Diario Tecnologico - Cómo se detectan virus complejos

No todos los virus son iguales, ni mucho menos. Algunos son variantes de otros códigos maliciosos aparecidos anteriormente; otros son códigos maliciosos muy simples, y algunos, incluso, presentan fallos que les impiden funcionar como su autor deseaba.

En cualquier caso, si PandaLabs, el laboratorio de virus de Panda Software, detuviese su actividad un solo instante, cualquiera de ellos podría provocar graves problemas a los usuarios. Podría pensarse que la tarea de PandaLabs es rutinaria y sistemática; sin embargo, la informática forense dista mucho de ser así. De la "entretención" se ocupan algúnos códigos maliciosos que aparecen con frecuencia y que técnicamente se denominan virus “polimórficos”, “metamórficos” y de ”ocultamiento de punto de entrada” (EPO).

Los virus polimórficos son capaces de modificar su apariencia mediante el uso de una capa externa denominada "polimórfica”, en la que se pueden cambiar las instrucciones de cada generación del virus. Por ejemplo, pueden cifrar su código con una clave distinta cada vez, añadiendo al mismo tiempo a su propio código la rutina de descifrado correspondiente. De esta forma, cada vez tendrán un aspecto diferente, aunque su contenido seguirá siendo el mismo. Por su parte, los metamórficos van un paso más allá, ya que además de modificar su aspecto externo, también cambian su interior hasta el extremo de poder variar su propio código vírico.

La última generación, en lo que a virus se refiere, son los llamados de “ocultamiento de punto de entrada”. Se trata de códigos maliciosos que no actúan del modo normal, es decir, inmediatamente después de ser ejecutados, sino que insertan su código en medio de otros archivos. De esta manera, el virus lleva a cabo únicamente su función cuando una parte muy concreta del archivo “hospedante” es ejecutada (por ejemplo, cada vez que se muestra un mensaje en una ventana de texto, o cuando se accede a un fichero de disco). Se trata de un proceso similar al que llevan a cabo algunos virus biológicos.

La finalidad de estos todos estos tipos de virus es muy clara: dificultar su detección por parte de los programas antivirus, pero ¿realmente lo consiguen? Según explica Luis Corrons, director de PandaLabs: “Evidentemente, no es lo mismo hacer una vacuna para un gusano simple de correo electrónico, que para un virus polimórfico. Sin embargo, si se cuenta con los medios adecuados, esto no pasa de ser una mera anécdota. Para poder detectar un código malicioso de este tipo no se llevan a cabo las rutinas habituales, sino que procedemos a hacer lo que llamamos “excepciones”. Es decir, remedios capaces no sólo de detectar al virus, sino de adelantarse a su próximo cambio. Sin embargo”, añade, “para esto es necesario contar con los suficientes recursos humanos y técnicos. De otra manera, el tiempo que se tardaría en preparar la vacuna contra un virus de este tipo podría conllevar la infección de miles de equipos”.

Al igual que los virus evolucionan, lo hacen los programas antivirus. Desde siempre, se ha tratado de dotar a estas aplicaciones con comportamientos “inteligentes”, es decir, conseguir que sean capaces de detener amenazas por sí solos, sin necesidad de ser actualizados previamente con la vacuna correspondiente. Así, comenzaron a utilizarse los sistemas de detección heurísticos que, pese a que han dado resultados aceptables, no son totalmente eficaces. Ello se debe a que este tipo de análisis detecta virus nuevos aplicando sencillas reglas de comparación sobre el código estático de los ficheros analizados .

"Un paso crucial en la lucha contra los códigos maliciosos más complejos y veloces es el reciente desarrollo de tecnologías preventivas, capaces de detectar virus desconocidos e intrusos sin necesidad de actualizaciones previas. Un ejemplo son las nuevas Tecnologías TruPrevent de Panda Software, que no analizan código, sino comportamientos sospechosos de los programas, bloqueándolos de forma automática -inteligente- sin que tenga que haber una intervención humana. Así, si un proceso que se está llevando a cabo en el sistema puede ser peligroso para el mismo, las Tecnologías TruPrevent lo detectan y pueden, por ejemplo, bloquear la comunicación del proceso con el exterior o impedir que continúe su ejecución, con lo que se inhabilita la distribución de las amenazas informáticas", afirma el gerente general de Panda Software-Chile, Luis Valenzuela.

Acerca de PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Acerca de Panda Software-Chile

Panda Software-Chile es filial de la multinacional europea Panda Software, una de las principales compañías mundiales de soluciones de seguridad informática. También es líder reconocido en innovación, crecimiento y en satisfacer las necesidades de los clientes, gracias a tecnologías, productos y servicios que mantienen las instalaciones informáticas libres de virus y otras amenazas, al menor Costo Total de Propiedad. Panda Software-Chile entrega soluciones proactivas para entornos corporativos de pequeñas a grandes empresas, y para usuarios domésticos. Junto a sus productos antivirus, ofrece las exclusivas Tecnologías TruPrevent, que entregan la mejor seguridad preventiva. Además cuenta con servicio de soporte técnico especializado.

Mayores informaciones:
Lucía Escobar Meza
Comunicaciones
Panda Software Chile
02-442 7740
09-0512522
rrpp@pandasoftware.cl

Enlaces relacionados
www.pandasoftware.cl