Antivirus

 

Los antivirus nacieron en la década de los años 80 con el propósito de detectar y eliminar los virus informáticos.

Con el pasar de los años y con la aparición de sistemas operativos mas avanzados  e Internet las casa de antivirus han evolucionado para detectar amenazas de forma proactiva.

El funcionamiento de los antivirus esta hoy en día segmentado en dos grandes bloques, el primero está enfocado para el usuario común o de hogar y para las empresas.

Básicamente la arquitectura no varia mucho entre las distintas casa de antivirus, el cual esta compuesto por una base de datos que  contiene las firmas y las vacunas,   mas la detección de forma proactiva, la cual esta basada en la heurística,  ésta última es la que hace la diferencia entre una casa de antivirus con la otra .

Dependiendo de las políticas de seguridad  que cada casa de antivirus determine para lo cual utilizan en general módulos de protección, tales como: residentes de memoria, los cuales se encargan de analizar los archivos en tiempo real o utilizando módulos, los cuales protegen tanto la conexión con internet ,correo electrónico,documentos en Word  entre otros tipos de vacunas

 

Sólo detección: Son vacunas que solo detectan archivos infectados, sin embargo, no pueden eliminarlos o desinfectarlos.

·       CA:Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.

·       CA:Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.

·       CA:Detección y eliminación de archivo/objeto: son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infección.

·       CB:Comparación directa: son vacunas que comparan directamente los archivos para revisar si alguno esta infectado

 

·       CB:Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.

·       CB:Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo.

·       CB:Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.

·       CC:Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.

 

·       CC:Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema windows xp/vista

 

 

 

 

Estructura de un antivirus

 

Modulo de identificación o control

Registra los cambios realizados por un malware en los programas ejecutables o en áreas criticas del disco duro, utilizando la técnica de verificación de integridad,de esta forma se controla la información en el disco duro, previniendo su modificación de acuerdo a los requerimientos del usuario .

Este modulo también utiliza la identificación de malware para lo cual utiliza distintas técnicas, tales como: Scannin y algoritmos heurísticos

Frente a una detección de un código malicioso este se descompilara o desensambla el programa.

La administración de este recurso permite monitorizar las rutinas de acceso a hardware del equipo

                        Modulo de respuesta

Frente a una alerta de  amenaza, el antivirus puede utilizar dos tipos de técnicas de detección:

Técnica de detección de virus informáticos

sacaning o rastreo

Es considerada como la primera técnica que se popularizó para la detección de virus informáticos, la cual consiste en revisar el código de todos los archivos ubicados en la  unidad de almacenamiento, dando relevancia a los archivos ejecutables en busca de pequeñas porciones de códigos que puedan pertenecer a un código malicioso

Comprobación de suma o CRC ( Cicly Redundat Check)

Este método utiliza una operación matemática que abarca a cada byte del archivo, generalmente de 16 0 32 bytes para cada archivo. Una vez obtenido éste  la posibilidades de que una modificación del archivo alcance el mismo numero son muy pocas.

En lo general se guarda para cada directorio, un  archivo con los CRC de cada archivo y se comprueba periódicamente o al ejecutar cada programa. 

 

                         

Programa de vigilancia

 

Son capaces de detectar actividades que podrían realizarse típicamente por un código malicioso, tales como: la sobreescritura de ficheros o el formateo del disco duro.  Esta técnica establecen capas por las que debe pasar cualquier orden de ejecución de un programa dentro del caparazón de integridad, se ejecuta automáticamente una comprobación de suma y si se detecta programa infectados no se permite que se ejecute

heurística

 

Se denomina heurística a la capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines.

La palabra heurística procede del termino griego ερίσκειν que significa “hallar, inventar el campo de la heurística el cual cubre y abarca de distintas tendencias tales como la matemática, Lah  computación, psicología implemento la heurística como disciplina científica.

Con relación heurística en antivirus esta técnica se emplea para reconocer malware (virus, gusanos, troyanos, etc) los cuales no se encuentran en una base de datos (esto por que son nuevos o por que no son muy divulgados) el termino general implica funcionalidades como detecciones, a través, de firmas genéricas, reconocimiento del código compilado,desensamblado,desempaquetamiento entre otros.

El funcionamiento de la heurística es el siguiente:

Primero analiza cada programa sospechoso si ejecutar las instrucciones, logrando  desensamblar o descompilar el código para deducir que haría el programa si se ejecutara .

Avisando que el programa tiene instrucciones anómalas evitando que este se ejecute

El comportamiento puede atribuirse a un malware

El método Heurístico es una tecnología de programación que dentro de sus rutinas de detección de especies virales, incluye las cadenas clásicas que son similares, parecidas o afines a virus auténticos. El método heurístico, si no está bien programado, es susceptible de incurrir en resultados falsos positivos o negativos. Además, al encontrar un virus desconocido, variante de otro existente, el antivirus que emplea este método de búsqueda no podrá eliminar eficientemente el virus y mucho menos reparar el archivo o área afectada.
Para que un antivirus detecte y elimine eficientemente a un virus así como también repare los daños ocasionados, debe incluir en la base de datos de sus rutinas de detección y eliminación el exacto micro código viral de esa especie. Sin embargo la técnica de búsqueda heurística de virus por "familias" es una forma eficiente de detectar a especies virales que pertenecen a una misma familia, aunque no es un método absolutamente exacto o eficiente.”

 

Un problema que esta en la mano de la heurística son los falsos positivos los cuales corresponden a supuestas amenazas las cuales no lo son

Este es un punto muy delicado, dado que esto implicara, eventualmente incurrir en algun error  por una parte de La casa de antivirus, la cual lo envía por intermedio de los Updates el falso positivo el que puede afectar el correcto funcionamiento del sistema operativo o incluso podría borra algún programa o documentos en lo general estos casos son poco frecuentes.

Otro punto que resulta relevante cuando se trabaja con la heurística es realizar las exclusiones pertinentes de algunos  programas para que el antivirus no lo considere  como una amenaza,  Esto es importante sobretodo si estamos frente a un Servidor en contribución, sea éste dedicado o no dedicado al antivirus.

 

Eicar

 

Consiste en un archivo que sirve para comprobar la eficacia de los programas de antivirus

 

X5O!P%@AP[4\PZ

X54(P^)7CC)7}$

EICARSTANDARDANTIVIRUSTESTFILE!$

H+H*

 

 

 

 

Contacto

Proyecto Malware

Skype : chermosilla1 (chile)