Experimental BBS Explossion 3

home *** CD-ROM | disk | FTP | other *** search

/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / skudo400.zip / MANUAL.DOC < prev next >

Wrap

Text File | 1994-06-05 | 80KB | 1,779 lines

Bienvenido a SKUDO versión 4.00 (El cazador de virus residente) (c)1990-1994 Jordi Mas Hernández Todos los derechos resevados Indice: ────── I. Introducción 1. Licencia de Uso. 2. Requerimientos del Sistema. 3. Soporte Técnico. 4. ¿Cómo Registrar Skudo? 5. Introducción a los virus informáticos. 6. ¿Qué es Skudo? 7. Razones para instalar Skudo. 8. Historia de Skudo y novedades de esta versión. 9. Futuras versiones (problemas no resueltos, nuevas ideas, etc...) 10. Agradecimientos del Autor. II. Instalación de Skudo. 1. Ficheros de Skudo. 2. Instalación Automática. 3. Instalación Manual. 4. Configuración de Skudo. III. Usando de Skudo. 1. Métodos básicos de protección 2. ¿Cómo funciona Skudo? 3. Métodos de comprobación del sistema. 4. Menú de configuración residente. 5. Parámetros de Skudo. 6. Compatibilidad con Otros Entornos. 7. Compatibilidad con Gestores de Memoria. 8. Virus detectables por Skudo. IV. Software Complementario. 1. SkudoCRC 4.1.1 ¿Qué es SkudoCRC? 4.1.2 Funcionamiento de SkudoCRC 4.1.3 Opciones de SkudoCRC 2. Trobavir 4.2.1 ¿Qué es Tobavir? 4.2.2 Funcionamiento de Trobavir. 4.2.3 Lista de virus que detecta. 3. ForavirF y ForavirD 4.3.1 ¿Qué son ForavirF y ForavirD? 4.3.2 Funcionamiento de ForavirF. 4.3.3 Funcionamiento de ForavirD. 4.3.4 Lista de virus que eliminan. V. Apéndice. 1. Preguntas más comnunes con Skudo. 2. Glosario de Términos. 3. Trademarks. ┌───────────────────┐ │ I. Introducción │ └───────────────────┘ 1. Licencia de Uso ─────────────── Todo el Kit Antivírico Skudo es propiedad exclusiva de su autor Jordi Mas. Este Kit Antivírico NO está cedido al dominio público, sino que se trata de un programa soprtado por el usuario. Es decir, el usuario puede realizar una evaluación del mismo durante un período de 60 días desde su instalación. Una vez pasado este período de tiempo el usuario DEBE adquirir el programa. Skudo representa muchas horas de investigación, diseño, programación y trabajo y después del período de evaluación el autor considera que el programa debe adquirirse o dejarse de utilizar. El autor ha mantenido la funcionalidad total de Skudo una vez superado el período de 60 días de evaluación. Así que adquirir Skudo pasados los 60 días queda bajo la decisión moral del usuario. Licenciar Skudo para un PC cuesta únicamente 2.500 pesetas e incluye un gran número de ventajas y comodidades para el usuario registrado (para más información consultar ¿Cómo Registrar Skudo? Sección I apartado 4). Agradezco a todos vuestra aportación ya que ésta permitirá desarrollar nuevas versiones de Skudo con mucha más facilidad. 2. Requerimientos del Sistema ────────────────────────── Skudo tiene los siguientes requerimientos del sistema para funcionar correctamente: ■ Hardware: Skudo funciona perfectamente en cualquier IBM PC, XT, AT, 386, 486, Pentium y compatible. También es totalmente compatible con cualquier tipo de Trajeta de Red, CD-ROMs, etc... ■ Memoria : Skudo requiere un máximo 18 Kb de memoria del sistema. Aunque se recomienda la utilización de memoria EMS si existe ya que este numero quedará reducido a 9Kb. ■ DOS : Skudo es compatible con cualquier MS-DOS 3.0 o superior, DR-DOS 6, Novell DOS 7, IBM-PC DOS, 4DOS. ■ Entonros: Skudo es compatible con Windows 3.x, Windows NT, OS/2, DESQview, DESQview 386 y DESQview/X 3. Soporte Técnico ─────────────── Si necesita realizar consultas, desea realizar comentarios respecto al Kit Antivírico Skudo o ha tenido cualquier tipo de problema relacionado con el mismo, puede ponerse en contacto con el autor por las siguientes vías: ■ Enviando un mensaje a Jordi Mas en el área R34.SKUDO de FIDONet que se ha creado especialmente para éste propósito. Area name: R34.SKUDO Comment: [FIDO] Antivirus Skudo: soporte & betas ■ Enviando un mensaje privado al autor Jordi Mas, ya sea vía FIDONet o vía RedBBS. Las direcciones del autor son las siguientes: FIDONet: 2:343/121@fidonet.org 2:343/127@fidonet.org RedBBS: 757:101/4@redbbs.org 757:101/14@redbbs.org Internet: jordi@qdeck.com ■ Llamando vía módem a Paradise BCN las 24 horas del día (BBS del mismo autor). Paradise BCN I 34-3-443-2190 Paradise BCN II 34-3-443-2191 ■ Enviando una carta a: Jordi Mas Apartado de Correos 24.258 08080 Barcelona 4. ¿Cómo Registrar Skudo? ────────────────────── Con el registro del Kit Antivírico Skudo usted recibirá una versión de Skudo ampliada, una copia impresa del manual ampliado y todas la nuevas versiones que aparezcan de Skudo durante un año. Si usted ha decidido registrar su copia de Skudo tiene que realizar los siguientes pasos: 1) Rellene el siguiente cuestionario: <<< SKUDO versión 4.00, Junio 1994 >>> < SOLICITUD DE LICENCIA PARA UN SOLO USUARIO > Nombre: ___________________________________________________________ Dirección: ________________________________________________________ : ________________________________________________________ : ________________________________________________________ Población/País: _________________________________ C.P.: ________ Teléfono Voz: ______________________ FAX: ______________________ Comentarios: ______________________________________________________ : ______________________________________________________ : ______________________________________________________ : ______________________________________________________ : ______________________________________________________ : ______________________________________________________ 2) Prepare un cheque a nombre de Jordi Mas Hernández por valor de 2.500 pesetas, o incluya el mismo valor en efectivo (ENVIE LA CARTA CERTIFICADA). 3) Compruebe que todos los datos pedidos con anterioridad sean correctos y envíe la solicitud de licencia junto con el cheque o el valor en efectivo al siguiente apartado de correos: Jordi Mas Hernández Apartado 24258 08080 Barcelona Contacte con el autor para solicitar licencias para varios usuarios o centros de enseñanza 5. Introducción a los virus informáticos ───────────────────────────────────── Antes de empezar a describir qué es Skudo vamos a hacer una pequeña introducción sobre los virus informáticos para todas aquellas personas que no estén demasiado familiarizadas con el tema. Quienes conozcan el tema pueden omitir este apartado ya que pocos conocimientos nuevos puede aportarles este apartado. Los virus informáticos aparecieron en el mundo de los PC y compatibles a mediados del año 1986 cuando el virus Brian fue distribuido masívamente en una tienda israelí que se dedicaba a la venta de programas piratas de ordenador. Este virus llego a EEUU (clientes potenciales de este tipo de tiendas en aquella época) y en poco tiempo se produjo una difusión masiva. El virus Brian se puede encontrar, hoy por hoy, en cualquier país del mundo con un parque mínimo de ordenadores, como es el caso de España. Durante la segunda mitad de los años ochenta y hasta el final de dicha década se distinguían cuatro tipos de programas peligrosos para el usuario: ■ Worms (gusanos): Los gusanos tienen como objetivo particular saturar el ordenador ocupando progresivamente la memoria que exista en el mismo. Generalmente una vez se ha ejecutado un Worm, éste se copia a si mismo constantemente en memoria. Cada copia del Worm que aparece en el sistema amplía el proceso ya que el Worm generado se dedica a lo mismo que su primogénito. Es decir, que la saturación del sistema tienen una tendencia exponecial. Una característica peculiar es que todas las copias creadas por los Worms mantienen una comunicación con la copia original. ■ La Bomba lógica: Es un programa que efectúa un borrado parcial o total de la información contenida por nuestro disco duro una vez se hayan cumplido unas determinadas condiciones. Las bombas se suelen activar por fechas o por número de ejecuciones. Un ejemplo típico de bomba es aquella en la que se destruye el disco después de una fecha. Este tipo de programas fueron en su época ampliamente usados por programadores que eran despedidos de sus respectivas empresas. Programaban la bomba para que borrara toda la información un mes o dos después del abandono de la misma. ■ Caballo de Troya: Se trata de segmentos de código introducidos en programas legítimos y que distraen la atención del usuario mientras efectúa alguna operación maligna en el disco duro. Los caballos de Troya no tienen la facultad de reproducirse por sí mismos, pero suelen estar incluidos en paquetes que tienen una gran difusión. El efecto detructivo de los caballos de Troya puede aparecer instantaneamente o puede quedar latente durante un determnado tiempo antes de empezar su acción maligna. ■ Virus informáticos: Al principio eran los más conocidos pero menos numerosos debido a que hacer un virus requería ciertos conocimientos elevados del sistema, mientras que una bomba lógica o un Caballo de Troya se podían efectuar incluso en lenguaje Basic, porque no eran demasiado complejos. Los virus informáticos han sido los supervivientes de estos tres tipos de programas, lo cual es un hecho lógico, ya que pueden realizar las funciones de una bomba o un caballo troyano y, lo que es más importante, pueden reproducirse. Una bomba sólo afecta a un usuario y es muy difícil que otro usuario la copie, mientras que la difusión de un virus resulta mucho más sencilla. Existen muchos virus que llevan incorporadas bombas de tiempo como el famoso Viernes 13. En nuestro país los primeros virus empezaron a verse a principios del año 1988 cuando algunos usuarios en su trabajo habitual empezaron a ver un punto rebotando por los márgenes de la pantalla de su ordenador. Era el virus de la pelota, había llegado ya la primera infección notable a nuestro país, poco después apareció el virus Brian, todos ellos provenían de intercambios de software con el extranjero, y encontraron su caldo de cultivo entre los usuarios universitarios. Pocos meses después se produciría una infección masiva con el virus Viernes 13 al aparecer por error de una revista informática que se distribuía en formato de diskette y que tenía ámbito nacional. Los años 1990 y 1991 han sido los años de la invasión de virus. Hoy en día podemos encontrar virus como el Anarkia, Cascade, Pelota, Flip, Brian, Anti-Telefónica, 1210, 1720, Michaelangelo y un largo etcétera ampliamente distribuidos en nuestro país. En el mes de Abril de 1990 aparecieron varias notas de prensa y artículos periodísticos hablando de una nueva infección masiva en Cataluña y Valencia de un nuevo virus, al parecer de origen español, que se ha dado a llamar Anti-Telefónica, ya que promueve una campaña contra esta compañía. Sin duda lo que más ha alarmado a los usuarios es que este virus es totalmente destructivo, a los 333 arranques borra toda la información del disco duro haciéndola irrecuperable. Como hemos visto los virus informáticos son, hoy en día, un problema grave para todos los usuarios de ordenadores responsables. Este tipo de engendros no son más que programas con capacidad para reproducirse en otros soportes magnéticos. Hoy en día existen más de 500 virus originales (y cientos de mutaciones) para sistema operativo MS-DOS, y su número, por desgracia, va en aumento. Protegerse ante tal amenaza potencial parece cada vez más difícil, los detectores de virus que existen en el mercado se basan en su gran mayoría en buscar cadenas (parte del código del virus) en las partes del sistema que son ostensibles de ser infectadas por un virus (sector cero del disco, ficheros ejecutables...). Este método aunque resulta eficaz para detectar los virus conocidos resulta totalmente inútil ante un nuevo virus, y a menudo nos vemos en el caso de que tenemos un programa que detecta, por ejemplo, más de 500 virus y no detecta justamente el virus con el que nos hemos infectado. Hay varias respuestas para ello. La primera es que este tipo de detectores son extranjeros y están preparados para detectar la fauna informática específica de su país, siendo la segunda el que algunos virus de origen español, a pesar de estar ámpliamente distribuidos, no llegan a difundirse más allá de nuestro ámbito geográfico. Una segunda respuesta es que cada vez que sale un virus nuevo, tiene que ser encontrado, asilado, y reportardo a los programadores, y durante este tiempo (usualmente un mes o más) los antivirus de cadenas no pueden detectar el "nuevo" virus. Es alrededor de esta carencia dónde nace y gira la filosofía de prevención que utiliza Skudo. 6. ¿Qué es Skudo? ────────────── El Kit Antivírico Skudo es un potente programa que controla todas las funciones peligrosas del sistema operativo y se encarga de proteger eficazmente todos los puntos vulnerables de nuestro ordenador ante posibles virus conocidos o no por Skudo. El problema de los virus es que cada día aparecen de nuevos, y no siempre podemos poseer las últimas actualizaciones de programas antivíricos. Ésta es una de las razones por las que Skudo se basa en controlar el sistema para poder detectar cualquier virus, sea nuevo o no, de todas formas Skudo es capaz de identificar más de 2500 virus incluyendo variantes y mutaciones. Por ello es uno de los más serios candidatos para la protección de ataques víricos, al realizar una perfecta combinación entre las típicas técnicas de detección de virus por cadenas y la constante supervisión que realiza Skudo de todos aquellos puntos delicados y vulnerables del sistema ya que es un programa residente. A continuación enumeraré algunas de las razones por las cuales es muy aconsejable instalar Skudo en su sistema. 7. Razones para instalar Skudo ─────────────────────────── Cuatro motivos para instalar Skudo en su sistema: · Porque Skudo no se basa solamente en el obsoleto método de busqueda de virus por cadenas (que le hacen depender de las actualizaciones constantes a que son sometidos estos antivirus) sino en métodos generales para detectar cualquier tipo de virus, incluso aquellos que aparezcan a posteriori. Skudo lo consigue haciendo comprobaciones de todos los ficheros que son ejecutados, de las partes delicadas del sistema, controlando programas residentes, incoporando la tecnología necesaria para detectar virus MTE and Stealth y detectando más de 2500 virus distintos incluyendo variantes y mutaciones. · Porque Skudo es un producto en castellano, fácil de usar, de los llamados de instalar y olvidar que hará todo el trabajo por usted. Ya no será necesario que vaya escaneando cada disco que introduce en su sistema, ni preocuparse de cual fue la última vez que ejecutó su scanner de virus. · Porque aunque Skudo ocupa solamente 9 Kb de memoria convencional si usted posee un PC con memoria expandida podrá usted cargar Skudo en memoria superior para que estos 9 Kb no se reduzan de la memoria del DOS disponible para sus aplicaciones. · Porque Skudo es uno de los pocos sistema antivíricos que también propociona protección contra bombas lógicas y caballos de troya, evitando la perdida de información en disco. Si analiza los motivos aquí expuestos y las explicaciones realizadas con anterioridad respecto a Skudo, usted mismo se dará cuenta de que está ante uno de los paquetes antivíricos más efectivos, eficaces y profesionales que se pueden encontrar hoy en día en el mercado del software. 8. Historia de Skudo y novedades de esta versión ───────────────────────────────────────────── Skudo fue programado durante los años 1990-91 como herramienta de apoyo para combatir nuevos virus. Ya en aquella época, observamos que los detectores del tipo de cadena algún día tendrían su fin, y apostamos por una antivirus de tipo residente. Muchas cosas han cambiado desde la versión 2.30 que fue la última versión freeware que realicé (la versión 3.0+ es casi idéntica pero comercial). Historia de Skudo: La verdad es que esta última versión de Skudo, más que una nueva versión, es casi una nuevo programa. Ya que he re-escrito la gran mayoría del código aunque he mantenido la filosofía y el diseño que me llevó a crear Skudo. He adaptado Skudo a los nuevos recursos de programación, los recursos ofrecidos por el sistema operativo que disponemos actualmente y aportando nuevas ideas, opciones, técnicas etc.. que he ido recopilando y creando durante el tiempo transcurrido desde el lanzamiento de la última versión oficial de Skudo (la versión 3.00+). A continuación la lista de las mejoras más importantes: ■ Mejoras de la versión 4.00 de Skudo respecto a la 3.00+ - La parte residente de Skudo ha sido en su gran parte re-escrita y modificada para poder utilizar datos y variables que se encuentren en memoria expandida (EMS). - La parte no residente de Skudo que comprueba el sistema ha tenido que ser en gran parte re-escrita para adaptarse al nuevo sistema de configuración. - La totalidad del código fuente ha sido indentado, comentado, y re-organizado para facilitar futuras versiones. - Setup/Instalación totalmente re-escrito, super-configurable y con ayuda on-line. - Utiliza memoria expandida (EMS 4.0) para reducir el tamaño dentro del primer megabyte que necesita Skudo. - Protección de la tabla de partición y de la BOOT del disco duro contra escritura y formateos de cualquier programa. - Posibilidad de definir password en cada una de las ventanas de Skudo evitando así que cualquiera pueda autorizar avisos. - Soporte para todo tipo de unidades lógicas. Incluye soporte de red (Novell,Lantastic), CD-ROM, etc... - Protección del disco contra escrituras no realizadas por el DOS. Protección contra trojans. - Más compatibilidad con programas DOS. Guarda/Recupera PSP. Ejemplo: ONLAN de Novell no funcionaba, y otros programas que utilizaban Btrieve. - Posibilidad de instalar Skudo en un directorio. Ya no es necesario tener Skudo.CRC en la ROOT. Soporte de la variable de entorno SKUDO. - Soporte real para DESQview, DESQview/X. Skudo se desactiva al entrar en estos entornos, pudiéndose activar una copia de Skudo en cada ventana. - Detección de nuevos virus españoles, virus mutados y variantes. - Se han excriptado todas las cadenas víricas de Skudo para no causar falsas alarmas al ejecutar otro tipo de programas víricos (Ejemplo: Scan de McAfee detectaba, cuando Skudo estaba en memoria, una posible versión del Jeru que evidentente no existía. - Mejora del soporte para Windows 3.1 - Mejora de la presentación. Soporte de colores en pantalla incial. Más información al cargarse. - Soporte para la opción MAXPRO eliminado. Esta característica es altamente incompatible. En próximas versiones intentaré compatibilizarla. - Añadido soporte para la compartición de ficheros. Esto permitirá ahora rastrear un disco OS/2, Netware sin problemas. - Revisados todos los parámetros y ajustados los nuevos. Skudo/? informa de la lista de parámetros que dispone Skudo. - Soporte más compatible con el OPTIMIZE de QEMM. Skudo funcionará siempre sin problema durante la fase OPTIMIZE. - Posibilidad de llamar a un menú de configuración residente desde cualquier informe, permitiendo cambiar la configuración de Skudo en situaciones altamente molestas: muchos avisos del sistema de detección anti-bombas... etc. - Añadido control de errores en la ejecución de SkudoCRC. Si Skudo busca ficheros en unidades removibles no presentes (ejemplo: un programa ejecutado desde un diskette) y no puede acceder a la unidad o hay error borrará la entrada del fichero en Skudo.CRC directamente. Recordemos que anteriormente mostraba un mensaje de unidad no preparada... ■ Mejoras de la versión 3.00+ de Skudo respecto a la 2.00 - Skudo no entrará en memoria si se pulsa cualquiera de los SHIFTs mientras se carga Skudo en el AUTOEXEC. - Skudo y Trobavir detectan ya 350 virus. - Mejorada la tecnología para detección de virus Stelth y MTE. Skudo, SkudoCRC, TROBAVIR, FORAVIRD, y FORAVIRF han sido íntegramente desarrollados en lenguaje Ensamblador. INSTALAR y SkudoCFG han sido desarrollados en Turbo C versión 2.0 utilizando también las TCXL library de Innovative Data Concepts. 9. Futuras Versiones ───────────────── Después de la versión 3.00+ Skudo sufrió un paro y un estancamiento en su desarrollo. Bien, después de bastante tiempo aparece en escena la versión cuarta del paquete antivírico, pero que tampoco será la última ya que tengo nuevas ideas para futuras versiones, tales como: ■ Optimización del código de SKUDO para hacerlo más rápido, especialmente en la ejecución de programas. ■ Posibilitar la eliminación de cualquier virus de BOOT directamente al ser detectado por Skudo. ■ Posibilitar a Skudo para que guarde la BOOT y la TDP. Y en caso de infección poderlas recuperar sin ningún problema. ■ Programa para Windows que muestre los mensajes y avisos de Skudo directamente en entorno Windows. ■ Posibilidad de realizar un LOG de todas las actividades de Skudo. ■ Incorporación de nuevas cadenas de víricas. ■ Incorporación de un programa listador del manual de Skudo, que permita imprimirlo y escribirlo en disco. ■ Se intentará asegurar la compatibilidad de Skudo con más tipo de software que exista en el mercado. Como todas las mejoras planteadas dependen mucho de la compatibilidad que se pueda asegurar de todas ellas, especialmente las que tengan que trabajar bajo el soporte de Windows. 10. Agradecimientos del Autor ───────────────────────── Durante todos estos años ha habido mucha gente que ha colaborado en las versiones de Skudo, a todos vosotros gracias. A continuación las colaboracioes de esta cuarta versión: · En la creación de la versión Castellana de este manual: David Pastor, Agustín Pérez, Alex Tutusaus, Jaume Guinovart, y Jordi Mas. · Reportando fallos, dando ideas y en general testeando el programa: Alex Bergonzini, Alex Ros, Antonio Herrero, Arcadi Magre, Carlos Leira, Clemente de Blas, David Pastor, Eduard Sanchez Biete, Francisco Navarro, Guillermo Piquer, Joan Lasierra Miró, Jordi Sese, Jordi Sole Mundi, Jordi Viader Dañczuk, Jose Gonzalvo, Jose-Luis Velasco, Josep Font, Josep M Gasso, Oscar Mas (Ey, brother!) Marcos Novo, Michel Izquierdo, Nica Mlg, Paco Ribas, Rafa Gawenda, Toni Nicolau, Toni Panades... A todos ellos, GRACIAS =-:) ┌────────────────────────────┐ │ II. Instalación de Skudo │ └────────────────────────────┘ Antes de realizar una explicación de la instalación de Skudo o de intentar instalar Skudo directamente, es aconsejable que el usuario compruebe que ha recibido todos los ficheros componentes del Kit Antivírico. A continuación le remitimos la lista de los ficheros que integran el paquete. 1. Ficheros del Kit Antivírico Skudo ───────────────────────────────── Los ficheros componentes del Kit Antivírico son los siguientes: SKUDO COM Programa principal de SKUDO MANUAL DOC Manual del Kit Antivírico Skudo v4.00 INSTALAR EXE Programa Instalador SKUDOCFG EXE Programa de Configuración SKUDOCFG HLP Ayuda del programa de configuración SKUDOCRC COM Programa para realizar CRC de ficheros TROBAVIR COM Rastreador de virus FORAVIRD COM Elimina virus de BOOT FORAVIRF COM Elimina virus de fichero NUEVO DOC Novedades respecto última versión REGISTRO DOC Información de como registrar SKUDO PREGUNTA DOC Lista de preguntas y respuestas más comunes sobre SKUDO Si falta alguno de estos ficheros en el paquete recibido, llamar a Paradise BCN para conseguir una copia original de evaluación del programa. 2. Instalación Automática ────────────────────── En esta cuarta versión se ha implementado un nuevo programa para poder realizar una instalación de Skudo de una manera rápida y automática. Es prácticamente un instalador para novatos, ya que instalar Skudo es realmente fácil. Si usted opta por realizar la instalación automática ejecute el programa "INSTALAR.EXE". Éste, si instalamos Skudo por primera vez, nos pedirá cual es el directorio fuente (donde se debe encontrar todo el paquete antivírico) y cual es el directorio destino. En caso de que los directorios no existan, INSTALAR los creará. Una vez copiado los ficheros que forman el Kit Antivírico, INSTALAR realizará las modificaciones necesarias en el AUTOEXEC.BAT del sistema para que Skudo pueda encontrar todos los ficheros que necesita ejecutar y que se encuentran en el directorio de destino que le hemos indicado. Ésto se consigue creando una variable de entorno en el sistema (este procedimiento es automático y transparente al usuario). Una vez INSTALAR halla terminado, salga al DOS y ejecute SkudoCFG.EXE para configurar Skudo adecuándolo a sus necesidades. Es necesario que lo ejecute ya que de no ser así Skudo no funcionará correctamente, al no tener ningún tipo de configuración definida. Una vez terminada la configuración de Skudo ya podemos salir al DOS y realizar un Cold Boot, es decir un reset total del ordenador, ya que INSTALAR también se encarga de incluir la carga de Skudo en el AUTOEXEC.BAT NOTA: Si el usuario utiliza en su sistema algún tipo de gestor de memoria como QEMM, etc... consultar la sección 3.9 de este manual (Compatibilidad de Skudo con Gestores de Memoria). 3. Instalación Manual ────────────────── En este caso siga los siguientes pasos para instalar correctamente el Kit Antivírico Skudo: 1) Cree un directorio en la unidad donde desee instalar Skudo. 2) Copie todos los ficheros que forman el Kit Antivírico Skudo dentro del directorio creado. 3) Skudo puede utilizar la variable de entorno "SKUDO" para poder especificar donde está instalado. De esta forma Skudo, SkudoCFG, SkudoCRC buscaran allí los ficheros Skudo.CFG y Skudo.CRC. Esta variable tiene que definirse en el AUTOEXEC.BAT para que Skudo funcione correctamente (la orden sería SET SKUDO = XXX). En caso de no especificar la variable "SKUDO", Skudo buscará todos los ficheros que precisa para su ejecucción en el directorio actual. Ejemplo: SET SKUDO = C:\SKUDO 4) Fuerce la carga de Skudo en el AUTOEXEC.BAT 5) Ejecute SkudoCFG.EXE para configurar Skudo a las necesidades del usuario. Es necesario que lo ejecute ya que si no es así Skudo no funcionará bien al no tener ningún tipo de configuración definida. Una vez haya realizado estos pasos debe hacer un Cold Boot, es decir un reset total del ordenador. NOTA: Si el usuario utiliza en su sistema algún tipo de gestor de memoria como QEMM, etc... consultar la sección 3.9 de este manual (Compatibilidad de Skudo con Gestores de Memoria). 4. Configuración de Skudo ────────────────────── Otra nueva mejora añadida al Kit antivírico Skudo es la del entorno de configuración (SkudoCFG.EXE). Gracias a este entorno conseguimos adecuar totalmente el control que ejerce Skudo sobre el sistema con las necesidades individuales que el usuario pueda tener. Es decir, que con este programa podemos configurar Skudo a nuestro gusto dejándole un control mayor o menor del sistema según sea necesario. La utilización de SkudoCFG.EXE es realmente sencilla y cómoda. Una vez ejecutado SkudoCFG aparecerá un menú desde el cual podremos acceder a todas las opciones que Skudo soporta. A continuación la explicación de todas las opciones que podemos selecionar con SkudoCFG. Configuración General: ───────────────────── ■ Definir unidades lógicas: Con esta opción podemos selecionar cuáles son las unidades lógicas existentes en el sistema que queremos que Skudo compruebe. Si activamos esta opción Skudo efectuará un CRC de cada fichero que sea ejecutado desde esa unidad lógica. Es recomendable activar esta opción en todas las unidades de disco no removibles (discos duros, Streamers, etc...). ■ Definir residentes autorizados: Skudo da un aviso cada vez que un programa residente intenta instalarse en memoria (por defecto). Esto puede llegar a ser realmente molesto en la utilización de programas cotidianos que son residentes y que se instalan en memoria temporalmente y luego se desinstalan automáticamente (un caso típico y bien claro es la utilización del DPMI en el sistema). Es por ello que Skudo ha incluido una lista de residentes autorizados a la instalación en memoria sin que Skudo avise al usuario de ello. Como es natural, ésto implica un pequeño riesgo que debe ser asumido por el usuario. En la lista de residentes autorizados únicamente hay que indicar a Skudo el nombre y la extensión del residente que queremos permitir el acceso libre a la memoria del DOS. Una vez hayamos finalizado la lista debemos de grabarla en disco presionando la siguiente combinación de teclas: CTRL+ENTER ■ Definir directorios autorizados: Esta opción también está ideada para la comodidad del usuario. Como hemos visto, al indicar a Skudo las unidades de disco sobre las que queremos que haga CRC, éste comprueba todos los ficheros que ejecutemos en ese disco. Esta opción puede ser molesta si tenemos un directorio en el cual vamos creando nuestro propio software, ya que cada vez que compilamos un programa éste varía de tamaño y el CRC que realizará Skudo cuando ejecutemos dicho programa también variará. Por eso podemos indicar hasta 18 directorios en los cuales no queremos que Skudo haga un CRC de los ficheros que se ejecuten allí. Una vez hayamos finalizado la lista debemos grabarla en disco presionando la siguiente combinación de teclas: CTRL+ENTER Si usted desea utilizar esta opción es aconsejable que el directorio en el cual usted cree nuevo software no sea el mismo donde se encuentren los programas compiladores ni linkadores, sino que sea otro donde usted tenga almacenados todos los programas nuevos que está realizando. En caso de no separarlos y realizar sus programas en el mismo directorio del compilador estará dejando desprotegido los programas ejecutables de dicho directorio, permitiendo que se puedan infectar los ficheros que allí residen sin que Skudo pueda hacer nada al respecto ya que usted así lo ha autorizado. ■ Definir clave de acceso: Esta opción permite definir una clave de acceso que Skudo nos obligará a introducir cada vez que detecte algo extraño en el sistema. Además, si definimos la clave de acceso para entrar en SkudoCFG también necesitaremos conocerla. ■ Elegir colores de Skudo: Mediante esta opción podemos definir los colores que Skudo utilizará al mostrarnos sus mensajes. Es recomendable no seleccionar el mismo color de fondo que de tinta ya que en caso de hacerlo así no se visualizará nada. ■ Técnicas y compatibilidad: Esta opción estaba acompañada con la antigua MAXPRO que permitía a Skudo realizar comprobaciones utilizando sistemas poco convencionales. En esta nueva versión ha sido eliminada al ser altamente problemática e incompatible con muchos sistemas. En cambio se ha añadido a Skudo una versión alternativa, más sencilla, del parámetro MAXPRO que está activa en todo momento por defecto. La opción que encontramos es la de soporte EMS. Skudo ha evolucionado y ha incorporado un soporte EMS para poder utilizar datos y variables internas del programa en memoria EMS. Esto ha permitido dejar más memoria convencinal libre para utilizar otros programas. Así Skudo únicamente ocupa en memoria convencional 10 Kb. La mejora ha sido notable, ya que en anteriores versiones de Skudo este espacio era de unos 20 a 30 Kb. Esta opción está activada por defecto, ya que su utilización es muy aconsejable (siempre y cuando el hardware existente lo permita). Comprobaciones del Sistema: ─────────────────────────── Es en esta sección de SkudoCFG donde podremos seleccionar las opciones globales que deseemos que realice Skudo. Cuando se carga Skudo en memoria comprueba las partes críticas de nuestro sistema, partes del sistema que suelen ser modificadas por virus para propagarse o engañar al sistema para ocultarse. En caso de no decir lo contrario todas las opciones estarán activadas por defecto en el SkudoCFG. ■ Comprobar RAM Base: Siempre que arrancamos, nuestro ordenador tiene la misma capacidad de memoria convencianal (normalmente 640 Kb). En caso de estar infectada la secuencia de arranque de nuestro ordenador por algún tipo de virus (ya sea en la BOOT, TDP o en algún fichero ejecutado en el CONFIG.SYS o AUTOEXEC.BAT) es muy provable que el virus haya reservado la memoria que necesite de la existente en el DOS como convencional. Para que la memoria que el virus reserva para su uso no sea machacada por algún programa que cargue el usuario, el virus engaña al DOS falseando la información que tiene el DOS de la cantidad total de memoria convencional que existe en el sistemas disminuyéndola. Así el virus puede permanecer en memoria sin que otro programa se solape encima de él, ya que el DOS no dejará ejecutar el programa (que machacaría al virus) al no haber memoria suficiente. Por ejemplo, en caso de estar infectado por un virus de estas características cuando yo mirase la cantidad de memoria que tengo, el DOS me diría que tengo un total de 638 KB en vez de los 640 Kb que tengo en realidad. En estos 2 Kb sería donde el código del virus se alojaría y donde mis programas no podrían acceder ya que a efectos del dos la memoria TOTAL es de 638 Kb. ■ Comprobar TDP del disco: La TDP es una de las partes del disco duro más delicadas, ya que su destrucción ocasiona la perdida del acceso al disco duro. Además es uno de los lugares elegidos por algunos virus para alojar el código del mismo (ya que a partir del la versión 3.00 del DOS la TDP ocupa un cilindro de disco, aunque la información alojada no lo colme). Cada vez que Skudo se carga efectúa una comprobación para poder determinar si esta área ha sido modificada o no. ■ Comprobar BOOT del disco: El área Boot o sector de arranque la poseen todos los discos (en cambio la TDP es exclusiva de los discos duros). En ella se ubica un pequeño programa que permitirá cargar el sistema operativo, es el BootStrap. Esta área es usada por muchos virus para alojarse. Skudo comprueba cada vez que se arranca que no se haya efectuado ninguna alteración en esta zona del disco. ■ Comprobar Interrupción 13: La interrupción 13h (Servicios I/O para discos y discos duros) apunta siempre a un lugar fijo de la ROM cada vez que arrancamos el ordenador. Cuando un virus de BOOT o TDP entra en el sistema esta interrupción cambia de dirección, por eso cada vez que se arranca el ordenador, Skudo comprueba esta interrupción. ■ Comprobar COMMAND.COM: El fichero COMMAND.COM, conocido como el intérprete de mandatos del sistema operativo, es un fichero que se ejecuta cada vez que encendemos el ordenador y la secuencia BootStrap carga el sistema operativo. Muchos virus lo primero que hacen al instalarse en memoria es infectar el fichero Command.Com, porque de esta manera se aseguran que cada vez que encendamos el ordenador el virus estará en memoria y podrá propagarse con más facilidad infectando ficheros. Por lo expuesto, Skudo efectúa una comprobación de este fichero cada vez que se carga en memoria. ■ Comprobar Kernel del DOS: Cada vez que se arranca el ordenador, Skudo realiza una comprobación del Kernel del DOS (interior del DOS, ver Glosario) para comprobar que ningún virus lo ha desviado o modificado. ■ Comprobar RAM disponible: Indica a Skudo que debe controlar la cantidad de memoria libre que tenemos disponible cada vez que ejecutamos Skudo. Este parámetro puede llegar a ser engorroso, por lo que en principio no recomendamos su uso cotidiano. Por defecto esta opción está desactivada. ■ Comprobar buffers del sistema: Los buffers son un espacio que reserva el DOS para efectuar operaciones de entrada y salida, y su número puede ser definido en el CONFIG.SYS, con la orden "BUFFERS = XX". Existen algunos sofisticados virus que reducen el número de buffers disponibles en el sistema y lo utilizan para instalarse en memoria. Skudo efectúa una comprobación del número de buffers cada vez que se ejecuta. ■ Autocomprobación de Skudo: Con esta opción indicamos a Skudo que compruebe su integridad para comprobar que ningún virus o ninguna persona ajena al autor ha realizado modificaciones en Skudo. Aunque no se utilize esta opción Skudo incorpora una segunda proteción adicional siempre activa (de menor grado) que informará al usuario en caso de que se produzca alguna modifcación del fichero. Parte del Residente: ──────────────────── Una vez Skudo ha tomado el control del sistema, está capacitado para realizar una serie de comprobaciones constantes en las zonas críticas de nuestro sistema. Es aquí donde debemos especificar a Skudo qué comprobaciones queremos que realice Skudo. Esta capacidad permite tener un control constante del sistema a Skudo impidiendo que posibles virus o programas sospechosos de serlo modifiquen estas zonas del sistema. A continuación la explicación de todas las opciones que permiten especificar el comportamiento de Skudo cuando está activo en memoria. ■ Comprobar CRC ficheros ejecutados: Una vez cargado Skudo en memoria, éste realizará una comprobación de todos los ficheros que se ejecuten en aquellas unidades lógicas que hayamos indicado a Skudo mediante SkudoCFG y descartando aquellos ficheros que se encuentren en los directorios autorizados. Cada vez que se ejecute un fichero se realizará un CRC del mismo. Si es la primera vez que se ejecuta el fichero teniendo Skudo activo, el CRC calculado será almacenado en el fichero Skudo.CRC junto con otro tipo de información. ■ Buscar virus tipo BOOT/TDP: Indica a Skudo que debe controlar los diskettes que introduzcamos en nuestro PC para detectar una posible infección de virus en la BOOT o en la TDP (Tabla de Particiones) de las unidades fijas que existan en el sistema. ■ Buscar virus en ejecutables: Esta opción indica a Skudo que compruebe mediante cadenas víricas directas que el fichero ejecutado no esté infectado por ninguno de los virus detectables por Skudo. Este proceso de búsqueda de ficheros se realizará en la ejecución de todos los ficheros que ejecutemos en cualquiera de las unidades lógicas que existan en el sistema. ■ Comprobar residentes normales: Indica a Skudo que queremos que cada vez que un programa residente normal (vía interrupción 27h o 31h) intente quedarse en memoria informe de ello. Skudo nos dirá cual es el nombre del programa que desea quedarse residente en memoria y la cantidad de memoria que está solicitando para su uso. Aquí podremos acceder a la petición del programa (dejándolo ejecutarse normalmente) o negársela (realizando un reset) al ver por ejemplo que el programa solicitante no tendría que intentar quedarse residente o la cantidad de memoria es totalmente contradictoria. Como es normal Skudo dejará pasar sin ningún problema todos aquellos residentes que estén autorizados por el usuario. ■ Comprobar residentes por MCBs: Esta es una comprobación alternativa que permite detectar virus más sofisticados que utilizan métodos alternativos para quedarse reidentes en memoria que las clásicas interrupciones 27h y 31h del DOS. Muchos virus modifican los MCB (Memory Control Blocks) para quedarse residentes y no ser detectados. Skudo detecta este tipo de virus teniendo un control de los MCBs del sistema. Como es normal Skudo dejará pasar sin ningún problema todos aquellos residentes que estén autorizados por el usuario. ■ Comprobar residentes dobles: Podemos tener la mala suerte de que un virus residente infecte un programa que originalmente ya era residente. Skudo entonces informará de que el programa se ha quedado dos veces residente. En caso que ésto ocurra con un residente autorizado Skudo detectará igualmente el doble intento de residencia del programa. ■ Comprobar password en ventanas: Si hemos definido una clave de acceso en SkudoCFG está opción determina si queremos que el password se utilice o no. Esta opción está pensada para restringir el acceso a la configuración de Skudo y a las posibles acciones que pueda determinar el usuario en caso que Skudo informe de algún cambio peligroso realizado en el sistema (ideal para centros de enseñanza, oficianas, etc...). ■ Comprobar Kernel del DOS: Esta opción indica a Skudo que compruebe si algún programa modifica el Kernel del DOS para poder tener de esta manera un control total del sistema (para más información sobre el Kernel ver Glosario). ■ Protección Anti-Bombas: Está es una opción especial e indica a Skudo que tiene que realizar un control especial en aquellos intentos de escritura en disco. Muchos virus no utilizan las interrupciones de escritura normales, sino que utilizan métodos alternativos evitando así el posible control que se pueda ejercer sobre dichas interrupciones. La utilización de esta opción puede llegar a ser verdaderamente engorrosa y no sugerimos su uso cotidiano, así que por defecto estará desactivada. ■ Proteger Tabla de Particiones: Esta opción fuerza a Skudo a realizar un control de la Tabla de Particiones del disco duro (TDP), evitando la escritura en ella de cualquier programa. ┌─────────────────────────┐ │ III. Utilizando Skudo │ └─────────────────────────┘ 1. Métodos básicos de protección ───────────────────────────── A parte de los programas antivirus que pueda o haya adquirido (como Skudo), existen una serie de recomendaciones y consejos que son fundamentales para prevenir las posibles infecciones de virus en su ordenador, estos consejos son: 1) Hacer copias de seguridad. Se trata sin duda de una práctica básica para evitar los desastres que produce un virus. Además cada día nos enfrentamos a cortes de tensión, fallos del ordenador e incluso que un buen día el disco duro se canse de funcionar. Así que es necesario mantener una copia de seguridad del disco duro y actualizarla al menos una vez cada mes, aunque si poseemos datos de interés no estaría de más aumentar la frecuencia con la que realizemos las copias de seguridad. 2) Hacer un reset después de ejecutar un juego. Muchos virus se transmiten a través de los juegos porque son los programas que todo el mundo se copia. Una vez acabado el juego, no está de más hacer un reset. 3) Comprobar el uso de su ordenador. Es importante que si trabajamos en un ordenador compartido, mantengamos un control de la gente que lo frecuenta y de los programas que se ejecutan en él. 4) Guardar una copia del sistema operativo etiquetada. Resulta muy importante guardar una copia del sistema operativo que tenemos instalado en disco duro o que usamos habitualmente protegida contra escritura, ya que la necesitaremos algunas veces para arrancar el ordenador asegurándonos que éste se encuentra libre de virus o simplemente para restaurar el sistema operativo que en la mayoría de casos es afectado al producirse una infección vírica. 5) Evitar en lo posible la copia de programas de procedencia sospechosa como los extraídos de Centros de Enseñanza, Universidades, oficina de la empresa etc... 6) Desconfiar de amigos y conocidos. El que un disco venga de manos de un amigo o de una persona que es rigurosamente estricta en el control de su ordenador no implica que el diskette no esté infectado. Muchos virus se manifiestan después de cierto tiempo de hallarse en un determinado ordenador para asegurar su propagación. Incluso se ha dado el caso de programas originales que por error han sido infectados y se han llegado a comercializar. Por eso es conveniente ser precavido y revisar a fondo todos los programas que obtengamos. 7) Proteger los diskettes contra escritura. Los discos que no vayan a contener datos o programas que necesiten escribirse en el mismo deberemos protegerlos ya que es una buena práctica y evita totalmente que cualquier virus infecte el disco. A continuación un pequeño test orientativo que nos permitirá descrubrir posibles síntomas de infecciones de nuestro sistema por algún virus. - ¿Los programas tardan más de lo normal en cargarse en memoria? - ¿Se efectúan excesivos accesos a disco para tareas sencillas? - ¿Ocurren errores no usuales con creciente regularidad? - ¿Se encienden las luces de acceso a dispositivos cuando estos dispositivos no están siendo utilizados? - ¿Hay menos memoria del sistema disponible que de costumbre? - ¿Hay programas o ficheros que desaparezcan misteriosamente? - ¿Se ha producido una reducción brusca del espacio diponible en disco? Cualquier repuesta afirmativa a alguna de estas preguntas podría significar que ese sistema está bajo el control de algún virus. 2. ¿Cómo funciona Skudo? ───────────────────── Skudo protege nuestro sistema a siete niveles: 1) Las Comprobaciones del Sistema: Lo primero que hace Skudo cuando se carga, es comprobar las zonas críticas del sistema, zonas que suelen ser modificadas por virus. 2) Control de programas residentes: Skudo controla los programas que se quedan residentes avisando al usuario de su presencia y la cantidad de memoria que reservan. Si Skudo detecta que el residente utiliza métodos no convencionales para quedarse en memoria mostrará un aviso adiccional. Se puede definir una lista de programas residentes, de los cuales no queremos ser avisados mediante la opción Definir Residentes Autorizados de la configuración general de Skudo. 3) Control de los programas ejecutados: Skudo mantiene un riguroso control de todos los programas que son ejecutados. Cada vez que ejecutamos un programa Skudo efectuará un CRC (comprobación de integridad) del mismo y lo guardará en el fichero Skudo.CRC, la próxima vez que ejecutemos el mismo programa tan sólo lo comprobará para ver que ese fichero no ha sido modificado. Debemos indicar en qué discos queremos que Skudo lleve este control ya que puede interesarnos que Skudo compruebe los ficheros del disco duro, pero no los de los diskettes o de la red local. 4) Búsqueda de cadenas al ejecutar programas: Al ejecutar cualquier programa Skudo comprueba si ha sido infectado por alguno de los virus existentes que es capaz de detectar directamente por cadenas, si es así, informa de ello al usuario avisando de la infección y dando el nombre del virus encontrado. 5) Control de los diskettes que utilizamos habitualmente: Cada vez que utilizamos un diskette comprueba si contiene en el sector cero alguno de los virus de BOOT o de TDP conocidos. 6) Protección de la TDP y la BOOT del disco: Skudo protege nuestra tabla de particiones y nuestro sector de arranque del disco contra modificiaciones de cualquier programa. 7) Protección Anti-Bombas Lógicas: Skudo incluye un sistema de protección contra bombas lógicas que es capaz de detectar qué programas están intentando escribir al disco de una forma no autorizada. En general se recomienda tener este sistema activo solamente cuando introduzacamos programas nuevos en el PC. 3. Métodos de comprobación del sistema ─────────────────────────────────── Skudo realiza las siguientes comprobaciones del sistema cada vez que se ejecuta Skudo. Estas comprobaciones permiten tener un estricto control de las zonas críticas del sistema, asegurando de esta manera que el sistema no ha sido infectado o alterado peligrosamente por algún programa ajeno antes de la ejecución del Skudo. Las comprobaciones que realiza Skudo son: · Comprobación RAM Base (Memoria Total). · Comprobación TDP (Tabla de Particiones). · Comprobación BOOT (Sector de Arranque). · Comprobación Interrupción 13h. · Comprobación del COMMAND.COM del DOS. · Comprobación del KERNEL del DOS. · Comprobación RAM DISPONIBLE. · Comprobación de los BUFFERS del sistema. Podemos activar o desactivar cada uno de estos métodos de comprobación del sistema desde el programa SkudoCFG.EXE. Cada una de ellos han sido explicados detalladamente en el bloque II del apartado 4. 4. Menú de Configuración residente ─────────────────────────────── Skudo ha implementado, en esta nueva versión, una opción que permite reconfigurar algunas de las opciones de comprobación del sistema que Skudo realiza permanentemente. El menú de Configuración residente se activa con la pulsación de la siguiente combinación de teclas: CTRL+SHIFT+ESPACIO. Una vez activado el menú, aparecerá el mismo por pantalla. Las opciones que aparecen en él son las siguientes: ■ CRC de Ficheros: Se activa o desactiva pulsando la tecla A. Esta opción permite que Skudo compruebe el CRC de los ficheros ejecutados o bien cree el CRC en aquellos ficheros que se ejecutan por primera vez en el sistema. ■ Comprobar Virus BOOT: Se activa o desactiva pulsando la tecla B. Esta opción indica a Skudo que tiene que realizar comprobaciones de la BOOT de las unidades lógicas del sistema. ■ Comprobar Residentes: Se activa o desactiva pulsando la tecla C. Esta opción indica a Skudo que debe efectuar un control de los programas residentes que se ejecutan en el sistema. ■ Comprobar MCBs: Se activa o desactiva pulsando la tecla D. Esta opción indica a Skudo que ha de realizar comprobaciones complementarias en el sistema (Control de los MCBs) para controlar el acceso al sistema de programas que utilizan los MCBs para conseguir la residencia en memoria. ■ Comprobar Residentes Dobles: Se activa o desactiva pulsando la tecla E. Esta opción indica a Skudo que ha de controlar los residentes que acceden a la memoria de manera que éstos no queden instalados dos residentes que provengan de un mismo fichero o programa. ■ Protección Anti-Bombas: Se activa o desactiva pulsando la tecla F. Esta opción fuerza a Skudo a realizar comprobaciones extras, para evitar la utilización de métodos de escritura poco ortodoxos por algún programa ejecutado en el sistema. ■ Activación de Skudo: Se activa o desactiva pulsando la tecla H. Esta opción permite al usuario dejar latente el control que ejerce Skudo en el sistema de manera temporal. Podiendo activarlo de nuevo pulsando la misma opción. Una vez actualizada la configuración residente de Skudo, volveremos al DOS presionando la tecla ESC. 5. Parámetros de Skudo ─────────────────── Skudo admite una serie de parámetros para poder personalizarlo desde la línea de comandos del DOS. Estos parámetros permiten condicionar rápidamente el funcionamiento de Skudo. Son los siguientes: ■ Parámetro DCRC: Este parámetro nos permite desactivar los CRC de los ficheros. Es muy útil cuando no poseemos disco duro ya que impedirá la dependencia de un diskette para que Skudo vaya grabando el fichero Skudo.CRC en el mismo. ■ Parámetro NCHK: No se efectuarán checksums al inicio ni se realizara ninguna comprobación del sistema. ■ Parámetro NOKE: Desactiva el control que realiza Skudo sobre las llamadas al Kernel del DOS. Este parámetro debe ser usado cuando Skudo tiene problemas con algun tipo de red local, driver o similar. ■ Parámetro NOTE: Elimina la posibilidad de desactivar el Skudo desde el teclado. Este parámetro está pensado para que no pueda ser desactivado en ordenadores de escuelas o trabajos. ■ Parámetro NOPR: Este parámetro provoca que después de la respuesta del usuario a cualquier aviso de Skudo se realize un reset del ordenador. Este parámetro está pensado para evitar autorizaciones de usuarios en colegios y empresas cuando Skudo avise al usuario de alguna anomalía peligrosa en el sistema. ■ Parámetro DES: Desactiva totalmente Skudo de la memoria, liberando la memoria que el programa estaba ocupando. ■ Parámetro NCOMM: Desactiva la comprobación del COMMAND.COM que Skudo realiza al cargarse. ■ Parámetro NINT13: Desactiva la comprobación del puntero original de la interrupción 13h de la BIOS. ■ Parámetro NSON: Cada vez que Skudo muestra una ventana generá un sonido, con este paramámetro desactivamos este sonido, de tal forma que Skudo no emitirá ruidos. ■ Parámetro NBUFF: Desactiva la comprobación de los buffers del DOS. ■ Parámetro NKER: Desactiva el control realizado por Skudo a las llamadas del Kernel del DOS. ■ Parámetro NTDP: Provoca que Skudo no efectúe comprobaciones en la tabla de particiones del disco duro. ■ Parámetro NBOOT: Provoca que Skudo no efectúe comprobaciones de la BOOT de los discos. ■ Parámetro ?: Muestra la lista de parámetros que acepta Skudo desde la línea de comandos del DOS. 6. Compatibilidad con otros Entornos ───────────────────────────────── Skudo soporta tanto MS-DOS y compatibles, Windows 3.X, DESQview, DESQview 386, DESQview/X y OS/2 2.X. Sin embargo, Skudo actúa de una forma especial bajo entornos Windows, DESQview, DESQview 386 y DESQview/X. Una vez ejecutado cualquiera de estos entornos y teniendo Skudo en memoria, éste se auto-desactivará. En el momento en que volvamos al DOS Skudo se volverá a activar automáticamente. Skudo realiza esta operación por motivos de compatibilidad con estos entornos. De manera que cuando estemos trabajando con ventanas DOS dentro de estos entornos, Skudo no nos protegerá el sistema de posibles infecciones. Para solventar dicho problema podemos cargar una segunda copia de Skudo en la ventana DOS en esa sesión. 7. Compatibilidad con Gestores de Memoria ────────────────────────────────────── Skudo es compatible con la gran mayoría de gestores de memoria existentes en el mercado del software (QEMM, VMAX, EMM386etc...). Esto permite cargar Skudo en memoria alta, dejando libre la memoria convencional del sistema. Si usted ha instalado por primera vez Skudo y tenía algún gestor de memoria activo en su sistema, recuerde que después de la instalación de Skudo es recomendable reajustar el comportamiento del gestor de memoria para optimizar la utilización de los recursos del sistema (se recomienda la ejecución de OPTIMIZE en caso de terner QEMM, MEMAKER perteneciente al propio software de gestión de memoria del MS-DOS v6.00, etc...) 8. Virus detectables por Skudo ─────────────────────────── Skudo detecta más de 2500 virus concretos incluyendo variantes y mutacionesre. Estos virus se pueden dividir en las siguientes tipos de virus: ■ Los Virus de BOOT: El primer tipo de virus está formado por los virus que se introducen en nuestro ordenador a través de un diskette, cuando la máquina está arrancando. Habitualmente se alojan en el sector 0 del disco (es la área de BOOT). Estos virus se cargan antes que el propio sistema operativo y normalmente disminuyen la cantidad de memoria total direccionable por el DOS (640Kb en la mayoría de PC de hoy en día) en 1Kb o más. Estos virus sólo se pueden transmitir por copias de disco, y no por otros medios (redes locales, modems...); esto provoca que su contagio sea difícil, aunque una vez el virus consigue infectar un ordenador, cualquier disco que pase por él será "contagiado". Así, por ejemplo, un simple comando "dir" provocará la infección, ya que cada vez que se produce un acceso al disco el virus aprovecha para introducirse. Por lo tanto es probable que el virus en un par de días de estar en un sistema haya infectado la mayoría de discos que usamos habitualmente. A este grupo de virus pertenecen el virus de la pelota y el Disk Killer. ■ Los Virus de Tabla de partición: Los virus que utilizan esta área del disco para instalarse en el disco duro son pocos, pero los que hay, son bastante dificultosos de desactivar. Estos reciben el nombre de virus de tabla de partición y suelen usar este área del disco para quedarse en los discos duros y la BOOT para transmitirse a los discos flexibles. Estos virus pueden causar pérdidas de datos muy importantes si se infectan con versiones del Sistema Operativo anteriores a la 3.00, ya que antes de esta versión la BOOT del disco iba inmediatamente delante de la TDP. A partir de la versión 3.00 se deja todo el cilindro libre para la TDP, y es ese el espacio que usa el virus para instalarse y dejar el antiguo programa cargador de la TDP. Estos virus no suelen dejar "bad clusters" en el disco porque usan el espacio libre de la TDP para guardar sus datos. El virus más representativo de este grupo es el Stoned/Marijuana. Todos los virus que hemos tenido ocasión de analizar usan la TDP del disco duro para instalarse, y la BOOT para propagarse a través de los discos flexibles. ■ Los Virus que infectan ficheros: Los virus que infectan ficheros son los que se instalan en ficheros ejecutables. Los de este tipo son sin duda los virus con más posibilidades de reproducción y más variedad de efectos, y son los que permiten desarrollar mejor la imaginación del programador, ya que hay muchos más puntos que pueden ser objetivo del virus. Este tipo de virus pueden infectar a ficheros COM, EXE, OVL, BIN; además de corromper cualquier fichero de datos. Existe una gran variedad de este tipo de virus. Algunos se quedan residentes, otros no. La única característica que los une a todos es que ubican su código en ficheros ejecutables. Existen muchos virus de este tipo que tienen efectos de bomba o de caballo de Troya incluidos en el disco, por ejemplo, el virus Anti- Telefónica (Antictne BOOT v.1) que borra el disco duro cuando se ha producido 333 arranques. También existen algunos virus que incorporan troyanos pero son una minoría. ┌───────────────────────────────┐ │ IV. Software Complementario │ └───────────────────────────────┘ 1. SkudoCRC ──────── 4.1.1 ¿Qué es SkudoCRC? El programa Skudo genera una lista de todos los ficheros que vamos ejecutando con su longitud y otros datos que le permiten saber si un programa ha sido modificado desde la última vez que fue ejecutado. Esta lista la genera siempre en el directorio principal de la primera unidad de disco que tenga bajo control (si no hemos especificado la variable de entorno Skudo) y el fichero que la contiene se llama Skudo.CRC. El problema que existe es que si ejecutamos un programa y más tarde lo borramos del disco, Skudo no detecta dicha acción y deja los datos del programa en la lista Skudo.CRC. De tal forma esta lista va en aumento progresivamente conteniendo CRCs de ficheros que ya no existen y que no son inecesarios. SkudoCRC es un programa que permite gestionar dicha lista de ficheros bajo CRC. 4.1.2 Funcionamiento de SkudoCRC SkudoCRC permite visualizar la lista generada mediante la opción "Mostrar lista de ficheros". Pero también permite optimizarla y reducirla eliminado la información de todos los programas que no se encuentren en disco. Para ello usaremos la opción "Purgar lista de ficheros", después de un purgado de lista el programa Skudo ira más rápido que antes ya que está listo para un chequeo exacto cada vez que va a ejecutarse un programa. Realmente es perceptible cuando la lista ha sido purgada. Es conveniente efectuar este proceso periódicamente. La opción "Actualizar CRCs de ficheros" busca todos los ficheros en los cuales no coincida el CRC con el que hay en disco y lo recalcula. Esta opción es útil cuando por ejemplo, hemos actualizado un programa en el disco, y todos los ficheros de ese programa nos van avisando de que han sido modificados (Por ejemplo al instalar una nueva versión del DOS). 4.1.3 Opciones de SkudoCRC SkudoCRC admite los siguientes parámetros desde la línea de comandos del DOS. /V - Nos permite ver los ficheros bajo control de Skudo. /P - Purga los viejos ficheros que ya no existen. /A - Actualización de los CRCs de los ficheros 2. Trobavir ─────── 4.2.1 ¿Qué es Trobavir? Trobavir es un programa del tipo rastreador de ficheros que está pensado para detectar virus conocidos y puede ser de gran ayuda para comprobar si los diskettes o el disco duro con el que estamos trabajando están infectados. Como se ha señalado anteriormente este tipo de programas ofrecen una seguridad muy relativa ya que sólo permiten detectar virus que se conocen de antemano, no NUEVOS virus. 4.2.2 Funcionamiento de Trobavir Su funcionamiento es simple, sólo tenemos que indicarle la unidad de disco en la cual queremos que busque los posibles virus. Por ejemplo, si queremos que compruebe la unidad C: teclearemos: TROBAVIR C: Podemos hacer que Trobavir genere un fichero de texto con los resultados de la búsqueda lo cual puede ser especialmente útil si tenemos bastantes ficheros infectados. Para ello sólo tendremos que añadir el parámetro /CAP seguido de la unidad de disco en la cual queremos que genere el fichero en ASCII con los resultados de la búsqueda. Por ejemplo, para hacer una búsqueda de los posibles virus de la unidad A: y que guarde los resultados en la unidad C:, procederemos de la siguiente forma: TROBAVIR A: /CAP C: Trobavir también permite buscar virus sólo en un determinado directorio. Con lo cual no será necesario comprobar todo el disco, por ejemplo, para comprobar si en el directorio C:\DOS hay virus teclearemos: TROBAVIR C:\DOS Trobavir por defecto busca virus solamente en los ficheros ejecutables, si queremos forzar la búsqueda en todos ficheros usaremos el parámetro /T, así teclearíamos: TROBAVIR C: /T Trobavir y Skudo tienen programadas algunas cadenas de posibles virus desconocidos, es decir, código que esta presente en muchos virus. Así que Trobavir puede detectarnos algún virus desconocido para él. 4.2.2 Lista de virus que detecta. De todas formas Trobavir detecta casi todos los virus que podemos encontrar en nuestra geografía, hoy por hoy. 3. ForavirF y ForavirD ─────────────────── 4.3.1 ¿Qué son ForavirF y ForavirD? ForavirF y ForavirD son dos vacunas antivíricas que complementan perfectamente la función de Skudo. En concreto son dos vacunas creadas para la eliminación de diferentes tipos de virus. ForavirF elimina varios virus de los que infectan ficheros ejecutables. En cambio ForavirD elimina aquéllos que infectan la Boot o la TDP del disco duro o de cualquir diskette. 4.3.2 Funcionamiento de ForavirF. El funcionamiento de ForavirF es muy sencillo. Para ejecutar la vacuna lo único que tenemos que hacer es indicarle la unidad de disco sobre la que queremos que trabaje, por ejemplo: ForavirF c: Tenemos que tener en cuenta que si tenemos algún fichero infectado en el disco es posible que tengamos el virus en la memoria. Para asegurarnos de que ésto no sucede es conveniente arrancar el ordenador con un diskette de sistema operativo de la misma versión que la instalada en el disco duro. Una vez arrancado con un diskette de sistema operativo ya podemos cargar el programa ForavirF. Una vez que hayamos eliminado el virus de los ficheros utilizaremos el programa Trobavir.Com para comprobar que la eliminación del virus se ha llevado a cabo correctamente. 4.3.3 Funcionamiento de ForavirD. ForavirD ha incluido un sencillo menú de uso para facilitar su ejecución al usuario. Al cargar FORAVIRD nos apareceran tres opciones: 1) Ejecutar programa 2) Consultar ayuda 3) Terminar programa Para ejecutar el programa deberemos seleccionar la primera opción, después nos aparecerán tres opciones: Unidad de diskette A: -> Creará una nueva BOOT en la unidad A: Unidad de diskette B: -> Creará una nueva BOOT en la unidad B: Disco Duro (TDP) -> Buscará virus en la TDP Al crear una nueva BOOT eliminaremos cualquier tipo de virus de BOOT que se hubiera ubicado en ella. Si deseamos eliminar virus de los diskettes de una forma rápida (por ejemplo después de una infección masiva) utilizamos el parámetro /C seguido de la unidad de diskette donde está el disco que queremos desinfectar, por ejemplo, Para eliminar un virus de tipo BOOT del disco que se encuentre en la unidad B teclearemos: FORAVIRD /C B: El parámetro /C es el único que admite, y es el que le indica que queremos crear una nueva BOOT en esa unidad. Si cargamos el programa sin parámetros buscará en el disco duro los virus que puede eliminar. Resulta importante señalar que si se crea una nueva BOOT en el disco duro este perderá su capacidad de arranque. Para devolvérsela de nuevo deberemos usar el programa DISKFIX de PCTools o el Utildisc de Peter Norton, si bien también podremos utilizar el mandato del DOS "Sys C:". 4.3.4 Lista de virus que eliminan. La vacuna ForavirF nos permite eliminar fácilmente los virus Jerusalén (incluidas versiones Jeru-b, Viernes 13, Anarkia), 1210 (Prudents virus), 1720, MIX-1, y Traceback (3066). ForavirD es capaz de eliminar del disco duro los virus Marijuana (Stoned), Anti-C.T.N.E, y Michaelangelo que se alojan en la tabla de particiones y son especialmente complicados de eliminar. Además de eliminar los virus del disco duro posee un mecanismo general que le permite eliminar cualquier virus de BOOT (pelotita, Stoned, Antictne, Brian, etc..). ┌───────────────┐ │ V. Apéndice │ └───────────────┘ 1. Preguntas más comnunes con Skudo ──────────────────────────────── Consulte el fichero PREGUNTA.DOC incluido en el paquete. 2. Glosario de Términos ──────────────────── ■ BBS (Bolletin Board System): Una BBS es un Boletin Board System, algo así como un sitio donde puedes conectar tu ordenador y coger/dejar/cambiar programas de dominio publico y shareware y enviar y recibir programas. Para conectar a ellas necesitas un aparato llamado módem y un programa de comunicaciones. ■ BIOS (Basic Input Output System): La BIOS está emplazada en la ROM del sistema y es un interface a bajo nivel con el Hardware. Es decir que permite al usuario tener una vía de comunicación con el Hardware existente en el sistema. ■ Freeware: Una programa cedido al Freeware o de Dominio Público es aquél que su autor deja realizar una copia libre del mismo. Es decir que no es necesario tener una licencia del programa y que no es necesario registrarlo. ■ Hardware: El Hardware es un amplio término informático que engloba todo aquellos componentes materiales de nuestro equipo. Por ejemplo son Hardware la tarjeta principal, la tarjeta de video, los dispositivos de almacenamiento, las impresoras, los módems, los diskettes, etc... ■ Kernel del DOS: El Kernel del DOS proporciona al usuario una serie de servicios de Hardware independientes a los servicios stándards de la BIOS y que se pueden utilizar toda una serie de aplicaciones en una gran variedad de sistemas. Los servicios del DOS pueden dividirse arbitrariamente en las siguientes categorías: Entrada/Salida Operaciones con Directorios Control de Disco Gestión de Memoria Dinámica Control de Errores Operaciones con Ficheros Funciones Generales del Sistema Funciones con Network Inicialización y finalización de programas Podemos acceder a los servicios del DOS por dos caminos. Algunos servicios son accesibles directamente mediante una interrupción software. Aunque muchos de los servicios del DOS on accesibles mediante llamadas a funciones del DOS (introduciendo en el registro AH el número de la función a ejecutar y ejectando la Int 21h). Estas interrupciones existen en todos los PCs compatibles. En definitiva, el Kernel proporciona una puente de comunicación entre el programa del usuarios o el Command.Com y varios controladores de Hardware. ■ Sistema Operativo: El Sistema Opertivo es el interface básico que nos permite utilizar el ordenador. Mediante una serie de programas nos permite tener una comunicación entre el Hardware de sistema y nosotros mismos. El sistema operativo se encarga de ejecutar todos aquellos programas que nos permiten ver perfectamente la información del sistema por pantalla, la utilización del teclado, del mapa de códigos del mismo, nos permite disponer a gusto de la memoria del sistema, nos permite acceder a los dispositivos de almacenamiento, etc... ■ Shareware: Un programa del tipo Shareware es de los llamados provar antes de comprar. Un programa Shareware es bastante parecido a uno Freeware pero se diferencian en que el programa Shareware es una copia de evaluación. Es decir, que después de un período de prueva del usuario éste deberá registrar o licenciar su copia. Muchas veces los programas Shareware mantienen únicamente una parte de su funcionalidad y una vez licenciada la copia se distribuye al comprador un copia totalmente operativa. ■ Software: Este término es el complementario del anteriormente visto Hardware. El software es todo aquello inmaterial que poseemos en informática. Es decir, los programas, las rutinas, los compiladores, los sistemas operativos, etc... ■ Virus Stealth: Son un tipo de virus muy sofisticados que han aparecido hace poco y se caracterizan por engañar al usuario, muchos de ellos son capaces de engañar a la orden DIR del DOS para que el crecimiento de los ficheros infectados no pueda ser advertido por el usuario. ■ Virus MTE: Son un tipo de virus que utilizan un cojunto de algorítmos muy sofisticados llamados MuTan Engine que permiten realizar mutaciones de los mismos y gracias a esta peculiar característica son muy difíciles de detectar mediante los sistemas de detección por cadenas. 3. Trademarks ────────── IBM PC, OS/2 y IBM PC-DOS son marcas registradas de International Business Machines Corporation. Microsoft Windows, Microsoft Windows/NT, Microsoft Macro Assembler y MS-DOS son marcas registradas de Microsoft Corporation. DESQview, DESQview 386, DESQview/X y QEMM son marcas registradas de Quaterdeck Office Systems Inc. DR-DOS es una marca registrada de Digital Research. Turbo C y SideKick son marcas registradas de Borland Internatinal, Inc. Novell, Novell DOS y ONLAN son marcas registradas de Novell ????? TCXL es una marca registrada de TesSeRact. ────────────────────────────────────[ Fin ]─────────────────────────────────────