Virus: descripción, prevención y recuperación

En este artículo se describe cómo determinar si su equipo está infectado con un virus, gusano o caballo de Troya, cómo recuperarse de una infección y cómo prevenir futuras infecciones de virus.

Un virus es código escrito con la intención expresa de que el código del virus se replique. Un virus intenta extenderse de un equipo a otro adjuntándose a un programa anfitrión. Puede causar daño en el hardware, en el software o en los datos. Un gusano es una subclase de virus. Generalmente, un gusano se extiende sin acción del usuario y distribuye por la red copias completas (posiblemente modificadas) de sí mismo. Un gusano puede agotar la memoria o el ancho de banda de la red, haciendo que un equipo deje de responder. Cuando un virus parece ser un programa útil, pero que en realidad hace daño, se le llama "caballo de Troya".

Debe hacer lo que sea necesario para evitar los virus, incluso aunque no visite sitios Web desconocidos o que no sean de confianza, ni abra archivos adjuntos de correo electrónico. Hay tres pasos que debe dar para empezar a mejorar la seguridad de su equipo basado en Windows: utilizar un servidor de seguridad, recibir actualizaciones con regularidad y usar software antivirus. Para conocer las instrucciones paso a paso que explican cómo hacerlo para su sistema operativo, visite el sitio Web Proteja su PC de Microsoft:En un equipo con Windows XP, automáticamente se puede detectar el sitio Web proteja su PC, configurar el Servidor de seguridad de conexión a Internet (ICF), configurar los valores de Actualizaciones automáticas y proporcionar información sobre el software antivirus. En un equipo con el Service Pack 2 de Windows XP, el Servidor de seguridad de conexión a Internet (ICF) se denomina "Firewall de Windows (WF)".

Para obtener información sobre la parte automatizada del sitio Web Proteja su PC de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener soporte técnico gratuito relacionado con los virus, en Estados Unidos o en Canadá llame, en inglés, a (866) PC-SAFETY (727-2338). En otros países, póngase en contacto con la subsidiaria local de Microsoft.

Síntomas de virus, gusanos y caballos de Troya

Si sospecha o tiene la seguridad de que su PC está infectado por un virus informático, obtenga la versión más reciente del software de protección contra virus. Cuando un virus infecta su correo electrónico u otros archivos, puede tener el siguiente efecto sobre el equipo:

• El archivo infectado puede hacer copias de sí mismo. Puede usar todo el espacio libre de su disco duro.
• Se puede enviar una copia del archivo infectado a todas las direcciones de la lista de direcciones del correo electrónico.
• El virus puede reformatear la unidad de disco duro y eliminar los archivos y programas.
• El virus puede instalar programas ocultos, como software pirateado. Después, ese software pirateado puede ser distribuido y vendido desde su equipo.
• El virus puede reducir la seguridad. Así, se facilitaría el acceso remoto de los intrusos a su equipo o red.

Los síntomas siguientes son causados frecuentemente por los virus o están relacionados con ellos:

• Recibió un mensaje de correo que tiene un archivo adjunto extraño. Al abrir el adjunto, aparecen cuadros de diálogo o se produce una repentina degradación del rendimiento del sistema.
• Hay una extensión doble en un archivo adjunto que abrió recientemente, como .jpg.vbs o .gif.exe.
• Se deshabilita un programa antivirus sin motivo y no se puede reiniciar.
• Un programa antivirus no se puede instalar en el equipo o no se ejecutará.
• Aparecen en pantalla extraños cuadros de diálogo o cuadros de mensajes.
• Alguien le dice que ha recibido de usted recientemente mensajes de correo electrónico que contienen archivos adjuntos (especialmente con extensiones .exe, .bat, .scr , .vbs), pero usted no los envió.
• Aparecen en el escritorio nuevos iconos que no había puesto allí ni están relacionados con programas recién instalados.
• Inesperadamente suena en los altavoces música o sonidos extraños.
• Desaparece un programa del equipo, aunque no lo quitó intencionadamente de él.

Una infección de virus puede causar también los síntomas siguientes, aunque estos síntomas podrían ser también el resultado de funciones ordinarias de Windows o de problemas de Windows que no están causados por un virus.

• Windows no se iniciará aunque no haya realizado cambios en el sistema ni haya instalado y quitado programas.
• Hay una gran actividad del módem. Si tiene un módem externo, puede notar que las luces parpadean excesivamente cuando el módem no se está usando. Puede estar suministrando software pirata sin saberlo.
• Windows no se iniciará porque se han perdido algunos archivos de sistema críticos y luego recibe un mensaje de error que enumera los archivos perdidos.
• El equipo se inicia a veces según lo esperado, pero otras veces deja de responder antes de que aparezcan los iconos del escritorio y la barra de tareas.
• El equipo se ejecuta muy lentamente y tarda mucho tiempo en iniciarse.
• Recibe mensajes de error de memoria insuficiente, aunque su equipo tiene mucha memoria RAM.
• Los programas nuevos no se instalan adecuadamente.
• Inesperadamente, Windows se reinicia espontáneamente.
• Programas que solían ejecutarse dejan de responder con frecuencia. Si intenta quitar y reinstalar el software, el problema sigue produciéndose.
• Una utilidad de disco, como Scandisk, informa de varios errores graves de disco.
• Desaparece una partición.
• Su equipo deja de responder siempre cuando intenta usar productos Microsoft Office.
• No puede iniciarse el Administrador de tareas de Windows.
• El software antivirus indica que hay un virus.

Recuperarse de una infección de virus y prevenirla

Para prevenir una infección de virus, o recuperarse de ella, siga estos pasos:

1. Usar un servidor de seguridad de Internet.
   Un servidor de seguridad es un software o un hardware que crea una barrera protectora entre el equipo y el contenido de Internet potencialmente nocivo. Le ayuda a defender el equipo contra los usuarios malintencionados y contra muchos virus y gusanos de Internet.
   
   Use un servidor de seguridad sólo para las conexiones de red que utiliza para conectar directamente con Internet. Por ejemplo, use un servidor de seguridad en un único equipo que esté conectado a Internet directamente mediante un módem por cable, por DSL o por marcado telefónico. Si utiliza la misma conexión de red para conectar tanto con Internet como con la red doméstica o de oficina, use un enrutador o servidor de seguridad que impida que los equipos de Internet se conecten a los recursos compartidos de los equipos domésticos o de la oficina. No use un servidor de seguridad en las conexiones de red que utiliza para conectar con la red doméstica o de oficina a menos que el servidor de seguridad se pueda configurar para abrir puertos sólo para la red doméstica o de oficina. Si no puede conectar con Internet utilizando la red doméstica o de oficina, puede usar un servidor de seguridad sólo en el equipo o el otro dispositivo, como un enrutador, que proporcione la conexión a Internet. Por ejemplo, si conecta con Internet mediante una red de cuya administración se encarga y la red usa la conexión compartida para proporcionar acceso a Internet a varios equipos, puede instalar o habilitar el servidor de seguridad sólo en la conexión compartida a Internet. Si conecta a Internet mediante una red de cuya administración no se encarga, compruebe que el administrador de red usa un servidor de seguridad.
   
   Nota
   Si usa un servidor de seguridad en todos los equipos de su red doméstica o de oficina, es posible que no pueda examinar (buscar) los otros equipos de esa red ni pueda compartir archivos con dichos equipos. Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   298804  (http://support.microsoft.com/kb/298804/ ) Los servidores de seguridad de Internet pueden impedir el examen y el uso compartido de archivos

   Windows XP; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition

   Si ejecuta Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition, o cualquier versión de Windows XP, puede usar la funcionalidad ICF. Para obtener información adicional acerca de cómo activar ICF, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
   317530  (http://support.microsoft.com/kb/317530/ ) Cómo activar la función Servidor de seguridad de conexión a Internet en Windows Server 2003
   283673  (http://support.microsoft.com/kb/283673/ ) Cómo habilitar o deshabilitar la función Servidor de seguridad de conexión a Internet en Windows XP
   Para obtener información acerca de ICF, visite los siguientes sitios Web de Microsoft:
   http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx)
   http://technet2.microsoft.com/windowsserver/en/technologies/icf.mspx (http://technet2.microsoft.com/windowsserver/en/technologies/icf.mspx)

   Otras versiones de Windows

   En el caso de otras versiones de Windows, use Servidor de seguridad básico (para los servidores con Windows Server 2003 que ejecutan Enrutamiento y acceso remoto), Microsoft Internet Security and Acceleration (ISA) Server 2000 (para Windows 2000 o Windows Server 2003) o un servidor de seguridad de hardware o software de terceros. Para obtener información acerca de los productos de servidor de seguridad de terceros, visite el siguiente sitio Web de Microsoft:
   http://www.microsoft.com/security/articles/firewall.asp (http://www.microsoft.com/security/articles/firewall.asp)
2. Actualizar el equipo.
   Las actualizaciones de seguridad ayudan a proteger el equipo contra vulnerabilidades, virus, gusanos y otras amenazas que sean descubiertas. Los pasos que debe dar incluyen:
   1. Instalar actualizaciones de seguridad para Windows y componentes de Windows (como Internet Explorer, Outlook Express y Reproductor de Windows Media). Para hacerlo, visite el siguiente sitio Web de Microsoft:
      Windows Update
      http://support.microsoft.com/xpsp2getinstall (http://support.microsoft.com/xpsp2getinstall)
      Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      311047  (http://support.microsoft.com/kb/311047/ ) Cómo mantener actualizado un equipo con Windows
      Nota
      Microsoft Windows NT Workstation, Windows 98, Windows 98 Segunda edición y Windows 95 han llegado al final de su ciclo de vida de soporte técnico al producto. Las actualizaciones que se proporcionan para estos sistemas operativos están disponibles en una base archivada en el sitio Windows Update. Sin embargo, Microsoft ya no ofrece soporte técnico para ellos. Por ello, considere la actualización a Windows XP Professional o Windows XP Home Edition, para que pueda beneficiarse de las Actualizaciones automáticas y de otras características de seguridad que se han introducido con posterioridad al lanzamiento de esos sistemas operativos antiguos.
   2. Para instalar actualizaciones de seguridad para productos de Microsoft Office, visite el siguiente sitio Web Office Update de Microsoft:
      http://office.microsoft.com/officeupdate (http://office.microsoft.com/officeupdate/default.aspx)
   3. Para instalar actualizaciones de seguridad para sus otros programas, póngase en contacto con el fabricante del programa para obtener más información. Para buscar actualizaciones de seguridad para otros productos de Microsoft, visite el siguiente sitio Web de Microsoft:
      http://www.microsoft.com/technet/security/current.asp (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp)
      Por ejemplo, en este sitio Web puede encontrar actualizaciones de seguridad para Microsoft Internet Information Services (IIS), SQL Server o Exchange Server.
      
      Nota
      Los administradores de red pueden usar la herramienta Microsoft Baseline Security Analyzer (MBSA) para un examen de los equipos con Windows buscando configuraciones erróneas comunes de Windows, así como para generar informes de seguridad individuales para cada equipo que examine la herramienta. MBSA se ejecuta en equipos con Windows Server 2003, Windows 2000 y Windows XP. MBSA puede examinar vulnerabilidades de seguridad en equipos que ejecutan Windows NT 4.0, Windows 2000, Windows XP y Windows Server 2003. MBSA busca configuraciones de seguridad incorrectas comunes en Windows, Internet Information Services (IIS), SQL Server, Internet Explorer y Microsoft Office. MBSA también examina si hay actualizaciones de seguridad perdidas en Windows, IIS, SQL Server, Internet Explorer, Reproductor de Windows Media, Exchange Server y Exchange 2000 Server.
      
      Para obtener información adicional acerca de MBSA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      320454  (http://support.microsoft.com/kb/320454/ ) Ya está disponible la versión 1.1.1. de Microsoft Baseline Security Analyzer (MBSA)
   4. Si ejecuta una versión de Microsoft Outlook anterior a 2002, compruebe que está instalada la actualización de seguridad para correo electrónico de Microsoft Outlook:
      • De manera predeterminada, las versiones de Outlook 2000 posteriores al SP2 y el SP1 de Outlook XP incluyen esta actualización de seguridad.
      • Las versiones de Outlook 2000 anteriores al SR1 y Outlook 98 no incluyen esta funcionalidad, pero la puede obtener con la instalación de la actualización de seguridad para correo electrónico de Outlook. Para obtener más información acerca de la actualización de seguridad para correo electrónico de Outlook, visite el siguiente sitio Web de Microsoft:
        http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE (http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE)
   5. Si ejecuta Outlook Express, tenga cuidado al abrir los archivos adjuntos de correo electrónico.
      • De manera predeterminada, el SP1 de Outlook Express 6 bloquea el acceso a los archivos adjuntos.
      • Las versiones anteriores de Outlook Express (las anteriores a Outlook Express 6) no contienen la funcionalidad de bloqueo de archivos adjuntos. Proceda con precaución extrema a la hora de abrir mensajes de correo electrónico no solicitados que contienen archivos adjuntos.
   6. Deshabilitar Secuencias de comandos activas en Outlook y Outlook Express.
      
      Nota
      De manera predeterminada, las secuencias de comandos activas están deshabilitadas en Outlook Express 6 y Outlook 2002. Para obtener información adicional acerca de cómo deshabilitar secuencias de comandos activas en Outlook Express, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      192846  (http://support.microsoft.com/kb/192846/ ) Cómo deshabilitar Active Scripting en Outlook Express
      Para obtener información adicional acerca de cómo deshabilitar secuencias de comandos activas en Outlook 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      215774  (http://support.microsoft.com/kb/215774/ ) Las secuencias de comandos incrustadas en mensajes HTML se ejecutan sin advertencia previa
      Para obtener información adicional acerca de las características de protección contra virus en Outlook Express, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      291387  (http://support.microsoft.com/kb/291387/ ) Utilizar las características de protección contra virus en Outlook Express 6
3. Usar un software de antivirus actualizado.
   Microsoft no proporciona software que pueda detectar o quitar los virus informáticos. Si sospecha o confirma que su equipo está infectado con un virus, obtenga software antivirus actualizado. Para obtener información adicional acerca de los proveedores de software antivirus, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   49500  (http://support.microsoft.com/kb/49500/ ) Lista de proveedores de software antivirus
   El software antivirus ayuda a proteger el equipo contra la mayoría de los virus, gusanos, caballos de Troya y otros programas malintencionados. Muchos equipos vienen con el software antivirus instalado. También puede comprar software antivirus e instalarlo personalmente. Pero debe mantener el software antivirus actualizado.
   
   Notas
   • Si no tiene instalado un programa antivirus, Trend Micro, Inc. ofrece un servicio antivirus en línea gratuito en el siguiente sitio Web de Trend Micro:
     http://housecall.trendmicro.com/housecall/start_corp.as (http://housecall.trendmicro.com/housecall/start_corp.as)
   • Si el programa antivirus ha dejado de funcionar, reinstálelo.
   • Obtenga en el sitio Web de su proveedor de antivirus el archivo de firma antivirus más reciente. Por cada nuevo virus, los proveedores antivirus publican actualizaciones con vacunas contra ellos.
   • Una vez que se ha quitado el virus, vuelva a analizar el equipo para comprobar que el virus ha sido eliminado. Programe la aplicación antivirus para que compruebe el sistema mientras usted duerme.
   • Quizá tenga que formatear el disco duro del equipo y reinstalar Windows y todos los programas si se cumplen una o más de las condiciones siguientes:
     • El software antivirus muestra un mensaje que indica que no puede arreglar o quitar el virus.
     • El virus dañó o eliminó algunos archivos importantes del equipo. Puede darse ese caso si Windows o alguno de los programas no se inician o se inician con mensajes de error que indican que hay archivos dañados o perdidos.
     • Los síntomas que se describen en este artículo persisten después de limpiar la estación de trabajo y de estar seguro de que los problemas los causa un virus.