II.2 TIPOS DE METODOLOGÍAS ANTIVIRUS.

[SyS]

Existen distintos tipos de métodos de detección, protección y limpieza de virus informáticos.

Rastreo
Chequeo de Integridad
Monitoreo de comportamiento
Decodificación de virus polimórficos
Virus en archivos comprimidos

[SyS]

El rastreo de virus se basa en una lista de detección y locación de virus conocidos. Esta lista de detección llamada "pattern" es una única pieza de código que identifica a un virus. Es el indicador y detector de un virus en particular. Cuando un nuevo virus aparece, es extraído del archivo infectado, analizado y actualizado a la lista de detección. Luego el programa de rastreo se ejecuta y comienza a efectuar una comparación entre los archivos rastreados y una base de datos de reconocimiento de virus. Si se encuentra una coincidencia, se considera que un archivo se encuentra infectado. Si no son encontradas coincidencias el rastreo es concluido y al archivo no se lo considera infectado. Los rastreadores de calidad chequearán las áreas de archivo y sectores de arranque. Una dificultad con los rastreadores tradicionales de virus es que si un nuevo virus no ha sido analizado infecta su computadora y no hay manera de detectarlo. Por lo tanto, si un archivo infectado con un nuevo virus no se encuentra dentro de la base de datos de detección, el rastreador no será capaz de detectarlo. Sin embargo, el rastreo, es un gran método para detectar virus conocidos en archivos.

[SyS]

El chequeo de integridad depende de la habilidad y de la continuidad de monitoreo y chequeo del estado de los ejecutables con respecto a algunos cambios. Se debe primero ejecutar un "checksum" para todos los ejecutables cada vez que un software es agregado o el sistema es cambiado. El chequeador de integridad guarda el estado de cada archivo de aplicación en el disco rígido y luego chequea ese estado y ve si cambios fueron hechos. Si se detecta un cambio, el chequeador de integridad avisa de la existencia de un virus. El principal defecto de los chequeadores de integridad es que no previenen de la acción, esto significa que avisa que un cambio se produjo en la integridad de un archivo, pero ya es tarde para efectuar una acción. De hecho, los chequeadores de integridad no pueden identificar la causa del cambio que se produjo en un momento. En conclusión los chequeadores de integridad de archivos usados como herramienta única no pueden ofrecer una protección de virus efectiva.

[SyS]

El monitoreo de comportamientos extraños producidos por virus está usualmente acompañado de la instalación de un programa residente en memoria. A este tipo de programas se los denomina TSR (terminate-stay-resident) por una razón, debe monitorear los pedidos que son pasados a las interrupciones del DOS. Un comportamiento de virus se diferencia con respecto a las otras aplicaciones por realizar determinadas operaciones extrañas o anormales, éstas son denominadas "actividad de virus". Esta actividad generalmente requiere la escritura de un sector de arranque, abrir un archivo ejecutable para escritura, o ubicarse en una posición residente en memoria. Basados en determinados acciones comunes correspondientes a virus una cierta cantidad de reglas deben ser establecidas para discernir entre la actividad del virus y las actividades normales de las aplicaciones. El monitoreo basado en reglas es una muy efectiva manera de detectar todos los virus conocidos como no conocidos. Esto impide la infección de un archivo ejecutable, antes de que ésta se produzca pudiendo, de esta manera, prevenir el daño. Por consiguiente, se puede decir que este método es particularmente preventivo de: Virus (tanto conocidos como no conocidos), Caballos de Troya o Bombas lógicas.

[SyS]

Dado que el código de los virus polimórficos está encriptado y dado que la apariencia del virus va cambiando a medida que se reproduce, el método de detección convencional no funcionará correctamente. Por esto, los antivirus tienen que utilizar otra tecnologías para la detección de este tipo de virus.

Esta tecnología crea una "PC virtual" generando un nuevo ambiente en donde desencriptará el virus para poder luego detectarlo e identificarlo sin problemas.

[SyS]

El motor de rastreo de los antivirus actuales incluye rutinas de descompresión de archivos que le permite detectar virus dentro de archivos comprimidos. Estos  reconocen todos los formatos de compresión más utilizados.