sábado, 6 de octubre de 2012

Cómo trabajan los antivirus.

Traducido de How Antivirus Software Works

Los antivirus son programas de software que nos ayudan a mantener protegido nuestro computador de amenazas externas como virus y software malicioso.

Veamos este interesante artículo para conocer más sobre ellos:

Cómo trabajan los antivirus.

Los antivirus son poderosas piezas de software que son esenciales en los computadores que corren bajo Windows. Si siempre se ha preguntado cómo los antivirus detectan los virus, que hacen en nuestro PC y si usted necesita ejecutar escaneos regularmente en su equipo. Lea el siguiente artículo.

Un software antivirus es una parte esencial de una estrategia multi-capas de seguridad –aún, si usted es un usuario avanzado, el constate fluir de las amenazas y vulnerabilidades de los navegadores, plugins y el propio sistema operativo de Windows hace que la protección antivirus sea importante.

Análisis en tiempo real.

Los software antivirus trabajan en un segundo plano en nuestro computador, analizando cada archivo que abrimos. Esto es comúnmente conocido como Análisis en tiempo real, análisis en segundo plano, protección en tiempo real o algo similar, dependiendo de su antivirus.

Cuando hacemos doble clic sobre un archivo ejecutable (.exe) parecería como si el archivo se ejecutara de inmediato, pero no es así. Nuestro antivirus analiza el programa primero y lo compara con virus, gusanos y otro tipo de malware (Programas maliciosos) conocidos. Nuestro antivirus, también realiza un análisis heurístico que consiste en analizar los programas de acuerdo a su comportamiento.

Los programas antivirus también analizan otro tipo de archivos que pueden contener virus. Por ejemplo un archivo tipo .zip puede contener virus comprimidos o un documento de Word puede contener un macro malicioso. Los archivos son escaneados cuando son usados. Por ejemplo, si descargamos un archivo .EXE éste será escaneado inmediatamente antes de ser abierto.

Es posible deshabilitar el análisis en tiempo real en un antivirus, pero no es buena idea –los virus que explotan los huecos de seguridad en programas, no podrán ser detectados mediante un escaneo- Después de que un virus ha infectado nuestro sistema es mucho más difícil de remover. (Y también es mucho más difícil estar seguros de que el malware ha sido completamente removido).

01

Análisis completo del sistema.

Debido al análisis en tiempo real, generalmente, no es necesario realizar un análisis completo del sistema. Si descargamos un virus a nuestro PC nuestro programa antivirus deberá notarlo inmediatamente y no tendremos que iniciar un análisis con nuestro antivirus.

Un análisis completo del sistema puede sr útil en algunos casos. Por ejemplo, cuando recién instalamos un antivirus, para asegurarnos que no haya ningún virus hibernando en nuestro computador. La mayoría de los antivirus programan un escaneo completo del sistema al menos una vez a la semana. Esto asegura que los últimos archivos de definición de virus son utilizados para analizar nuestro sistema.

Estos análisis completos del sistema, también son útiles cuando reparamos un computador. Si deseamos reparar un computador que ya está infectado, insertando su disco duro en otro equipo y realizando un análisis completo del sistema para detectar posibles infecciones (esto en caso de no hacer una reinstalación completa de Windows), también es útil. Sin embargo no es necesario que ejecutemos análisis completos cuando nuestro antivirus nos está protegiendo –él siempre está analizando nuestro sistema en segundo plano y haciendo de manera regular sus propios análisis completos del sistema.

02

Definiciones de virus

Nuestros antivirus se basan en las definiciones de virus para detectar programas maliciosos. Es por esto que todo antivirus descarga de manera automática nuevas y actualizadas definiciones, una vez al día o en ocasiones más seguido. Las definiciones de virus contienen firmas para virus y otros programas maliciosos que han sido encontrados en la selva del ciberespacio. Cuando un antivirus analiza un archivo y nota que el archivo corresponde a un malware conocido el antivirus detiene la ejecución de dicho archivo y lo pone en cuarentena. Dependiendo de la configuración del antivirus, puede eliminar definitivamente el archivo o permitir su ejecución si usted cree que es u falso positivo.

Las empresas desarrolladoras de antivirus se mantienen al día con los últimos tipos de malware lanzando definiciones actualizadas que aseguren que dicho malware será detectado por sus programas. Los laboratorios de antivirus utilizan una variedad de herramientas para desmontar los virus, correrlos en entornos limitados y liberar actualizaciones de manera oportuna que garanticen la protección de los usuarios contra la nueva amenaza.

03

Heurística

Los programas antivirus también utilizan la heurística. La heurística permite a los antivirus identificar nuevos o modificados tipos de malware, aún sin los archivos de definición de virus. Por ejemplo, si un antivirus nota que un programa que está corriendo en nuestro sistema está tratando de abrir cada archivo .EXE en nuestro sistema y tratando de escribir una copia del archivo original, el antivirus puede detectar este comportamiento y decidir que dicho programa es un nuevo tipo de virus.

Los programas antivirus no son perfectos. La heurística puede ser no muy agresiva o detectar programas legítimos como virus.

Falsos positivos.

Debido a la gran cantidad de software que existe, es posible que los programas antivirus detecten algunos programas como amenazas, cuando en realidad es un archivo totalmente seguro e inocuo. Esto es conocido como “Falso positivo”. Ocasionalmente, las empresas desarrolladoras de antivirus cometen errores como identificar archivos propios del sistema de Windows, programas populares de terceros o sus propios archivos del mismo antivirus como como virus. Estos falsos positivos pueden llegar a dañar el sistema operativo; como cuando Microsoft Security Essentials identificó a Google Chrome como un virus, AVG dañó algunas versiones de Windows 7 o Sophos se detectó a si mismo como malware.

La heurística puede incrementar la tasa de falsos positivos. Un antivirus puede identificar que un programa está teniendo un comportamiento similar al de un programa malicioso e identificarlo como virus.

A pesar de todo, los falsos positivos son bastante raros en el día a día de un antivirus. Si un antivirus nos dice que un archivo es malicioso, por lo general debemos creerle. Si no estamos seguros de eso y pensamos que puede ser un falso positivo, puede utilizar la página VirusTotal, cargar el archivo y analizarlo con una gran cantidad de antivirus en línea y saber lo cada uno dice acerca del archivo analizado.

Tasa de detección.

Cada antivirus tiene una tasa de detección diferente, donde tanto las definiciones de virus como la heurística están involucradas. Algunas empresas desarrolladoras de antivirus pueden tener una heurística más efectiva y liberar más definiciones de virus que sus competidores, resultando en una tasa más alta.

1 comentario:

Ignacio Perez Candido dijo...

yo utilizo el antivirus de kaspersky http://www.kaspersky.com/sp/