¿Que es un antivirus?
Es un programa creado para prevenir o
evitar la activación de los virus, así como su propagación y contagio.
Cuenta además con rutinas de detención, eliminación y reconstrucción
de los archivos y las áreas infectadas del sistema.
Un antivirus tiene tres principales
funciones y componentes:
- VACUNA
es un programa que instalado residente en la memoria, actúa como
"filtro" de los programas que
son ejecutados, abiertos para ser leídos o copiados, en
tiempo real.
- DETECTOR,
que es el programa que examina todos los archivos existentes en el
disco o a los que se les indique en una determinada ruta o PATH.
Tiene instrucciones de control y
reconocimiento exacto de
los códigos virales que permiten capturar sus pares, debidamente
registrados y en forma sumamente rápida desarman su estructura.
-
ELIMINADOR es el programa que una vez desactivada la
estructura del virus procede a eliminarlo e inmediatamente después a
reparar o reconstruir los archivos y áreas afectadas.
Es importante
aclarar que todo antivirus es un programa y que, como todo
programa, sólo funcionará correctamente si es adecuado y está bien
configurado. Además, un antivirus es una herramienta para el usuario y
no sólo no será eficaz para el 100% de los casos, sino que nunca será
una protección total ni definitiva.
La función de un
programa antivirus es detectar, de alguna manera, la presencia o el
accionar de un virus informático en una computadora. Este es el
aspecto más importante de un antivirus, independientemente de las
prestaciones adicionales que pueda ofrecer, puesto que el hecho de
detectar la posible presencia de un virus informático, detener el
trabajo y tomar las medidas necesarias, es suficiente para acotar un
buen porcentaje de los daños posibles. Adicionalmente, un antivirus
puede dar la opción de erradicar un virus informático de una entidad
infectada.
El modelo más
primario de las funciones de un programa antivirus es la detección de
su presencia y, en lo posible, su identificación. La primera técnica
que se popularizó para la detección de virus informáticos, y que
todavía se sigue utilizando (aunque cada vez con menos eficiencia), es
la técnica de scanning. Esta técnica consiste en revisar el
código de todos los archivos contenidos en la unidad de almacenamiento
-fundamentalmente los archivos ejecutables- en busca de pequeñas
porciones de código que puedan pertenecer a un virus informático. Este
procedimiento, denominado escaneo, se realiza a partir de una base de
datos que contiene trozos de código representativos de cada virus
conocido, agregando el empleo de determinados algoritmos que agilizan
los procesos de búsqueda.
La técnica de
scanning fue bastante eficaz en los primeros tiempos de los virus
informáticos, cuando había pocos y su producción era pequeña. Este
relativamente pequeño volumen de virus informáticos permitía que los
desarrolladores de antivirus escaneadores tuvieran tiempo de analizar
el virus, extraer el pequeño trozo de código que lo iba a identificar
y agregarlo a la base de datos del programa para lanzar una nueva
versión. Sin embargo, la obsolescencia de este mecanismo de
identificación como una solución antivirus completa se encontró en su
mismo modelo.
El primer punto
grave de este sistema radica en que siempre brinda una solución a
posteriori: es necesario que un virus informático alcance un grado de
dispersión considerable para que sea enviado (por usuarios
capacitados, especialistas o distribuidores del producto) a los
desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo
de código que lo identificará, y lo incluirán en la próxima versión de
su programa antivirus. Este proceso puede demorar meses a partir del
momento en que el virus comienza a tener una dispersión considerable,
lapso en el cual puede causar graves daños sin que pueda ser
identificado.
Además, este
modelo consiste en una sucesión infinita de soluciones parciales y
momentáneas (cuya sumatoria jamás constituirá una solución
definitiva), que deben actualizarse periódicamente debido a la
aparición de nuevos virus.
En síntesis, la
técnica de scanning es altamente ineficiente, pero se sigue utilizando
debido a que permite identificar rápidamente la presencia de los virus
más conocidos y, como son estos los de mayor dispersión, permite una
importante gama de posibilidades. Un ejemplo típico de un antivirus de
esta clase es el Viruscan de McAfee.
En virtud del
pronto agotamiento técnico de la técnica de scanning, los
desarrolladores de programas antivirus han dotado a sus creaciones de
métodos para búsquedas de virus informáticos (y de sus actividades),
que no identifican específicamente al virus sino a algunas de sus
características generales y comportamientos universalizados.
Este tipo de
método rastrea rutinas de alteración de información que no puedan ser
controladas por el usuario, modificación de sectores críticos de las
unidades de almacenamiento (master boot record, boot sector, FAT,
entre otras), etc. Un ejemplo de este tipo de métodos es el que
utiliza algoritmos heurísticos.
De hecho, esta
naturaleza de procedimientos busca, de manera bastante eficiente,
códigos de instrucciones potencialmente pertenecientes a un virus
informático. Resulta eficaz para la detección de virus conocidos y es
una de las soluciones utilizadas por los antivirus para la detección
de nuevos virus. El inconveniente que presenta este tipo de algoritmo
radica en que puede llegar a sospecharse de muchisimas cosas que no
son virus. Esto hace necesario que el usuario que lo utiliza conozca
un poco acerca de la estructura del sistema operativo, a fin de poseer
herramientas que le faciliten una discriminación de cualquier falsa
alarma generada por un método heurístico.
Algunos de los
antivirus de esta clase son: F-Prot, Norton Anti Virus y Dr.
Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia
de un virus informático en un sistema consiste en monitorear las
actividades de la PC señalando si algún proceso intenta modificar los
sectores críticos de los dispositivos de almacenamiento o los archivos
ejecutables. Los programas que realizan esta tarea se denominan
chequeadores de integridad. Sobre la base de estas
consideraciones, podemos consignar que un buen sistema antivirus debe
estar compuesto por un programa detector de virus, que siempre esté
residente en memoria y un programa que verifique la integridad de los
sectores críticos del disco rígido y sus archivos ejecutables. Existen
productos antivirus que cubren los dos aspectos, o bien pueden
combinarse productos diferentes configurados de forma que no se
produzcan conflictos entre ellos.
Modelo Antivirus
La estructura de un programa antivirus, está compuesta por dos módulos
principales: el primero denominado de control y el segundo denominado
de respuesta. A su vez, cada uno de ellos se divide en varias partes:
1. Módulo de
control: Posee la técnica verificación de integridad que
posibilita el registro de cambios en los archivos ejecutables y las
zonas críticas de un disco rígido. Se trata, en definitiva, de una
herramienta preventiva para mantener y controlar los componentes
de información de un disco rígido que no son modificados a menos que
el usuario lo requiera. Otra opción dentro de este módulo es la
identificación de virus, que incluye diversas técnicas para la
detección de virus informáticos. Las formas más comunes de detección
son el scanning y los algoritmos, como por ejemplo, los
heurísticos. Asimismo, la identificación de código dañino es
otra de las herramientas de detección que, en este caso, busca
instrucciones peligrosas incluidas en programas, para la integridad de
la información del disco rígido. Esto implica descompilar (o
desensamblar) en forma automática los archivos almacenados y ubicar
sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo
de control también posee una administración de recursos para efectuar
un monitoreo de las rutinas a través de las cuales se accede al
hardware de la computadora (acceso a disco, etc.). De esta manera
puede limitarse la acción de un programa restringiéndole el uso de
estos recursos, como por ejemplo impedir el acceso a la escritura de
zonas críticas del disco o evitar que se ejecuten funciones de formato
del mismo.
2. Módulo de
respuesta: La función alarma se encuentra incluida en todos
los programas antivirus y consiste en detener la acción del sistema
ante la sospecha de la presencia de un virus informático, e informar
la situación a través de un aviso en pantalla. Algunos programas
antivirus ofrecen, una vez detectado un virus informático, la
posibilidad de erradicarlo. Por consiguiente, la función reparar se
utiliza como una solución momentánea para mantener la operatividad del
sistema hasta que pueda instrumentarse una solución adecuada. Por otra
parte, existen dos técnicas para evitar el contagio de entidades
ejecutables: evitar que se contagie todo el programa o prevenir que la
infección se expanda más allá de un ámbito fijo. Aunque la primera
opción es la más adecuada, plantea grandes problemas de
implementación.
La A.V.P.D.
(Antivirus Product Developers, Desarrolladores de Productos
Antivirus) es una asociación formada por las principales empresas
informáticas del sector, entre las que se cuentan:
· Cheyenne Software
· B. M.
· Intel
· McAfee Associates
· ON Tecnology
· Stiller Research Inc
· S&S International
· Symantec Corp.
· ThunderByte
Comparte este articulo :
/
Compartir en Facebook
/
VER MAS CURSOS Y TUTORIALES |