¿Que es un antivirus?
Es un programa creado para prevenir o evitar la
activación de los virus, así como su propagación y contagio. Cuenta además con
rutinas de detención, eliminación y reconstrucción de los archivos y las áreas
infectadas del sistema.
Un antivirus tiene tres principales funciones y
componentes:
- VACUNA es un programa que instalado residente en la memoria, actúa como "filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.
- DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.
- ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.
Es importante aclarar que todo antivirus es un
programa y que, como todo programa, sólo funcionará correctamente si es
adecuado y está bien configurado. Además, un antivirus es una herramienta para
el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca
será una protección total ni definitiva.
La función de un programa antivirus es detectar, de
alguna manera, la presencia o el accionar de un virus informático en una
computadora. Este es el aspecto más importante de un antivirus,
independientemente de las prestaciones adicionales que pueda ofrecer, puesto
que el hecho de detectar la posible presencia de un virus informático, detener
el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen
porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la
opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones de un programa
antivirus es la detección de su presencia y, en lo posible, su identificación. La
primera técnica que se popularizó para la detección de virus informáticos, y
que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica
de scanning. Esta técnica consiste en revisar el código de todos los
archivos contenidos en la unidad de almacenamiento -fundamentalmente los
archivos ejecutables- en busca de pequeñas porciones de código que puedan
pertenecer a un virus informático. Este procedimiento, denominado escaneo, se
realiza a partir de una base de datos que contiene trozos de código
representativos de cada virus conocido, agregando el empleo de determinados
algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los
primeros tiempos de los virus informáticos, cuando había pocos y su producción
era pequeña. Este relativamente pequeño volumen de virus informáticos permitía
que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar
el virus, extraer el pequeño trozo de código que lo iba a identificar y
agregarlo a la base de datos del programa para lanzar una nueva versión. Sin
embargo, la obsolescencia de este mecanismo de identificación como una solución
antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que
siempre brinda una solución a posteriori: es necesario que un virus informático
alcance un grado de dispersión considerable para que sea enviado (por usuarios
capacitados, especialistas o distribuidores del producto) a los desarrolladores
de antivirus. Estos lo analizarán, extraerán el trozo de código que lo
identificará, y lo incluirán en la próxima versión de su programa antivirus.
Este proceso puede demorar meses a partir del momento en que el virus comienza
a tener una dispersión considerable, lapso en el cual puede causar graves daños
sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita
de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una
solución definitiva), que deben actualizarse periódicamente debido a la
aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente
ineficiente, pero se sigue utilizando debido a que permite identificar
rápidamente la presencia de los virus más conocidos y, como son estos los de
mayor dispersión, permite una importante gama de posibilidades. Un ejemplo
típico de un antivirus de esta clase es el Viruscan de McAfee.
En virtud del pronto agotamiento técnico de la técnica
de scanning, los desarrolladores de programas antivirus han dotado a sus
creaciones de métodos para búsquedas de virus informáticos (y de sus
actividades), que no identifican específicamente al virus sino a algunas de sus
características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de alteración de
información que no puedan ser controladas por el usuario, modificación de
sectores críticos de las unidades de almacenamiento (master boot record, boot
sector, FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que
utiliza algoritmos heurísticos.
De hecho, esta naturaleza de procedimientos busca, de
manera bastante eficiente, códigos de instrucciones potencialmente
pertenecientes a un virus informático. Resulta eficaz para la detección de
virus conocidos y es una de las soluciones utilizadas por los antivirus para la
detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo
radica en que puede llegar a sospecharse de muchisimas cosas que no son virus.
Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura
del sistema operativo, a fin de poseer herramientas que le faciliten una
discriminación de cualquier falsa alarma generada por un método heurístico.
Algunos de los antivirus de esta clase son: F-Prot,
Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra forma de
detectar la presencia de un virus informático en un sistema consiste en
monitorear las actividades de la PC señalando si algún proceso intenta
modificar los sectores críticos de los dispositivos de almacenamiento o los
archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores
de integridad. Sobre la base de estas consideraciones, podemos consignar
que un buen sistema antivirus debe estar compuesto por un programa detector de
virus, que siempre esté residente en memoria y un programa que verifique la
integridad de los sectores críticos del disco rígido y sus archivos
ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien
pueden combinarse productos diferentes configurados de forma que no se
produzcan conflictos entre ellos.
Modelo Antivirus
La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:
La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:
1. Módulo de control: Posee la técnica verificación de integridad que
posibilita el registro de cambios en los archivos ejecutables y las zonas
críticas de un disco rígido. Se trata, en definitiva, de una herramienta
preventiva para mantener y controlar los componentes de información de un
disco rígido que no son modificados a menos que el usuario lo requiera. Otra
opción dentro de este módulo es la identificación de virus, que incluye
diversas técnicas para la detección de virus informáticos. Las formas más
comunes de detección son el scanning y los algoritmos, como por
ejemplo, los heurísticos. Asimismo, la identificación de código dañino
es otra de las herramientas de detección que, en este caso, busca instrucciones
peligrosas incluidas en programas, para la integridad de la información del
disco rígido. Esto implica descompilar (o desensamblar) en forma automática los
archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.
Finalmente, el módulo de control también posee una administración de recursos
para efectuar un monitoreo de las rutinas a través de las cuales se accede al
hardware de la computadora (acceso a disco, etc.). De esta manera puede
limitarse la acción de un programa restringiéndole el uso de estos recursos,
como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o
evitar que se ejecuten funciones de formato del mismo.
2. Módulo de respuesta: La función alarma se encuentra incluida en
todos los programas antivirus y consiste en detener la acción del sistema ante
la sospecha de la presencia de un virus informático, e informar la situación a
través de un aviso en pantalla. Algunos programas antivirus ofrecen, una vez
detectado un virus informático, la posibilidad de erradicarlo. Por consiguiente,
la función reparar se utiliza como una solución momentánea para mantener la
operatividad del sistema hasta que pueda instrumentarse una solución adecuada.
Por otra parte, existen dos técnicas para evitar el contagio de entidades
ejecutables: evitar que se contagie todo el programa o prevenir que la
infección se expanda más allá de un ámbito fijo. Aunque la primera opción es la
más adecuada, plantea grandes problemas de implementación.
No hay comentarios:
Publicar un comentario