Técnicas para la detección de virus informáticos

Existen diferentes técnicas para la detección de los virus informáticos:

1. Scanning o rastreo: Fue la primera técnica que se popularizó para la detección de virus
informáticos, y que todavía se utiliza -aunque cada vez con menos eficiencia. Consiste en
revisar el código de todos los archivos ubicados en la unidad de almacenamiento -
fundamentalmente los archivos ejecutables - en busca de pequeñas porciones de código que
puedan pertenecer a un virus informático.

Técnica que consiste en revisar el código de los archivos (fundamentalmente archivos

ejecutables y de documentos) en busca de pequeñas porciones de código que puedan
pertenecer a un virus (sus huellas digitales). Estas porciones están almacenadas en una base
de datos del antivirus. Su principal ventaja reside en la rápida y exacta que resulta la
identificación del virus. En los primeros tiempos (cuando los virus no eran tantos ni su
dispersión era tan rápida), esta técnica fue eficaz, luego se comenzaron a notar sus
deficiencias. El primer punto desfavorable es que brinda una solución a posteriori y es
necesario que el virus alcance un grado de dispersión considerable para que llegue a mano
de los investigadores y estos lo incorporen a su base de datos (este proceso puede demorar
desde uno a tres meses). Este modelo reactivo jamás constituirá una solución definitiva.

La primera debilidad de este sistema radica en que al detectarse un nuevo virus, este debe
aislarse por el usuario y enviarse al fabricante de antivirus, la solución siempre será a
posteriori: es necesario que un virus informático se disperse considerablemente para que se
envíe a los fabricantes de antivirus. Estos lo analizarán, extraerán el trozo de código que lo
identifica y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede
demorar meses a partir del momento en que el virus comienza a tener una gran dispersión,
lapso en el que puede causar graves daños sin que pueda identificarse.

Otro problema es que los sistemas antivirus deben actualizarse periódicamente debido a la
aparición de nuevos virus. Sin embargo, esta técnica permite identificar rápidamente la
presencia de los virus más conocidos y, al ser estos los de mayor dispersión, posibilita un alto
índice de soluciones.

2. Comprobación de suma o CRC (Ciclyc Redundant Check): Es otro método de detección

de virus. Mediante una operación matemática que abarca a cada byte del archivo, generan un
número (de 16 ó 32 bytes) para cada archivo. Una vez obtenido este número, las posibilidades
de que una modificación del archivo alcance el mismo número son muy pocas. Por eso, es un
método tradicionalmente muy utilizado por los sistemas antivirus. En esta técnica, se guarda,
para cada directorio, un archivo con los CRC de cada archivo y se comprueba periódicamente
o al ejecutar cada programa. Los programas de comprobación de suma, sin embargo, sólo
pueden detectar una infección después de que se produzca. Además, los virus más modernos,
para ocultarse, buscan los ficheros que generan los programas antivirus con estos cálculos
de tamaño. Una vez encontrados, los borran o modifican su información.

Es una función hash que tiene como propósito principal detectar cambios accidentales en una
secuencia de datos para proteger la integridad de estos, verificando que no haya
discrepancias entre los valores obtenidos al hacer una comprobación inicial y otra final tras la
transmisión. La idea es que se transmita el dato junto con su valor hash, de esta forma el
receptor puede calcular dicho valor y compararlo así con el valor hash recibido. Si hay una
discrepancia se pueden rechazar los datos o pedir una retransmisión.

Esto es empleado para comunicaciones (Internet, comunicación de dispositivos, etc.) y

almacenamiento de datos (archivos comprimidos, discos portátiles, etc.).

Normalmente aumentar la capacidad de detectar más tipos de error aumenta la complejidad

del algoritmo y el coste, pues aumenta las necesidades de proceso de éste. Sin embargo,
proporciona medios de detectar errores en el código de forma fiable.

3. Programas de vigilancia: Ellos detectan actividades que podrían realizarse típicamente

por un virus, como la sobreescritura de ficheros o el formateo del disco duro del sistema. En
esta técnica, se establecen capas por las que debe pasar cualquier orden de ejecución de un
programa. Dentro del caparazón de integridad, se efectúa automáticamente una
comprobación de suma y, si se detectan programas infectados, no se permite que se ejecuten.

4. Búsqueda de cadenas: Cada uno de los virus contiene determinadas cadenas de

caracteres que le identifican. Estas son las denominadas firmas del virus. Los programas
antivirus incorporan un fichero denominado “fichero de firmas de virus” en el que guardan
todas las cadenas correspondientes a cada uno de los virus que detecta. De esta forma, para
encontrarlos, se analizarán todos los ficheros especificados comprobando si alguno de ellos
las contiene. Si un fichero no contiene ninguna de estas cadenas, se considera limpio,
mientras que si el programa antivirus la detecta en el interior del fichero avisará acerca de la
posibilidad de que éste se encuentre infectado.

5. Búsqueda o análisis heurístico: Es otra técnica antivirus que evita la búsqueda de

cadenas. Con ella, se desensambla el programa y se ejecuta paso a paso, a veces mediante
la propia CPU. De ese modo, el programa antivirus averigua qué hace exactamente el
programa en estudio y realiza las acciones oportunas. En general, es una buena técnica si se
implementa bien, aunque el defecto más importante es la generación de falsas alarmas, que
no se tiene la certeza de que un programa sea un virus en función de su comportamiento. La
mayoría de los virus nuevos evitan directamente la búsqueda heurística modificando los
algoritmos, hasta que el programa antivirus no es capaz de identificarlos.

Búsqueda de acciones potencialmente dañinas perteneciente a un virus informático. Esta

técnica no identifica de manera certera el virus, sino que rastrea rutinas de alteración de
información y zonas generalmente no controlada por el usuario (MBR, Boot Sector, FAT, y
otras). Su principal ventaja reside en que es capaz de detectar virus que no han sido
agregados a las base de datos de los antivirus (técnica proactiva). Su desventaja radica en
que puede "sospechar" de demasiadas cosas y el usuario debe ser medianamente capaz de
identificar falsas alarmas.

6. Vacunación: Mediante esta técnica, el programa antivirus almacena información sobre

cada uno de los ficheros. En caso de haberse detectado algún cambio entre la información
guardada y la información actual del fichero, el antivirus avisa de lo ocurrido. Existen dos tipos
de vacunaciones: Interna la información se guarda dentro del propio fichero, de tal forma que
al ejecutarse él mismo comprueba si ha sufrido algún cambio y externa la información que
guarda en un fichero especial y desde él se contrasta la información.

7. Chequeadores de Integridad: Consiste en monitorear las actividades de la PC señalando

si algún proceso intenta modificar sectores críticos de la misma. Su ventaja reside en la
prevención aunque muchas veces pueden ser vulnerados por los virus y ser desactivados por
ellos, haciendo que el usuario se crea protegido, no siendo así.

A pesar de utilizar estas cuatro técnicas, ningún programa puede asegurar la detección del
ciento por ciento de los virus.

La calidad de un programa antivirus no sólo se demuestra por el número de virus que es capaz
de detectar, sino también por el número de falsas alarmas que produce, es decir, cuando el
programa antivirus estima que ha localizado un virus y en realidad se trata de un fichero sano
(falso positivo). Puede ocurrir que un fichero presente una combinación de bytes idéntica a la
de un virus, y el programa antivirus indicaría que ha detectado un virus y trataría de borrarlo
o de modificarlo.