Cómo eliminar y limpiar el virus de la policía también conocido como virus interpol, europol o virus Ukash. Mostramos en este tutorial cómo funciona este virus (troyano de tipo ransomware), cómo eliminarlo y cómo evitarlo.

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

El virus de la policía, también conocido como virus Interpol o Europol y también como virus Ukash es un  troyano de tipo Ransomware (secuestra el control del ordenador y nos exige un rescate). Muchas de sus mutaciones, en un momento determinado del tiempo, son capaces de burlar a los antivirus aprovechando vulnerabilidades de Java.

Utilizando la ingeniería social, el virus de la policía aprovecha el desconocimiento de muchos usuarios y, una vez infectado el equipo (por diversos métodos pues hay numerosas mutaciones y muchas son capaces de eludir los antivirus, el principal es usando una vulnerabilidad de determinadas versiones de Java, por lo que se recomienda que siempre estén actualizadas) en el arranque ejecuta una aplicación que se muestra a pantalla completa y no se puede cerrar, indicando al usuario que su equipo ha sido bloqueado por razones de seguridad y que ha de pagar una determinada cantidad para que sea desbloqueado o podría ir a la cárcel. Obviamente esto es falso pero hay muchos usuarios que por descolorimiento realizan el pago, lo cual no hará que su equipo se desbloquee. Nunca haga caso de estos avisos, siempre son falsos.

Este virus tiene multitud de variantes, mutaciones o versiones y puede mostrar mensajes diversos, uno de ellos:

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

El mensaje de una de las versiones de este virus para asustar al usuario e incitarlo a que realice el pago: ATENCIÓN Su ordenador personal ha sido bloqueado por razones de seguridad vistos los motivos abajo detallados. Usted está acusado de mirar/conservar y/o divulgar los materiales pornográficos del contenido prohibido (pornografía infantil/zoofilia/violación etc.). Usted ha infringido la Declaración mundial de la lucha contra la divulgación de la pornografía infantil y está acusado de cometer el crimen en razón al Artículo 161 del Código Penal del Reino de España. El artículo 161 del Código Penal del reinio de España prevé a título de punición la encarcelación por el plazo desde 5 hasta 11 años. Además, uested es sospechoso de la violación de la «Ley de los derechos de autor y adyacentes» (descarga de música pirata, vídeo, soporte lógico sin licencia) y uso y/o divulgación del contenido defendido por el derecho de autor. Con eso usted es sospechoso de la infracción del Artículo 148 del Código Penal del Reino de España. El artículo 148 del Código Penal del Reino de España prevé a título de punición una multa por la cantidad desde 150 hasta 550 valores básicos o encarcelación por el plazo de 3 hasta 7 años. Desde su ordenador personal fue realizado un acceso no sancionado a la información cerrada para el acceso públcio e información de importancia estatal que se encuentra en la red de Internet. El acceso no sancionado usted pudo organizarlo intencionadamente con motivos mercantiles o este acceso no sancionado haya podido ser realizado sin su consentimiento y aprobación, porque su ordenador puedo ser contagiado con programas nocivos. Por lo tanto usted se considera sospechoso hasta la realización de la investigación en la infracción involuntaria del Artículo 215 del Código Penal del Reinio de España («Ley del uso negligente y descuidado de la técnica de computación/ordenador personal»). El artículo 215 del Código Penal del Reino de España prevé a título de punición una multa por la cantidad de hasta 100.000 euros y/o encarcelación por el plazo desde 5 hasta 8 años. Además, en el proceso de investigación analítica de la información contenida en su ordenador, fue descubierto que desde su ordenador se realizan, regularmente, envío en masa de Spam que fueron organizados por usted intencionadamente con motivos mercantiles o los que son realizados sin su conocimiento y aprobación, porque su ordenador pudo ser contagiado con programas nocivos. Dichos envíos divulgan el soporte lógico nocivo o los materiales prohibidos de carácter pornográfico. Por lo tanto usted se considera sospechado hasta la realización de la investigación por infracción involuntaria del Artículo 301 del Código Penal del Reino de España («Ley de la lucha contra spam y divulgación del soporte lógico nocivo (los virus)»). El artículo 301 del Código Penal del Reino de España prevé a título de punición una multa por la cantidad de hasta 250.000 euros y encarcelación por el plazo de hasta 5 años. Prestamos su atención que sus datos personales y su localización son identificados, contra usted puede ser instruida una causa criminal en el plazo de 96 horas desde el momento de la infracción de los artículos del Código Penal arriba indicados. Los expedientes serán suministrados al tribunal. Sin embargo, conforme a las enmiendas al Código Penal del Reino de España del 10 de julio de 2013 y la declaración de los derechos de la persona, sus infracciones pueden ser consideradas como de carácter no mal intencionado (a condición que son cometidos por usted por primera vez) y usted no se le atribuirá la responsabilidad de orden penal. Dicha condición puede ser cumplida en caso si usted paga una multa en favor del estado (que serán usados para el apoyo de los proyectos de defensa del ciberespacio de la red de Internet). Usted tiene que pagar la multa en un plazo de 48 horas desde el momento dela infracción. Una vez pasadas 48 horas, y durante las 48 horas consecutivas serán realizada una recopilación de la información completa de usted y contra usted será instruida una causa criminal. El monto de su multa es de 100 euros. La multa puede ser pagada con PaySafeCard o Ukash vouchers. Una vez pagada la multa y los medios monetarios serán traspasados a la cuenta del estado, su ordenador será desbloqueado en un plazo de 24 horas. Después, usted tendrá que eliminar durante los 7 días todas las infracciones relacionadas con su ordenador personal. En el caso de no eliminar las infracciones, su ordenador volverá a ser bloqueado y contra usted será instruida una causa criminal (sin la posibilidad de pagar la multa). Prestamos su atención que al momento de pagar la multa usted tiene que introducir los código de los vouchers de dinero auténticos, así como no convertir en efectivo los vouchers de dinero una vez realizado el pago. En caso del tenttivo de introducir los códigos no existentes o anular los vouchers de dinero una vez realizado el pago, en adición a las infracciones sub-indicadas usted será acusado por fraude (Artículo 377 del C´dogio Penal del Reino de España; dicho artículo prevé una encarcelación por el plazo desde 1 hasta 3 años), y contra usted será instrudica una causa criminal.

El gran inconveniente es que este virus se carga como aplicación shell de inicio del equipo y, por lo tanto, no se carga el escritorio habitual y no se puede cerrar si el usuario con el que iniciamos sesión es usuario limitado. Dependiendo del nivel de infección y usuario infectado del equipo este virus podría desactivar el acceso en modo a prueba de fallos, por lo que puede resultar MUY molesto y difícil de quitar.

El virus de la policía (interpol, europol, ukash) presenta, desde su aparición hace ya años, numerosas variaciones o mutaciones, modifica varias claves del Registro de Configuraciones de Windows (regedit) para garantizar su ejecución y genera varios ficheros ejecutables y dll, entre otros, con nombres variables.

Desde la primera «versión» de este troyano del año 2011 hasta hoy cada nueva versión «mejora» para complicar más su eliminación como por ejemplo deshabilitar la opción de inicio en modo seguro (a prueba de fallos), encripta los ficheros, ha mejorado considerablemente el aspecto de la ventana que se muestra a pantalla completa, pasando de una traducción algo rudimentaria al español a una cuidada basada en  artículos reales del código penal.

Aunque hay artículos que dicen haber capturado a la banda que desarrollaba este troyano, parece que siguen saliendo nuevas versiones dado que parece que no era una sola banda la que actuaba sino varias. Así pues a día de hoy siguen infectándose multitud de equipos con este virus.

Este virus también accede a la webcam del equipo y muestra lo que captura en la propia ventana del virus, por lo que da la impresión de que nos están espiando. En principio no envía imágenes a Internet, pero esto es en las versiones actuales, en las futuras podría realizar cualquier acción. Lo más fiable, aunque rudimentario, es desconectar la webcam, si es de portátil y no se puede desconectar la podemos tapar con algún material, es rudimentario pero efectivo, hasta haber limpiado el virus por completo.

El virus de la policía (ukash, europol, interpol) modifica la clave de registro «shell» de:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

del valor normal que es «Explorer.exe» por la ruta del fichero de virus, de esta forma en el inicio del PC ya no se arrancará el escritorio normal, si no que se ejecutará el virus ocupando todo el escritorio y no podrá cerrarse. Si el PC infectado tiene varios usuarios, lo normal es que se instale para el usuario actual, en la clave:

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

A continuación mostramos cómo queda la clave de registro:

HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Microsoft/Windows NT/CurrentVersion/Winlogon

en un equipo con Windows 7 x64 tras ser infectado por el virus de la policía:

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

En cuanto al proceso del virus, si conseguimos abrir la ventana del Administrador de tareas, veremos que se «camufla» con un «rundll32.exe», pues se ejecuta de la forma:

rundll32.exe nombre_fichero_virus

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

Por lo que a priori no veremos el nombre de la dll o ejecutable del virus. Para ello hay que recurrir a algún software de terceros, como Process Explorer (gratuito y disponible en la web oficial de Microsoft), con el que sí podremos ver el proceso rundll32.exe y sus subprocesos hijos. Podremos ver que es, realmente, el virus de la policía:

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

Si mostramos las propiedades del proceso podremos ver que en realidad es el virus de la policía (en Command line)

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

El virus de la policía cuenta, como ya hemos mencionado, con varios métodos de propagación, una vez en el equipo también cuenta con varios métodos de infección, uno de ellos es usando un fichero .bat de proceso por lotes que ejecuta el virus «camuflado» con rundll32.exe y suele tener el siguiente contenido:

START «ok» rundll32.exe C:PROGRA~3exmcmuiehwfxrmhtsqw.bfg,OKL00 /B

(la ruta y nombre del fichero variarán en función de muchos factores)

Otro método un poco más elaborado es usando un fichero .js, dicho fichero suele contener el código en VBScript necesario para ejecutar el virus. En este caso aparece «camuflado» en caractes decimales para que no se vea directamente lo que realmente hace, analizando cada línea (en cursiva lo que contiene el virus de la policía, en negrita a lo que equivale):

a1ni8 = 83 104 101 108 108 46 65 112 112 108 105 99 97 116 105 111 110 = Shell.Application
aiqri = 67 58 92 92 87 105 110 100 111 119 115 92 92 115 121 115 116 101 109 51 50 92 92 114 117 110 100 108 108 51 50 46 101 120 101 32 = C:Windowssystem32
undll32.exe
ajmo7 = 67 58 92 85 115 101 114 115 92 117 115 117 97 114 105 111 92 65 112 112 68 97 116 97 92 76 111 99 97 108 92 84 101 109 112 92 101 120 109 99 109 117 105 101 104 119 102 120 114 109 104 116 115 113 119 46 98 102 103 32 44 79 75 76 48 53 = C:UsersusuarioAppDataLocalTempexmcmuiehwfxrmhtsqw.bfg ,OKL05
a6zlf = 114 117 110 97 115 = runas
adowb = 87 83 99 114 105 112 116 46 83 104 101 108 108 = WScript.Shell

Para convertir el valor decimal a ASCII hemos usado el programa gratuito AjpdSoft Conversor Hexadecimal, Decimal, Texto:

Cómo funciona el virus de la policía, Interpol, Europol, Ukash

El código real de ejecución del virus de la policía:

Detección del virus de la policía por varios motores antivirus

El virus de la policía (Interpol, Europol, Ukash), en las pruebas realizadas en nuestro laboratorio, a día 14 de septiembre de 2013 fue detectado por:

MotorNombre virus policía
ESET-NOD32a variant of Win32/Kryptik.BJDN
MicroWorld-eScanGen:Variant.Kazy.234365
BitDefenderGen:Variant.Kazy.234365
GDataGen:Variant.Kazy.234365
EmsisoftGen:Variant.Kazy.234365 (B)
KasperskyHEUR:Trojan.Win32.Generic
McAfeeRansom-FBQ!AC91824BF883
NormanSinowal.PDB
PandaTrj/Genetic.gen
MalwarebytesTrojan.FakeMS
VIPRETrojan.Win32.Reveton (fs)
AvastWin32:Reveton-WH [Trj]

Más detalles del fichero DLL del virus:

SHA256:ea58fa8d3ba7c2f48b0920c033a751181b44053025191e53a2d7b809cb6c0fcb
SHA1:80ea49d96ff604e278f7dcc7c58ad1d8d715e633
MD5:ac91824bf883d6be3751b87f1c3918e0
Tamaño:107.9 KB ( 110524 bytes )
Nombre:exmcmuiehwfxrmhtsqw.bfg
Tipo:Win32 DLL

El fichero .js de script que lanza el virus fue detectado por:

MotorNombre virus
NormanBlacole.QM
KasperskyHEUR:Trojan.Script.Generic
AVGJS/Agent.AO
McAfeeJS/Ransom-ABJ
McAfee-GW-EditionJS/Ransom-ABJ
TrendMicro-HouseCallJS_REVETON.SMN
TrendMicroJS_REVETON.SMN
SophosMal/RevetJS-A
NANO-AntivirusTrojan.Script.Starter.bxllsh
IkarusTrojan.Win32.Ransom
DrWebTrojan.Winlock.9360
MicrosoftTrojan:JS/Reveton.E
AvastVBS:Agent-ATR [Trj]
ESET-NOD32Win32/Reveton.U

Cómo desinfectar y eliminar manualmente el virus de la policía, interpol, europol, ukash y mediante Kaspersky Rescue Disk

Limpiar manualmente el virus de la policía, interpol, europol, ukash

Para eliminar el virus de la policía manualmente sin utilizar herramientas de terceros hay que tener conocimientos avanzados de informática y saber qué variante o mutación exacta ha infectado nuestro equipo. Cada variante y mutación nombra los ficheros de una forma determinada y escribe en diferentes claves de registro. En todos los casos, este virus, modifica varias claves en el Registro de Configuraciones de Windows, entre otras, la más importante para W7 x64:

HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Microsoft/Windows NT/CurrentVersion/Winlogon

Para WXP y W7 x32:

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

Por lo tanto lo primero que tendremos que hacer será acceder al equipo en modo a prueba de fallos (es posible que el propio virus haya desactivado esta opción) y, mediante «regedit», cambiar la clave «Shell» del actual valor (el del virus) a «Explorer.exe». Esto sólo podremos hacerlo si el virus no se ejecuta, o bien accediendo en modo a prueba de fallos o bien con un usuario que no haya sido infectado (con el «administrador» es lo más recomendable).

Una vez que consigamos acceder al PC y hayamos eliminado el shell de inicio del virus deberemos limpiar cualquier posible fichero del virus y clave de registro. Esto es recomendable hacerlo con alguna herramienta de alguna empres antivirus a tal efecto, siempre descargada de sitios webs oficiales y fidedignos.

Quitar virus de la policía mediante Kaspersky Rescue Disk

La opción recomendada para eliminar y limpiar el virus de la policía (y cualquier otro que el antivirus en modo normal no haya podido limpiar) es usando un disco de rescate. La gran parte de las empresas fabricantes de antivirus cuentan con esta herramienta que suele ser gratuita y permite crear un CD de arranque con el antivirus correspondiente para poder escanear nuestro equipo en busca de virus. Puesto que arranca con su propio sistema operativo (normalmente alguna distribución de Linux) el virus no estará ejecutándose por lo que podrá ser eliminado.

Para crear el CD de rescate de Kaspersky, desde otro PC o desde el PC infectado (si podemos iniciar sesión con un usuario no infectado) accederemos a la web oficial y descargaremos el fichero ISO correspondiente, desde la URL:

https://support.kaspersky.com/viruses/rescuedisk#downloads

Quitar virus de la policía mediante Kaspersky Rescue Disk

Una vez descargado el fichero kav_rescue_10.iso instalaremos cualquier software gratuito para crear un CD a partir de un fichero ISO, por ejemplo ImgBurn, descargaremos este software de su web oficial, lo instalaremos y pulsaremos en «Write image file to disc»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Pulsaremos en el botón de selección de fichero ISO:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Seleccionaremos el fichero ISO descargado kav_rescue_10.iso:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Introduciremos un CD/DVD en la grabadora y pulsaremos en el botón inferior para iniciar la creación de Kaspersky Rescue Disk:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Una crea creado el CD de inicio de rescate de Kaspersky lo introduciremos en el PC infectado, apagaremos el PC y lo arrancaremos, si es necesario configuraremos la BIOS para que arranque desde el CD, para ello en el arranque pulsaremos la tecla F2 (o la correspondiente para acceder a la BIOS) y desde la opción «Boot» (secuencia de arranque) de la BIOS estableceremos como primer dispositivo de arranque la unidad de DVD:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Guardaremos los cambios en la BIOS seleccionando «Exit Saving Changes»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Si hemos generado correctamente el CD de rescate de Kaspersky y hemos configurado correctamente la secuencia de arranque en la BIOS se iniciará Kaspersky, pulsaremos cualquier tecla para continuar:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Elegiremos el idioma:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Leeremos los términos de licencia, si estamos de acuerdo pulsaremos la tecla «1»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Seleccionaremos «Kaspersky Rescue Disk. Graphic Mode» y pulsarmeos INTRO:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Se iniciará el Live CD de Kaspersky Recue Disk 10:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Se iniciará Kaspersky Rescue Disk, automáticamente montará las particiones NTFS y FAT32 de Windows:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Es posible que nos solicite confirmación para cargar las unidades con sistema de ficheros de Windows (NTFS o FAT32).

Si disponemos de conexión a Internet es recomendable actualizar la base de datos de virus, para ello pulsaremos en la pestaña «My Update Center» y pulsaremos en «Start update»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Si el Live CD de Kaspersky ha detectado la tarjeta de red y si disponemos de conexión a Internet se actualizará la base de datos de virus:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Ahora pulsaremos en la pestaña «Objects Scan» para marcar qué unidades queremos analizar (a ser posible todas las unidades). Una vez marcadas pulsaremos en «Start Objects Scan»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Se iniciará el análisis, Kaspersky Recue Disk irá mostrando en mensajes los ficheros infectados que vaya encontrando:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Si detecta algún fichero peligroso nos dará la opción de enviarlo a cuarentena (Quarantine), eliminarlo (Delete), o saltarlo y no hacer nada (Skip). Lo recomendable es pulsar en «Quarantine», el antivirus lo moverá de la ubicación actual y lo comprimirá para que no pueda ser ejecutado. Si detectamos que no es un virus y es un fichero válido (no suele ser normal) podremos recuperarlo de la cuarentena:

Quitar virus de la policía mediante Kaspersky Rescue Disk

El virus o trollano de la policía lo detectará Kaspersky como HEUR:Trojan.Win32.Generic.

Una vez finalizado el análisis del equipo podremos ver el resultado pulsando en «Report»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Como podemos observar, el virus de la policía se ha propagado por todo el equipo con nombres aleatorios:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Una vez limpiado el equipo de virus pulsaremos en el menú y en «Restart» para reiniciar el equipo y arrancar el sistema operativo Windows de forma normal (extraeremos el CD de Kaspersky):

Quitar virus de la policía mediante Kaspersky Rescue Disk

El inconveniente de este tipo de CDs de rescate es que si el virus ha provocado algunos cambios en el Registro de Configuraciones de Windows muchos no los reparan. El virus de la policía, como ya hemos comentado aquí, modifica varias claves de registro, la más «dañina» es la clave «shell» que impide que aparezca el escritorio. Puesto que el fichero de virus ha sido eliminado por Kaspersky, al arrancar el equipo veremos que nos aparece una pantalla vacía y no se inicia el escritorio de Windows normal, esto es debido a que la clave shell del registro sigue «apuntando» al fichero del virus que ya no existe. Para solucionar este problema en sistemas operativos Windows XP (para Windows Vista, Windows 7 y Windows 8 el proceso es similar) accederemos al administrador de tareas pulsando las teclas Control + Alt + Suprimir. En el administrador de tareas pulsaremos en «Archivo» – «Nueva tarea (Ejecutar)»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Escribiremos «regedit» y pulsaremos «Aceptar»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Accederemos a la clave del registro:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

En la parte derecha pulsaremos con el botón derecho sobre la clave «Shell» y pulsaremos «Modificar» en el menú emergente:

Quitar virus de la policía mediante Kaspersky Rescue Disk

En «Información del valor» esta clave debe tener el valor «Explorer.exe», si no lo tiene escribimos dicho valor y pulsamos en «Aceptar»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Repetiremos el proceso anterior para todas las claves «Shell» de todos los usuarios del equipo (si tenemos varios), pues el virus podría haber cambiado el valor «Explorer.exe» en todos ellos. Para el usuario con el que hemos iniciado sesión la clave es:

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

Una vez reestablecido el valor correcto de la clave Shell a Explorer.exe podremos reiniciar el equipo, para ello, desde la ventana del Administrador de tareas de Windows pulsaremos en «Apagar» – «Reiniciar»:

Quitar virus de la policía mediante Kaspersky Rescue Disk

Desde la ventana del Administrador de tareas de Windows, si lo necesitamos, también podremos ejecutar el Escritorio normal del usuario pulsando en «Archivo» – «Nueva tarea (Ejecutar)» y escribiendo «Explorer.exe».

Existen herramientas específicas para la limpieza del virus de la policía y el restablecimiento de las claves de registro, si bien hemos usado Kaspersky Recue Disk porque no sólo limpiará el virus de la policía sino cualquier otro al ser un antivirus completo.

Recomendaciones para evitar la infección futura de nuestro PC o portátil con este virus de la policía y otros

En primer lugar hay que mencionar que no hay antivirus ni sistema de seguridad capaz de evitar el 100% de las amenazas de virus y malware, en sistemas operativos Microsoft Windows y en otros como Linux o MAC OS X, incluso los smartphones tampoco están exentos de infecciones (iOS de iPhone o Android). Esto es debido a multitud de factores que no siempre tienen que ver con el propio sistema operativo y sí con software de terceros instalado en el equipo.

El primer y más importante factor para evitar posibles infecciones de nuestro PC es el sentido común, por ejemplo, no ejecutar y hacer caso omiso de mensajes extraños del navegador que nos indiquen que tenemos que actualizar la versión de flash player o que hay que instalar un determinado visualizador de vídeo. Siempre deben descargarse las actualizaciones de las webs oficiales de cada producto. Tampoco ejecutar software de dudosa procedencia, sobre todo el descargado de aplicaciones P2P como eMule, Bit Torrent, uTorrent, Kazaa, Ares y otros. Si necesitamos ejecutar algún software de este tipo de dudosa procedencia, siempre es recomendable analizarlo antes con el antivirus de que dispongamos e incluso ejecutarlo en un entorno seguro, algunos antivirus cuentan con métodos de ejecución controlada como Avast (Sandbox). Este tipo de ejecuciones de software de dudosa procedencia también puede realizarse en una máquina virtual a tal efecto, para virtualización gratuita sobre Windows podremos usar VirtualBox. En los siguientes enlace mostramos varios tutoriales para trabajar con VirtualBox:

Por supuesto hemos de contar con un buen antivirus residente en el equipo y siempre actualizado, hay muchos en el mercado y algunos con versiones gratuitas (como Avast, FortiClient, Avira, AVG, etc.). En el siguiente enlace mostramos una pequeña comparativa de algunos antivirus gratuitos:

A continuación mostramos algunos consejos para evitar que nuestro equipo se infecte por virus, troyanos y malware:

  • Antivirus instalado residente y actualizado, tanto el antivirus como la base de datos de virus.
  • Usuario limitado, es recomendable usar un usuario limitado para las tareas diarias, pues así los virus no pueden introducirse en el sistema al no tener permisos suficientes, a lo sumo podrían infectar sólo las partes con permisos de dicho usuario pero no el PC completo. Es muy recomendable no usar nunca el usuario administrador como usario de trabajo, sólo para tareas excepcionales de administración.
  • Cortafuegos activado, o bien el del sistema operativo (Windows XP, Windows Vista, Windows 7 y Windows 8 incluyen su propio cortafuegos) o bien el del antivirus si lo incluye o bien instalar un cortafuegos adicional. Muchos virus aprovechan vulnerabilidades del sistema operativo, con un cortafuegos suelen evitarse estas intrusiones no deseadas.
  • Sistema operativo actualizado, siempre con los últimos parches instalados. Muchos virus aprovechan vulnerabilidades del sistema operativo para introducirse incluso con antivirus, los desarrolladores de sistemas operativos suelen publicar los parches para corregir estas vulnerabilidades por lo que es recomendable mantener las actualizaciones automáticas.
  • UAC (Control de Cuentas de Usuario) activado en sistemas operativos Windows Vista, Windows 7 y Windows 8. Esta herramienta de Windows impide la modificación de las partes del sistema críticas y solicita confirmación antes de su modificación.
  • Java, Adobe Flash Player, plugins, navegadores, antivirus siempre actualizados a la última versión.
  • Análisis periódico de todo el equipo con varios motores de antivirus online gratuitos. Muchos de los motores de antivirus más importantes cuentan con la opción de análisis online gratuito (Panda, Avast, Eset, Bitdefender, Kaspersky, McAfee, etc.). Como ya hemos comentado no hay antivirus que reconozca el 100% de los virus y malware por lo que aunque tengamos uno instalado es muy recomendable realizar análisis con otros motores, si bien no es recomendable tener dos antivirus instalados y residentes, por lo que los antivirus online son una buena opción pues se ejecutan sólo en el momento y no quedan residentes.
  • Evitar ejecución de software de dudosa procedencia. Antes de ejecutar este tipo de software es conveniente analizarlo con el antivirus e incluso con algún otro motor de antivirus. Existen sitios webs como Virustotal.com que, enviándoles el fichero sospechoso, lo analizan automátimante con decenas de motores y muestran el resultado. Son muy útiles para analizar este tipo de software de dudosa procedencia y de dudosa finalidad.
  • No aceptar mensajes de sitios webs que nos soliciten atualizar media player, instalar plugins, visualizadores, flash player, etc. Los instalaremos siempre se su web oficial correspondiente.
  • Hacer caso omiso a mensajes solicitando nuestras credenciales, datos personales, envío de cantidades económicas, números de tarjetas de crédito, etc. Ninguna entidad ni persona puede solicitarnos, por ejemplo, usuario y contraseña de cualquier servicio, ni las entidades bancarias, ni las administraciones públicas ni ningún otro organismo, empresa o persona.
  • Hacer copia de seguridad períodica de los datos de nuestro equipo. En el siguiente enlace mostramos varios tutoriales sobre copias de seguridad: