ANTIVIRUS - Qué hacer si su ordenador está infectado

A veces, ni siquiera un usuario experimentado se da cuenta de que un ordenador está infectado con un virus. Esto se debe a que los virus pueden esconderse entre archivos normales o camuflarse como archivos estándar. Esta sección contiene una descripción detallada de los síntomas de la infección, cómo recuperar datos después de un ataque y cómo prevenir que los datos sean corrompidos por los programas maliciosos.

Síntomas de infección
Existen varios síntomas que indican que su ordenador ha sido infectado. Si nota que a su ordenador le suceden “cosas extrañas”, por ejemplo:

de pronto se muestran mensajes o imágenes inesperados, se reproducen sonidos o música inusuales de forma aleatoria, el lector de CD-ROM se abre y se cierra de forma misteriosa
los programas se inician de pronto en su ordenador,su cortafuegos le informa de que algunas aplicaciones intentan conectarse a Internet, aunque usted no las haya iniciado, entonces es muy probable que su ordenador haya sido infectado por un virus. Además, existen algunos síntomas típicos que indican que su ordenador ha sido infectado vía correo electrónico:

sus amigos mencionan que han recibido mensajes desde su dirección, y usted está seguro de no que usted no los ha enviado

su bandeja de entrada contiene muchos mensajes sin la dirección del remitente o encabezado
Puede que estos problemas, sin embargo, no sean causados por virus. P. ej., los mensajes infectados que supuestamente vienen de su dirección pueden de hecho venir de un ordenador diferente.

Existe una variedad de síntomas secundarios que indican que su ordenador puede haber sido infectado:

su ordenador se paraliza con frecuencia o encuentra errores
su ordenador se vuelve lento cuando se inician los programas
el sistema operativo no puede cargarse
los archivos y carpetas han sido borrados o su contenido ha cambiado
su disco duro es accedido con mucha frecuencia (la luz en su unidad principal parpadea de forma rápida)
Microsoft Internet Explorer se paraliza o funciona de forma errática, ej. no puede cerrar la ventana de la aplicación

El 90% de las veces, los síntomas antes enumerados indican un problema de hardware o de software. Aunque es poco probable que dichos síntomas sean causados por un virus, usted debe utilizar su software antivirus para examinar su ordenador por completo.

Qué debe hacer si encuentra síntomas de infección
Si nota que su ordenador está funcionando de forma errática:
?No se deje dominar por el pánico! Esta regla de oro podría prevenir la pérdida de datos importantes almacenados en su ordenador y ayudarle a evitar una tensión nerviosa innecesaria.
Desconecte su ordenador de Internet.
Si su ordenador está conectado a una Red de Área Local, desconéctelo.
Si el ordenador no puede iniciarse desde el disco duro (error al iniciar), intente iniciar el sistema en el Modo Seguro o desde el disco de inicio de Windows
Antes emprender cualquier acción, haga una copia de seguridad de todos los datos críticos a una unidad externa (un disco flexible, CD, flash memory, etc.).
Si no lo ha hecho antes, instale un programa antivirus.
Descargue las últimas actualizaciones de la base de datos de su antivirus. Si es posible, no utilice el ordenador infectado para descargar las actualizaciones, sino utilice el ordenador de un amigo, o un ordenador en la oficina, café Internet, etc. Esto es importante debido a que si usted está conectado al Internet, el virus puede enviar información importante a terceros o podría intentar enviarse a sí mismo a todas las direcciones de correo de su libreta de direcciones. Usted podría también intentar obtener actualizaciones para su software antivirus en CD-ROM del proveedor del software o distribuidores autorizados.
Realice un análisis completo del sistema.

Si no se encuentran virus durante el examen
Si no se encuentran virus durante el examen y los síntomas que le alarmaron están clasificados, probablemente usted no tenga de qué preocuparse. Compruebe todo el hardware y software instalado en su ordenador. Descargue los parches de Windows utilizando Windows Update. Desinstale el software sin licencia de su ordenador y elimine los archivos basura de sus discos duros.

Si se encuentran virus durante el análisis
Una buena solución antivirus le notificará si se encuentran virus durante la verificación y le ofrecerá varias opciones para tratar con los objetos infectados.
En la gran mayoría de los casos, los ordenadores personales están infectados por gusanos, programas troyanos o virus. En la mayoría de los casos, los datos perdidos pueden ser recuperados con éxito.
Una buena solución antivirus le proveerá la opción de desinfectar los objetos infectados, ponerlos en cuarentena, borrar los gusanos y troyanos. Un informe proveerá los nombres del software malicioso descubierto en su ordenador.
En algunos casos, puede que usted necesite una utilidad especial para recuperar datos que han sido corrompidos. Visite el sitio de su proveedor de software antivirus y busque información acerca del virus, troyano o gusano que infectó su ordenador. Descargue cualesquier utilidades especiales si están disponibles.
Si su ordenador ha sido infectado por virus que aprovechan las vulnerabilidades de Microsoft Outlook Express, puede limpiar completamente su ordenador desinfectando todos los objetos infectados, y después examinar y desinfectar la base de datos del cliente de correo. Esto asegura que los programas maliciosos no puedan ser reactivados cuando los mensajes que hubieran sido infectados antes del examen sean reabiertos. Usted debe descargar e instalar los parches de seguridad para Microsoft Outlook Express.
Lamentablemente, algunos virus no pueden ser removidos de los objetos infectados. Algunos de estos virus podrían corromper información en su ordenador, y puede ser imposible restaurar esta información. Si un virus no puede ser removido de un archivo, el archivo debe borrarse.

Si su ordenador ha sufrido un grave ataque de virus
Algunos virus y troyanos pueden causar serios daños a su ordenador:
Si usted no puede iniciar desde su disco duro (error al iniciar), trate de iniciar desde el disco de rescate de Windows. Si el sistema no puede reconocer su disco duro, esto significa que el virus dañó la tabla de partición del disco. En este caso, trate de recuperar la tabla de partición utilizando el scandisk, un programa estándar de Windows. Si esto no ayuda, contacte a un servicio de recuperación de datos de ordenador. El proveedor de su ordenador debería poder darle la dirección de tales servicios.
Si usted tiene instalada una utilidad de administración de disco, algunas de sus unidades lógicas podrían no estar disponibles cuando inicia desde el disco de rescate. En este caso, usted debe desinfectar todas las unidades accesibles, reiniciar desde el disco duro del sistema y desinfectar el resto de las unidades lógicas.
Recupere archivos y aplicaciones corrompidas utilizando copias de seguridad después de haber examinado la unidad que contiene estos datos.

Diagnóstico del problema utilizando herramientas estándar de Windows
Aunque esto no es recomendable a menos que usted sea un usuario experimentado, puede que usted quiera:
comprobar la integridad del sistema de archivos en su disco duro (utilizando el programa CHKDSK) y reparar los errores del sistema de archivos. Si existe una gran cantidad de errores, debe hacer una copia de seguridad de los archivos más importantes en los medios de almacenaje removibles antes de reparar los errores
verificar su ordenador antes de iniciar desde el disco de rescate de Windows
utilizar otras herramientas estándar de Windows, por ejemplo, la utilidad scandisk
Para más detalles sobre cómo utilizar éstas herramientas, le remitimos a los temas de Ayuda de Windows.

Si nada ayuda
Si los síntomas antes descritos aún persisten luego de haber examinado su ordenador, comprobado el hardware y software instalado y su disco duro utilizando las utilidades de Windows, usted debería enviar un mensaje con una descripción completa del problema al departamento de soporte técnico de su proveedor de antivirus, donde algunos programadores de antivirus analizarán los archivos infectados enviados por los usuarios.
Some antivirus software developers will analyse infected files submitted by users.

Una vez erradicada la infección
Verifique todos los discos y medios de almacenamiento removibles que pudieran estar infectados por el virus.
Asegúrese de que usted configuró de forma apropiada el software antivirus instalado en su ordenador.

Practique un uso seguro del ordenador
Todas estas medidas podrían prevenir que su ordenador se infecte en el futuro.

Clasificación de los programas Maliciosos, noviembre de 2008

En noviembre de 2008 se han usado los resultados de Kaspersky Security Network (KSN) para hacer dos estadísticas de virus.
Les recordamos que la primera tabla contiene los datos recogidos por nuestro producto antivirus versión 2009. En esta tabla se presentan los programas nocivos, publicitarios y potencialmente peligrosos detectados en los equipos de los usuarios.

En noviembre el virus Sality.aa se convirtió en el líder. La cantidad de equipos que ha infectado ha crecido bruscamente en los últimos dos meses y la suposición que Alexander Góstev hizo en la anterior estadística de programas se ha confirmado: la epidemia es evidente y nuevas versiones del virus aparecen varias veces por semana.
El papel que jugaba el troyano multimedia Wimad.n en noviembre lo asumió el troyano GetCodec.c, que también utiliza una prestación documentada, pero poco conocida del formato ASF. Teniendo en cuenta que hoy en día la multimedia se ha convertido en parte integrante de nuestro mundo electrónico, existen todos los fundamentos para esperar la aparición de otros ejemplares de estos programas nocivos.
En la lista de los 20 han aparecido dos nuevos cargadores de scripts, Trojan-Downloader.JS.Tabletka.a y Trojan-Downloader.JS.Iframe.ypy tres gusanos, dos de los cuales son representantes de una de las familias de crecimiento más dinámico: Worm.Win32.Autorun. Tomando en cuenta el simple pero efectivo método de reproducción de los gusanos Autorun, la cantidad de equipos infectados seguirá creciendo. En lo que concierne al tercer nuevo gusano Mabezat.b, es ahora el líder de nuestra segunda lista de los 20.
Todos los programas nocivos, publicitarios y potencialmente peligrosos presentes en esta lista se pueden agrupar según la clase de amenaza que representan. El porcentaje de programas troyanos ha bajada un 10% más, pero el porcentaje de programas capaces de reproducirse por sí mismos ha crecido del 30 al 45%, lo que constituye un hecho muy preocupante.

En total, en noviembre hemos detectado 45.690 nuevas denominaciones de programas nocivos, publicitarios y potencialmente peligrosos. De esta manera, notamos un crecimiento estable de la cantidad de amenazas “in the wild”, es decir, en el mundo real. Este mes el crecimiento ha sido de 6.500 ejemplares.
La segunda tabla del informe son los datos acerca de qué programas nocivos son los que con más frecuencia infectan los equipos de los usuarios. Aquí dominan los diferentes programas nocivos capaces de infectar ficheros.

Este mes los cambios son mínimos en la lista, hay sólo un nuevo programa malicioso y uno que ha regresado a la lista de los 20. Esto confirma nuestro pronóstico sobre la estabilidad de la estructura de esta clasificación.
El recién llegado de la segunda estadística, el gusano Bacteraloh.h, ya había sido descubierto por los analistas de Kaspersky Lab en enero de 2007. Es de particular interés que este programa nocivo es parte integrante de algunas modificaciones del virus Sality. Este es un hecho más que confirma la creciente actividad de esta familia.
Worm.VBS.Headtail, que había abandonado la lista en septiembre, ha vuelto a ser parte de la lista. Los últimos meses este gusano apareció y despareció muchas veces de la lista, lo que nos hace suponer que se comportará de esta manera durante un tiempo más.
Fuente:
Kaspersky Lab

Qué es un ataque informático mixto o blended threat

Un ataque mixto o blended threat es un ataque sofisticado combinando en un ataque los peores aspectos de virus, gusanos, caballos de Troya y código malévolo.
Los ataques mixtos utilizan el servidor y vulnerabilidades de Internet para iniciar, transmitir y para separar un ataque. Esta combinación de métodos y técnicas permiten a las amenazas mixtas propagarse muy rápidamente y causar mucho daño.
Para que un ataque sea considerado mixto, el ataque serviría normalmente para transportar ataques múltiples en una carga. Por ejemplo, además de lanzar un ataque DoS, instalaría un backdoor y dañaría un sistema local todo en un ataque.
Además, las amenazas mixtas se diseñan para utilizar múltiples modos de transporte. Por ejemplo, un gusano puede viajar con E-mail, pero una sola amenaza mixta podría utilizar múltiples rutas, como E-mail, IRC y archivos compartidos en redes compartidas.
El ataque real en sí tampoco se limita a un solo acto específico. Por ejemplo, más que un ataque específico contra archivos .exe, un ataque mixto podría modificar archivos .exe, archivos HTML y el registro al mismo tiempo, es decir, puede causar daños dentro de varias áreas de tu red al mismo tiempo.
Las amenazas mixtas están consideradas como el mayor riesgo para la seguridad desde la parición de los virus, pues la mayoría de los ataques mixtos no requieren ninguna intervención humana para propagarse.

CORTAFUEGOS - Definición de Cortafuegos

Desafortunadamente, luchando contra virus, gusanos y Troyanos, un cortafuegos de hardware puede ser menos eficaz que un cortafuegos de software, pues podría no detectar gusanos en emails.
Cortafuegos de software
Para usuarios particulares, el cortafuegos más utilizado es un cortafuego de software. Un buen cortafuegos de software protegerá tu ordenador contra intentos de controlar o acceder a tu ordenador desde el exterior, y generalmente proporciona protección adicional contra los troyanos o gusanos de E-mail más comunes.
La desventaja de los cortafuegos de software es que protegen solamente al ordenador en el que están instalados y no protegen una red.
Hay varios tipos de técnicas cortafuegos
Packet filter: mira cada paquete que entra o sale de la red y lo acepta o rechaza basándose en reglas definidas por el usuario. La filtración del paquete es bastante eficaz y transparente a los usuarios, pero es difícil de configurar. Además, es susceptible al IP spoofing.
Application gateway: Aplica mecanismos de seguridad a ciertas aplicaciones, tales como servidores ftp y servidores telnet. Esto es muy eficaz, pero puede producir una disminución de las prestaciones.
Circuit-level gateway: Aplica mecanismos de seguridad cuando se establece una conexión TCP o UDP. Una vez que se haya hecho la conexión, los paquetes pueden fluir entre los anfitriones sin más comprobaciones.
Proxy server: Intercepta todos los mensajes que entran y salen de la red. El servidor proxy oculta con eficacia las direcciones de red verdaderas.
En la práctica, muchos cortafuegos utilizan dos o más de estas técnicas a la vez.
Un cortafuego se considera la primera línea de defensa en la protección de la información privada. Para mayor seguridad, los datos pueden ser cifrados.

VIRUS - Tipos de Virus

Todos los virus tienen en común una característica, y es que crean efectos perniciosos. A continuación te presentamos la clasificación de los virus informáticos, basada en el daño que causan y efectos que provocan.
Caballo de Troya:
Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia así mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna.
Virus de macros:
Un macro es una secuencia de ordenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy útiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciéndose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobre escritura:
Sobrescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.
Virus de Programa:
Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que se utilizan mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque maestro (Master Boot Record) de los discos duros; también pueden infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automáticamente en la memoria de la computadora y desde ella esperan la ejecución de algún programa o la utilización de algún archivo.
Virus de enlace o directorio:
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimórficos:
Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.
Virus falso o Hoax:
Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuidas a través del correo electrónico y las redes. Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo.
Virus Múltiples:
Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.

VIRUS - Definición Virus

Un virus informático es un programa o software que se auto ejecuta y se propaga insertando copias de sí mismo en otro programa o documento.
Un virus informático se adjunta a un programa o archivo de forma que pueda propagarse, infectando los ordenadores a medida que viaja de un ordenador a otro.
Como los virus humanos, los virus de ordenador pueden propagarse en gran medida: algunos virus solo causan efectos ligeramente molestos mientras que otros pueden dañar tu hardware, software o archivos.
Casi todos los virus se unen a un fichero ejecutable, lo que significa que el virus puede estar en tu ordenador pero no puede infectarlo a menos que ejecutes o abras el programa infectado. Es importante observar que un virus no puede continuar su propagación sin la acción humana, (por ejemplo ejecutando un programa infectado).
La gente contribuye a la propagación de los virus, muchas veces sin saberlo, al compartir archivos infectados o al enviar e-mails con virus como archivo adjunto en el email.
La inserción del virus en un programa se llama infección, y el código infectado del archivo (o ejecutable que no es parte de un archivo) se llama hospedador (host).
Los virus son uno de los varios tipos de Malware o software malévolo.
Algunos virus tienen una carga retrasada, que a veces se llama bomba. Por ejemplo, un virus puede exhibir un mensaje en un día o esperar un tiempo específico hasta que ha infectado cierto número de hospedadores. Sin embargo, el efecto más negativo de los virus es su auto reproducción incontrolada, que sobrecarga todos los recursos del ordenador.
Debido a Internet, hoy en día son más comunes los gusanos que los virus. Los programas antivirus, diseñados originalmente para proteger los ordenadores contra virus, se han ampliado para cubrir gusanos y otras amenazas tales como el spyware.

Top 10 Antivirus Gratís

1 Libre de AVG

Es probablemente el mejor antivirus gratuito exista: es fácil de instalar y configurar las actualizaciones que se publican casi a diario frecuencia. Digno de consideración es el hecho de que Grisoft, el fabricante que ha comenzado a distribuir libre de otros dos productos destinados a la protección y seguridad: AVG Anti-Spyware y AVG Anti-Rootkit. El software libre de Grisoft distribución puede ser utilizada por usuarios privados en un único equipo y no para fines comerciales.

2 ClamWin

ClamWin se basa en ClamAV, un popular de código abierto antivirus diseñada originalmente para entornos UNIX. Es liberado bajo la GPL y, por tanto, también en este caso es perfectamente aceptable para su uso personal y no comercial. La interfaz gráfica es bastante espartano y la funcionalidad que más oigo es la falta de exploración automática del sistema que actualmente sólo ofrece la funcionalidad de exploración manual de archivos.

3 PC Herramientas Anti-Virus Free Edition 3.1

En lo que respecta a la funcionalidad proporcionada es muy similar a Media: Proporciona la capacidad de exploración manual y automática de calendario. Sin duda, es interesante el hecho de que no inpone limitaciones comerciales y, por tanto, podría ser un producto adecuado para las medianas a pequeñas empresas.

4 A-squared Free

Incorpora características de antivirus, spyware y rootkit remover: un po 'como la suma de 3 productos distribuidos libre de Grisoft. Interesante que se ejecuta en prácticamente todos los sistemas de Windows a partir tan pronto como Windows 98. La licencia sólo permite el uso privado.

5 Avast 4 Home Edition

Es probablemente el producto más completo, ya que proporciona protección frente a ataques incluso a través de redes P2P oa través de mensajería instantánea. El problema, sin embargo, es que los términos de la licencia son muy restrictivas por lo que no se puede utilizar incluso en la no-las instituciones comerciales, pero sólo en casa. Se distribuye a todas las versiones de Windows desde Windows 98 a Windows Vista, sino que también apoya el sistema operativo de 64 bits.

6 Avira AntiVir PersonalEdition Classic

Cuenta con 15 millones de usuarios en todo el mundo y ofrece una protección básica que no incluye la vigilancia de correo electrónico o la protección contra el software espía. Se distribuye a todas las versiones de Windows desde Windows 98 a Windows Vista.

7 BitDefender Free Edition 8

La versión gratuita de BitDefender sólo proporciona la funcionalidad de rastreo manual de archivo, incluso si hay una posibilidad de llevar a cabo la programación.

8 Google Pack

Google Pack ofrece un excelente conjunto de herramientas gratuitas destinadas a lograr la máxima productividad de su equipo. Inicialmente entre los instrumentos a condición de que exista una "edición especial de Norton Antivirus 2005, que fue sustituido recientemente con Norton Security Scan de Symantec y PC Tools Spyware Doctor de PC Tools. No ofrece protección "en vivo" por lo que estas herramientas se utilizan y entendido como los sistemas de protección "on-demand" o trabajan en la programación.

9 TrendMicro HouseCall

La particularidad de este servicio es que funciona totalmente en línea. No es necesario instalar ningún software en su PC: es un antivirus basado en la Web que viene, ya sea como ActiveX y Java como un applet y, a continuación, para trabajar sólo requiere un navegador y una conexión a Internet. Es evidente que el más negativo apsetto probablemente se refiere a la exploración o ejecuciones que son sin duda mucho peor que los que se puede lograr con una herramienta instalada en su PC.

10 VCatch base la versión 5

Es tal vez el menos conocido entre los que figuran hasta el momento: se trata de un virus muy pequeño (sólo 1,9 MB) que proporciona una protección básica que también incluye el apoyo ataques contra las redes P2P.

Linux vs. Windows Viruses

Linux vs. Windows Viruses
Scott Granneman,2003-10-02

To mess up a Linux box, you need to work at it; to mess up your Windows box, you just need to work on it.

We've all heard it many times when a new Microsoft virus comes out. In fact, I've heard it a couple of times this week already. Someone on a mailing list or discussion forum complains about the latest in a long line of Microsoft email viruses or worms and recommends others consider Mac OS X or Linux as a somewhat safer computing platform. In response, another person named, oh, let's call him "Bill," says, basically, "How ridiculous! The only reason Microsoft software is the target of so many viruses is because it is so widely used! Why, if Linux or Mac OS X was as popular as Windows, there would be just as many viruses written for those platforms!"Of course, it's not just "regular folks" on mailing lists who share this opinion. Businesspeople have expressed similar attitudes ... including ones who work for anti-virus companies. Jack Clarke, European product manager at McAfee, said, "So we will be seeing more Linux viruses as the OS becomes more common and popular."Mr. Clarke is wrong.Sure, there are Linux viruses. But let's compare the numbers. According to Dr. Nic Peeling and Dr Julian Satchell's Analysis of the Impact of Open Source Software (note: the link is to a 135 kb PDF file):"There are about 60,000 viruses known for Windows, 40 or so for the Macintosh, about 5 for commercial Unix versions, and perhaps 40 for Linux. Most of the Windows viruses are not important, but many hundreds have caused widespread damage. Two or three of the Macintosh viruses were widespread enough to be of importance. None of the Unix or Linux viruses became widespread - most were confined to the laboratory." >>Editor's note: unfortunately we have been made aware that this quote by Dr. Peeling and Dr. Satchell is incorrect; the independent WildList organization produces a monthly "in the wild" list of viruses. While the vast majority of viruses in their report are Windows-based, there are still some Linux-based viruses (listed as "Other") found in the wild as well.>>So there are far fewer viruses for Mac OS X and Linux. It's true that those two operating systems do not have monopoly numbers, though in some industries they have substantial numbers of users. But even if Linux becomes the dominant desktop computing platform, and Mac OS X continues its growth in businesses and homes, these Unix-based OS's will never experience all of the problems we're seeing now with email-borne viruses and worms in the Microsoft world. Why?Why are Linux and Mac OS X safer?First, look at the two factors that cause email viruses and worms to propagate: social engineering, and poorly designed software. Social engineering is the art of conning someone into doing something they shouldn't do, or revealing something that should be kept secret. Virus writers use social engineering to convince people to do stupid things, like open attachments that carry viruses and worms. Poorly designed software makes it easier for social engineering to take place, but such software can also subvert the efforts of a knowledgable, security-minded individual or organization. Together, the two factors can turn a single virus incident into a widespread disaster.Let's look further at social engineering. Windows software is either executable or not, depending on the file extension. So if a file ends with ".exe" or ".scr", it can be run as a program (yes, of course, if you change a text file's extension from ".txt" to ".exe", nothing will happen, because it's not magically an executable; I'm talking about real executable programs). It's easy to run executables in the Windows world, and users who get an email with a subject line like "Check out this wicked screensaver!" and an attachment, too often click on it without thinking first, and bang! we're off to the races and a new worm has taken over their systems.Even worse, Microsoft's email software is able to infect a user's computer when they do something as innocuous as read an email! Don't believe me? Take a look at Microsoft Security Bulletins MS99-032, MS00-043, MS01-015, MS01-020, MS02-068, or MS03-023, for instance. Notice that's at least one for the last five years. And though Microsoft's latest versions of Outlook blocks most executable attachments by default, it's still possible to override those protections. >>Editor's note: the above vulnerabilities, while valid, all had patches provided by Microsoft months before they were actively exploited by malicious code. This does not negate the fact that the vulnerabilities existed -- however there are also exploits for some Linux mail clients (Pine, mutt) that will execute code on a system when the user views the message as well. To bypass the security fix provided by Microsoft, the user must now take some specific actions as explained in the link above.>>This sort of social engineering, so easy to accomplish in Windows, requires far more steps and far greater effort on the part of the Linux user. Instead of just reading an email (... just reading an email?!?), a Linux user would have to read the email, save the attachment, give the attachment executable permissions, and then run the executable. Even as less sophisticated users begin to migrate to Linux, they may not understand exactly why they can't just execute attachments, but they will still have to go through the steps. As Martha Stewart would say, this is a good thing. Further, due to the strong community around Linux, new users will receive education and encouragement in areas such as email security that are currently lacking in the Windows world, which should help to alleviate any concerns on the part of newbies.Further, due to the strong separation between normal users and the privileged root user, our Linux user would have to be running as root to really do any damage to the system. He could damage his /home directory, but that's about it. So the above steps now become the following: read, save, become root, give executable permissions, run. The more steps, the less likely a virus infection becomes, and certainly the less likely a catastrophically spreading virus becomes. And since Linux users are taught from the get-go to never run as root, and since Mac OS X doesn't even allow users to use the root account unless they first enable the option, it's obvious the likelihood of email-driven viruses and worms lessens on those platforms.Unfortunately, running as root (or Administrator) is common in the Windows world. In fact, Microsoft is still engaging in this risky behavior. Windows XP, supposed Microsoft's most secure desktop operating system, automatically makes the first named user of the system an Administrator, with the power to do anything he wants to the computer. The reasons for this decision boggle the mind. With all the lost money and productivity over the last decade caused by countless Microsoft-borne viruses and worms, you'd think the company could have changed its procedures in this area, but no.Even if the OS has been set up correctly, with an Administrator account and a non-privileged user account, things are still not copasetic. On a Windows system, programs installed by a non-Administrative user can still add DLLs and other system files that can be run at a level of permission that damages the system itself. Even worse, the collection of files on a Windows system - the operating system, the applications, and the user data - can't be kept apart from each other. Things are intermingled to a degree that makes it unlikely that they will ever be satisfactorily sorted out in any sensibly secure fashion.The final reason why social engineering is easier in the Windows world is also an illustration of the dangers inherent in any monoculture, whether biological or technological. In the same way that genetic diversity in a population of living creatures is desirable because it reduces the likelihood that an illness - like a virus - will utterly wipe out every animal or plant, diversity in computing environments helps to protect the users of those devices.Linux runs on many architectures, not just Intel, and there are many versions of Linux, many packaging systems, and many shells. But most obvious to the end user, Linux mail clients and address books are far from standardized. KMail, Mozilla Mail, Evolution, pine, mutt, emacs ... the list goes on. It's simply not like the Windows world, in which Microsoft's email programs - Outlook and Outlook Express - dominate. In the Windows world, a virus writer knows how the monoculture operates, so he can target his virus, secure in the knowledge that millions of systems have the same vulnerability. A virus targeted to a specific vulnerability in Evolution, on the other hand, might affect some people, but not everyone using Linux. The growth of the Microsoft monoculture in computing is a dangerous thing for users of Microsoft products, but also for all computing users, who suffer the consequences of disasters in that environment, such as wasted network resources, dangers to national security, and lost productivity (note: the link is to a 880 kb PDF file).Now that we've looked at the social engineering side of things, let's examine software design for reasons why Linux (and Mac OS X) is better designed than Microsoft when it comes to email security. Microsoft continually links together its software, often not for technical reasons, but instead for marketing or business development reasons (see the previous link for corroboration). For instance, Outlook Express and Outlook both use the consistently-buggy Internet Explorer to view HTML-based emails. As a result, a hole in IE affects OE. Linux email readers don't indulge in such behavior, with two exceptions: Mozilla Mail uses the Gecko engine that powers Mozilla to view HTML-based email, while KMail relies on the KHTML engine that the Konqueror browser uses. Fortunately, both Mozilla and the KDE Project have excellent records when it comes to security.Further, the email programs themselves are designed to act in a more secure manner. The default behavior of the email program I prefer - KMail - is to not load external references in messages, such as pictures and Web bugs, and to not display HTML. When an HTML-based email shows up in my Inbox, I see only the HTML code, and a message appears at the top of the email: "This is an HTML message. For security reasons, only the raw HTML code is shown. If you trust the sender of this message then you can activate formatted HTML display for this message by clicking here." But even after I activate the HTML, certain dynamic elements that can be introduced in an HTML-based email - like Java, Javascript, plugins and even the "refresh" META tag - do not display, and cannot even be enabled in KMail.Finally, if there is an attachment, it does not automatically run ... ever. Instead, I have to click it, and when I do, I get a dialog box offering me three options: "Save As ..." (the default), "Open With ...", and "Cancel". If I have mapped a file type to a specific program - for instance, I have associated PDFs with the PS/PDF Viewer, then "Open With ..." instead says "Open", and if I choose "Open", then the file opens in the PS/PDF Viewer. However, in either case, the dialog box always contains a warning advising the user that attachments can compromise security. This is all good, very good.For all these reasons, even if a few individuals got infected with a virus due to extremely foolish behavior, it's unlikely the virus would spread to other machines. Unlike Sobig.F, which is the fastest spreading virus ever, a Linux-based Virus would fizzle out quickly. Windows is an inviting petri dish for viruses and worms, while Linux is a hostile environment for such nasties.Some caveatsThere is one Linux distribution that is ignoring many years of common sense, good design, and an awareness of secure operating environments in favor of a Microsoft-like deprecation of security before the nebulous term "ease of use": Lindows. By default, Lindows runs the user of the system as root (and it even encourages the user to forgo setting up a root password during installation by labeling it as "optional"!), an unbelievably shortsighted decision that results in a Linux box with the same security as a Windows 9.x machine.If you go to the Lindows Web site, they state that it is possible to add other, non-privileged users, but nowhere in the operating system do they advocate adding these other users. Yet they claim their distribution of Linux is secure! In an effort to emulate Microsoft and make things "easy", they have compromised the security of their users, an unforgivable action. No one in the field of security, or even IT, can recommend Lindows while such a blatant disregard for security is the norm for the OS.Yet some Linux machines definitely need anti-virus software. Samba or NFS servers, for instance, may store documents in undocumented, vulnerable Microsoft formats, such as Word and Excel, that contain and propagate viruses. Linux mail servers should run AV software in order to neutralize viruses before they show up in the mailboxes of Outlook and Outlook Express users.Security is, as we all know, a process, not a product. So when you use Linux, you're not using a perfectly safe OS. There is no such thing. But Linux and Mac OS X establish a more secure footing than Microsoft Windows, one that makes it far harder for viruses to take hold in the first place, but if one does take hold, harder to damage the system, but if one succeeds in damaging the system, harder to spread to other machines and repeat the process. When it comes to email-borne viruses and worms, Linux may not be completely immune - after all, nothing is immune to human gullibility and stupidity - but it is much more resistant. To mess up a Linux box, you need to work at it; to mess up your Windows box, you just need to work on it. I know which one I'll trust. How about you?