Curso: Tipos de virus informáticos

5. Programas antivirus y técnicas utilizadas

Capítulo anterior: 4 - Técnicas utilizadas por los virus
Capítulo siguiente: 6 - ¿Cómo evitar los virus?

Los actuales productos antivirus son una solución completa e integran todo lo necesario para la luchar contra las infecciones en un solo paquete. En líneas generales, un antivirus se compone del escáner, el limpiador y un controlador de dispositivo residente.

El escáner es el arma antivirus por excelencia. Antes, analizaban exclusivamente los archivos en busca de secuencias malignas, basándose en un archivo que contenía los patrones de los distintos virus. Hoy día, incluyen técnicas más avanzadas que aumentan la velocidad de detección con mecanismos de checksum e incluso permiten descubrir nuevos virus con lo que se ha dado a llamar análisis heurístico.

El análisis heurístico no es un algoritmo en sí, sino un conjunto de ellos. Un compendio de reglas que, basándose en la experiencia, descomponen y analizan las secuencias de código ejecutable. Concretamente buscan de partes de código que puedan asemejarse a lo que puede hacer un virus, como quedarse residente, capturar una interrupción o escribir en el sector de arranque del disco. De esta forma, puede detectar virus aún no incluidos en su base de datos y avisar al usuario de que tal o cual programa puede suponer un peligro para sus datos. No obstante, este método no es infalible al 100% y en ocasiones provoca falsas alarmas.

Como respuesta a la proliferación de múltiples motores de encriptación, los antivirus han empezado a utilizar desencriptadores genéricos o GDE (Generic Decryption Engine). Éstas aplicaciones observan el virus y averiguan la secuencia de código que aparecería simulando la ejecución real, obligando así al virus a desencriptarse a él mismo en un buffer. Una vez con virus en este buffer, es muy sencillo aplicarle los métodos tradicionales de detección por firma, checksum, o heurístico.