Antivirus características
El antivirus es un software diseñado para identificar, neutralizar y eliminar malware (incluyendo virus informáticos).
Estos suelen basarse en la explotación de vulnerabilidades de seguridad, pero también puede ser software que modifican o borran archivos, documentos del usuario almacenadas en el ordenador infectado, o archivos necesarios para buen funcionamiento del equipo (por lo general las del sistema operativo).
Funcionamiento de los antivirus
El software antivirus revisa los archivos y correos electrónicos, sectores de arranque (para detectar virus de arranque), también la memoria de la computadora, medios extraíbles (unidades USB, CD, DVD, etc.), los datos que viajan en todas las redes (incluyendo Internet), etc.
Diferentes métodos son posibles:
El principal foco de mercado en los archivos antivirus y luego comparar virales códigos de firmas de virus para comprobar;
Heurística es el método más poderoso, que buscan descubrir el código malicioso por su comportamiento. Se intenta detectar mediante el análisis del código de un programa desconocido. A veces las falsas alarmas pueden ser causados;
La forma de análisis se basa en reglas de filtrados basadas entre regexp u otro tratamiento en un fichero basura. Este último método puede ser muy eficaz para los servidores de correo electrónico que admitan tipo de expresión regular desde postfix no se basa en un archivo de firma.
El software antivirus puede escanear el contenido de un disco duro y también la memoria de la computadora. Para obtener los últimos antivirus, actúan antes de la máquina mediante el escaneo de intercambio de archivos con el exterior, tanto de flujo descendente (descarga) y la cantidad (upload o subida). Por lo tanto, se examinan los mensajes de correo electrónico, así como los archivos copiados desde medios extraíbles como CD-ROM, disquetes, conexiones de red, llaves USB.
Hay varios tipos de software antivirus como su funcionamiento. El primer método es el diccionario.
Diccionario de avivirus
Los fabricantes de software antivirus han identificado la información sobre los virus registrada, al igual que un diccionario, y el software antivirus puede detectar y localizar la presencia de un virus previamente. Cuando esto sucede, el virus tiene tres opciones:
– Completar la eliminación de los archivos infectados.
– Trate de reparar el archivo dañado mediante la eliminación del virus;
– Mover el archivo a un área de cuarentena de modo que pueda ser accesible para otros usuarios y software. Esto evita que el virus se propague (para la auto-replicación), y, posiblemente, puede reparar el archivo más tarde;
Para maximizar el rendimiento del virus, es esencial para llevar a cabo actualizaciones frecuentes mediante la descarga de nuevas versiones. Los usuarios de Internet con buen conocimiento de la computadora pueden identificar virus y enviar información a los desarrolladores de software del antivirus para que actualicen sus bases de datos.
Por lo general, se revisa el antivirus de cada archivo cuando se crea, abre, cierra o lee. De esta manera, el virus se puede identificar de inmediato. Es posible programar el sistema administrativo para llevar a cabo periódicamente una revisión de todos los archivos en el espacio de almacenamiento (disco duro, etc.).
Aunque el software antivirus es muy fiables y se actualizan regularmente, los creadores de virus son tienen a menudo una gran inventiva. En particular, los «oligomórficos» virus «polimórficos» y más recientemente «metamórficos» es más difícil de detectar.
Lista blanca de antivirus
La «lista blanca» es una técnica cada vez más utilizada para luchar contra el malware. En lugar de buscar el software conocido como malware, que impide la ejecución de cualquier software, excepto para aquellos que se consideran fiables por el administrador del sistema. Al adoptar este método de bloqueo predeterminado evita los problemas inherentes a la actualización del archivo de firmas de virus. Además, se puede evitar la ejecución de software no deseado.
Dado que las empresas modernas tienen muchas aplicaciones consideradas como fiables, la eficacia de esta técnica depende de la capacidad del director para establecer y actualizar la lista blanca. Esto se puede facilitar por el uso de la automatización de herramientas de inventario y proceso de mantenimiento.
Comportamiento sospechoso del antivirus
Otro enfoque para localizar el virus es detectar comportamientos sospechosos de los programas. Por ejemplo, si un programa intenta escribir datos en un programa en ejecución, el antivirus detecta este comportamiento sospechoso y notifica al usuario que elija la acción a seguir.
A diferencia del enfoque anterior, el método utilizado para detectar comportamientos sospechosos de virus muy reciente que todavía no se conocen en el diccionario de los antivirus. Sin embargo, el hecho de que los usuarios están constantemente advertidos de falsas alarmas puede hacerlos insensibles a las amenazas reales. Si los usuarios responder «Aceptar» a todas estas alertas, el antivirus les proporcionará protección adicional. Este problema se ha agravado desde 1997, ya que muchos programas han cambiado algunos archivos ejecutables inofensivos sin observar estas falsas alarmas. Es por eso que los antivirus más modernos utilizan menos este método. La inteligencia artificial del nuevo antivirus les permite elegir la decisión de ser sin notificar al usuario, lo que permite utilizar este método nuevo. Más filtros han mejorado significativamente y menos falsos positivos.
Antivirus: Otros enfoques
Análisis heurístico es utilizado por algunos antivirus. Por ejemplo, el antivirus puede analizar el inicio de cada código de todas las nuevas solicitudes antes de transferir el control al usuario. Si el programa que parece ser un virus, entonces se le notificará al usuario. Sin embargo, este método también puede conducir a falsas alarmas. Heurística pueden detectar variantes del virus, y la comunicación de forma automática los resultados del análisis al editor, se puede verificar la exactitud y actualizar su base de datos de definiciones de virus.
El método de la caja de arena (sandbox en Inglés) es emular el sistema operativo y ejecutar el archivo en esta simulación. Una vez que el programa finalice, el software analiza los resultados de la caja de arena para detectar cambios que podrían contener virus. Debido a los problemas de rendimiento, tal detección ocurre generalmente durante el escaneo bajo demanda. Este método puede fallar porque el virus puede ser no-determinista y el resultado de diferentes acciones o incluso tal vez ninguna acción cuando se ejecuta. Es imposible de detectar a partir de una sola ejecución.
Historia del antivirus
Varias compañías reclaman el título del primer creador de software antivirus. El primer anuncio público de una neutralización de un virus de PC fue hecha por Europea Bernt Fix (o Bernd) a principios de 1987, el virus Viena. Después de este virus, varios virus han surgido como ping-pong, Lehigh y Surviv-3, también conocido como Jerusalén.
Desde 1988, varias empresas con el objetivo de una mayor investigación en el campo del software antivirus se reunieron. Los avances relacionados con el primer antivirus ocurrió en marzo de 1988 con el lanzamiento de Den Zuk, creado por Indonesia Denny Yanuar Ramdhani. Den Zuk podría neutralizar el virus del cerebro. En abril de 1988, el foro Virus-L fue creado en Usenet, y mediados de 1988 ha visto el desarrollo de una unidad de investigación capaces de detectar virus y troyanos que fueron conocidas para el público. En el otoño de 1988 apareció el software antivirus de Dr. Solomon (en) Toolkit diseñado por el británico Alan Solomon. A finales de diciembre de 1990, el mercado ha llegado hasta el punto de ofrecer a los consumidores 19 productos diferentes relacionados con antivirus, entre ellos, Norton Antivirus y McAfee VirusScan.
Peter Tippett ha involucrado mucho en el emergente campo de la detección de virus de computadora. Era un médico de urgencias de profesión y también tenía su compañía de software. Leyó un artículo sobre el virus Lehigh, que fue el primero en ser desarrollado, pero en realidad es en Lehigh Tippett mismo era la más poblada. Se preguntó si existía características similares entre estos virus y los que atacan a los humanos. Desde un punto de vista epidemia, ha sido capaz de determinar cómo el virus afectó el mismo equipo procesador (sector de arranque se vio afectada por el virus del cerebro, los archivos .com por el virus Lehigh, mientras que la virus Jerusalén atacó tanto el .com y .exe). Sociedad Tippett, Certus International Corp. era por lo tanto participar en la creación de software antivirus. Vendió la empresa en 1992 con Symantec Corp. Tippett y se unió a ellos mediante la aplicación de un software diseñado en nombre de Symantec, Norton AntiVirus.