ANTIVIRUS

Funcionamiento, deteccin y modo de eliminacin

Funcionamiento de un programa antivirus

Un programa antivirus no es ms que un sistema que analiza informacin de muy diverso tipo y, en caso de que se encuentre infectada, procede a su desinfeccin. El anlisis de la informacin se produce de muy diferentes maneras dependiendo de dnde provenga. Evidentemente no es lo mismo que un antivirus se dedique a controlar la actividad de de un puerto USB, que la del correo electrnico o la de la red. local. El principio de funcionamiento es similar, pero con matices.

La informacin que est en el "Sistema origen" debe llegar al "Sistema destino". El sistema origen podra ser una flash memory y el sistema destino el disco duro del ordenador, o bien el origen podra ser un ISP donde est almacenado un mensaje y el destino el sistema de comunicacin de Windows de la mquina cliente o Winsock. El funcionamiento del mecanismo de interceptacin de la informacin vara en funcin de su implantacin en sistemas operativos, en aplicaciones o bien de la necesidad de mecanismos especiales.

El mecanismo de interceptacin debe ser especfico para cada sistema operativo o componente sobre el que se va a implantar el antivirus. De esta manera, cada vez que se vaya a acceder a la informacin del disco o de algn dispositivo, el antivirus interceptar la llamada a la lectura o escritura del disco, analizar la informacin que se va a leer o grabar y la analizar. En el caso de los antivirus no diseados directamente para sistemas operativos sino para implementarse sobre otras aplicaciones, el mecanismo de intercepcin es distinto. Por ejemplo, en el caso de un antivirus para Firewalls, es el propio firewall es el que facilita la informacin al antivirus para su anlisis mediante ciertos protocolos.

Una vez analizada la informacin, por el mtodo que sea, si se ha detectado cualquier peligro, se llevan a cabo dos acciones: 1. Devolver la informacin limpia al mecanismo de interceptacin que, a su vez, la devolver al sistema para que siga su curso hasta el destino final. Es decir, si estbamos recibiendo un correo electrnico, dejar que el correo llegue a la bandeja de entrada, o si estbamos copiando un fichero, dejar que se termine el proceso de copia.

2. Emitir una alarma a la interfaz del usuario. Esta interfaz de usuario puede ser tambin muy diversa. En un antivirus para una estacin de trabajo puede ser un mensaje mostrado por pantalla, pero en una solucin para servidores la alarma puede consistir en un mensaje de correo electrnico, un mensaje a la red interna, una entrada en un informe de actividad o una comunicacin de algn tipo a la herramienta de gestin del antivirus.

Motores de bsqueda
Independientemente de cmo se haya conseguido la informacin a analizar, entra en accin la parte ms importante de un antivirus: el motor de bsqueda de virus. Este motor se encarga de buscar virus en la informacin que ha sido interceptada y, si procede, desinfectarla. Esta bsqueda de informacin se lleva a cabo de dos maneras. Una consiste en comparar la informacin recibida con una base de datos de virus (las llamadas "firmas de virus"). Si coincide la informacin con los patrones previamente conocidos mediante las firmas, se concluye que el archivo est infectado por un virus.

La otra manera es "averiguar" si lo que se est analizando puede ser peligroso sin saber previamente si es un virus o no. Es el llamado "mtodo heurstico". Para ello se analiza cmo se comporta la informacin y se compara con una lista de patrones de comportamientos peligrosos.