¿Cómo funcionan los Antivirus?

Identificación

Para identificar un virus primero deberemos detectarlo y luego determinar de cuál se trata.
A la técnica de identificación se le conoce como “scanning”. Los programas antivirus poseen
cadenas propias de cada virus. Dichas cadenas las usará el antivirus como “huella” para identificar
si un fichero se trata o no de virus y si es así cuál es en concreto.
Teóricamente se deberían comprobar todos los archivos del sistema con todas y cada una de las
cadenas de virus que tiene en la base de datos el antivirus, pero esto en la práctica no es eficiente
ya que sería bastante costoso.
Para que este proceso sea posible, y un usuario pueda identificar un virus, con anterioridad otro
usuario debe haber informado de su presencia a las empresas desarrolladoras de antivirus para
que éstas creen la cadena del virus y preparen su desinfección si es que es posible. Por ello es tan
importante tener actualizadas las bases de datos y que la empresa desarrolladora de nuestro
antivirus saque con frecuencia actualizaciones de las firmas.
Esto último es lo que hace que la técnica de scanning sea algo débil, ya que para que un virus sea
detectado depende de que tengamos su firma en nuestro antivirus. Durante ese transcurso de
tiempo el virus es libre.

Detección

Es muy interesante detectar un virus antes de que ocasione daños. Por ello es primordial
detectarlo por encima de identificarlo. La técnica de scanning es algo débil por lo que aparecen
otras técnicas que nos permiten detectar a un virus aunque no sepamos exactamente cual es.
Entre ellas se encuentran el análisis heurístico y la comprobación de integridad.
· Análisis heurístico
Puede ser considerada como la técnica de detección de virus más común. Está técnica analizará los
distintos ficheros en búsqueda de instrucciones, o secuencia de ellas, dañinas para el sistema.
Algunos posibles ejemplos serian instrucciones de que intentarán replicarse, modificaciones en la
FAT, acceso a los contactos de nuestro programa de correo, etc.
No obstante alguna de las instrucciones comentadas antes no tienen porqué ser dañinas. Por ello
esta técnica conlleva multitud de falsas alarmas.

· Comprobación de integridad

Técnica de detección que consiste en una vigilancia continua de algunos sectores del sistema
controlando que estos no sean alterados sin el permiso del usuario.
Esta comprobación se realiza tanto en archivos como en sectores de arranque.
Para poder usar está técnica lo primero que deberá hacer el antivirus será crear un registro con las
características (nombre, tamaño, fecha….) de cada uno de los archivos y aplicar sobre cada uno de
ellos un algoritmo que nos dará un valor, en principio único (aunque en ocasiones dos ficheros
distintos han producido checksum idénticos), denominado checksum.
En el momento en que un virus se introduzca en un fichero será detectado por el antivirus al
realizar la consiguiente comprobación de checksum, ya que al aplicar dicho algoritmo sobre el
fichero el checksum resultante no será el mismo.
El método de comprobación de integridad para un MBR o para el sector de boot es bastante
similar, pero en este caso no solo se hará un checksum sino que también se hará una copia de
seguridad de dichos datos. De esta forma cuando el antivirus se encuentre monitorizando si
encuentra alguna diferencia entre los checksum avisará al usuario y dará la posibilidad de
restaurar con las copias de seguridad hechas anteriormente.
Obviamente para que esta técnica sea efectiva, todos los checksum y copias de seguridad deben
realizarse antes de que el sistema esté infectado, ya que si no es así los checksum a pesar de que
un fichero contenga virus estarán correctos.

 Eliminación

Podría parecer sencillo el hecho de desinfectar o eliminar un virus de un fichero ya que la idea es
sencilla: extraer el código dañino del fichero infectado, que normalmente como ya dijimos se sitúa
en el inicio y fin del fichero. Pero no es una tarea tan sencilla ya que por lo general los antivirus
son capaces de eliminar un pequeño porcentaje de los virus, exactamente de los que se tiene un
amplio conocimiento, por lo general los más conocidos.
Incluso en los casos en los que la eliminación sea posible puede ser peligrosa ya que si el virus no
está perfectamente identificado las técnicas usadas para su eliminación no serán las adecuadas.
Por todo ello quizás lo más adecuado en los casos en que la seguridad sea crítica es borrar dichos
ficheros infectados y restaurarlos con la correspondiente copia de seguridad. Incluso si no estamos
seguros o si la infección se ha realizado en los sectores de arranque la solución pasaría por
formatear la unidad correspondiente (si tenemos la seguridad de que no han sido infectadas las
demás unidades del sistema).

Demonios de protección

Conocidos en el ámbito de UNIX como demonios de protección y el de MSDOS como TSR, éstos
son módulos del antivirus que residen en memoria evitando la entrada de cualquier virus y
controlando aquellas operaciones que se consideren sospechosas. Controlará operación de
creación de nuevos ficheros, borrado, copia, etc.
Dichos demonios serán cargados antes que cualquier otro programa para poder detectar desde un
principio la carga en memoria de los posibles virus.

 Cuarentena

Ya que la eliminación de los virus, como ya indicamos, no siempre es posible, en muchas ocasiones
la solución podría consistir en borrar el fichero. Esto es un procedimiento arriesgado ya que puede
que realmente el fichero no esté infectado, y que no se tenga copia de seguridad para restaurarlo
por lo que borrarlo supondría perderlo. Es aquí cuando surge el concepto de cuarentena.
Todos aquellos ficheros que sospechemos que realmente no están infectados o que nos queremos
asegurar de su infección (porque no podemos permitirnos borrarlos así como así) se pondrán en
cuarentena. La cuarentena consiste en encriptar dicho fichero y guardarlo en un directorio creado
para tal efecto.
Esto paralizará el posible daño del virus, si es que realmente se trata de un virus, o restaurarlo en
el momento en que nos aseguremos de que no es un virus.

Bases de datos de antivirus

Para que la técnica de scanning sea efectiva, las definiciones, cadenas o firmas de los virus deben
estar actualizadas. De esto se ocuparán las compañías de antivirus que controlarán los virus
siguiendo sus posibles modificaciones y sacarán nuevas firmas.
No obstante no solo es imprescindible mantener actualizadas dichas firmas sino que también es
importante mantener actualizado el programa antivirus en sí, ya que nos proporcionará técnicas
mejoradas de análisis heurístico, mejora de los demonios de protección