Secciones
Síguenos en:
EXISTEN LOS SISTEMAS ANTIVIRUS CURALOTODO

EXISTEN LOS SISTEMAS ANTIVIRUS CURALOTODO

En los últimos años, los virus informáticos se han convertido en el terror de todos aquellos que de una u otra manera tienen que utilizar un computador. Como respuesta a este grave problema se crearon los sistemas antivirus: programas que detectan y, algunas veces, eliminan los virus del computador.

Con el transcurrir del tiempo los usuarios y los creadores de estos sistemas se percataron de que constantemente aparecían más virus de los que el sistema soportaba.

Hace poco más de un año empezaron a aparecer los antivirus curalotodo, promocionados como la tabla de salvación de los indefensos usuarios en todo el mundo. Pero siempre uno se plantea la misma pregunta: Es posible tanta maravilla? Pienso que no, no y no! La imaginación y los conocimientos de los creadores de virus informáticos no tienen límites. En mi opinión personal y en la de muchos especialistas a nivel internacional, es imposible, la realidad lo demuestra a diario, crear un antivirus que pueda detectar, y menos aún, eliminar todos los virus habidos y por haber.

Para sustentar estas afirmaciones aquí expongo una breve fundamentación teórica.

Para que un usuario pueda evaluar en su justa medida un sistema antivirus es necesario comprender cómo funcionan los métodos de protección que éste ofrezca. Veamos los métodos más comunes: - Búsqueda por signaturas: Consiste en buscar fragmentos de virus conocidos en los archivos. Este tipo de búsqueda puede generar falsas alarmas si no está bien diseñada, muchos sistemas antivirus detectan a otros sistemas como si estuviesen infectados o identifican un virus como otro completamente distinto.

Otro inconveniente de este método es que los creadores de virus cambian el código cada vez que aprenden cuál es el fragmento buscado por los antivirus.

- Heurística: Consiste en analizar el código de un programa y buscar la posible actividad de un virus. Con esta técnica es posible detectar, aunque no eliminar, virus desconocidos para el sistema. Desgraciadamente, como en todas las artes adivinatorias, no siempre se detectan los virus desconocidos o se identifica erróneamente a un programa que utiliza técnicas avanzadas de programación y nada tiene que ver con un virus.

- Chequeo de integridad: Consiste fundamentalmente en guardar una base de datos que contiene información importante del sistema, y periódicamente comparar los valores guardados con los actuales, para detectar cambios no autorizados. Sin embargo, si se borran, intencional o accidentalmente, las bases de datos, es posible detectar estos cambios. Además, si se guarda la información de integridad en un sistema previamente infectado (como en casi todos los casos: muy pocos adquieren un sistema antivirus antes de infectarse) este método es totalmente incapaz de detectar estos cambios.

- Inmunización de archivos: Este método, que últimamente ha ganado gran cantidad de adeptos, consiste en guardar la información dentro del mismo archivo inmunizado y adicionarle un pequeño programa que verifica su integridad. En el caso de una violación a la integridad, el programa inmunizador restaura la información previamente guardada. Sin embargo, existen muchos tipos de archivos que no pueden ser completamente inmunizados: por ejemplo los archivos ejecutables de Windows (*.EXE, *.386, *.DRV, entre otros), los archivos de datos y archivos que contienen solapamiento interno (Overlays), tales como Foxpro, Paradox, Word, Wordperfect y Quattro Pro. También es imposible para estos sistemas detectar cierto tipo de infecciones que no implican cambios directos en los archivos infectados, como es el caso de los virus Dir-2 y AIDS, entre muchos otros. Además, los sistemas antivirus basados en esta técnica tienen la fea costumbre de esconder con su código virus desconocidos en archivos infectados.

Como se puede observar, existen varias técnicas que pretenden controlar de alguna manera a los virus, pero es imposible para los sistemas antivirus detener un elemento sumamente importante: los creadores de virus informáticos. Algunos de estos no pasan de ser programadores burdos y poco capacitados que son una vergenza para su gremio; pero existe una gran cantidad de ellos, fundamentalmente de origen europeo, que son unos verdaderos genios y el dolor de cabeza para los desarrolladores de sistemas antivirus y usuarios de computadores en todo el mundo.

Estos programadores han desarrollado unas técnicas altamente sofisticadas para tratar de dejar en ridículo al más avezado sistema antivirus. Entre las más comunes y eficientes tenemos: - El polimorfismo: consiste en modificar por medio de alguna operación matemática el código del virus y agregar luego una rutina que lo lleve a su forma original. Sin embargo, cambia en cada infección la rutina decodificadora y la operación utilizada. Por lo tanto, parece como si hubiesen cientos o miles de virus diferentes en un sistema infectado. Si un virus utiliza correctamente esta técnica, es prácticamente imposible detectarlo por medio de signaturas fijas. Algunos virus que utilizan esta técnica son: Tequila, Prism, Natas, entre muchos otros.

- El ocultamiento o sigilo: los virus sigilosos son aquellos que estando activos en la memoria del computador pueden esconderse y no dejar que los sistemas antivirus los detecten. Veamos dos ejemplos: el virus SVC-2936 esconde el incremento en tamaño restándole 2.936 bytes a los archivos infectados y el virus Natas desinfecta los archivos cada vez que se accede a ellos y los vuelve a infectar cuando termina el acceso a estos.

Existen actualmente cientos de virus que implementan estas técnicas y el número de estos crece constantemente con la aparición de kits para la creación rápida de virus, como los estadounidenses PS-MPC (Phalcon/Skism Mass Produced Code Generator) y VCL (Virus Construction Lab.). También son de uso común los motores de mutaciones , es decir, rutinas para convertir en polimórfico casi cualquier virus existente o nuevo. Los motores de mutaciones más conocidos son el búlgaro MtE (Dark Avenger Mutation Engine) y el holandés TPE (Trident Polymorphic Engine).

Después de brindar este trasfondo técnico es aventurado y absurdo afirmar que determinado sistema antivirus puede prevenir y proteger contra todos los virus sin importar cuál sea. Es obvio que ningún antivirus puede afirmarlo, puesto que es imposible. La mejor prueba para sustentar la anterior afirmación consiste en que estos sistemas antivirus han sido actualizados periódicamente y la mayoría de estas se han realizado por la aparición de nuevos virus que el sistema no puede detectar y/o eliminar automáticamente.

También se debe tener en cuenta que los creadores de virus siempre llevarán ventaja sobre los creadores de sistemas antivirus. Cuando una empresa ponga en el mercado la última versión de su producto, los creadores de virus lo tendrán también, analizándolo a gusto para combatirlo. CPW-Mediera, Groove y Retaliator son algunos de los virus que atacan a los más conocidos sistemas antivirus.

Es bueno visualizar un sistema antivirus como un botiquín, que sirve para resolver los pequeños problemas diarios, pero que no es práctico (es más, puede ser sumamente peligroso) en accidentes de cierta envergadura. Por eso, lo más importante de un buen sistema antivirus no es el programa en sí, es el soporte oportuno para evitar una posible tragedia.

*Jefe de investigación y desarrollo de SOFTEAM Ltda. Como programador tiene 9 años de experiencia en el campo de los virus informáticos. Director del grupo de desarrollo del sistema antivirus Virus Cop.

Llegaste al límite de contenidos del mes

Disfruta al máximo el contenido de EL TIEMPO DIGITAL de forma ilimitada. ¡Suscríbete ya!

Si ya eres suscriptor del impreso

actívate

* COP $900 / mes durante los dos primeros meses

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.