Introducción
Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos y entre los activos tenemos los antivirus. Hay cientos, miles de páginas en Internet que tratan este tema, he utilizado algunas de ellas para recabar información dividiendo el tema de la siguiente manera:
1. Definición
2. Historia
3. Funcionamiento
4. Factores de valoración- los más populares
5. Links para los que quieran saber un poco más
1. Definición programa antivirus
Los antivirus son programas cuya función es detectar, identificar y eliminar virus informáticos y otros programas peligrosos para los ordenadores llamados malware.
Tienen una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que más contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creación e infección de otros nuevos.
2. Historia
• 1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su “Teoría y organización de un autómata complicado”. Nadie podía sospechar de la repercusión de dicho artículo.
• 1959: En los laboratorios AT&T Bell, se inventa el juego “Guerra Nuclear” (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un
programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de si mismo.
• 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje “SOY CREEPER…ATRAPAME SI PUEDES!”. Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper.
• 1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema.
• 1980: La red ARPANET es infectada por un “gusano” y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente.
• 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz pública en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el término virus tal como lo entendemos hoy.
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante la década de 1980.
Las soluciones antivirus de entonces
¿Qué sucedía con las soluciones antivirus mientras tanto? El problema de los virus empezó no tanto como un diluvio, sino más bien como un goteo: los nuevos virus aparecían con lentitud, uno a la vez. En realidad, durante algunos años hubo quienes consideraron que la aparición de virus no era más que un mito. Los primeros programas antivirus eran utilidades diseñadas para detectar y eliminar virus individuales específicos o, a medida que iban incrementándose el número de programas maliciosos, un puñado de virus.
Luego, a medida que el goteo se transformaba en un flujo constante en 1989, se lanzaron los paquetes antivirus. La esencia de estos programas era el escaneado a solicitud, diseñado para encontrar en el disco la docena y pico de virus existentes en ese momento. Algunos eran capaces de realizar tareas de limpieza, eliminando los códigos infectados. Otros también incluían un checksummer o método de suma de control, diseñado para registrar el archivo original en un disco limpio, de manera que cualquier daño posterior sea obvio, aún (en teoría) si este archivo llegara a ser modificado por nuevos tipos de virus.
Para empezar, los programas antivirus sólo se elaboraban a solicitud. El número de nuevos virus en un principio crecía con lentitud. Además, su índice de diseminación era, comparado a los estándares actuales, lento. Entonces, la clave era poder realizar análisis regulares del sistema y ser capaces de eliminar cualquier elemento detectado en una organización o en un ordenador particular. Para ello, un disco de sistema limpio constituía una herramienta invalorable: con un arranque limpio, se podía asegurar de que no había virus en la memoria que interfirieran con el escaneado y las operaciones de limpieza. En muchos casos, las compañías ni siquiera instalaban programas antivirus en equipos individuales, al menos no en un principio (esto fue cambiando una vez que las compañías sufrían un ataque viral). En general, el administrador realizaba barridos regulares del sistema y filtraba los discos floppy en una sola máquina, antes de utilizarlos.
El ciclo normal de actualización de los programas antivirus era trimestral. Aunque algunos desarrolladores de antivirus ofrecían actualizaciones mensuales, no se las solía considerar necesarias, y los usuarios que necesitaban niveles máximos de seguridad pagaban una prima por una mayor frecuencia de actualizaciones. Las actualizaciones se entregaban, como es de suponer, en medios físicos como… discos floppy.
Aumentan las amenazas, evolucionan los métodos de detección
Sin embargo, a fines de 1990, el número de virus llegó a los 300. Frente a esta amenaza, los desarrolladores de programas antivirus empezaron a implementar la protección en tiempo real. Esto significaba el desarrollo de programas TSR (Terminate and Stay Resident) que, al igual que los virus exitosos del momento, monitoreaban el sistema, interceptaban discos y accesos a archivos, verificando la presencia de virus conocidos.
También empezaron a buscar la forma de detectar virus de manera proactiva, sin necesidad de una signatura específica, recurriendo al análisis heurístico. Los investigadores antivirus iban adquiriendo experiencia sobre las técnicas usadas por programas maliciosos y las empleaban para crear una lista de características sospechosas, asignando un puntaje a cada una, el escáner analizaba el código buscando estas características; si el puntaje superaba una marca predefinida, se identificaba el archivo como un probable virus.
La creciente amenaza que representaban los virus polimorfos obligaron a los programadores de antivirus a complementar el análisis de signaturas con otros métodos que permitieran que un escáner pudiera «ver a través» de la(s) capa(s) de codificación. Estos métodos incluían el uso de máscaras reducidas, análisis de codificaciones, análisis estadísticos y técnicas de emulación. También se utilizaban códigos de emulación para mejorar la detección heurística, posibilitando así el análisis dinámico de códigos.
Los primeros bloqueadores de conductas peligrosas
Una solución alternativa al agudo incremento cuantitativo fue el análisis de comportamiento. Mientras que los tradicionales análisis antivirus registraban signaturas de códigos maliciosos en una base de datos que se cruzaba con códigos verificados durante el análisis, los bloqueadores de comportamiento recurrían a un programa de comportamiento para decidir si el comportamiento detectado era malicioso o no: si un programa hacía algo que rebasaba un rango predeterminado de acciones aceptables, se lo bloqueaba.
La principal ventaja de un bloqueador de comportamiento, según sus defensores, era que podía distinguir entre programas “buenos” y “malos”, sin necesidad de que un investigador profesional antivirus analizara el código. Puesto que ya no había necesidad de un análisis permanente de cada amenaza específica, tampoco era necesario mantener actualizadas las signaturas antivirus. Así, los usuarios se encontraban protegidos de antemano ante nuevas amenazas, sin tener que recurrir a las tradicionales actualizaciones antivirus.
La desventaja, por supuesto, residía en la incertidumbre que se creaba entre las acciones claramente maliciosas y aquellas legítimas. Lo malicioso en un programa específicamente creado para causar daño, podía ser positivo en un programa legítimo. Por ejemplo, la escritura de bajo perfil en discos realizada por un virus, gusano o troyano, quizás con el fin de eliminar datos de un disco duro, también podía ser utilizada de manera legítima por el sistema operativo. ¿Y cómo se despliega un bloqueador de comportamiento en un servidor de archivos para saber si una modificación (o eliminación) en el documento es legítima (por parte del usuario), o si es el resultado de la actividad maliciosa de un programa? Después de todo, un virus o un gusano no es más que un programa que se autoreproduce. Aparte de esto, puede hacer lo que cualquier otro programa normal es capaz de hacer. Por este motivo, los programas antivirus más populares continuaban basándose, en gran manera, en la detección de programas maliciosos conocidos.
Sin embargo, el análisis de comportamiento no desapareció. Más bien, muchas modernas soluciones de seguridad combinan el uso del análisis de comportamiento con otros métodos de detección, bloqueo y eliminación de códigos maliciosos.
El creciente número de amenazas era sólo uno de los problemas. El desarrollo de códigos furtivos y polimorfos, como se señala arriba, destaca el hecho de que los virus se encontraban en continua evolución.
Aunque había copias de virus muy mal elaboradas, los autores más avezados eran capaces de elaborar códigos muy efectivos, expandiendo sus fronteras para ponerse un paso por delante de los investigadores antivirus. Entre ellos se encontraba el autor del virus conocido como “Dark Avenger”, responsable, entre otras cosas, del desarrollo de “infectadores rápidos”, capaces de infectar cualquier tipo de acceso a archivos, y de la idea del deterioro gradual de datos (los virus Dark Avenger y Nomenklatura). Dark Avanger fue responsable del módulo Self-Mutating Engine (conocido como MtE), capaz de convertir un virus regular en uno polimorfo. Su última creación fue un virus llamado Commander Bomber, cuyo código se distribuía a través del programa anfitrión, dificultando en gran manera el escaneado a cualquier velocidad.
Intercambio de virus y herramientas de creación de virus
Varios otros avances pusieron en dificultades a los desarrolladores antivirus durante la primera mitad de los años 90. Primero fue el foro de intercambio de virus (VX). Los foros se utilizaban desde un principio como mecanismos distribuidores de virus. Antes de que Internet se hiciera tan popular, se utilizaba mucho estos foros para descargar programas: Infectar archivos y colocarlos en los foros para su descarga era una forma efectiva para esparcir infecciones. VX fue un desarrollo avanzado. La idea era simple: el foro VX alojaba colecciones de virus, y sólo se podía acceder a este si se contribuía con un virus. Por supuesto, esto no sólo motivó a los desarrolladores de virus, sino que también causó una amplia diseminación de distintos virus que de otra manera no hubiera sido posible. En un desarrollo paralelo en ese momento, tanto en Europa como en los Estados Unidos se ofrecían a la venta colecciones de virus.
Otra tendencia preocupante fue el surgimiento de paquetes para la elaboración de virus. Como el nombre sugiere, estaban diseñados para brindar la capacidad de «crear su propio virus» a quienes carecían de los suficientes conocimientos o habilidades técnicas como para escribir sus propios códigos. Dichos paquetes ofrecían una interfaz del usuario que posibilitaba la selección de características para los virus de entre listas de opciones. Desafortunadamente para los autores de estos paquetes, los virus creados de esta manera tenían una “huella dactilar” característica que permitía a los investigadores antivirus detectarlos mediante una sola signatura.
Los macrovirus
Un momento crucial en el desarrollo de virus se dio en julio de 1995, con la aparición del primer macrovirus, llamado Concepta. Los macrovirus dominarían el panorama de amenazas durante los cuatro años siguientes.
El autor de Concepta explotaba el hecho de que los usuarios intercambiaban datos con más frecuencia que programas. El autor utilizaba instrucciones de Wordbasic para modificar la plantilla NORMAL.DOT, incorporando así el código viral, bajo la forma de varios macros automáticos en cada uno de los documentos que el usuario iba creando. Como resultado, cada usuario que recibía el documento infectado se convertía en su víctima. Este simple desarrollo, ya anticipado y temido por los investigadores antivirus mucho tiempo atrás, tendría consecuencias de largo alcance.
Primero, el enfoque de la comunidad de autores de virus cambió de los códigos ejecutables (archivos de programa y sectores de disco) a los códigos de datos. Previo a esto, los virus, por lo general, se elaboraban en códigos de ensamblaje, lo cual requería un cierto nivel de conocimiento. Por el contrario, los macrovirus, escritos en WordBasic y luego en VBA (Visual Basic for Applications) eran mucho más fáciles de crear. También eran más fáciles de copiar: Los macrovirus por lo general eran claramente visibles y se podían copiar, modificar y reaplicar con facilidad. De repente, el campo de los virus se abrió a un grupo mucho más amplio. Como resultado, el número de virus se incrementó de manera notable: de casi 6.000 en junio de 1995 a 7.500 a fin de ese año, y a más de 25.000 en diciembre de 1998.
Segundo, los macrovirus fueron los primeros virus en infectar (deliberadamente) archivos de datos. Puesto que era más común el intercambio de archivos de datos que de programas, esto ofrecía a los macrovirus un canal de replica mucho más efectivo que virus anteriores. Este problema se agravó con la aparición del correo electrónico como medio de comunicación y de intercambio de datos. El creciente uso de mensajes electrónicos entre los usuarios comunes y corrientes, la facilidad con que se podía adjuntar archivos a un mensaje electrónico, y el surgimiento del más amplio acceso a Internet fueron terreno fértil para la diseminación de los macrovirus.
Tercero, los macrovirus no estaban determinados ni por plataformas ni por sistemas operativos. Su fundamento eran las aplicaciones. Puesto que había versiones de Word para Windows 3.x, Windows 95, Windows NT y Macintosh, esto convertía a los sistemas en blancos susceptibles de ataques, o al menos se los utilizaba como transportadores eficaces. Para colmo, este problema muy pronto rebasó las fronteras de Word. Ya que VBA se aplicaba a todo el paquete de aplicaciones Office (Word, Excel, PowerPoint, Access y Project), estas aplicaciones se convirtieron en blanco de los macrovirus: ¡Incluso había macrovirus multiaplicación dirigidos a todas las aplicaciones de Office!
Como se mencionó líneas arriba, cada generación se apoya en las que la precedieron. Los autores de macrovirus aprovecharon desarrollos anteriores, como los códigos furtivos y los polimorfos, y los volvieron a aplicar en ese nuevo contexto.
Soluciones para servidores de correo y pasarelas de Internet
A medida que cambiaba el panorama de amenazas, también lo hacían las soluciones diseñadas para la protección de compañías contra ataques maliciosos. Antes de la aparición de los macrovirus, el centro de gravedad del análisis antivirus era el ordenador individual y, en menor escala, el servidor de archivos. Los macrovirus iniciaron un proceso en el que la red se amplió e incorporó servidores de correo y gateways para Internet. La razón es obvia. A medida que el correo electrónico se convertía en el mecanismo principal para la diseminación de virus, el análisis de los mensajes electrónicos se convirtió en un medio eficaz para bloquear toda amenaza antes de que llegara al ordenador del usuario. Por supuesto que no desapareció la necesidad de protección para el ordenador y para el servidor de archivos. Más bien se mantuvieron como armas esenciales en la lucha antivirus. Pero tenían que integrarse en una solución más amplia, de varios niveles de “defensa en profundidad”.
Los fabricantes de soluciones antivirus también comenzaron a desarrollar en mayor grado sus capacidades de detección proactiva, específicamente mediante la implementación de la detección genérica. La detección genérica se refiere a la detección y eliminación de múltiples amenazas mediante una sola signatura de virus. El punto de inicio para la detección genérica es que las amenazas exitosas suelen ser copiadas por terceros, o refinadas por los autores originales. El resultado es una avalancha de virus, gusanos o troyanos, distintos el uno del otro, pero pertenecientes a la misma familia. En muchos casos, el número de variantes puede contarse por decenas, o incluso centenas. La detección genérica brindó un método avanzado para la detección de amenazas nuevas y desconocidas sin tener que recurrir a nuevas signaturas.
El nacimiento del spam
El creciente uso del correo electrónico como una herramienta fundamental en el ambiente empresarial propició el surgimiento de otro problema para las empresas: el correo basura, correo no deseado, UCE (Unsolicited Bulk E-mail) o spam. A medida que más compañías se apoyaban en el correo electrónico, se fueron convirtiendo en tentadores blancos para quienes buscaban nuevas formas de anunciar productos y servicios. Estos anuncios publicitarios cubrían una amplia gama, desde productos y servicios legítimos, hasta aquellos obscenos, ilegales o bien no solicitados.
El surgimiento y crecimiento del correo spam trajo consigo varios problemas, como la pérdida de ancho de banda y de tiempo laboral, puesto que el personal se distraía con mensajes no relacionados con su trabajo, así como potenciales problemas legales y de recursos humanos ligados a contenidos obscenos, sexistas, racistas u otros contenidos indeseables. Por supuesto que se presentaban algunas zonas difusas: lo que para una persona era un mensaje spam, para otra era información valiosa y bienvenida.
Este periodo no sólo fue testigo del desarrollo del filtrado de contenidos, realizado en primera instancia en el gateway de Internet, con el propósito de filtrar el correo spam y otros contenidos indeseables, sino que también lo fue de la colaboración entre fabricantes de soluciones antivirus que de manera cada vez más intensa concentraban sus esfuerzos en el filtrado de códigos maliciosos en el servidor de correo y en la pasarela (gateway) de Internet.
Envíos masivos de códigos nocivos
La aparición del virus Melissa en marzo de 1999 marcó otro gran hito respecto a las amenazas virales. Aparentemente, Melissa era otro macrovirus más. Sin embargo, y a diferencia de los macrovirus hasta entonces conocidos que esperaban la intervención del usuario para enviar los datos infectados, Melissa “secuestraba” el sistema de correo electrónico para distribuirse de manera proactiva. Todo lo que se necesitaba del usuario era que pulsara dos veces en el adjunto infectado que venía en el mensaje electrónico. Luego, el virus recolectaba direcciones de correo electrónico de la lista de contactos de Outlook y se autoenviaba a estas direcciones. Los “envíos masivos” permitían a Melissa esparcirse más amplia y velozmente que cualquier otro macrovirus precedente. Peor aún, Melissa representaba una amenaza a la estabilidad de la infraestructura misma del correo electrónico como resultado del gran volumen de mensajes electrónicos creado por este virus. Tras la expansión inicial de Melissa (se colocó en uno de los foros sobre sexo), los sistemas corporativos de correo electrónico rápidamente se atascaron con mensajes electrónicos y muchos simplemente colapsaron ante la presión. No resulta sorprendente que Melissa haya impuesto una tendencia. Por muchos años más, casi todos los virus y gusanos predominantes seguirán amenazando tanto a usuarios corporativos como particulares con su capacidad de envíos masivos.
Melissa produjo un significativo cambio en la naturaleza de las amenazas virales. Los virus ya no tuvieron que esperar a que un incauto usuario distribuyera el archivo infectado. Al secuestrar al mismo sistema de correo, los virus ganaron el control de un mecanismo muy efectivo de réplica, logrando causar epidemias en cuestión de días o incluso horas.
De alguna manera, Melissa apuntaba a dos direcciones simultáneamente. Por una parte, tenía una orientación retrospectiva a la época de los macrovirus, y fue uno de los últimos (y el mayor) estallido de este tipo de virus. Por otra parte, se orientaba a un futuro que sería dominado por los gusanos, en particular, por el gusano de correo electrónico.
Las respuestas al aumento de la velocidad de propagación
La diseminación de nuevas amenazas a “velocidad de Internet” y el creciente número de epidemias mundiales, enfatizaron más que nunca la velocidad a la que los fabricantes de soluciones antivirus respondían a estas nuevas amenazas. En los “buenos viejos tiempos”, para la mayoría de los clientes, eran suficientes actualizaciones trimestrales. Posteriormente, las actualizaciones se estandarizaron. Entonces, ante la amenaza planteada por los gusanos de correo electrónico y de Internet, las mayoría de los fabricantes de soluciones antivirus optaron por actualizaciones semanales de signaturas. Hoy en día, muchos ofrecen actualizaciones diarias . La rapidez en la respuesta a nuevas amenazas también se convirtió en factor determinante en las pruebas antivirus independientes.
Además, como respuesta a las técnicas de ingeniería social empleadas por los autores de programas maliciosos, muchas empresas empezaron a bloquear, de manera rutinaria, ciertos tipos de archivos al nivel del gateway de Internet con el fin de prevenir que los adjuntos EXE, PIF, SCR y otros, llegaran a sus usuarios.
No obstante, muchos seguían preocupados por el tiempo transcurrido entre la aparición de una nueva vulnerabilidad y los medios para bloquearla, periodo durante el cual podía expandirse furtivamente una nueva amenaza. Algunos cuestionaban la habilidad de las tradicionales soluciones antivirus en base a signaturas para contrarrestar la creciente complejidad de los códigos maliciosos. De hecho, los principales desarrolladores de soluciones antivirus empezaron a ampliar el abanico de protección que ofrecían.
Los cortafuegos personales
Una forma de hacerlo era añadiendo la capacidad de los cortafuegos personales. Los cortafuegos personales monitorean y neutralizan el tráfico no deseado. Un cortafuegos personal, como el mismo nombre sugiere (y en contraste con el tradicional cortafuegos en el gateway), se instala en el ordenador o en el servidor. Funciona como un “controlador de tráfico” en el ordenador, verificando el tráfico entrante y saliente del ordenador, permitiendo o neutralizando conexiones en base a políticas predeterminadas. Los cortafuegos personales tienen dos características sobresalientes. Por una parte, permiten el filtrado de aplicaciones. Es decir, permiten fijar reglas para las aplicaciones más usadas como los navegadores de Internet, ICQ, programas de mensajería instantánea y otros. Los cortafuegos personales también permiten el filtrado de paquetes: analizan las transferencias de datos (encabezados, protocolos utilizados, puertos, direcciones IP, etc.) y filtran paquetes siguiendo políticas predeterminadas.
Los sistemas de prevención de intrusos (IPS)
Algunos desarrolladores de soluciones de seguridad complementan las tecnologías “tradicionales” con sistemas de prevención de intrusos (IPS). Los sistemas IPS basados en anfitriones, están diseñados para proteger ordenadores y servidores. Por lo general recurren al análisis de comportamiento para detectar códigos maliciosos. Realizan esta tarea haciendo un seguimiento de todas las llamadas realizadas en el sistema y comparándolas con políticas basadas en comportamientos “normales”. Estas políticas pueden ser bastante granulares ya que se puede aplicar el comportamiento a aplicaciones específicas. De esta manera, actividades como la activación de puertos en el sistema, el escaneado de puertos, los intentos para aumentar los privilegios en el sistema y la inyección de códigos en procesos en ejecución pueden ser identificados como comportamientos anormales y neutralizados. Algunos sistemas IPS complementan el análisis de comportamiento mediante el uso de signaturas de códigos hostiles conocidos.
Los sistemas IPS basados en redes, desplegados en línea en la red, filtran códigos maliciosos en los paquetes, detectan el uso anormal del ancho de banda o tráfico irregular (paquetes malformados). Los sistemas IPS basados en redes son de particular utilidad para detectar ataques de denegación de servicio (DoS), o el tráfico generado por gusanos de redes.
Los desafíos actuales
Desde la aparición de los primeros virus para ordenadores, las amenazas contra compañías y usuarios particulares han experimentado inesperados cambios. En aquellos primeros días, nadie habría podido anticipar la gran cantidad, o la gran variedad de los modernos programas maliciosos. Cada oleada sucesiva del desarrollo de programas maliciosos trajo consigo nuevos desafíos y cambios en las soluciones disponibles, el desarrollo de nuevas soluciones o la adaptación de tecnologías ajenas al mundo antivirus. Así que el panorama de amenazas no sólo es radicalmente diferente al de hace 20 años, sino que las mismas soluciones de seguridad también lo son respecto a las de la época referida. En particular, hemos notado un cambio en la motivación que impulsa a los autores de programas maliciosos, desde el cibervandalismo al uso de códigos maliciosos con fines de lucro ilegales. Esto ha resaltado como nunca antes la importancia de brindar no sólo una protección oportuna contra las 200 o más amenazas que aparecen a diario, sino también en el diseño de soluciones capaces de bloquear amenazas nuevas y desconocidas sin la necesidad de contar con nuevas signaturas. Las primeras soluciones antivirus parecían unidimensionales en comparación a las modernas soluciones holísticas desarrolladas por los principales proveedores de programas de seguridad informática. Asimismo, las cambiantes prácticas empresariales, y la desaparición de los tradicionales perímetros de las redes significa que las soluciones de seguridad tienen que ser capaces de proteger a la organización y su personal donde sea que éstos se encuentren y cualquiera que sea el negocio en el que estén.
3. El funcionamiento de un antivirus
Los antivirus son esenciales en sistemas operativos cuya seguridad es baja, como Microsoft Windows, pero existen situaciones en las que es necesario instalarlos en sistemas más seguros, como Unix y similares.
El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar a un ordenador y bloquearlas antes de que las mismas puedan infectar un equipo, o poder eliminarlas tras la infección.
El funcionamiento de un antivirus varía de uno a otro, normalmente poseen algunas de las siguientes herramientas bien diferenciables entre sí:
-Utilitarias: – Utilitario para la copia de seguridad, limpieza y recuperación de áreas críticas del sistema de archivos.
-Técnicas de rastreadores de virus: Rastreadores de virus, que intentan identificar la presencia de virus en nuestros medios de almacenamiento mediante diferentes técnicas de análisis, para que no se escape ninguna de las clases de virus. Entre otras, las técnicas más comunes son las siguientes:
Análisis de firmas: Utilizando una base de datos con las firmas (secuencia de bytes característica que aparece en los archivos infectados por ese virus) de cada uno de los virus que ya fueron identificados se rastrean los archivos o sectores de arranque por la presencia de las mismas y en caso afirmativo se identificará al mismo como infectado. Dado que la detección de los virus es dependiente de la base de datos de firmas, esta última deberá estar actualizada para que el resultado del proceso sea confiable. Es por ello que un buen paquete antivirus debe ofrecer actualizaciones cada pocos días. Utilizar esta técnica de rastreo con una base de datos de más de un mes no brinda ninguna seguridad.
Análisis heurístico: En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros.
Su importancia radica en el hecho de ser la única defensa automática posible frente a la aparición de nuevos códigos maliciosos de los que no se posea firmas.écnicas
Técnicas heurísticas:
Firmas genéricas
Hay muchos códigos maliciosos que son modificados por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, por lo que se catalogan como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.
Reconocimiento de código compilado
Cuando se compila un programa para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar las operaciones necesarias. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.
Desensamblado
Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos antivirus es capaz de analizar el código fuente de los programas sospechosos. De esta forma puede reconocer un posible código malicioso si encuentra técnicas de desarrollo que suelen usarse para programar virus, sin la necesidad de una actualización.
Desempaquetamiento
Los programadores de códigos maliciosos suelen usar empaquetadores de archivos ejecutables como UPX con el fin de modificar la «apariencia» del virus heurísticas métodos de desempaquetamiento. De esta forma pueden analizar el código real del programa, y no el empaquetado.
La ventaja de estas tecnologías es que ofrecen protección genérica contra ataques de códigos maliciosos desconocidos, en vez de depender de signaturas de amenazas conocidas. El potencial problema es el riesgo de falsas alarmas. Para minimizar este riesgo, la mayoría de estas tecnologías incluye un “modo de aprendizaje” de alerta que permite que el mismo producto construya una imagen de lo que sería un comportamiento “normal” en un ambiente determinado. Sin embargo, requieren de una cuidadosa configuración, lo que crea una gran carga administrativa que supera a la de la tradicional protección antivirus. En el caso del sistema IPS, también requiere de actualizaciones (aunque no las diarias o semanales actualizaciones de signaturas requeridas por las ‘tradicionales’ tecnologías antivirus) para detectar nuevos métodos de ataques.
La heurística es un aspecto muy difícil de probar en los antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas.
¿Qué son las evaluaciones retrospectivas?
Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.
Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.
Existen varios organismos independientes que realizan evaluaciones retrospectivas, como AV-Comparatives
Actualización de antivirus
Para su buen funcionamiento, las soluciones antivirus dependen de bases de datos con definiciones de virus. Estas bases de datos tienen una naturaleza dinámica, debido a la actividad constante de los creadores de virus. Los analistas de virus en Kaspersky Lab, por ejemplo, cada día detectan y añaden alrededor de 100 nuevas descripciones de amenazas a la base de datos de su antivirus.
Los productos antivirus se han vuelto más sofisticados a lo largo de los años, para contrarrestar la cada vez mayor complejidad de los programas maliciosos. Los mecanismos de detección proactiva, los heurísticos, y los diseñados para detectar nuevas amenazas antes de que empiecen a propagarse constituyen una primera línea de defensa importante.
No obstante, la actualización habitual de la protección antivirus es más importante que nunca, dada la velocidad con la que las amenazas de hoy en día pueden esparcirse. Los proveedores de antivirus han reducido el intervalo entre las actualizaciones de definición de virus de trimestral, a mensual y, finalmente, a actualizaciones diarias. Kaspersky Lab ahora provee archivos de definición de virus actualizados a cada hora exacta.
4. Factores de valoración de un antivirus:
Debe tenerse en cuenta que:
Un programa antivirus forma parte del sistema y por lo tanto funcionará correctamente si es adecuado y está bien configurado.
No será eficaz el 100% de los casos, no existe la protección total y definitiva.
Un antivirus debe cumplir con ciertos requisitos para ser considerado efectivo y eficiente: constante actualización, protección permanente, completa base de datos de programas malignos y buena heurística.
Un antivirus debe ser evaluado por distintas características como son, capacidad de detección de software malignos conocidos y desconocidos, actualización constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades a los expertos y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentación de ayuda.
Los más populares
Kaspersky Anti-virus
Panda Security
Norton antivirus
McAfee
Avast! y avast! Home
AVG Anti-Virus y AVG Anti-Virus Free
BitDefender
F-Prot
F-Secure
NOD32
PC-cillin
ZoneAlarm AntiVirus
Microsoft Security Essentials
Otros: ClamXav, Comodo AntiVirus, Norman, PC Tools AntiVirus, Protector Plus, Quick Heal Antivirus, Rising AntiVirus, Sophos Anti-Virus, Windows Live OneCare, BullGuard, Cisco Security Agent
Acerca de algunos antivirus
Kaspersky Anti-virus
De pago, con posibilidad de evaluarlo 30 días.
Gran cantidad de opciones. Es el más completo en cuanto a software maligno ya que no sólo se encarga de virus, gusanos y troyanos, sino que detecta dialers, espías, keyloggers, entre otros malwares. También es de los más actualizados que existen. El punto en contra es su lentitud para analizar en ordenadores que no son potentes. Igualmente Kaspersky cuenta con una base de datos interna que «memoriza» los archivos escaneados para que el segundo escaneado sea más rápido. Posee gran capacidad de detección de virus desconocidos también.
Página oficial desde donde se puede descargar una versión de prueba: http://www.kaspersky.com/trials
Norton Antivirus (NAV). Aplicación que desarrolla la empresa Symantec. Es un potente antivirus, muy popular y con múltiples versiones que se adaptan a las necesidades de cada mercado. Suele ser muy criticado por el alto uso de recursos del sistema, la baja detección de virus comparándolo con sus competidores, etc. http://www.symantec.com/es/es/norton/products
AVG Anti-virus Free Edition (gratuito)
Tiene una versión totalmente gratuita y una de pago.
En su versión gratuita ofrece la misma seguridad que la paga, pero con menos posibilidades de configuración. Es excelente para uso personal y especialmente para computadoras que no son potentes. Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos.
Por ser la versión gratuita, hay muchas características que desearían tener los expertos que no están, desde consultas online las 24 horas y otras herramientas que mejoran la detección. Igualmente para uso personal es altamente recomendado.
Se puede descargar http://www.avg.com/ww-es/download-free-anti-virus Es necesario rellenar un simple formulario y se enviará gratuitamente el serial a su email.
Avast Home (gratuito)
Es un antivirus que siempre se mantiene actualizado, además posee módulos que controlan el correo electrónico, la mensajería instantánea, la web, las redes P2P, etc. Es excelente para pcs de hecho la licencia gratuita es teóricamente solo para pc porque consume muy pocos recursos. Sus requisitos mínimos son 64 MB de RAM y 50 MB de espacio en disco. Está disponible para los sistemas operativos Win95/98/98SE/Me/2000/NT/XP/Vista. Además está en español.
Es necesario registrarse de forma gratuita para usarlo más allá de los 60 días.
Detalles varios de otros antivirus:
McAfee: fue de los más usados en su tiempo, rápido, potente, muy actualizado, alta detección de virus, versión de prueba por 90 días.
Panda: empresa española dedicada de lleno a la seguridad informática. El antivirus posee muchísimas herramientas potentes, es pesado para máquinas no poderosas, muy actualizado. El mejor antivirus salido de España. Algunos usuarios se quejan de su lentitud. Versión de prueba por 30 días.
NOD32 Anti-Virus: muy rápido, eficiente, excelente heurística y excelente en cuanto a servicio técnico online. Versión prueba de 25 días.
BitDefender: liviano y efectivo, bien actualizado, buena capacidad de detección.
Las plataformas mas atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, MacOS, éstos han corrido con mejor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que más que presentarse como amenazas reales no han logrado el grado de daño que causa un virus en plataformas Windows.[]
Un virus informático solo atacará la plataforma para la que fue desarrollado.
No es habitual ver la palabra virus y Linux en la misma linea. Hay muy pocos virus diseñados para atacar sistemas Linux. Y el daño que pueden causar es mínimo. Sin embargo, sí que podemos transmitir virus sin darnos cuenta. Puedes recibir un archivo powerpoint infectado, y reenviarlo por email a algunos amigos. Al no tener antivirus no puedes saber si ese archivo esta o no infectado.
Lo cierto es que hay varias opciones para instalar antivirus en Ubuntu entre ellas estan ClamAV y AVG
5. Links para los que quieran saber un poco más.
http://www.viruslist.com/sp/viruses/encyclopedia?chapter=153280800
http://www.segu-info.com.ar/proteccion/proteccion.htm