Cómo funciona el antivirus:
Los programas antivirus son poderosas piezas de software que son esenciales en las computadoras con Windows. Si alguna vez se ha preguntado cómo el software antivirus detecta los virus, qué hacen en su computadora y si necesita realizar análisis regulares del sistema usted mismo, siga leyendo.
El software antivirus es una parte esencial de una estrategia de seguridad de varias capas, incluso si es un usuario de un teléfono inteligente, el flujo constante de vulnerabilidades del navegador y complementos Y sistema Operar Windows en sí mismo hace que la protección contra virus sea importante.
Escanear a la llegada
El antivirus se ejecuta en segundo plano en su computadora, escaneando cada archivo que abre. Esto generalmente se conoce como escaneo en acceso, escaneo en segundo plano, escaneo residente, protección en tiempo real u otra cosa, según su antivirus.
Cuando hace doble clic en un archivo EXE, puede parecer que el programa se inicia de inmediato, pero no es así. El antivirus escanea el programa primero y lo compara. Virus, gusanos y otros tipos de malware conocido. El antivirus también realiza un escaneo "heurístico", escaneando programas en busca de tipos de mal comportamiento que puedan indicar un virus nuevo y desconocido.
El software antivirus también busca otros tipos de archivos que puedan contener virus. Por ejemplo, puede contener archivo comprimido .zip contienen virus comprimidos, o pueden contener Documento de Word en una macro dañina. Los archivos se escanean cada vez que se usan; por ejemplo, si descarga un archivo EXE, se escaneará inmediatamente, incluso antes de que lo abra.
Probablemente Utilice un antivirus sin análisis en acceso Sin embargo, esto generalmente no es una buena idea: el escáner no detectará los virus que aprovechan las vulnerabilidades del software. Después de que su sistema se infecta con un virus, es Es dificil quitarlo . (También es difícil Asegúrese de que el malware se elimine por completo .)
Comprobación completa del sistema
Debido al análisis en acceso, normalmente no es necesario realizar análisis completos del sistema. Si descarga un virus en su computadora, su antivirus lo detectará de inmediato; no es necesario que inicie manualmente el análisis primero.
Sin embargo, se pueden realizar análisis completos del sistema. Útil para algunas cosas. Un análisis completo del sistema es útil cuando acaba de instalar un antivirus: garantiza que no haya virus al acecho en su computadora. La mayoría de los programas antivirus hacen Configure escaneos programados de todo el sistema , normalmente una vez a la semana. Esto garantiza que se utilicen los archivos de definición de virus más recientes para escanear su sistema en busca de virus latentes.
Estas verificaciones de disco completo también pueden ser útiles al reparar una computadora. Si desea reparar una computadora que ya está infectada, es una buena idea insertar su disco duro en otra computadora y realizar un análisis completo del sistema en busca de virus (si no se realizó). una reinstalación completa de Windows). Sin embargo, por lo general, no es necesario ejecutar un análisis completo del sistema cuando un antivirus realmente lo está protegiendo: siempre analiza en segundo plano y realiza sus barridos regulares de todo el sistema.
Definiciones de virus
El software antivirus se basa en definiciones de virus para detectar malware. Es por eso que descarga automáticamente perfiles nuevos y actualizados, una vez al día o incluso con más frecuencia. Los archivos de definición contienen firmas de virus y otro malware que se encuentra en la naturaleza. Cuando el software antivirus escanea un archivo y nota que el archivo coincide con una pieza conocida de malware, el software antivirus cierra el archivo y lo coloca en la " Aislamiento .” Dependiendo de la configuración de su antivirus, el antivirus puede eliminar el archivo automáticamente o puede dejar que el archivo se ejecute de todos modos, si está seguro de que es un falso positivo.
Las empresas de antivirus deben mantenerse constantemente al día con el malware más reciente y publicar actualizaciones de definiciones que garanticen que su software detecte el malware. Los laboratorios antivirus utilizan una variedad de herramientas para desensamblar y ejecutar virus en cajas de arena Y publique actualizaciones oportunas que garanticen que los usuarios estén protegidos contra el nuevo malware.
inferencia
El software antivirus también utiliza heurística y aprendizaje automático. Se crean modelos de aprendizaje automático Analizando cientos o miles de fragmentos de malware para encontrar características o comportamientos comunes. La suite permite que el programa antivirus identifique tipos de malware nuevos o modificados, incluso sin archivos de definición de virus. Por ejemplo, si su antivirus detecta que un programa que se está ejecutando en su sistema está intentando abrir todos los archivos EXE de su sistema y lo infecta escribiendo una copia del programa original en él, el antivirus puede detectar ese programa como nuevo, desconocido. tipo de virus
Ningún antivirus es perfecto. Las heurísticas demasiado agresivas, o los modelos de aprendizaje automático mal entrenados, pueden marcar erróneamente un software perfectamente seguro como malware.
Falsos positivos
Debido a la gran cantidad de software que existe, es probable que el software antivirus a veces diga que un archivo es un virus cuando, de hecho, es un archivo completamente seguro. Esto se conoce como “ falso positivo. A veces, las empresas de antivirus cometen errores, como identificar archivos del sistema de Windows, software popular de terceros o sus propios archivos de software antivirus como virus. Estos falsos positivos pueden dañar los sistemas de los usuarios; dichos errores generalmente terminan en las noticias, como cuando Microsoft Security Essentials identificó a Google Chrome como un virus, AVG corrompió las versiones de 64 bits de Windows 7 o Sophos se identificó como software dañino.
La heurística también puede aumentar la tasa de falsos positivos. Un programa antivirus puede notar que un programa se comporta de manera similar al malware y confundirlo con un virus.
aunque, Los falsos positivos son bastante raros en el uso normal . Si su antivirus dice que un archivo es malicioso, generalmente debería creerlo. Si no está seguro de si un archivo es realmente un virus, puede intentar subirlo a VirusTotal (que ahora es propiedad de Google). VirusTotal escanea el archivo con una variedad de diferentes productos antivirus y le dice lo que dice cada uno sobre ellos.
tasas de detección
Los diferentes programas antivirus tienen diferentes tasas de detección, y tanto las definiciones de virus como los métodos de inferencia contribuyen a las discrepancias. Algunas compañías de antivirus pueden tener heurísticas más efectivas y publicar más definiciones de virus que sus competidores, lo que resulta en una tasa de detección más alta.
Algunas organizaciones prueban regularmente los programas antivirus entre sí, comparando sus tasas de detección en el uso real. Se emiten AV-Comparatives Los estudios comparan regularmente el estado actual de las tasas de detección de antivirus. Las tasas de descubrimiento tienden a fluctuar con el tiempo: ningún producto único está siempre por delante de la curva. Si realmente está buscando saber qué tan efectivo es su software antivirus y cuál es el mejor, los estudios de tasa de detección son el lugar para buscar.
Prueba de software antivirus
Si alguna vez desea probar si su antivirus funciona correctamente, puede usar archivo de prueba EICAR . Un archivo EICAR es una forma estándar de probar el software antivirus: en realidad no es peligroso, pero los programas antivirus actúan como si lo fueran y lo identifican como un virus. Esto le permite probar las respuestas antivirus sin usar un virus vivo.
Los programas antivirus son piezas de software complejas, y se podrían escribir libros gruesos sobre el tema, pero, con suerte, este artículo lo familiarizará con los conceptos básicos.
