¿Qué es un antivirus?
Es un programa cuya función es detectar y eliminar virus informáticos y otros programas maliciosos (a veces denominados malware). Funcionamiento Básico
Compara el código de cada archivo con una base de datos de los códigos (también conocidos comofirmas) de los virus conocidos. Es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado.
Funcionamiento Avanzado
También se les ha agregado funciones avanzadas, como la búsqueda de comportamientos típicos de virus (técnica conocida como Heurística)
Método Heurístico
Técnicas heurísticas
Firmas Genéricas
Muchos códigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus.
Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.
Reconocimiento de código compilado
Cuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar ciertas acciones (payload). Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.
Desensamblado
Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos productos antivirus es capaz de analizar el código fuente de los programas sospechosos con el fin de reconocer en él técnicas de desarrollo que normalmente sean usadas por los programadores de virus y así reconocer un código malicioso nuevo sin la necesidad de una actualización.
Desempaquetamiento
Los programadores de códigos maliciosos suelen usar empaquetadores o encubridores de archivos con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Empaquetadores como UPX, o Themida son ampliamente utilizados para esto. Para evitar ser engañado, el antivirus analiza el código real del programa, y no el empaquetado.
Otros componentes
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy común que tengan componentes que revisen los adjuntos de los correos electrónicos salientes y entrantes, así como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).
Vacunas
Programa especialmente encargado de encontrar la presencia de un virus específico o de un tipo es particular de virus.Tipos de vacunas
Sólo detección: son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.
Detección y eliminación de archivo/objeto: son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infección.
Funcionamiento de vacunas
Comparación directa: son vacunas que comparan directamente los archivos para revisar si alguno esta infectado
Comparación por firma: son vacunas comparan las firma de archivos sospechosos para saber si están infectados.
Por métodos Heurísticos: son vacunas que usan métodos heurísticos para comparar el comportamiento típico del malware específico.
Firewalls
Un cortafuegos (o firewall) es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red.
Payload
- En términos de virus informáticos, payload es el o los efectos nocivos que ocasiona cualquier malware a los sistemas de los equipos que infectan.
- El objetivo de un desarrollador de malware, es generar un payload, no solamente dañino, sino que además genere efectos secundarios nocivos (daño de archivos, borrado formateo de discos, propagación a través de otros servicios de Internet, deshabilitar antivirus, firewalls, y hasta herramientas de sistema, mensajes o cajas de diálogo en pantalla).
- Toda expresión y/o daño que la mente de los creadores de virus puedan crear y desarrollar.
Este es un mapa conceptual con las características principales de algunos antivirus utilizados en todo el mundo.
Enlaces de la información
Me parece muy interesante, las ventajas que nos puede dar un buen antivirus, como la protección de todo tipo a su ordenador, y también las desventajas que puede traer uno gratuito con respecto a la protección, cuido de datos y demás cosas de su computadora.
ResponderEliminarMe gusto mucho el blog, buena información y muy completa aunque a veces trae más de la necesaria. en general, muy bueno el blog.
La verdad es que si es muy interesante en todo lo que nos puede ayudar y muchas veces ni lo notamos, en cuanto a su crítica al blog yo personalmente creo que para aprender nunca es demasiado y que este tema me parece muy interesante. Muchas gracias.
Eliminar