¿Cómo funciona un antivirus?

Cómo funciona un antivirus: Los programas antivirus utilizan diferentes técnicas para detectar malware en nuestros dispositivos.

- Firma digital

Van comprobando constantemente cada archivo del sistema (escaneo en segundo plano o detección a tiempo real), especialmente archivos recién descargados de internet o de correos electrónicos, y comparan el código de cada archivo con una base de datos donde están todos los códigos de malware conocidos hasta esa fecha. En esta base de están las “firmas” de los virus o “vacunas” que describen al detalle el código de cada virus.

Si un trozo del código de un archivo concuerda con el código de malware conocido, el antivirus puede realizar varias acciones: Puede desinfectar el archivo ( el antivirus reescribe su código para eliminar el virus sin perder la integridad de la información), puede ponerlo en cuarentena si no sabe qué hacer con él (dejarlo a parte sin acceso a ningún programa hasta que el antivirus encuentre una solución para su desinfección) o puede eliminar el archivo cuando considera que “no hay nada que hacer” con el archivo.

Para una eficiencia mayor, las base de datos deben ser actualizadas cada poco tiempo, ya que solamente se detecta el malware cuya firma posean.

Aunque estas comprobaciones son muy efectivas, los creadores de malware siempre intentan estar un paso por delante creando “virus polimórficos”, que encriptan parte de su código o se modifican a sí mismos para que no puedan ser identificados en las bases de datos de los antivirus.

- Detección heurística

El análisis heurístico posee un comportamiento basado en reglas para diagnosticar si un archivo es potencialmente ofensivo. Busca secciones de código maliciosas conocidas dentro de los archivos sospechosos. Al encontrar una, le asigna una probabilidad basándose en el número de apariciones de ese código en muestras de malware que ya están confirmadas. Esta técnica ayuda a detectar los “virus polimórficos”.

Revisiones de “comportamientos sospechosos”

Consisten en encontrar modificaciones o comportamientos poco habituales producidos por malware, como puede ser la escritura en archivos ejecutables. Estas revisiones pueden detectar malware que aún no están en ninguna base de datos.

Es posible que el antivirus se equivoque algunas veces y confunda ciertos programas legítimos con malware. A este error se le llama Falso Positivo.

- Ejecución controlada en sandbox

Ejecuta el programa sospechoso en entorno controlado. Al acabar, el entorno controlado es analizado buscando cambios que puedan indicar la presencia de malware.

- Técnicas de minería de datos

Con una serie de características de programas, la minería de datos nos ayuda a establecer si el programa sospechoso es malicioso o no. Se basa en sus características más que en su código.

- Escaneos completos del sistema

El antivirus comprueba todo el sistema del ordenador y todo el disco duro buscando señales de infección. Lo podemos iniciar cuando queramos, pero generalmente el antivirus escanea el ordenador cuando se enciende.

- Ratios de detección

Diferentes programas antivirus tienen diferentes ratios de detección de malware, realizados por las dos tipos de revisiones, las definiciones de virus y los comportamientos. Algunas empresas puede que tengan las revisiones de comportamientos más efectivas, con lo que aumentan su ratio de detección, pero estos ratios suelen fluctuar con el tiempo, no existe ningún antivirus que sea mejor que otro durante mucho tiempo. Si queremos saber cómo de efectivo es un programa antivirus debemos fijarnos en los ratios de detección.