Cómo funciona el software antivirus
Los programas antivirus son piezas poderosas de software que son esenciales en las computadoras con Windows. Si alguna vez se ha preguntado cómo los programas antivirus detectan virus, qué están haciendo en su computadora y si necesita realizar escaneos regulares del sistema, siga leyendo..
Un programa antivirus es una parte esencial de una estrategia de seguridad de múltiples capas: incluso si usted es un usuario de computadoras inteligentes, el flujo constante de vulnerabilidades para los navegadores, los complementos y el sistema operativo Windows hacen que la protección antivirus sea importante.
Escaneado en acceso
El software antivirus se ejecuta en segundo plano en su computadora, revisando cada archivo que abre. Esto generalmente se conoce como escaneado en acceso, escaneo en segundo plano, escaneo residente, protección en tiempo real o algo más, dependiendo de su programa antivirus.
Cuando hace doble clic en un archivo EXE, puede parecer que el programa se inicia inmediatamente, pero no lo hace. Su software antivirus primero verifica el programa y lo compara con virus, gusanos y otros tipos de malware conocidos. Su software antivirus también realiza comprobaciones "heurísticas" y verifica los programas para detectar tipos de mal comportamiento que pueden indicar un nuevo virus desconocido..
Los programas antivirus también analizan otros tipos de archivos que pueden contener virus. Por ejemplo, un archivo comprimido .zip puede contener virus comprimidos o un documento de Word puede contener una macro maliciosa. Los archivos se escanean cada vez que se usan, por ejemplo, si descarga un archivo EXE, se escaneará inmediatamente, incluso antes de abrirlo..
Es posible usar un antivirus sin el escaneo en el acceso, pero esto generalmente no es una buena idea: los virus que explotan los agujeros de seguridad en los programas no serían detectados por el escáner. Después de que un virus ha infectado tu sistema, es mucho más difícil de eliminar. (También es difícil estar seguro de que el malware se haya eliminado por completo).
Análisis completos del sistema
Debido al análisis en tiempo real, generalmente no es necesario ejecutar análisis de todo el sistema. Si descarga un virus en su computadora, su programa antivirus se dará cuenta inmediatamente, no tiene que iniciar manualmente un análisis primero.
Sin embargo, los análisis de todo el sistema pueden ser útiles para algunas cosas. Un análisis completo del sistema es útil cuando acaba de instalar un programa antivirus: garantiza que no haya virus inactivos en su computadora. La mayoría de los programas antivirus configuran análisis programados completos del sistema, a menudo una vez por semana. Esto garantiza que los últimos archivos de definición de virus se utilicen para analizar su sistema en busca de virus inactivos.
Estas exploraciones de disco completo también pueden ser útiles para reparar una computadora. Si desea reparar una computadora ya infectada, es útil insertar su disco duro en otra computadora y realizar un análisis completo del sistema en busca de virus (si no está haciendo una reinstalación completa de Windows). Sin embargo, por lo general, no es necesario que ejecute los análisis completos del sistema cuando un programa antivirus ya lo está protegiendo: siempre realiza análisis en segundo plano y realiza sus propios análisis regulares del sistema..
Definiciones de virus
Su software antivirus se basa en definiciones de virus para detectar malware. Es por eso que descarga automáticamente archivos de definición nuevos y actualizados, una vez al día o incluso más a menudo. Los archivos de definición contienen firmas de virus y otros programas maliciosos que se han encontrado en la naturaleza. Cuando un programa antivirus escanea un archivo y nota que el archivo coincide con una pieza conocida de malware, el programa antivirus deja de ejecutarse y lo pone en "cuarentena". Dependiendo de la configuración de su programa antivirus, el programa antivirus puede eliminar automáticamente el archivo. o puede permitir que el archivo se ejecute de todos modos, si está seguro de que es un falso positivo.
Las compañías de antivirus tienen que mantenerse continuamente al día con las últimas piezas de malware, lanzando actualizaciones de definición que aseguran que el malware sea capturado por sus programas. Los laboratorios antivirus utilizan una variedad de herramientas para desensamblar virus, ejecutarlos en entornos limitados y lanzar actualizaciones oportunas para garantizar que los usuarios estén protegidos contra la nueva pieza de malware..
Heurísticas
Los programas antivirus también emplean heurísticas. Las heurísticas permiten que un programa antivirus identifique tipos de malware nuevos o modificados, incluso sin archivos de definición de virus. Por ejemplo, si un programa antivirus advierte que un programa que se ejecuta en su sistema está intentando abrir todos los archivos EXE de su sistema e infectarlo al escribir una copia del programa original en él, el programa antivirus puede detectar este programa como nuevo. tipo de virus desconocido.
Ningún programa antivirus es perfecto. Las heurísticas no pueden ser demasiado agresivas o marcarán el software legítimo como virus.
Falsos positivos
Debido a la gran cantidad de software que existe, es posible que los programas antivirus puedan decir ocasionalmente que un archivo es un virus cuando en realidad es un archivo completamente seguro. Esto se conoce como un "falso positivo". En ocasiones, las compañías de antivirus incluso cometen errores, como la identificación de archivos del sistema de Windows, programas populares de terceros o sus propios archivos de programas antivirus como virus. Estos falsos positivos pueden dañar los sistemas de los usuarios; tales errores generalmente terminan en las noticias, como cuando Microsoft Security Essentials identificó Google Chrome como un virus, las versiones de Windows 7 de Windows 7 dañadas por AVG o Sophos se identificó como malware..
Las heurísticas también pueden aumentar la tasa de falsos positivos. Un antivirus puede notar que un programa se está comportando de manera similar a un programa malicioso e identificarlo como un virus.
A pesar de esto, los falsos positivos son bastante raros en el uso normal. Si su antivirus dice que un archivo es malicioso, generalmente debería creerlo. Si no está seguro de si un archivo es realmente un virus, puede intentar subirlo a VirusTotal (que ahora es propiedad de Google). VirusTotal escanea el archivo con una variedad de productos antivirus diferentes y le dice lo que dice cada uno sobre él..
Tasas de detección
Los diferentes programas antivirus tienen diferentes tasas de detección, en las que intervienen tanto las definiciones de virus como las heurísticas. Algunas compañías de antivirus pueden tener heurísticas más efectivas y lanzar más definiciones de virus que sus competidores, lo que resulta en una mayor tasa de detección.
Algunas organizaciones realizan pruebas regulares de los programas antivirus en comparación entre sí, comparando sus tasas de detección en el uso en el mundo real. AV-Comparitives publica periódicamente estudios que comparan el estado actual de las tasas de detección de antivirus. Las tasas de detección tienden a fluctuar con el tiempo, no hay un mejor producto que esté constantemente en la cima. Si realmente está buscando ver qué tan efectivo es un programa antivirus y cuáles son los mejores que existen, los estudios de tasa de detección son el lugar para buscar.
Probando un programa antivirus
Si alguna vez desea probar si un programa antivirus está funcionando correctamente, puede usar el archivo de prueba EICAR. El archivo EICAR es una forma estándar de probar programas antivirus: en realidad no es peligroso, pero los programas antivirus se comportan como si fueran peligrosos, y lo identifican como un virus. Esto le permite probar las respuestas del programa antivirus sin usar un virus en vivo.
Los programas antivirus son piezas complicadas de software, y se podrían escribir libros gruesos sobre este tema, pero espero que este artículo lo haya puesto al día con lo básico.