El mundo de antivirus

lunes 11 de septiembre de 2017

Muchas veces se menciona que algún nuevo virus esquiva la protección del antivirus. Es posible, pero no eso no siempre se hace de la misma forma.

Un modo popular de esquivar un antivirus es volver a cifrar un troyano ya conocido para el antivirus u otro programa nocivo. El archivo se cifra o se comprime para que el antivirus no pueda descomprimirlo y detectar la amenaza conocida. Para realizarlo se hacen los comprimidores que comprimen los archivos con un formato desconocido para el antivirus.

No importa si el troyano esquiva la protección – en cualquier caso, el mismo se analiza en busca de nocividad, es decir, se intercepta. No se puede esquivar los métodos de protección.

Vamos a ver un ejemplo real. Vd. está en un control de paso, pasa la gente y Vd. debe detectar infractores entre los mismos. Vd. lo hace a base de características formales (si tienen un pasaporte o un pase) o de valoración visual (si la persona está bien o borracha etc). El control visual es un método de intercepción, no se puede esquivarlo. Puede pasar en teoría, pero en la práctica no, por lo tanto, a pesar de los requerimientos de necesidad de protección contra las penetraciones stels, basta con disponer de una persona, un guarda en la entrada.

Y en caso de esquivar un antivirus, ¿cómo puede ser? En el ejemplo descrito más arriba, lo podemos comparar con casos de entrar por la ventana o bajo tierra, si el control está en otro punto.

¿Se puede afrontarlo? Sí, usando una patrulla con perros.

Y si hablamos de un antivirus, el control quiere decir un control de programas iniciados, es decir, un monitor de archivos. Hasta si hay vulnerabilidad. Para iniciar un archivo (igual que en caso de WannaCry), el mismo debe estar en el sistema. Y si un archivo similar aparece, será escaneado y luego se tomarán las acciones correspondientes para permitirlo o eliminarlo.

En este caso, la patrulla es el antirootkit que escanea periódicamente los procesos iniciados. Lo que pasa es que no todos los programas nocivos son de archivo. También existen virus sin archivo, y también se puede implementarse en un proceso sin crear un archivo en el disco.

Resulta que en cualquier caso el antivirus escaneará el archivo y no será posible esquivar la protección. Pero ¿por qué los troyanos se inician y la prensa informa sobre los casos de esquivar un antivirus?

No vamos a volver a hablar sobre los casos de falta de actualización o desactivación del antivirus. El problema es que tanto el monitor de archivos como el antirootkit detectan los programas nocivos a base de las entradas en el núcleo. Si no hay esta entrada, será permitido iniciar el archivo. ¿Es correcto? ¿Y será correcto si la policía detiene a cada persona que entre en casa? Puede entrar tanto un ladrón como un conocido.

El antivirus puede afrontar todos los archivos entrantes, pero no debe hacerlo.

¿Se puede resolver este problema? Sí, en caso de vigilar a todos los que entran en el territorio controlado. Es lo que se hace: es la protección preventiva que supervisa todas las acciones de programas ya iniciados.

¿Y los casos en los que sea esquivado el antivirus? Resulta que muchas veces esto pasa por causa del deseo de ahorrar del dueño del territorio vigilado. Un antivirus ordinario lo comprueba todo solo a base de las firmas de las bases de virus. Y, “funcionando de forma legal”, si no hay firma, no tiene más peguntas para un malintencionado. Pero el sistema de protección integral – Dr.Web Security Space – afrontará a cualquier malintencionado en caso de cualquier acción nociva Resumen. Si Vd. lee una noticia sobre los casos de esquivar un antivirus, lo más probable es que no se trata exactamente de eso sino de una creación del archivo para el cual aún no hay entradas en las bases de virus. Aparecerá dos horas más tarde, como máximo, una vez iniciado el primer ataque. Y se puede evitar estos casos de esquivar el antivirus, al configurar el mismo correctamente.