Antivirus
¿Qué
es un antivirus?
Es un programa creado para
prevenir o evitar la activación de los virus, así como su propagación y
contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción
de los archivos y las áreas infectadas del sistema.
Un antivirus tiene tres
principales funciones y componentes:
·
VACUNA es un programa que
instalado residente en la memoria, actúa como "filtro" de los
programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo
real.
·
DETECTOR, que es el programa que
examina todos los archivos existentes en el disco o a los que se les indique en
una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento
exacto de los códigos virales que permiten capturar sus pares, debidamente
registrados y en forma sumamente rápida desarman su estructura.
·
ELIMINADOR es el programa que una
vez desactivada la estructura del virus procede a eliminarlo e inmediatamente
después a reparar o reconstruir los archivos y áreas afectadas.
Es importante aclarar que todo
antivirus es un programa y que, como todo programa, sólo funcionará
correctamente si es adecuado y está bien configurado. Además, un antivirus es
una herramienta para el usuario y no sólo no será eficaz para el 100% de los
casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus
es detectar, de alguna manera, la presencia o el accionar de un virus
informático en una computadora. Este es el aspecto más importante de un
antivirus, independientemente de las prestaciones adicionales que pueda
ofrecer, puesto que el hecho de detectar la posible presencia de un virus
informático, detener el trabajo y tomar las medidas necesarias, es suficiente
para acotar un buen porcentaje de los daños posibles. Adicionalmente, un
antivirus puede dar la opción de erradicar un virus informático de una entidad
infectada.
El modelo más primario de las
funciones de un programa antivirus es la detección de su presencia y, en lo
posible, su identificación. La primera técnica que se popularizó para la
detección de virus informáticos, y que todavía se sigue utilizando (aunque cada
vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en
revisar el código de todos los archivos contenidos en la unidad de
almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas
porciones de código que puedan pertenecer a un virus informático. Este
procedimiento, denominado escaneo, se realiza a partir de una base de datos que
contiene trozos de código representativos de cada virus conocido, agregando el
empleo de determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue
bastante eficaz en los primeros tiempos de los virus informáticos, cuando había
pocos y su producción era pequeña. Este relativamente pequeño volumen de virus
informáticos permitía que los desarrolladores de antivirus escaneadores
tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo
iba a identificar y agregarlo a la base de datos del programa para lanzar una
nueva versión. Sin embargo, la obsolescencia de este mecanismo de
identificación como una solución antivirus completa se encontró en su mismo
modelo.
El primer punto grave de este
sistema radica en que siempre brinda una solución a posteriori: es necesario
que un virus informático alcance un grado de dispersión considerable para que
sea enviado (por usuarios capacitados, especialistas o distribuidores del
producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el
trozo de código que lo identificará, y lo incluirán en la próxima versión de su
programa antivirus. Este proceso puede demorar meses a partir del momento en
que el virus comienza a tener una dispersión considerable, lapso en el cual
puede causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en
una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria
jamás constituirá una solución definitiva), que deben actualizarse
periódicamente debido a la aparición de nuevos virus.
En síntesis, la técnica de
scanning es altamente ineficiente, pero se sigue utilizando debido a que
permite identificar rápidamente la presencia de los virus más conocidos y, como
son estos los de mayor dispersión, permite una importante gama de
posibilidades. Un ejemplo típico de un antivirus de esta clase es el Viruscan de
McAfee.
En virtud del pronto agotamiento
técnico de la técnica de scanning, los desarrolladores de programas antivirus
han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y
de sus actividades), que no identifican específicamente al virus sino a algunas
de sus características generales y comportamientos universalizados.
Este tipo de método rastrea
rutinas de alteración de información que no puedan ser controladas por el
usuario, modificación de sectores críticos de las unidades de almacenamiento
(master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este
tipo de métodos es el que utiliza algoritmos heurísticos.
De hecho, esta naturaleza de
procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente
pertenecientes a un virus informático. Resulta eficaz para la detección de
virus conocidos y es una de las soluciones utilizadas por los antivirus para la
detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo
radica en que puede llegar a sospecharse de muchisimas cosas que no son virus.
Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la
estructura del sistema operativo, a fin de poseer herramientas que le faciliten
una discriminación de cualquier falsa alarma generada por un método heurístico.
Algunos de los antivirus de esta
clase son: F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra
forma de detectar la presencia de un virus informático en un sistema consiste
en monitorear las actividades de la PC señalando si algún proceso intenta
modificar los sectores críticos de los dispositivos de almacenamiento o los
archivos ejecutables. Los programas que realizan esta tarea se denominan
chequeadores de integridad. Sobre la base de estas consideraciones, podemos
consignar que un buen sistema antivirus debe estar compuesto por un programa
detector de virus, que siempre esté residente en memoria y un programa que
verifique la integridad de los sectores críticos del disco rígido y sus
archivos ejecutables. Existen productos antivirus que cubren los dos aspectos,
o bien pueden combinarse productos diferentes configurados de forma que no se
produzcan conflictos entre ellos.
No hay comentarios:
Publicar un comentario