Nuevo VIRUS: Banker.AFNC (Peligrosidad: 1 - Mínima)

Troyano que infecta el sistema y se conecta a servidor remoto.

Solución

• Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.

• En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:

1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

Elimine el siguiente fichero:

* c:\systemdir.exe
* %WinDir%\pdtn.ini

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.

4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine las siguientes entradas del registro:

Clave: HKLM\SOFTWARE\SOFTWARE\Microsoft\STATUS

Valor: status = "c:\systemdir.exe"

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
User Agent\Post Platform

Valor: Embedded Web Browser from: http://bsalsa.com/ = ""

Clave: HKCU\Software\WinRAR SFX

Valor: c%% = "c:\"

5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Datos Técnicos

Peligrosidad: 1 - Mínima

Difusión: Baja
Daño: Medio
Dispersibilidad: Bajo

Fecha de Alta:01-05-2009
Ultima Actualización:01-05-2009

Nombre completo: Trojan.W32/Banker.AFNC@MM
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 1019728
Alias:Trojan-Banker.Win32.Banker.afnc (Kaspersky)

Detalles

Método de Infección/Efectos

Crea los siguientes ficheros:

* c:\systemdir.exe
* %WinDir%\pdtn.ini

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Crea las siguientes entradas del registro:

Clave: HKLM\SOFTWARE\SOFTWARE\Microsoft\STATUS

Valor: status = "c:\systemdir.exe"

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
User Agent\Post Platform

Valor: Embedded Web Browser from: http://bsalsa.com/ = ""

Clave: HKCU\Software\WinRAR SFX

Valor: c%% = "c:\"

Una vez infectado el ordenador trata de acceder a la siguiente URL:

URL: [http:]//sphector2000.com.sa[eliminado]

Una vez infectado el ordenador crea el siguiente objeto Mutex:

URL: _SHuassist.mtx

Método de Propagación

Puede enviar correos electrónicos y recibir peticiones o realizar descargas desde internet.

Más información acerca de este virus en:

* Kaspersky

Nuevo VIRUS: Agent.JSH (Peligrosidad: 1 - Mínima)

Troyano que crea una puerta trasera, permitiendo el control de la máquina infectada a traves de canales IRC. Incluye funcionalidades que le permiten conectarse a servidores remotos.

Solución

• Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.

• En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:

1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

Elimine el siguiente fichero:

* %Windir%\fonts\Setup.exe
* %Windir%\fonts\a.zip
* %Windir%\fonts\svchost.exe
* %System%\vbzip10.dll

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.


3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.

4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine las siguientes entradas del registro:

Clave: HKCU\Software\VB and VBA Program Settings\FC3\x

Elimine las siguientes entradas del registro:

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Valor: Host Process = "%Windir%\Fonts\svchost.exe"

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Datos Técnicos

Peligrosidad: 1 - Mínima

Difusión: Baja
Daño: Medio
Dispersibilidad: Bajo

Fecha de Alta:02-05-2009
Última Actualización:02-05-2009

Nombre completo: Trojan.W32/Agent.JSH@WEB
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [WEB] - Nuestro equipo se contagia al visitar una página web infectada.
Alias:Troj/Agent-JSH (Sophos)

Detalles

Método de Infección/Efectos

Crea los siguientes ficheros:

* %Windir%\fonts\Setup.exe
* %Windir%\fonts\a.zip
* %Windir%\fonts\svchost.exe
* %System%\vbzip10.dll

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Crea la siguiente clave del registro:

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Valor: Host Process = "%Windir%\Fonts\svchost.exe"

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Podría crear otras entradas en el registro bajo:

Clave: HKCU\Software\VB and VBA Program Settings\FC3\x

Una vez infectado el ordenador realiza las siguientes acciones:

* Se ejecuta continuamente en segundo plano.
* Crea una puerta trasera permitiendo el control remoto de la máquina.
* Se conecta a canales de IRC y responde a los comandos recibidos desde el.

Método de Propagación

Se propaga a través de descargas desde sitios web comprometidos.

Más información acerca de este virus en:

* Sophos

CrystalDiskInfo (free)

CrystalDiskInfo es una herramienta que analiza tus discos duros y te dice su temperatura y si están en buen estado, además de otros datos como el firmware, el número de serie, el tipo de interfaz o su tamaño.

Se puede colocar en la bandeja de sistema y analizar el disco o discos cada cierto tiempo. Como resultado de las comprobaciones, obtendrás gráficos que te serán muy útiles para conocer la evolución de la temperatura o de las horas de funcionamiento.

Por contra, CrystalDiskInfo no da ninguna ayuda para entender en qué consisten algunos de los datos que ofrece, por lo que los usuarios no expertos sólo podrán usar la ficha técnica del disco duro, el estado de salud, la temperatura y los gráficos.

Aquí pueden ver los datos del software y descargas: http://crystalmark.info/?lang=en

Nuevo VIRUS: Agent.JRR (Peligrosidad: 1 - Mínima)

Troyano que se ejecuta en cada reinicio del sistema comprometido.

Solución

• Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.

• En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:

1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

Elimine el siguiente fichero:

• %UserProfile%\Contacts\svchost.exe

Nota: %UserProfile% es una varible que representa la carpeta de trabajo del usuario autenticado en el sistema Windows.
Por defecto es C:\Documents and Settings\%user name%\ (Windows 2000, XP, y Server 2003).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.

4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine las siguientes entradas del registro:

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: Cleanup = %UserProfile%\Contacts\svchost.exe

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Cleanup = %UserProfile%\Contacts\svchost.exe

5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Datos Técnicos

Peligrosidad: 1 - Mínima

Difusión: Baja
Daño: Medio
Dispersibilidad: Bajo

Fecha de Alta:30-04-2009
Última Actualización:30-04-2009

Nombre completo: Trojan.W32/Agent.JRR
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Troj/Agent-JRR (Sophos)

Detalles

Método de Infección/Efectos

Agent.JRR copia el siguiente fichero en el sistema comprometido cuando se ejecuta:

• %UserProfile%\Contacts\svchost.exe

Nota: %UserProfile% es una varible que representa la carpeta de trabajo del usuario autenticado en el sistema Windows.
Por defecto es C:\Documents and Settings\%user name%\ (Windows 2000, XP, y Server 2003).

Crea a continuación las siguientes entradas en el registro de Windows:

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: Cleanup = %UserProfile%\Contacts\svchost.exe

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: Cleanup = %UserProfile%\Contacts\svchost.exe

Método de Propagación

Agent.JRR no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.

Más información acerca de este virus en:

• Sophos

Edición del registro

El Registro de Windows es una base de datos jeráquica (en contraposición a una relacional) formado por un conjunto de archivos, y que contiene información acerca de cómo funciona su computadora. El mismo puede ser accedido o modificado ejecutando el Editor del Registro (regedit.exe) que viene con todas las versiones de Windows. Es una parte del sistema operativo muy potente y crítica. Por una parte permite modificar muchos comportamientos de Windows, pero por otra puede causar problemas muy graves en la ejecución del sistema operativo si se modifican de forma incorrecta alguna de las entradas vitales.

Los virus atacan normalmente el Registro de Windows, para realizar modificaciones o para agregar entradas que les permitan ejecutarse cada vez que el equipo se inicie. Veamos un ejemplo de borrado de una entrada del registro:

Clave: My Computer\HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft Windows\CurrentVersion\Run
Valor: WinVNC = "C:\Archivos de Programa\RealVNC\winvnc.exe"

Esta clave es muy utilizada por los virus, dado que todas las entradas creadas dentro de ella se utilizan para ejecutar programas automáticamente en el próximo y siguientes inicios del sistema operativo.

Nótese que el registro está organizado en claves (que aparecen como carpetas en el panel izquierdo del Editor del Registro), las cuales contienen valores, que aparecen en el panel derecho. Los valores pueden ser de varios tipos (cadena, numéricos, binarios). Mientras no se especifique son cadenas. Editar el registro

1. Ejecute el editor de registro: Haga clic en Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre (pulsano la tecla "Supr") o modifique (haciendo doble clic) la entrada deseada.
La ventana del editor del registro tiene este aspecto:

Es una buena idea hacer una copia de seguridad del registro antes de modificarlo. Para más información, acuda a la ayuda en línea del Editor del Registro

Eliminar librerías .DLL o .EXE

En ocasiones a la hora de desinfectar el sistema de alguna infección vírica (virus, troyanos, gusanos, espías...) ya sea de forma manual o utilizando productos antivirus, nos encontramos con archivos .dll, .exe u otros que no podemos eliminar porque estan siendo utilizados por otras aplicaciones. Para poder borrarlos se puede seguir alguno de los siguientes procedimientos:

• Administrador de tareas

  Si tenemos archivos (ejecutables) que no se pueden eliminar por estar en ejecución, se pueden terminar los procesos desde el Administrador de tareas de Windows y así poder borrarlos.
  
  Procedimiento:
  
  
  1. En la opción Ejecutar existente dentro del menú Inicio de Windows, escribir "taskmgr" (sin las comillas), hacer clic en Aceptar y se abrirá el Administrador de tareas.
     Otra forma de abrir el Administrador de tareas es pulsando Ctrl+Alt+Supr.
  2. Seleccionar el archivo a eliminar (en la carpeta de Procesos) y pulsar Terminar proceso.
  3. Tras salir del Administrador intentar eliminar el archivo ejecutable.
  
  

• Modo a prueba de fallos

  Reiniciar en modo a prueba de fallos para que sólo cargue la configuración mínima con lo que se podrán borrar archivos que en modo normal estarían en ejecución.
  
  

• Killbox

  Puede usar el programa Pocket Killbox 2.0 (Killbox) que sirve para eliminar tanto librerías .DLL, .EXE como otros archivos que no se dejen eliminar normalmente.
  
  Procedimiento: Descargar el programa, descomprimirlo, iniciar KillBox.exe y seguir los siguientes pasos:
  
  
  1. Marcar la casilla End Explorer Shell While Killing File.
  2. Seleccionar la opción Delete on reboot (Eliminar al reiniciar).
  3. En el recuadro etiquetado como Full path of file to delete (Ruta completa del archivo a eliminar) poner el nombre del archivo que queremos eliminar y la ruta de donde se encuentra. (Ejemplo: C:WINDOWSsystem32ssbe.dll).
  4. Seleccionar la opción Delete on Reboot, luego pulsar el botón que contiene un circulo rojo con una X blanca.
  5. Por último cuando pregunte Reboot now (reiniciar ahora), pulsar Sí (Yes).
  
  
  
  
  

• Shell de Windows

  Se puede quitar del registro la extensión .dll desde el shell de Windows para después poder borrar esos archivos en "modo seguro".
  
  Procedimiento:
  
  
  1. En la opción Ejecutar existente dentro del menú Inicio de Windows, escribir "cmd" (sin las comillas), hacer clic en Aceptar y saldrá una pantalla negra con el intérprete de comandos.
  2. Teclear cd
  3. Desde C:> (E:> o el directorio que corresponda según la unidad en la que se encuentre el intérprete de comandos de DOS), teclear el comando regsvr32 /u seguido de la ruta donde se encuentra la extensión que se quiere borrar.
     Por ejemplo "C:WINDOWSSYSTEM32atmd.dll" quedando al final: "regsvr32 /u C:WINDOWSSYSTEM32atmd.dll" (sin las comillas).
  4. Pulsar ENTER.
  
  
  
  
  

• HijackThis

  La herramienta HijackThis tiene una opción para marcar archivos a borrar en el próximo reinicio de forma que no les haya dado tiempo a cargarse en memoria.
  
  Procedimiento: Iniciado el HijackThis:
  
  
  1. Presionar el botón Config.
  2. Seleccionar Misc Tools.
  3. Pulsar el botón etiquetado con Delete a file on reboot.
  4. Se abre una nueva ventana preguntando que seleccione el archivo que quiere borrar al reiniciar, buscar el archivo que se quiera eliminar y cuando se encuentre pulsar Abrir (Open).
  5. Pregunta si le gustaría reiniciar el ordenador para borrar el archivo, pulsar Sí (Yes) si quiere reiniciar ahora o No si prefiere reiniciar más tarde.
  
  
  

Antivirus Gratuitos

Un antivirus es un programa informático específicamente diseñado para detectar bloquear y eliminar códigos maliciosos.

Aunque se sigue utilizando la palabra antivirus, estos programas han evolucionado y son capaces de detectar y eliminar, no sólo virus, sino también otros tipos de códigos maliciosos como gusanos, troyanos, espías…

Los antivirus detectan que un programa es malicioso empleando diferentes técnicas, las más comunes están indicadas en el siguiente artículo: técnicas antivirus.

En el listado de antivirus, ofrecemos dos tipos de antivirus diferentes, los de escritorio y en línea.

Los antivirus de escritorio se suelen utilizar en modo residente para proteger al ordenador en todo momento de cualquier posible infección, ya sea al navegar por Internet, recibir algún correo infectado o introducir en el equipo algún dispositivo extraíble que esté infectado. No necesitan que el ordenador esté conectado a Internet para poder funcionar, pero sí que es necesario actualizarlos frecuentemente para que sean capaces de detectar las últimas amenazas de virus. Desde INTECO-CERT recomendamos tener sólo un antivirus de escritorio en el ordenador, ya que tener varios antivirus puede ocasionar problemas de incompatibilidad entre ellos.

Por otro lado, los antivirus en línea son útiles para analizar el ordenador con un segundo antivirus cuando sospechamos que el equipo puede estar infectado. Para ejecutarlos es necesario acceder con el navegador a una página de Internet. Si bien son muy útiles para realizar un escaneo del ordenador y, de este modo, comprobar que no está infectado, no sirven para prevenir infecciones, esto sólo lo hacen los antivirus de escritorio.

Si está buscando una solución rápida para una infección, visite nuestra página de Herramientas Gratuitas de Desinfección, donde encontrará programas de varios fabricantes de antivirus que eliminan los virus más comunes.

Antivirus de escritorio
En inglés
	Grisoft ofrece AVG Antivirus Free edition un antivirus completo para pc de escritorio, con las funciones habituales de protección residente, exploración de correo electrónico y actualización periódica de los patrones de virus. Es gratuito sólo para usuarios domésticos. Plataformas: Windows 98/2000/NT/XP/Vista.
	La empresa alemana Avira GmbH ofrece Avira Antivir Personal Edition, un antivirus de escritorio gratuito para fines personales. Incluye escudo residente, detección de virus de macro y asistente de actualización. Disponible en Inglés y en Alemán. Plataformas: Windows 98/2000/NT/XP/Vista.
	Clam AntiVirus es un escáner anti-virus escrito desde cero. Se distribuye con licencia GNU GPL2 (gratuito, código abierto). Está escrito en C y cumple con la norma POSIX. Funciona en múltiples arquitecturas como Intel, Alpha, Sparc, Cobalt MIPS boxes, PowerPC, RISC 6000. En Linux se puede correr como un demonio, proporcionando protección permante. Instalación algo compleja. Plataformas: Linux, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X, y en Windows (98/2000/NT/XP) con Cygwin B20.
	BitDefender Free Edition v8, antivirus para ordenadores con S.O. Windows con todas las funciones habituales excepto el servicio de protección residente. Esto implica que el usuario debe explorar manualmente cualquier archivo sospechoso (basta con hacer clic derecho con el ratón sobre el archivo y seleccionar la opción de exploración con el antivirus). Plataformas: Windows 98/2000/NT/XP.
	Alwil Software ofrece la versión doméstica de su antivirus, Avast Home, gratuito para uso doméstico sin ánimo de lucro. Está disponible en español, aunque en la versión analizada aquí, la ayuda en línea estaba en inglés. Dispone de protección residente, y su característica más relevante es que el filtrado de correo electrónico es independiente del cliente de correo, ya que implementa un servidor de correo SMTP, donde realiza la exploración el correo. Simplemente hay que configurar cliente de correo para que use como servidor de correo entrante y saliente el del antivirus. Como curiosidad, dispone de un interfaz personalizable mediante pieles (skins). Plataformas: Windows 98/2000/NT/XP/Vista.
Antivirus en Línea
Estos antivirus no se instalan en el PC como un programa convencional, sino que se accede mediante un navegador web. El tiempo de escaneo varía en función de la velocidad de su conexión, la carga momentánea de los servidores o el volumen de datos que usted quiera rastrear. La mayoría de estos servicios descargan un subprograma (ActiveX o Java), por lo que la primera vez que se accede tardan unos minutos en arrancar.
En español
	Descarga un control ActiveX y realiza el escaneo, desinfección y eliminación de virus, gusanos y troyanos por todas las unidades del sistema, incluyendo los ficheros comprimidos y el correo electrónico y realiza la detección de software espía. Es actualizado diariamente.
	Utiliza un applet de Java, lo que permite que sea soportado por todos los navegadores. Presenta una estructura de árbol de directorios con las unidades del sistema, para escoger aquellas de las que se desea realizar el escaneo de virus. La página de descarga de Internet está en inglés, pero el producto está en castellano y tiene incorporada una herramienta de chequeo de puertos.
	Tras aceptar la descarga de un control ActiveX, comienza el escaneo de la parte del sistema elegida: unidad de disco duro, directorio "Mis documentos" o ficheros de Windows. Al finalizar el proceso, se muestra un listado con los ficheros infectados y el virus que los afecta.
En inglés
	Tras la descarga de un subprograma ActiveX, se puede seleccionar las opciones de configuración del análisis del sistema, permite escanear la memoria de su sistema, todos los archivos, carpetas, discos y sectores de arranque, ofreciéndole no sólo la opción de detectar infecciones, sino también de desinfectar o, incluso, eliminar los archivos infectados.
	Tras la instalación de unos ficheros, nos ofrece la posibilidad de realizar tres chequeos diferentes del sistema. Escaneo total de la máquina, escaneo rápido (solamente examina los ficheros que son objetivo frecuente de virus: sector de arranque, directorio raíz,...) o escaneo de los directorios y ficheros que se le sean especificados.
	Descarga un subprograma ActiveX y realiza el escaneo de todas las unidades del sistema sin dar opción a elegir un subconjunto. La búsqueda no se realiza en ficheros comprimidos.
	Descarga un subprograma ActiveX y realiza el escaneo de todo el equipo sin ofrecer la posibilidad de seleccionar un subconjunto o unos ficheros concretos. Permite eliminar los archivos que haya detectado como maliciosos.

Características de los antivirus en línea
	Idioma	Navegador*	¿Elección de datos?	¿Escanea directorios?	¿Escanea fich. comprimidos?	Desinfección
Panda Sw.		IE
Trend Micro		IE, FF
McAfee		IE
BitDefender		IE
PC Pitstop		IE
Symantec		IE
ESET		IE

Navegador*: IE = Internet Explorer; FF = Mozilla Firefox.

Nota: Debido a que Internet Explorer 7 en Windows Vista funciona como una 'caja de arena' (sandbox), los antivirus no pueden eliminar los ficheros infectados del ordenador. La columna de “Desinfección” de la tabla anterior, no es válida para Windows Vista.

Nota2: Una 'caja de arena' (sandbox) es un ambiente virtual, creado por emulación, que permite al código ejecutarse dentro de un ambiente controlado sin que las acciones del código que se ejecuta afecten al entorno real del ordenador.

Actualizado: Septiembre 2007