Index » Conocimiento

¿Cómo se desarrolló el anti virus?

January 24180AdminInternet
Advertisement

El software antivirus fue desarrollado originalmente para detectar y eliminar virus informáticos.

Hay varios métodos que el motor antivirus puede utilizar para identificar malware:

  • Detección de caja de arena: es una técnica de detección basada en el comportamiento particular que, en lugar de detectar la huella digital del comportamiento en tiempo de ejecución, ejecuta los programas en un entorno virtual, registro de las acciones que el programa realiza. Dependiendo de las acciones registradas, el motor antivirus puede determinar si el programa es malintencionado o no. [81] Si no, entonces, el programa se ejecuta en el entorno real. Aunque esta técnica ha demostrado ser bastante eficaz, dada su pesadez y lentitud, rara vez se utiliza en soluciones antivirus de usuario final.
  • Técnicas de minería de datos: son una de las últimas enfoque aplicado en la detección de malware. La minería de datos y los algoritmos de aprendizaje automático se utilizan para tratar de clasificar el comportamiento de un archivo (como malicioso o benigno) dada una serie de características de archivo, que se extraen del propio archivo.

Detección basada en la firma

El software antivirus tradicional depende en gran medida de las firmas para identificar malware.

Sustancialmente, cuando un malware llega a manos de una empresa antivirus, es analizado por investigadores de malware o por sistemas de análisis dinámico. Luego, una vez que se determina que es un malware, se extrae una firma apropiada del archivo y se agrega a la base de datos de firmas del software antivirus.

Aunque el enfoque basado en la firma puede contener efectivamente brotes de malware, los autores de malware han intentado mantenerse un paso adelante de este tipo de software escribiendo virus "oligomorfos", "polimórficos" y, más recientemente, metamórficos, que cifran partes de ellos mismos o de otro modo Se modifican como un método de disfraz, para no coincidir con las firmas de virus en el diccionario.

Heurística

Muchos virus comienzan como una sola infección ya través de mutación o refinamientos por otros atacantes, pueden crecer en docenas de cepas ligeramente diferentes, llamadas variantes. La detección genérica se refiere a la detección y eliminación de múltiples amenazas utilizando una única definición de virus.

Por ejemplo, el troyano Vundo tiene varios miembros de la familia, dependiendo de la clasificación del proveedor antivirus. Symantec clasifica a los miembros de la familia Vundo en dos categorías distintas, y Trojan.Vundo Trojan.Vundo.B.

Si bien puede ser ventajoso identificar un virus específico, puede ser más rápido detectar una familia de virus a través de una firma genérica o mediante una coincidencia inexacta con una firma existente. Los investigadores de virus encuentran áreas comunes que todos los virus de una familia comparten de forma única y, por lo tanto, pueden crear una sola firma genérica. Estas firmas a menudo contienen código no contiguo, utilizando caracteres comodín donde se encuentran las diferencias. Estos comodines permiten al escáner detectar virus incluso si están rellenados con código extra, sin sentido.

Una detección que utiliza este método se dice que es "detección heurística".

Detección de rootkit

Artículo principal: Rootkit

El software antivirus puede intentar buscar rootkits. Un rootkit es un tipo de malware diseñado para obtener control de nivel administrativo sobre un sistema informático sin ser detectado. Los rootkits pueden cambiar la forma en que funciona el sistema operativo y, en algunos casos, pueden alterar el programa antivirus y hacerlo ineficaz. Los rootkits también son difíciles de eliminar, en algunos casos requieren una reinstalación completa del sistema operativo.

Protección en tiempo real

La protección en tiempo real, el escaneo en acceso, el protector de fondo, el escudo residente, el autoprotector y otros sinónimos se refieren a la protección automática proporcionada por la mayoría de los programas antivirus, antispyware y otros programas antimalware. Esto monitoriza los sistemas informáticos para detectar actividades sospechosas, como virus informáticos, spyware, adware y otros objetos maliciosos en tiempo real, es decir, cuando los datos se cargan en la memoria activa del ordenador: al insertar un CD, abrir un correo electrónico o navegar La web o cuando se abre o ejecuta un archivo que ya está en el equipo.