará la infección, ya que cada vez que se
produce un acceso al disco el virus aprovecha para introducirse. Por
lo tanto es probable que el virus en un par de días de estar en un
sistema haya infectado la mayoría de discos que usamos habitualmente.
A este grupo de virus pertenecen el virus de la pelota y el Disk
Killer.
■ Los Virus de Tabla de partición:
Los virus que utilizan esta área del disco para instalarse en el disco
duro son pocos, pero los que hay, son bastante dificultosos de
desactivar. Estos reciben el nombre de virus de tabla de partición y
suelen usar este área del disco para quedarse en los discos duros y la
BOOT para transmitirse a los discos flexibles.
Estos virus pueden causar pérdidas de datos muy importantes si se
infectan con versiones del Sistema Operativo anteriores a la 3.00, ya
que antes de esta versión la BOOT del disco iba inmediatamente delante
de la TDP. A partir de la versión 3.00 se deja todo el cilindro
libre para la TDP, y es ese el espacio que usa el virus para
instalarse y dejar el antiguo programa cargador de la TDP. Estos
virus no suelen dejar "bad clusters" en el disco porque usan el
espacio libre de la TDP para guardar sus datos.
El virus más representativo de este grupo es el Stoned/Marijuana.
Todos los virus que hemos tenido ocasión de analizar usan la TDP del
disco duro para instalarse, y la BOOT para propagarse a través de los
discos flexibles.
■ Los Virus que infectan ficheros:
Los virus que infectan ficheros son los que se instalan en ficheros
ejecutables. Los de este tipo son sin duda los virus con más
posibilidades de reproducción y más variedad de efectos, y son los que
permiten desarrollar mejor la imaginación del programador, ya que hay
muchos más puntos que pueden ser objetivo del virus.
Este tipo de virus pueden infectar a ficheros COM, EXE, OVL, BIN;
además de corromper cualquier fichero de datos. Existe una gran variedad
de este tipo de virus. Algunos se quedan residentes, otros no. La
única característica que los une a todos es que ubican su código en
ficheros ejecutables.
Existen muchos virus de este tipo que tienen efectos de bomba o de
caballo de Troya incluidos en el disco, por ejemplo, el virus Anti-
Telefónica (Antictne BOOT v.1) que borra el disco duro cuando se ha
producido 333 arranques. También existen algunos virus que incorporan
troyanos pero son una minoría.
┌───────────────────────────────┐
│ IV. Software Complementario │
└───────────────────────────────┘
1. SkudoCRC
────────
4.1.1 ¿Qué es SkudoCRC?
El programa Skudo genera una lista de todos los ficheros que
vamos ejecutando con su longitud y otros datos que le permiten
saber si un programa ha sido modificado desde la última vez que
fue ejecutado. Esta lista la genera siempre en el directorio
principal de la primera unidad de disco que tenga bajo control (si
no hemos especificado la variable de entorno Skudo) y el fichero
que la contiene se llama Skudo.CRC.
El problema que existe es que si ejecutamos un programa y más
tarde lo borramos del disco, Skudo no detecta dicha acción y deja
los datos del programa en la lista Skudo.CRC. De tal forma esta
lista va en aumento progresivamente conteniendo CRCs de ficheros
que ya no existen y que no son inecesarios.
SkudoCRC es un programa que permite gestionar dicha lista de
ficheros bajo CRC.
4.1.2 Funcionamiento de SkudoCRC
SkudoCRC permite visualizar la lista generada mediante la opción
"Mostrar lista de ficheros". Pero también permite optimizarla
y reducirla eliminado la información de todos los programas que no
se encuentren en disco. Para ello usaremos la opción "Purgar lista
de ficheros", después de un purgado de lista el programa Skudo ira
más rápido que antes ya que está listo para un chequeo exacto cada
vez que va a ejecutarse un programa. Realmente es perceptible
cuando la lista ha sido purgada. Es conveniente efectuar este
proceso periódicamente.
La opción "Actualizar CRCs de ficheros" busca todos los ficheros
en los cuales no coincida el CRC con el que hay en disco y lo
recalcula. Esta opción es útil cuando por ejemplo, hemos
actualizado un programa en el disco, y todos los ficheros de ese
programa nos van avisando de que han sido modificados (Por ejemplo
al instalar una nueva versión del DOS).
4.1.3 Opciones de SkudoCRC
SkudoCRC admite los siguientes parámetros desde la línea de
comandos del DOS.
/V - Nos permite ver los ficheros bajo control de Skudo.
/P - Purga los viejos ficheros que ya no existen.
/A - Actualización de los CRCs de los ficheros
2. Trobavir
───────
4.2.1 ¿Qué es Trobavir?
Trobavir es un programa del tipo rastreador de ficheros que está
pensado para detectar virus conocidos y puede ser de gran ayuda
para comprobar si los diskettes o el disco duro con el que estamos
trabajando están infectados. Como se ha señalado anteriormente este
tipo de programas ofrecen una seguridad muy relativa ya que sólo
permiten detectar virus que se conocen de antemano, no NUEVOS
virus.
4.2.2 Funcionamiento de Trobavir
Su funcionamiento es simple, sólo tenemos que indicarle la unidad
de disco en la cual queremos que busque los posibles virus. Por
ejemplo, si queremos que compruebe la unidad C: teclearemos:
TROBAVIR C:
Podemos hacer que Trobavir genere un fichero de texto con los
resultados de la búsqueda lo cual puede ser especialmente útil si
tenemos bastantes ficheros infectados. Para ello sólo tendremos que
añadir el parámetro /CAP seguido de la unidad de disco en la cual
queremos que genere el fichero en ASCII con los resultados de la
búsqueda. Por ejemplo, para hacer una búsqueda de los posibles
virus de la unidad A: y que guarde los resultados en la unidad C:,
procederemos de la siguiente forma:
TROBAVIR A: /CAP C:
Trobavir también permite buscar virus sólo en un determinado
directorio. Con lo cual no será necesario comprobar todo el disco,
por ejemplo, para comprobar si en el directorio C:\DOS hay virus
teclearemos:
TROBAVIR C:\DOS
Trobavir por defecto busca virus solamente en los ficheros
ejecutables, si queremos forzar la búsqueda en todos ficheros
usaremos el parámetro /T, así teclearíamos:
TROBAVIR C: /T
Trobavir y Skudo tienen programadas algunas cadenas de posibles
virus desconocidos, es decir, código que esta presente en muchos
virus. Así que Trobavir puede detectarnos algún virus desconocido
para él.
4.2.2 Lista de virus que detecta.
De todas formas Trobavir detecta casi todos los virus que
podemos encontrar en nuestra geografía, hoy por hoy.
3. ForavirF y ForavirD
───────────────────
4.3.1 ¿Qué son ForavirF y ForavirD?
ForavirF y ForavirD son dos vacunas antivíricas que complementan
perfectamente la función de Skudo. En concreto son dos vacunas
creadas para la eliminación de diferentes tipos de virus. ForavirF
elimina varios virus de los que infectan ficheros ejecutables. En
cambio ForavirD elimina aquéllos que infectan la Boot o la TDP del
disco duro o de cualquir diskette.
4.3.2 Funcionamiento de ForavirF.
El funcionamiento de ForavirF es muy sencillo. Para ejecutar
la vacuna lo único que tenemos que hacer es indicarle la unidad
de disco sobre la que queremos que trabaje, por ejemplo:
ForavirF c:
Tenemos que tener en cuenta que si tenemos algún fichero
infectado en el disco es posible que tengamos el virus en la
memoria. Para asegurarnos de que ésto no sucede es conveniente
arrancar el ordenador con un diskette de sistema operativo de la
misma versión que la instalada en el disco duro. Una vez arrancado
con un diskette de sistema operativo ya podemos cargar el programa
ForavirF. Una vez que hayamos eliminado el virus de los ficheros
utilizaremos el programa Trobavir.Com para comprobar que la
eliminación del virus se ha llevado a cabo correctamente.
4.3.3 Funcionamiento de ForavirD.
ForavirD ha incluido un sencillo menú de uso para facilitar su
ejecución al usuario. Al cargar FORAVIRD nos apareceran tres
opciones:
1) Ejecutar programa
2) Consultar ayuda
3) Terminar programa
Para ejecutar el programa deberemos seleccionar la primera
opción, después nos aparecerán tres opciones:
Unidad de diskette A: -> Creará una nueva BOOT en la unidad A:
Unidad de diskette B: -> Creará una nueva BOOT en la unidad B:
Disco Duro (TDP) -> Buscará virus en la TDP
Al crear una nueva BOOT eliminaremos cualquier tipo de virus de
BOOT que se hubiera ubicado en ella.
Si deseamos eliminar virus de los diskettes de una forma
rápida (por ejemplo después de una infección masiva) utilizamos el
parámetro /C seguido de la unidad de diskette donde está el disco
que queremos desinfectar, por ejemplo, Para eliminar un virus de
tipo BOOT del disco que se encuentre en la unidad B teclearemos:
FORAVIRD /C B:
El parámetro /C es el único que admite, y es el que le indica que
queremos crear una nueva BOOT en esa unidad. Si cargamos el programa
sin parámetros buscará en el disco duro los virus que puede
eliminar. Resulta importante señalar que si se crea una nueva BOOT
en el disco duro este perderá su capacidad de arranque. Para
devolvérsela de nuevo deberemos usar el programa DISKFIX de PCTools
o el Utildisc de Peter Norton, si bien también podremos utilizar el
mandato del DOS "Sys C:".
4.3.4 Lista de virus que eliminan.
La vacuna ForavirF nos permite eliminar fácilmente los virus
Jerusalén (incluidas versiones Jeru-b, Viernes 13, Anarkia), 1210
(Prudents virus), 1720, MIX-1, y Traceback (3066).
ForavirD es capaz de eliminar del disco duro los virus Marijuana
(Stoned), Anti-C.T.N.E, y Michaelangelo que se alojan en la tabla
de particiones y son especialmente complicados de eliminar. Además
de eliminar los virus del disco duro posee un mecanismo general
que le permite eliminar cualquier virus de BOOT (pelotita, Stoned,
Antictne, Brian, etc..).
┌───────────────┐
│ V. Apéndice │
└───────────────┘
1. Preguntas más comnunes con Skudo
────────────────────────────────
Consulte el fichero PREGUNTA.DOC incluido en el paquete.
2. Glosario de Términos
────────────────────
■ BBS (Bolletin Board System):
Una BBS es un Boletin Board System, algo así como un sitio donde
puedes conectar tu ordenador y coger/dejar/cambiar programas de dominio
publico y shareware y enviar y recibir programas. Para conectar a ellas
necesitas un aparato llamado módem y un programa de comunicaciones.
■ BIOS (Basic Input Output System):
La BIOS está emplazada en la ROM del sistema y es un interface a bajo
nivel con el Hardware. Es decir que permite al usuario tener una vía de
comunicación con el Hardware existente en el sistema.
■ Freeware:
Una programa cedido al Freeware o de Dominio Público es aquél que su
autor deja realizar una copia libre del mismo. Es decir que no es
necesario tener una licencia del programa y que no es necesario
registrarlo.
■ Hardware:
El Hardware es un amplio término informático que engloba todo aquellos
componentes materiales de nuestro equipo. Por ejemplo son Hardware la
tarjeta principal, la tarjeta de video, los dispositivos de
almacenamiento, las impresoras, los módems, los diskettes, etc...
■ Kernel del DOS:
El Kernel del DOS proporciona al usuario una serie de servicios de
Hardware independientes a los servicios stándards de la BIOS y que se
pueden utilizar toda una serie de aplicaciones en una gran variedad de
sistemas. Los servicios del DOS pueden dividirse arbitrariamente en las
siguientes categorías:
Entrada/Salida
Operaciones con Directorios
Control de Disco
Gestión de Memoria Dinámica
Control de Errores
Operaciones con Ficheros
Funciones Generales del Sistema
Funciones con Network
Inicialización y finalización de programas
Podemos acceder a los servicios del DOS por dos caminos. Algunos
servicios son accesibles directamente mediante una interrupción
software. Aunque muchos de los servicios del DOS on accesibles mediante
llamadas a funciones del DOS (introduciendo en el registro AH el número
de la función a ejecutar y ejectando la Int 21h). Estas interrupciones
existen en todos los PCs compatibles. En definitiva, el Kernel
proporciona una puente de comunicación entre el programa del usuarios o
el Command.Com y varios controladores de Hardware.
■ Sistema Operativo:
El Sistema Opertivo es el interface básico que nos permite utilizar el
ordenador. Mediante una serie de programas nos permite tener una
comunicación entre el Hardware de sistema y nosotros mismos. El sistema
operativo se encarga de ejecutar todos aquellos programas que nos
permiten ver perfectamente la información del sistema por pantalla, la
utilización del teclado, del mapa de códigos del mismo, nos permite
disponer a gusto de la memoria del sistema, nos permite acceder a los
dispositivos de almacenamiento, etc...
■ Shareware:
Un programa del tipo Shareware es de los llamados provar antes de
comprar. Un programa Shareware es bastante parecido a uno Freeware
pero se diferencian en que el programa Shareware es una copia de
evaluación. Es decir, que después de un período de prueva del usuario
éste deberá registrar o licenciar su copia. Muchas veces los programas
Shareware mantienen únicamente una parte de su funcionalidad y una vez
licenciada la copia se distribuye al comprador un copia totalmente
operativa.
■ Software:
Este término es el complementario del anteriormente visto Hardware. El
software es todo aquello inmaterial que poseemos en informática. Es
decir, los programas, las rutinas, los compiladores, los sistemas
operativos, etc...
■ Virus Stealth:
Son un tipo de virus muy sofisticados que han aparecido hace poco y
se caracterizan por engañar al usuario, muchos de ellos son capaces de
engañar a la orden DIR del DOS para que el crecimiento de los ficheros
infectados no pueda ser advertido por el usuario.
■ Virus MTE:
Son un tipo de virus que utilizan un cojunto de algorítmos muy
sofisticados llamados MuTan Engine que permiten realizar mutaciones de
los mismos y gracias a esta peculiar característica son muy difíciles de
detectar mediante los sistemas de detección por cadenas.
3. Trademarks
──────────
IBM PC, OS/2 y IBM PC-DOS son marcas registradas de International Business
Machines Corporation.
Microsoft Windows, Microsoft Windows/NT, Microsoft Macro Assembler y MS-DOS
son marcas registradas de Microsoft Corporation.
DESQview, DESQview 386, DESQview/X y QEMM son marcas registradas de
Quaterdeck Office Systems Inc.
DR-DOS es una marca registrada de Digital Research.
Turbo C y SideKick son marcas registradas de Borland Internatinal, Inc.
Novell, Novell DOS y ONLAN son marcas registradas de Novell ?????
TCXL es una marca registrada de TesSeRact.
────────────────────────────────────[ Fin ]─────────────────────────────────────