2.7 Antivirus
Los antivirus son una herramienta
simple cuyo objetivo es detectar y eliminar virus informáticos. Nacieron
durante la década de 1980.
Hoy en día, el uso de un software
antivirus es tan importante que nadie debería atreverse a utilizar una
computadora sin la protección de este software tan importante para nuestra
seguridad.
¿Qué es un antivirus?
Es un programa creado para prevenir o
evitar la activación de los virus, así como su propagación y contagio. Cuenta
además con rutinas de detención, eliminación y reconstrucción de los archivos y
las áreas infectadas del sistema.
Un antivirus tiene tres principales
funciones y componentes:
o VACUNA es un programa que instalado residente en la
memoria, actúa como "filtro" de los programas que son ejecutados,
abiertos para ser leídos o copiados, en tiempo real.
o DETECTOR, que es el programa que examina todos
los archivos existentes en el disco o a los que se les indique en una
determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto
de los códigos virales que permiten capturar sus pares, debidamente registrados
y en forma sumamente rápida desarman su estructura.
o ELIMINADOR es el programa que una vez desactivada
la estructura del virus procede a eliminarlo e inmediatamente después a reparar
o reconstruir los archivos y áreas afectadas.
Es importante aclarar que todo
antivirus es un programa y que, como todo programa, sólo funcionará
correctamente si es adecuado y está bien configurado. Además, un antivirus es
una herramienta para el usuario y no sólo no será eficaz para el 100% de los
casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es
detectar, de alguna manera, la presencia o el accionar de un virus informático
en una computadora. Este es el aspecto más importante de un antivirus,
independientemente de las prestaciones adicionales que pueda ofrecer, puesto
que el hecho de detectar la posible presencia de un virus informático, detener
el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen
porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la
opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones
de un programa antivirus es la detección de su presencia y, en lo posible, su
identificación. La primera técnica que se popularizó para la detección de virus
informáticos, y que todavía se sigue utilizando (aunque cada vez con menos
eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el
código de todos los archivos contenidos en la unidad de almacenamiento
-fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de
código que puedan pertenecer a un virus informático. Este procedimiento,
denominado escaneo, se realiza a partir de una base de datos que contiene
trozos de código representativos de cada virus conocido, agregando el empleo de
determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante
eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y
su producción era pequeña. Este relativamente pequeño volumen de virus
informáticos permitía que los desarrolladores de antivirus escaneado res tuvieran
tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a
identificar y agregarlo a la base de datos del programa para lanzar una nueva
versión. Sin embargo, la obsolescencia de este mecanismo de identificación como
una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema
radica en que siempre brinda una solución a posteriori: es necesario que un
virus informático alcance un grado de dispersión considerable para que sea
enviado (por usuarios capacitados, especialistas o distribuidores del producto)
a los desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de
código que lo identificará, y lo incluirán en la próxima versión de su programa
antivirus. Este proceso puede demorar meses a partir del momento en que el
virus comienza a tener una dispersión considerable, lapso en el cual puede
causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en una
sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás
constituirá una solución definitiva), que deben actualizarse periódicamente
debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es
altamente ineficiente, pero se sigue utilizando debido a que permite identificar
rápidamente la presencia de los virus más conocidos y, como son estos los de
mayor dispersión, permite una importante gama de posibilidades. Un ejemplo
típico de un antivirus de esta clase es el Viruscan de McAfee.
En virtud del pronto agotamiento técnico
de la técnica de scanning, los desarrolladores de programas antivirus han
dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de
sus actividades), que no identifican específicamente al virus sino a algunas de
sus características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de
alteración de información que no puedan ser controladas por el usuario,
modificación de sectores críticos de las unidades de almacenamiento (master
boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de
métodos es el que utiliza algoritmos heurísticos.
De hecho, esta naturaleza de
procedimientos busca, de manera bastante eficiente, códigos de instrucciones
potencialmente pertenecientes a un virus informático. Resulta eficaz para la
detección de virus conocidos y es una de las soluciones utilizadas por los
antivirus para la detección de nuevos virus. El inconveniente que presenta este
tipo de algoritmo radica en que puede llegar a sospecharse de muchísimas cosas
que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un
poco acerca de la estructura del sistema operativo, a fin de poseer
herramientas que le faciliten una discriminación de cualquier falsa alarma
generada por un método heurístico.
Algunos de los antivirus de esta clase
son: F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra forma
de detectar la presencia de un virus informático en un sistema consiste en
monitorear las actividades de la PC señalando si algún proceso intenta
modificar los sectores críticos de los dispositivos de almacenamiento o los
archivos ejecutables. Los programas que realizan esta tarea se denominan
chequeadores de integridad. Sobre la base de estas consideraciones, podemos
consignar que un buen sistema antivirus debe estar compuesto por un programa
detector de virus, que siempre esté residente en memoria y un programa que
verifique la integridad de los sectores críticos del disco rígido y sus
archivos ejecutables. Existen productos antivirus que cubren los dos aspectos,
o bien pueden combinarse productos diferentes configurados de forma que no se
produzcan conflictos entre ellos.
No hay comentarios.:
Publicar un comentario