¿Cómo se detecta un virus informático por un software antivirus?

A medida que nos conectamos más con Internet, nos volvemos más vulnerables a los malwares y virus. Y todos sabemos que el antivirus más confiable disponible en el mercado es The Amazing Antivirus. Recientemente tuve la oportunidad de tener una entrevista con él. Es una personalidad muy reservada, pero pude hacerle algunas preguntas que alimentarían nuestra curiosidad sobre cómo funcionan él y otros programas antivirus.

Yo: Primero, ¿podría decirnos qué hace exactamente?

The Amazing Antivirus (TAA): ¿no es eso obvio? Mi trabajo es proteger sus computadoras de malware, troyanos, gusanos y virus. Eso es más o menos lo que hago. Verá, a lo largo de los años, con el auge de la tecnología, incluso tuve que aprender nuevas formas de proteger sus sistemas. Todavía necesito aprender todos los días, pero te aseguro que no encontrarás a nadie mejor que yo allá afuera.

Yo: Jaja. Lo sabemos, TAA. Por eso te estoy entrevistando. Necesitamos el punto de vista de un experto aquí. Dinos. ¿Cómo detecta la mayoría de las amenazas que enfrentan nuestras computadoras?

The Amazing Antivirus: Déjame decirte la forma más fácil de hacerlo. Tengo una patada lateral, ya ves. Mantiene una base de datos de definiciones de virus. Todos los días perfila nuevos virus y los agrega a la base de datos. Esta base de datos facilita mi trabajo.

Para ser honesto, siempre estoy corriendo dentro de tu PC. Cuando abres un juego, tocas una canción, ves un video, etc., ¡siempre estoy en guardia! Puede parecer que todos los archivos se abren de inmediato, pero no lo hacen. Tienen que pasar por mí primero. Reviso todos y cada uno de los archivos antes de dejar que los abras. Sabría si un archivo es un virus porque ejecuto sus “firmas” a través de la base de datos. Y si encuentro una coincidencia, están listos. Los elimino o los pongo en cuarentena de inmediato.

Escaneo cada archivo contra la base de datos, almacenado localmente o en la nube para determinar si están infectados.

Yo: ¡ Parece un plan perfecto!

The Amazing Antivirus: Umm … en realidad no. Mira, hay un problema obvio aquí. No identificaría un malware si no está registrado en la base de datos. Me arriesgo a falsos negativos. Y ese es un gran problema. Puede decir que puedo actualizar la base de datos todos los días, pero aún así, no puedo eliminar por completo la posibilidad de falsos negativos.

Puedo tener un gran poder de ataque, pero los virus hoy en día tienen sus propios mecanismos de defensa.

Armadura: pueden tener un código sin sentido que me dificulta escanearlos correctamente.
Sigilo: algunos malwares pueden proporcionar datos legítimos cuando un proceso solicita información. Un ejemplo es el virus “Cerebro” de 1986.
Cifrado: los malwares pueden cifrar su código para evitar la detección.
Oligomorfismo: Me es posible detectar si se ha realizado un cifrado al estudiar la rutina de cifrado. Pero algunos malwares pueden cambiar la rutina de encriptación y crear mutaciones. Esto hace que sea extremadamente difícil para mí detectarlos porque, incluso si tengo su firma en la base de datos, pueden mutarse para cambiar su firma, por lo que no puedo detectarlos. Si un malware puede cambiarse a sí mismo dos veces a este respecto, son oligomórficos. Si pueden hacer esto de tres a un número ilimitado de veces, son polimórficos.

Los malwares conocidos mutados no son detectables, lo que representa falsos negativos.

Yo: Entonces, ¿cómo te has adaptado a esto?

The Amazing Antivirus: sentí que, en lugar de depender de las firmas de archivos, busco características generales de malware en los archivos. Esto es lo que se llama exploración heurística . Puedo buscar código que posiblemente pueda explotar datos de usuario, o verificar si tiene código para robar cookies de su navegador.

Yo: Ahh! Eso te ahorraría el problema de los falsos negativos, ¿no?

The Amazing Antivirus: De nuevo, no del todo. Solo conozco una cantidad limitada de comportamiento malicioso. Necesito estar actualizado con nuevos comportamientos maliciosos todos los días. Además, trae falsos positivos ! ¡Puedo detectar erróneamente programas que están destinados a hacer lo que hacen! Y este proceso de verificación de código malicioso es más lento que escanear las firmas de los archivos.

Yo: ¿ Y no hay solución para esto?

The Amazing Antivirus: en realidad, puedo permitir que se ejecuten para ver si se comportan de manera maliciosa. Siempre puedo apegarme a los procesos. Y si detecto algo que intenta eliminar datos de su sistema, por ejemplo, al rastrear las pulsaciones del teclado, sabré con certeza que son malware. Y puedo destruirlos con mis propias manos.

Yo: ¿Pero de qué sirve si dejas que se ejecuten de todos modos? ¿Qué pasa si se comportan de una manera que no conoce?

The Amazing Antivirus: ¡ Buena pregunta! Tengo un truco para eso, ya ves. Los dejé correr en una caja de arena . Es un entorno virtual donde el programa puede ejecutarse. No es consciente de esto, y cree que se está ejecutando en el entorno que se supone que debe hacerlo.

Sandbox me permite ejecutar archivos sospechosos en un entorno controlado.

Dale a alguien un poco de privacidad, es casi seguro que mostrarán sus verdaderos colores. Y la mayoría de los malwares que se ejecutan en el sandbox me ayudan a detectar su comportamiento malicioso. Su sistema actual nunca se ve dañado!

Yo: Whoa! ¡Eso es absolutamente asombroso! Sin embargo, ¿no requeriría mucha potencia computacional de mi sistema?

El increíble antivirus : Sí. Un poco lo hace. Pero créanme, si su sistema está conectado a Internet, puedo usar la nube para determinar si un archivo es malicioso o no. Envío los detalles relevantes del archivo al motor de la nube, y ejecuta las pruebas de su lado para determinar la usabilidad del archivo. Con el escaneo basado en la nube , reduce la carga del lado del cliente y puede utilizar los mejores mecanismos de detección de virus disponibles.

Yo: ¡Sin duda eres el mejor! ¿Cómo se comparan otros antivirus con usted?

The Amazing Antivirus: a lo largo de los años he aprendido muchas técnicas y siento que muchos antivirus también las usan. Utilizo un enfoque de varias capas cuando escaneo en busca de virus. Es una combinación de todos los métodos mencionados. Y esta es la única solución para garantizar que todo el malware, nuevo o antiguo, sea atendido.

Para ser honesto, siento que soy el mejor antivirus de la ciudad, ¡otros son simplemente falsos!

Yo: ¡ Estamos de acuerdo con eso! Gracias por la entrevista, TAA. Eso fue esclarecedor! ¡Se nos acabó el tiempo y ciertamente podemos ponernos al día más tarde!

The Amazing Antivirus: Bueno, me alegra ser de ayuda. ¡Nos vemos!

Yo: Puedes consultar este artículo para leer más.

análisisantivirusinformáticaMalwareProgramaciónseguridadSeguridad en InternetsoftwareVirus informáticos

¿Qué ataques de intrusión de red emergentes NO crean eventos en los sistemas SIEM actuales?

¿Cuál es la diferencia entre hackear y phishing?

¿Cómo se puede garantizar la seguridad adecuada para las niñas en el ciberespacio?

Si un malware corrompe los datos, ¿puede un software antivirus restaurarlos?

¿Por qué no está Helvetica en Microsoft Windows como estándar?

Cuando las empresas comerciales (es decir, no gubernamentales) que conoce hacen certificación y acreditación de seguridad informática, ¿qué marco utilizan (por ejemplo, el marco de gestión de riesgos del NIST)?

Depende del software antivirus, pero la mayoría (como Sophos o MacAfee) ejecuta ciertas operaciones para buscar ciertas características en el software y hardware de su computadora que indican síntomas que se sabe que son causados por un virus. Una vez que su software aísla e identifica una amenaza (generalmente determinada al hacer referencia a una base de datos de amenazas conocidas), puede “limpiar” la amenaza.

Estos son algunos de los métodos específicos que el software antivirus típico podría usar para “buscar” virus, operaciones que podríamos llamar “escáneres”:

Escáneres de disco convencionales : analizan el contenido del disco, los archivos, el sector de arranque, etc. de su computadora en busca de código que contenga datos de virus.
Escáneres heurísticos : escáneres que evalúan “ejecutables” (archivos ejecutables) o macros para ciertas cadenas de código que podrían haber sido escritas por un virus.
Escáneres de detección de cambios : escáneres que indexan sus archivos ejecutables y luego reevalúan periódicamente esos archivos en busca de cambios causados por un virus
Escáneres de detección basados en el comportamiento : escáneres que se ejecutan mientras usa su computadora, evaluando los comandos hacia y desde su computadora en busca de actividad maliciosa (que podría indicar spyware o un virus)
Inoculación : similar a la exploración de detección de cambios, este tipo de software indexa todos los directorios de un sistema y luego vuelve a examinar cada archivo para detectar los cambios realizados. Dado que los virus modifican inherentemente áreas como las unidades de arranque, en teoría, el usuario notará estas modificaciones, ya que la inoculación le permite observar fácilmente los cambios que no realizó.
Sandboxing : este método funciona al aislar un paquete cuestionable de datos o programa, quizás sospechoso de ser un virus, y luego ejecutarlo en un entorno virtual para determinar si debe considerarse benigno o malicioso.

Rachel Zader

Las aplicaciones o herramientas antivirus son uno de los elementos más importantes que se ofrecen con casi todas las suites anti malware. El objetivo principal de las aplicaciones antivirus es detectar y bloquear todos los archivos maliciosos que pueden dañar la computadora. La mayoría de las aplicaciones antivirus difieren entre sí en la implementación y los mecanismos de detección de malware o virus, pero las técnicas de detección de virus o archivos maliciosos son las mismas. Al conocer estas técnicas de detección de malware o virus, obtendrá una idea de cómo funciona la aplicación antivirus.

1. Detección basada en firmas: esta técnica se usa generalmente en todo tipo de aplicaciones antivirus. Comprueba todos los archivos ejecutables (.EXE) de todos los virus conocidos y los diferentes tipos de malware. Si algún archivo ejecutable desconocido encontrado con algún mal comportamiento, se mostrará como un virus desconocido.

Básicamente con esta técnica se escanean todos los archivos, programas y otras aplicaciones. Si ha descargado algún archivo ejecutable, buscará la posibilidad de malware. Debido a esta técnica, el software antivirus es capaz de escanear todos los archivos y programas en segundo plano, mientras realiza su trabajo.

2. Detección basada en heurística: esta técnica de detección se usa generalmente con la combinación de detección basada en firma. Se ofrece principalmente en todas las aplicaciones antivirus. Mediante esta técnica, la aplicación antivirus es capaz de detectar cualquier malware nuevo incluso si su definición no está en la herramienta antivirus.

Las aplicaciones antivirus utilizan la técnica heurística para ejecutar las aplicaciones sospechosas con su código en el entorno virtual en tiempo de ejecución para saber si es seguro o no.

3. Detección basada en el comportamiento: esta técnica se utiliza durante la detección de cualquier intrusión. Su objetivo es detectar el comportamiento de cualquier malware en el momento en que se ejecuta. Esta técnica entra en acción, cuando se produce cualquier comportamiento sospechoso, por ejemplo, se desempaqueta un código malicioso y se modifica cualquier archivo de host u observaciones de pulsaciones de teclas.

4. Detección de Sandbox: la funcionalidad de esta técnica de detección es bastante similar a la detección de comportamiento. Realiza la ejecución de la aplicación en un entorno virtual y, en función de su rendimiento, se toma la decisión de si es seguro de usar o no.

5. Técnica de minería de datos: es una de las últimas técnicas que se utiliza hasta la fecha. Con algunas características de los programas, la minería de datos ayuda a analizar si alguna aplicación es segura o no.

Lisa Carol

Un programa antivirus no es más que un sistema para analizar información y luego, si descubre que algo está infectado, lo desinfecta. La información se analiza (o escanea) de diferentes maneras, dependiendo de dónde provenga. Un antivirus funcionará de manera diferente al monitorear las operaciones de disquete que al monitorear el tráfico de correo electrónico o los movimientos a través de una LAN. El principio es el mismo pero hay diferencias sutiles.

La información se encuentra en el ‘Sistema de origen’ y debe llegar al ‘Sistema de destino’. El sistema de origen podría ser un disquete y el sistema de destino podría ser el disco duro de una computadora, o el origen de un ISP en el que se almacena un mensaje y el destino, el sistema de comunicación de Windows en la máquina cliente, Winsock.

El sistema de interpretación de la información varía según se implemente en sistemas operativos, en aplicaciones o si se necesitan mecanismos especiales.

El mecanismo de interpretación debe ser específico para cada sistema operativo o componente en el que se va a implementar el antivirus. Por ejemplo, en Windows 9x, se usa un controlador virtual VxD, que monitorea continuamente la actividad del disco. De esta manera, cada vez que se accede a la información en un disco o disquete, el antivirus interceptará las llamadas de lectura y escritura en el disco, y escaneará la información para leerla o guardarla. Esta operación se realiza a través de un controlador en modo kernel en Windows NT / 2000 / XP o un NLM que intercepta la actividad del disco en Novell.

Hernández Carter

Intente leer los métodos de identificación en este artículo de Wikipedia Software antivirus.
Las cinco formas enlistadas en él son.
1) Detección basada en firmas: en este caso, el código se corresponde con todos los códigos de malware en la base de datos del antivirus.
2) Detección basada en heurística: – En este caso, si una gran parte del código coincide con un código de malware en la base de datos.
3) Detección basada en el comportamiento: – Si un programa se ha comportado de manera maliciosa, es decir (comenzó a copiarse sin control, o eliminar archivos sin permiso de los usuarios, etc.).
4) Detección de Sandbox: – Ejecútelo en un entorno virtual para verificar cómo funciona (este método es lento).
5) Técnicas de minería de datos: – Se utilizan algoritmos de minería de datos, aprendizaje automático para clasificar si un programa es malicioso o no (detección de comportamiento).

Rachel Zader

El antivirus se aplica técnicamente a los productos basados en firmas de la vieja escuela. La protección de punto final u otros nombres se refieren a productos más completos.

Firmas (AV clásico). En la forma más simple, esta es una lista de hashes de archivos incorrectos. Más sofisticación se involucra en las firmas de tipo “segmento de ADN” que coinciden con las partes internas de un archivo para manejar virus polimórficos que se modifican durante la replicación. Los “empaquetadores” que encriptan archivos y no generan firmas internas y un hash de archivo único para cada descarga derrotan a la vieja escuela AV.
Comportamiento. El malware generalmente tiene que “hacer cosas” para ser útil. Estas actividades se pueden usar para detectar malware. Por ejemplo, cree un ejecutable, enganche las API, instale un enganche de inicio, conecte la salida a una dirección IP remota (rastreada a través de servidores de comando y control conocidos). Estos pueden ser alimentados a un clasificador entrenado en máquina.
Reputación. Los hashes de archivos pueden compararse con una base de datos global para determinar si se conocen como buenos, malos o desconocidos. Por lo general, no desea ser la primera persona en ejecutar un programa en Internet si no lo creó. Esto derrota a los empacadores.
Lista blanca Típicamente utilizado en una empresa o entornos de alto riesgo (terminales de punto de venta), la lista blanca puede inventariar el software en uso y evitar que se ejecuten programas desconocidos.
Privilegios mínimos. Los productos de seguridad pueden “bloquear” el sistema operativo para que cada proceso solo pueda usar las capacidades que necesita. Su servidor FTP no necesita escribir archivos fuera de su directorio de inicio o modificar la memoria en otros procesos. Los controles administrativos proporcionan una forma más básica de esto integrada en el sistema operativo.
Prevención de falsos positivos. A la gente no le gustan los falsos positivos, por ejemplo, una detección AV de programas legítimos. Las características de los programas se pueden utilizar para eximirlos del procesamiento de detección, como archivos binarios firmados, hashes conocidos, etc.

Por supuesto, el software de seguridad tiene que hacer mucho para implementar estas características. La buena seguridad del punto final proporciona valor.

Hernández Carter

Los programas antivirus modernos tienen múltiples formas de detectar los malwares:

1. Detección basada en firma . Las firmas de los virus / malwares conocidos recolectados de los criaderos de miel, los archivos maliciosos reportados, los sistemas de recolección, etc., en todo el mundo están siendo generados por compañías antivirus basadas en su análisis y luego estas firmas se actualizan diariamente a todo el software del cliente. Esta detección se basa en el escaneo de la PC o una unidad o archivo, lo que significa que si no se realiza un escaneo, no se detectará, pero todos los AV de hoy en día realizan un escaneo automatizado a diario, y tan pronto como se conecta un USB, etc. se cuida. Generalmente se llama protección en tiempo real.

2. Detección de comportamiento . Un programa antivirus de detección de comportamiento funciona como un oficial de policía que busca un comportamiento extraño en un sospechoso. Si instala una aplicación antivirus que utiliza detección de comportamiento, vigila su sistema operativo y busca eventos sospechosos. Por ejemplo, si el programa antivirus es testigo de un intento de cambiar o modificar un archivo o comunicarse a través de la Web, puede tomar medidas y advertirle sobre la amenaza. También puede bloquear la amenaza dependiendo de cómo ajuste su configuración de seguridad.

3. Detección heurística . Las aplicaciones antivirus que usan heurística son similares a los programas de detección basados en firmas. Buscan identificar malware examinando el código en un programa de virus y analizando la estructura del programa. Una aplicación antivirus heurística que use este método de detección podría ejecutar un proceso que simule realmente ejecutar el código que está examinando. Cuando lo hace, la aplicación antivirus busca identificar lógica de código adicional que pueda ayudarlo a determinar si el virus sospechoso es realmente una amenaza.

4) La detección basada en la nube identifica el malware mediante la recopilación de datos de computadoras protegidas mientras lo analiza en la infraestructura del proveedor, en lugar de realizar el análisis localmente. Esto generalmente se realiza capturando los detalles relevantes sobre el archivo y el contexto de su ejecución en el punto final, y proporcionándolos al motor de la nube para su procesamiento. El agente antivirus local solo necesita realizar un procesamiento mínimo.

5. Inteligencia artificial (solo muy pocos AV lo tienen a partir de ahora, por ejemplo, es Bitdefender). El programa AV tiene AI (algoritmos de aprendizaje automático) e informa / bloquea cualquier actividad sospechosa basada en la inteligencia recopilada. Enlace – Inteligencia artificial ‘Cocina’ para Bitdefender 2016

Ankur Chheda

El software antivirus utiliza las siguientes técnicas para detectar virus en una computadora.
1. Detección basada en firmas: cree una huella digital estática de malware conocido. La firma podría representar una serie de bytes en el archivo. También podría ser un hash criptográfico del archivo o sus secciones. Este método de detección de malware ha sido un aspecto esencial de las herramientas antivirus desde su inicio; sigue siendo parte de muchas herramientas hasta la fecha, aunque su importancia está disminuyendo
2. Detección basada en heurística : examen sistemático de archivos en busca de características sospechosas sin una coincidencia de firma exacta.
3. Detección de comportamiento: busca comportamientos sospechosos, como desempaquetar malcode, modificar el archivo de hosts u observar pulsaciones de teclas
4. Detección basada en la nube: recopila todo lo relacionado con el archivo y el contexto de su ejecución en el punto final y lo envía al motor de la nube para su procesamiento.

Rachel Zader

Antivirus se refiere a los medios tradicionales para combatir el malware informático. Si bien los piratas informáticos se han vuelto muy hábiles y prolíficos en su propagación de malware, los antivirus convencionales se están ampliando con técnicas y características más avanzadas. El software antivirus se ha convertido en un componente de las suites de seguridad que ofrece protección de varias capas para las computadoras.

Características del software antivirus

Escaneo de fondo
Escaneos completos del sistema
Definiciones de virus

Definiciones de virus

El software antivirus depende de las definiciones de virus para identificar malware. Esa es la razón por la que se actualiza sobre las nuevas definiciones de virus. Las definiciones de malware contienen firmas para cualquier virus nuevo y otro malware que se haya clasificado como salvaje. Si el software antivirus escanea cualquier aplicación o archivo y si encuentra el archivo infectado por un malware que es similar al malware en la definición de malware. Luego, el software antivirus termina la ejecución del archivo empujándolo a la cuarentena. El malware se procesa de acuerdo con el tipo de software antivirus.

Es realmente esencial para todas las compañías de antivirus actualizar las definiciones con el último malware para garantizar la protección de la PC que combate incluso la forma más reciente de amenaza maliciosa.

Formas de deshacerse de los virus

Detección basada en firma
Detección basada en heurística
Detección basada en el comportamiento.
Detección de caja de arena
Técnicas de minería de datos

Rachel Zader

Considere un antivirus “Hola Mundo” como se dijo.

Ahora encontró manualmente algún archivo X como virus y leyó su código, entendió dónde se encuentra el código malicioso dentro del programa. Más tarde, encontró el mismo código en un archivo Y, por lo que concluye que Y también es un virus.

Lo mismo ocurre también con el funcionamiento del software antivirus. Tiene una base de datos incorporada de dichos códigos maliciosos. La base de datos se actualiza todos los días. El antivirus analiza todos sus archivos, programas, servicios para que coincidan con cualquier código malicioso. Así es como usted (antivirus) encuentra el virus.

Se consideran varios parámetros para detectar un virus como los duplicados si se forma, infecciones adicionales, conexiones abiertas desde su PC, etc.

En general, es trabajar en pocas palabras. Espero que les haya gustado la descripción.

Aclamaciones.

Lisa Carol

Los programas antivirus son potentes piezas de software que son esenciales en las computadoras con Windows. Si alguna vez se ha preguntado cómo los programas antivirus detectan virus, qué están haciendo en su computadora y si necesita realizar escaneos regulares del sistema usted mismo, siga leyendo.

Un programa antivirus es una parte esencial de una estrategia de seguridad de varias capas, incluso si usted es un usuario inteligente de la computadora, el flujo constante de vulnerabilidades para los navegadores, los complementos y el propio sistema operativo Windows hacen que la protección antivirus sea importante.

El software antivirus se ejecuta en segundo plano en su computadora, verificando cada archivo que abre. Esto generalmente se conoce como escaneo en acceso, escaneo en segundo plano, escaneo residente, protección en tiempo real u otra cosa, dependiendo de su programa antivirus.

Cuando hace doble clic en un archivo EXE, puede parecer que el programa se inicia inmediatamente, pero no lo hace. Su software antivirus comprueba primero el programa, comparándolo con virus, gusanos y otros tipos de malware conocidos. Su software antivirus también realiza verificaciones “heurísticas”, verificando programas para detectar tipos de mal comportamiento que pueden indicar un virus nuevo y desconocido.

Los programas antivirus también analizan otros tipos de archivos que pueden contener virus. Por ejemplo, un archivo comprimido .zip puede contener virus comprimidos o un documento de Word puede contener una macro maliciosa. Los archivos se escanean cada vez que se usan; por ejemplo, si descarga un archivo EXE, se escaneará inmediatamente, incluso antes de abrirlo.

Es posible usar un antivirus sin escaneo en el acceso, pero esto generalmente no es una buena idea: los virus que explotan los agujeros de seguridad en los programas no serían detectados por el escáner. Después de que un virus ha infectado su sistema, es mucho más difícil de eliminar. (También es difícil asegurarse de que el malware se haya eliminado por completo).

Debido al escaneo en acceso, generalmente no es necesario ejecutar escaneos de todo el sistema. Si descarga un virus a su computadora, su programa antivirus lo notará de inmediato; no es necesario que primero inicie manualmente un análisis.

Sin embargo, los análisis de todo el sistema pueden ser útiles para algunas cosas. Un escaneo completo del sistema es útil cuando acaba de instalar un programa antivirus: garantiza que no haya virus latentes en su computadora. La mayoría de los programas antivirus configuran escaneos programados del sistema completo, a menudo una vez por semana. Esto garantiza que los últimos archivos de definición de virus se utilicen para escanear su sistema en busca de virus inactivos.

Estas exploraciones de disco completo también pueden ser útiles al reparar una computadora. Si desea reparar una computadora ya infectada, es útil insertar su disco duro en otra computadora y realizar un análisis completo del sistema en busca de virus (si no se realiza una reinstalación completa de Windows). Sin embargo, generalmente no tiene que ejecutar escaneos completos del sistema usted mismo cuando un programa antivirus ya lo protege; siempre está escaneando en segundo plano y haciendo sus propios escaneos regulares del sistema completo.

Su software antivirus se basa en definiciones de virus para detectar malware. Es por eso que descarga automáticamente archivos de definición nuevos y actualizados, una vez al día o incluso con más frecuencia. Los archivos de definición contienen firmas para virus y otro malware que se ha encontrado en la naturaleza. Cuando un programa antivirus escanea un archivo y nota que el archivo coincide con una pieza conocida de malware, el programa antivirus detiene la ejecución del archivo y lo pone en “cuarentena”. Dependiendo de la configuración de su programa antivirus, el programa antivirus puede eliminar automáticamente el archivo o puede permitir que el archivo se ejecute de todos modos, si está seguro de que es un falso positivo.

Las compañías de antivirus deben mantenerse continuamente actualizadas con las últimas piezas de malware, lanzando actualizaciones de definición que garanticen que sus programas detecten el malware. Los laboratorios de antivirus usan una variedad de herramientas para desmontar virus, ejecutarlos en entornos limitados y lanzar actualizaciones oportunas que garanticen que los usuarios estén protegidos de la nueva pieza de malware.

Los programas antivirus también emplean heurística. Las heurísticas permiten que un programa antivirus identifique tipos de malware nuevos o modificados, incluso sin archivos de definición de virus. Por ejemplo, si un programa antivirus se da cuenta de que un programa que se ejecuta en su sistema está tratando de abrir todos los archivos EXE en su sistema, infectándolo escribiendo una copia del programa original en él, el programa antivirus puede detectar este programa como nuevo, tipo desconocido de virus.

Ningún programa antivirus es perfecto. La heurística no puede ser demasiado agresiva o marcarán software legítimo como virus.

Debido a la gran cantidad de software que existe, es posible que los programas antivirus ocasionalmente digan que un archivo es un virus cuando en realidad es un archivo completamente seguro. Esto se conoce como un “falso positivo”. Ocasionalmente, las compañías de antivirus incluso cometen errores como la identificación de archivos del sistema de Windows, programas populares de terceros o sus propios archivos de programas antivirus como virus. Estos falsos positivos pueden dañar los sistemas de los usuarios; tales errores generalmente terminan en las noticias, como cuando Microsoft Security Essentials identificó a Google Chrome como un virus, AVG dañó las versiones de 64 bits de Windows 7 o Sophos se identificó a sí mismo como malware.

La heurística también puede aumentar la tasa de falsos positivos. Un antivirus puede notar que un programa se comporta de manera similar a un programa malicioso e identificarlo como un virus.

A pesar de esto, los falsos positivos son bastante raros en el uso normal. Si su antivirus dice que un archivo es malicioso, generalmente debería creerlo. Si no está seguro de si un archivo es realmente un virus, puede intentar cargarlo en VirusTotal (que ahora es propiedad de Google). VirusTotal escanea el archivo con una variedad de diferentes productos antivirus y le dice lo que cada uno dice al respecto.

Pete Ashly

Gracias por A2A.

Un antivirus típico busca un patrón conocido (firma de antivirus, que se actualiza siempre) cada vez que se abre / lee / escribe / elimina / modifica un archivo. Digamos que si un patrón para una pieza particular de malware es ‘0xabc123’, y cada vez que un usuario de AV ha abierto un archivo de 1000 bytes, entonces el motor AV buscará ‘0xabc123’ dentro de los 1000 bytes. Estos 1000 bytes se multiplican por la cantidad de archivos que se están escaneando y también el ‘1000’ variará según el tamaño del archivo. He explicado esta lógica de una manera muy simple que puede ser entendida por cualquiera. En realidad, esta lógica es muy sofisticada e involucra algoritmos complejos y estructuras de datos.

Ahora imagine, un disco duro de 1 TB y 2 millones de patrones. Entonces, la probabilidad de realizar el emparejamiento aumenta. Esta es definitivamente una tarea intensiva de la CPU, por lo tanto, depende mucho de la velocidad del procesador, la cantidad y la velocidad de la memoria, la velocidad del disco que se está escaneando, el tamaño de los archivos. Más importante que todo esto es la lógica detrás del motor AV, como mencioné anteriormente,

Digamos que el archivo tiene 1000 bytes. Buscar el patrón en todos los 1000 bytes llevará mucho tiempo que mirar solo las partes importantes en 1000 bytes. Ahora, ¿por qué solo en partes importantes? ese es el secreto y la fuerza de los ingenieros y analistas de seguridad que fabrican estos productos.

Espero que esta respuesta ayude.

Santiano Morya

El antivirus alude al método habitual para combatir el malware de PC. Si bien los programadores han resultado ser muy talentosos y productivos en su propagación de malware, los antivirus comunes se están ampliando con estrategias y aspectos más destacados. La programación antivirus ha terminado siendo una parte de las suites de seguridad que ofrecen garantías de varias capas para PC. La programación antivirus examina cada uno de los documentos que abre desde el back-end; Esto también se denomina filtrado de acceso. Ofrece una seguridad constante que protege a la PC de los peligros y los diferentes ataques vengativos. En general, los barridos de marco completo no son vitales cuando a partir de ahora tiene una oficina de examen de acceso. Los barridos completos del marco son vitales cuando introduces sorprendentemente la programación antivirus o has revisado tu programación antivirus últimamente. Esto se hace para garantizar que no haya infecciones presentes cubiertas en su marco. Los barridos de marco completo también son útiles cuando repara su PC contaminada.

Edna Shirley

Ankur Chheda

Las definiciones de virus son bases de datos de firmas de virus. Una firma de virus es una huella digital única de un virus. Su programa antivirus usa definiciones de virus de la misma manera que las huellas digitales se comparan con las bases de datos criminales. Cuando escanea un archivo, verifica si ese archivo coincide con alguna firma de virus en las definiciones. Este método solo es útil si existen firmas para el virus que puede haber infectado su computadora.

Kristen Theron

Por ejemplo, si toma un archivo .EXE. Cuando hace doble clic en un archivo EXE, puede parecer que el programa funciona inmediatamente, pero no lo hace. Su software antivirus comprueba primero el programa, comparándolo con virus, gusanos y otros tipos de malware conocidos. Su software antivirus también realiza verificaciones masivas, verificando programas para detectar tipos de mal comportamiento que pueden indicar un virus nuevo y desconocido.

Los programas antivirus también analizan otros tipos de archivos que pueden contener virus. Saber más: Antivirus gratuito | El mejor software de protección y eliminación de virus 2017

Hernández Carter

¿Cómo funciona el antivirus?

Antivirus se refiere a los medios tradicionales para combatir el malware informático. Si bien los piratas informáticos se han vuelto muy hábiles y prolíficos en su propagación de malware, los antivirus convencionales se están ampliando con técnicas y características más avanzadas. El software antivirus se ha convertido en un componente de las suites de seguridad que ofrece protección de varias capas para las computadoras.

¿Conozca más sobre cómo funciona el software antivirus?

Descargar Free Antivirus

Lisa Carol

Cada programa antivirus utiliza dos enfoques para encontrar virus en el sistema:

Enfoque del diccionario de virus : en este enfoque, el software antivirus hace coincidir un fragmento de código con el diccionario de virus y, si coincide, lo toma como un virus y lo elimina.

Enfoque de comportamiento sospechoso: en este enfoque, el software antivirus identifica aquellos virus que aún no se conocen. Encuentra el virus al observar su comportamiento sospechoso. Si un programa intenta escribir datos en un programa ejecutable, esto se toma como un comportamiento sospechoso y el usuario recibe una alerta y se le pregunta qué hacer.

Hernández Carter

El software antivirus reconoce el virus a través de las actualizaciones de firma.

El antivirus continúa actualizando el nuevo antivirus de vez en cuando la nueva firma del antivirus se indexa en la base de datos del programa antivirus.

Además, a través de la detección de comportamiento que reconoce.

Lisa Carol

El software antivirus es prácticamente un requisito para cualquiera que use el sistema operativo Windows. El software antivirus depende de las definiciones de virus para identificar malware. Debe identificar archivos maliciosos conocidos y nunca vistos con el objetivo de bloquearlos antes de que puedan causar daños. Aunque las herramientas difieren en la implementación de mecanismos de detección de malware, tienden a incorporar las mismas técnicas de detección de virus .

Un escaneo completo del sistema o un escaneo de archivos individuales es una acción manual que un usuario puede tomar para escanear todos los archivos en su computadora. Para ejecutar este tipo de análisis, debe abrir el programa antivirus y seleccionar la opción para realizar un análisis completo del sistema o hacer clic con el botón derecho en el archivo que desea analizar y elegir la opción para analizar el archivo. No debería ser necesario un análisis completo si un programa antivirus se ha estado ejecutando en su computadora y está monitoreando los cambios. Sin embargo, si su computadora está actuando de forma sospechosa o se ha instalado un nuevo antivirus, no es una mala idea ejecutar un análisis completo.

Hay varias compañías diferentes que crean y ofrecen software antivirus y lo que ofrece cada una puede variar, pero todas realizan algunas funciones básicas:

* Escanee archivos o directorios específicos en busca de malware o patrones maliciosos conocidos

* Le permite programar escaneos para que se ejecuten automáticamente

* Le permite iniciar un escaneo de un archivo específico o de su computadora, o de un CD o unidad flash en cualquier momento.

* Elimine cualquier código malicioso detectado: a veces se le notificará de una infección y se le preguntará si desea limpiar el archivo, otros programas lo harán automáticamente detrás de escena.

Rachel Zader

More Interesting

¿Cuál es la diferencia entre el modo supervisor y el modo usuario en un sistema operativo?

Cómo cambiar la contraseña de un usuario de terminal Telnet en Linux

¿Es mejor aprender protocolos en redes y seguridad o realizar pruebas de penetración? ¿Qué paga más?

¿Cuáles son las 5 mejores técnicas de prueba de penetración?

¿Hay algún pasante de prueba de penetración educativa?

¿Qué sabe sobre las herramientas de seguridad cibernética que necesita para obtener protección contra las amenazas cibernéticas más recientes y avanzadas?

¿Qué tan probable es que el monitoreo de Google, Facebook, Microsoft, etc., pudiera haber ocurrido sin conocimiento interno?

¿Cuál es la certificación de seguridad informática o ciberseguridad más solicitada? ¿Podría alguien priorizar CompTIA Security +, CISSP y SSCP para mí? ¿Por cuál debo ir?

¿Cuáles son las últimas técnicas de phishing?

¿Qué herramientas matemáticas están disponibles para los profesionales de seguridad cibernética?