El malware a menudo se propaga a través de sitios web infectados que contienen software malicioso, correos electrónicos de phishing y descargas en línea. En muchas ocasiones los usuarios son infectados por sus propias acciones, por ejemplo, abrir un archivo adjunto malicioso en el correo o descargar un archivo desde Internet. Pero a veces no hay nada que se pueda hacer para prevenir la infección, por ejemplo, al visitar un sitio web de noticias que está infectado con software malicioso. En estas ocasiones el software antivirus se vuelve muy importante. Los antivirus protegen su privacidad, sus valiosos archivos y no tienen precio en los procesos de negocio Trend Micro, Norton, Kaspersky, AVG, F-Secure y Eset, son los mas valorados.
Pero, ¿cómo funciona Antivirus? ¿Qué hace un análisis completo del sistema y un análisis rápido? ¿Cómo antivirus detecta un virus? ¿Por qué se actualizan todo el tiempo? ¿Cómo funciona la búsqueda de software malicioso?
El software antivirus utiliza varias maneras de detectar el software malicioso. El escaneo antivirus utiliza los análisis del sistema completo, análisis rápidos y análisis en tiempo real para buscar malware.
Escaneo completo del sistema
Los escaneos completos analizan todos los archivos en su disco duro, red, la memoria y otros dispositivos de almacenamiento buscando software malicioso. Los sistemas modernos a menudo contienen una gran cantidad de archivos, por lo que un análisis completo del sistema pueden llevar un tiempo muy largo. Un análisis completo del sistema es muy útil cuando se acaba de instalar el antivirus y desea comprobar si su equipo contiene algún software malicioso. Otra de las razones para realizar un análisis completo del sistema es cuando se sospecha de una infección que ha pasado desapercibida hasta ahora o si desea comprobar el sistema en busca de malware latente con las últimas definiciones de virus. A los efectos de la detección de virus en estado latente pograme su antivirus para un análisis completo del sistema semanalmente después que las definiciones de virus se han actualizado.
Análisis rápido
La mayoría del software antivirus ofrece una función llamada una exploración rápida para comprobar las opciones de puesta en marcha, la memoria del sistema y sectores de arranque en busca de malware. Dependiendo del antivirus utilizado el análisis rápido también comprueba en busca de malware en lugares que a menudo son utilizados por él, como mecanismos de persistencia, por ejemplo. El análisis rápido utiliza sólo una fracción del tiempo y recursos que usa un análisis completo del sistema. Para ello se puede ejecutar una exploración rápida en cualquier momento que desee sin que el antivirus ralentice el equipo.
El escaneo de acceso
El análisis en tiempo real o protección en tiempo real es probablemente el mecanismo de exploración más importante utilizado por el antivirus. Un análisis en tiempo real se efectua cada vez que se activa un ejecutable y un archivo se abre o es descargado, independientemente del tipo de archivo. El software antivirus ejecutará el análisis en tiempo real antes de que la interfaz de la aplicación o archivo se presentan al usuario. Una gran ventaja de análisis en tiempo real es que las fallas de seguridad en aplicaciones también están siendo capturados por el antivirus. Por ejemplo, se detectarán los archivos flash maliciosos cuando las vulnerabilidades en Flash están siendo explotadas. Por esta razón se aconseja no apague nunca el escaneado en tiempo real en su antivirus, incluso si ralentiza el rendimiento del equipo. Una gran cantidad de infecciones de malware tienen un gran impacto en su sistema y podría costar una gran cantidad de tiempo, esfuerzo y dinero a veces para eliminar el malware y asegurarse de que se ha eliminado por completo.
Pero ¿Qué mecanismos utiliza el software antivirus para detectar un virus y distinguir los archivos no maliciosos de los que si lo son?
Esto se hace mediante el uso de definiciones de virus en busca de virus conocidos y mediante el empleo de la heurística para detectar virus nuevos o modificados.
El software antivirus se basa principalmente en las definiciones de virus para detectar malware en su sistema, esta es la forma más tradicional de detección de malware en su sistema. Las definiciones de virus contienen firmas que se utilizan para determinar el tipo de malware. Nuevo malware se libera todos los días y también al mismo ritmo se actualizan las definiciones de virus. Los proveedores de software antivirus más grandes han montado grandes laboratorios antivirus, donde el nuevo malware se investiga para desarrollar nuevas definiciones y firmas para ellos. Este es un proceso costoso, por los millones de software malicioso que se libera cada año. Sin las últimas definiciones de virus, puede ser imposible para el software antivirus detectar el malware más reciente. La mayoría de los proveedores de software antivirus actualizan las definiciones de malware varias veces al día por esta razón. Otro método para el software antivirus es la heurística de detección. Las definiciones de virus con detección de bases heurísticas se utiliza en combinación con las definiciones de virus para detectar el malware que se basa en malware conocido y modificado. Incluso sin las definiciones de virus para el malware modificado el software antivirus es capaz de reconocer las variaciones de malware y ponerlo en cuarentena. El antivirus utiliza la detección de la firma genérica para este propósito y se puede explicar como malware con diferentes huellas dactilares, pero exactamente el mismo código malicioso. Otro método para el software antivirus es el análisis de archivos, por ejemplo, para ver si un ejecutable tiene instrucciones de alterar o eliminar ciertos archivos.
Falsos positivos
Una gran desventaja de la detección de virus basada en la heurística son falsos positivos. Los falsos positivos es cuando los archivos son marcados como maliciosos o los marca como una amenaza cuando no lo son, es sólo una falsa alarma. En el uso diario normal de su sistema rara vez se encontrará con los falsos positivos. En general, se aconseja que si su software antivirus dice que un fichero para ser malicioso, lo considere malicioso. Si quieres estar 100% seguro de si estás frente a un falso positivo, se puede cargar el archivo a VirusTotal para su análisis. VirusTotal escaneará el archivo para usted y le mostrará que opinión tiene otro software antivirus sobre el mismo.
¿Qué software antivirus debería comprar?
Se recomienda usar un software antivirus de pago en lugar de software gratuito. El antivirus de pago ofrece una mejor protección a las infecciones, vulnerabilidades y los piratas informáticos que los escáneres de virus gratuitos. Actualmente los mas galardonados son, Eset, Norton, F-Secure, AVG y Kaspersky.
No hay comentarios:
Publicar un comentario