El mundo de antivirus

jueves, 11 de noviembre de 2021

Desde el momento de aparición de antivirus, ya desde hace más de 30 años, se aplican dos modos de detección las amenazas en los mismos: el modo de firmas y el modo no basado en firmas.

El modo basado en firmas está vinculado a la detección de las características determinadas del malware en concreto, las firmas, y detección en el equipo protegido de los archivos o procesos correspondientes. Los primeros antivirus usaban la detección de malware basada en firmas. Eso era bastante razonable porque en los años 80-90 no había muchos antivirus y los SO usados casi todos eran de una sola tarea, podían realizar solo una tarea en el periodo de tiempo determinado, lo cual imposibilitaría el funcionamiento de antivirus moderno. Para escanear un equipo o un disquete cada vez había que iniciar el escaneo de la información. El representante clásico del antivirus basado en firmas de aquella época es Aidstest legendario de Dmitry Nikolaevich Losinsky.

Pero a principios de los años 90 aparecieron los virus polimórficos. Este malware transformaba su código en caso de cada nueva infección o lanzamiento, por lo cual su detección con los métodos no basados en firmas no era eficaz, y a veces era totalmente imposible. El Antivirus Dr.Web fue el pionero en nuestro país si tomamos en cuenta el uso de los métodos no basados en firmas de detección de malware gracias al uso de la emulación del código y análisis heurístico.

Durante los 30 años posteriores los métodos no basados en firmas se desarrollaron activamente, y Dr.Web con razón se convirtió en uno de los líderes de realización de metodología de análisis heurístico de aplicaciones y protección preventiva del equipo contra las amenazas desconocidas.

Hoy día en la mayoría de los productos antivirus se usa la combinación de los métodos basados y no basados en firmas de detección de malware. Esto permite conseguir un nivel alto de protección, pero uno debe entender que ningún antivirus, por muy bueno que fuera, puede asegurar la detección de todo el malware, sobre todo si se trata de las amenazas nuevas y desconocidas o los casos cuando el antivirus funciona en condiciones no estándar, — por ejemplo, no puede recibir con regularidad las actualizaciones de las bases de firmas porque no hay acceso a Internet.

Una solución lógica es usar otro antivirus más para estar a salvo. Las soluciones antivirus de varios productores usan varias metodologías de detección de malware y las bases de firmas, lo cual significa que las esperanzas de éxito mejoran. Pero nuestros lectores seguramente se enteran de que el uso de dos antivirus en un solo sistema no es la mejor idea.

Primero, este enfoque sin duda provocará conflictos de dos programas antivirus cada uno de los cuales puede considerar que las acciones del otro es actividad maliciosa.

Segundo, dos antivirus basados en firmas en un solo sistema siempre sobrecargarán la máquina al consultar al mismo tiempo los archivos escaneados y al consumir los recursos simultáneamente.

Una vez pensamos: ¿por qué no creamos un antivirus que no provocará conflictos con soluciones de otros productores, no consumirá muchos recursos, pero así mismo podrá mejorar bastante la seguridad del sistema gracias al uso de las herramientas no basadas en firmas más avanzadas, usadas en Dr.Web Security Space? Así apareció Dr.Web KATANA – un antivirus ligero no basado en firmas, destinado para ser un ayudante indispensable de Su protector básico.

Los escenarios de uso de Dr.Web KATANA son distintos a los del antivirus de siempre. Con el mismo uno no podrá escanear una unidad USB, el mismo no prestará atención a un archivo con troyano almacenado en una carpeta del escritorio. Pero tampoco lo necesita: el objetivo de Katana es la detección de las amenazas activas al analizar todos los procesos iniciados en el sistema y detectar anomalías. Y el escaneo de archivos es la tarea de Su herramienta de protección básica.

Mientras el archivo con un troyano simplemente se almacena en la carpeta, es de amenaza solo potencial. Pero si el usuario decide iniciarlo, la amenaza se activará. En este caso Dr.Web KATANA reaccionará enseguida a los intentos del programa de realizar un escenario malicioso y bloqueara la ejecución del mismo. La respuesta oportuna también se producirá en caso de otros incidentes, por ejemplo, la intrusión de un gusano de red, así mismo, usando las vulnerabilidades algún desconocidas del software o del software de aplicación, así como los pequeños cambios de funcionamiento de procesos legítimos o su modificación. Además, Dr.Web KATANA protegerá contra el cambio de la información no autorizado, los intentos de cifrar Sus archivos o distorsionar una parte de la información en el búfer de intercambio o en la ventana del navegador.

El funcionamiento de Dr.Web KATANA es automatizado totalmente e invisible al máximo. En general, el usuario simplemente debe instalar un antivirus. Durante el funcionamiento, el mismo bloqueará todas las amenazas detectadas y lo notificará. Al mismo tiempo, en caso necesario, Vd. podrá hacer una configuración fina a partir de Sus necesidades.

Nada nos impide instalar Dr.Web KATANA como un solo antivirus, pero en la mayoría de los casos su aplicación de este tipo no tiene mucho sentido. La protección eficaz del sistema requiere la aplicación de un conjunto de soluciones, una de las cuales puede ser Dr.Web KATANA. Es verdad, además de la espada un samurái necesita también la armadura.

Por lo tanto no es correcto comparar Dr.Web KATANA con los productos antivirus integrales. Vamos a ver un ejemplo de un troyano en Su disco. Supongamos que el archivo iniciado por Vd. es un troyano descargador (Trojan Downloader). Es uno de los tipos más frecuentes de programas troyanos. De tamaño pequeño, está destinado a descargar, descomprimir y activar en el equipo los módulos maliciosos requeridos. Si esta compilación del troyano descargador ya había sido detectada por la empresa antivirus, un antivirus ordinario lo puede detectar por firmas, pero Katana esperará las acciones posteriores del mismo.

Supongamos que el descargador no puede conectarse a su servidor de control y descargar los paquetes maliciosos. ¿Serán de amenaza estas acciones? Potencialmente, sí, en la práctica, no. Otra cosa es si el descargador ha descargado correctamente el módulo requerido e intenta integrarlo en el sistema, descomprimirlo en la carpeta del sistema, introducirlo en el autoinicio, ejecutarlo o implementarlo en un proceso del sistema. Dr.Web KATANA detectará y bloqueará esta actividad sin ninguna dificultad, al desinfectar tanto los módulos maliciosos como el descargador mismo.

En abril del año 2017 la empresa MRG Effitas realizó una investigación de eficacia de antivirus por encargo de un vendedor importante. Mencionamos varias veces por qué nunca participamos en estos tests y no vemos ninguna utilidad en eso, pero vamos a prestar más atención a esta investigación. Lo que pasa es que el análisis comparativo de las soluciones antivirus corporativas para la protección de las estaciones de trabajo por sus organizadores estaba incluido no en Dr.Web Enterprise Security Suite correspondiente a esta clase, sino en Dr.Web KATANA.

Las pruebas se realizaron al colocar de forma consecutiva de varios modos el archivo malicioso en el equipo de pruebas e iniciarlo. Aunque el antivirus ligero Dr.Web KATANA tuvo que competir con los conjuntos antivirus multifuncionales que incluyen múltiples herramientas de varios tipos y dispone de las bases recientes de firmas de virus, fue capaz de detectar y desinfectar más de la mitad de las muestras maliciosas. Podemos suponer que la parte restante no fue detectada solo porque no hubo actividad de las pruebas de muestra de malware, en la investigación no hay información si las pruebas de muestra han sido comprobadas para detectar si funcionan correctamente en el momento de la prueba en concreto.

Y si Dr.Web KATANA es capaz de hacerlo solo, en condiciones de funcionamiento no estándares para el mismo, imagine lo que hará junto con Su antivirus no basado en firmas.