NOD32 protege su mundo digital
   
    Soporte Técnico
    Centros de Soporte
    Solicitud
de soporte técnico
    Formulario
de informe de infección
     
    Envíanos muestras de virus
     
    Base de consultas
    Consultas frecuentes
    Guía breve
de instalación
(bajo Windows)
    Galería de imágenes
    Glosarios
     
    Últimas actualizaciones
    Heurística avanzada
    • Introducción
    ThreatSense.Net
    Línea de comandos
     
    Virus y Bulos
    Análisis comparativos
    Análisis estadísticos
     
    Protección adicional
    Enciclopedia Virus
     
    Descarga  
    Manuales del usuario
    Versiones comerciales
    Para evaluación
    Herramientas
para desinfección
     
    Noticias RSS Suscriba esta dirección a su lector RSS
 
 

Introducción a la heurística avanzada de ESET NOD32 Antivirus

A partir de la aparición de los primeros virus informáticos y de las consecuencias de su accionar, comenzaron a desarrollarse en todo el mundo distintas alternativas para prevenir las infecciones, recuperar los archivos afectados a su estado original y minimizar los daños emergentes.

De esta forma, surgieron distintas soluciones antivirus y variadas tecnologías, que basaban su fortaleza en el reconocimiento de lo que se ha denominado las firmas de virus.

Firmas de virus

Un virus informático, al igual que cualquier aplicación, está compuesto de una serie de instrucciones que, al ejecutarse, procederán a cumplir las acciones para las que dicho virus fue programado.

El conjunto de instrucciones que contiene el código del virus junto con la forma en que ha sido escrito, permiten su identificación de una manera unívoca, constituyendo estos parámetros lo que se denomina la firma del virus.

Algunas soluciones antivirus permiten discriminar pequeñas variantes del código original y reconocen a un virus modificado como perteneciente a una familia de virus.

Algunas empresas antivirus contabilizan los virus individualmente y otras por familias de virus catalogadas, haciendo que la cantidad informada por cada empresa, pueda variar sustancialmente.

Cuando una solución antivirus detecta un virus a partir de su firma, es sumamente improbable la aparición de un falso positivo* pero, el inconveniente fundamental reside en que esta forma de análisis sólo es capaz de detectar virus descubiertos, analizados y catalogados, quedando exceptuados por lo tanto, los virus aún no clasificados.

*Falso positivo: se denomina así al alerta emitido sobre un archivo no infectado, cuando la información disponible es procesada incorrectamente y este es identificado como un virus por error .

Descubrimiento, análisis y clasificación de un virus nuevo

Los virus informáticos tienen siempre su origen en un programador inescrupuloso (un delincuente) que desarrolla esta aplicación maliciosa con un fin no siempre claro y preciso.

En sus orígenes, los virus se difundían a través de medios físicos, como disquetes al principio, redes locales y discos compactos, siendo muy lenta la velocidad de propagación.

La aparición de Internet y las actuales y potentes vías de comunicación electrónicas permitieron la difusión casi instantánea de cualquier tipo de información y aplicación, incluidos los virus en su denominación más genérica.

Desde que un virus comienza a distribuirse a través de Internet hasta que es descubierto (generalmente a partir de sus efectos), analizado por las empresas antivirus, clasificado y elaborado el antídoto específico, suele pasar un tiempo variable, que en la actualidad, es difícil que supere algunas horas.

Esa actualización de las firmas de virus es alojada en un servidor desde el cual los usuarios, descargarán los archivos necesarios para mantener al día sus programas antivirus.

Es decir, que la suma de todos los tiempos involucrados desde la primera infección hasta que el ordenador del usuario esté protegido nuevamente, puede significar, como mínimo, varias horas y esa puede ser la diferencia entre la pérdida total o parcial de la información que un usuario tiene en su ordenador o mantenerla a salvo.

Algunos de los últimos virus recientemente descubiertos han sido capaces de infectar cientos de miles de ordenadores en vastas regiones del mundo en apenas un par de horas.

Heurística

Poco tiempo después de aparecer las primeras soluciones antivirus, se observó las limitaciones que las firmas de virus poseían y comenzaron a desarrollarse análisis de virus a través de métodos heurísticos, que se basan en complejos algoritmos matemáticos que intentan anticiparse a las acciones que pudiera efectuar un código determinado si éste fuera ejecutado.

La tecnología de análisis heurístico implementada por cada solución antivirus, no siempre responde a los mismos parámetros ni tiene la misma eficacia aunque todas buscan el mismo objetivo, que es la detección temprana de virus aún no catalogados.

ESET NOD32 ha utilizado una tecnología heurística propietaria desde sus primeras versiones con excelentes resultados.

Heurística avanzada de ESET NOD32

A pesar de la eficacia en los métodos de análisis implementados, el equipo de desarrollo de ESET, previendo que nuevas amenazas acecharían al usuario con la aparición de nuevos virus más sofisticados y peligrosos, decidió implementar una tecnología heurística de última generación, que hizo su aparición con la versión 2.0 de ESET NOD32 Antivirus. Esta característica, le ha permitido interceptar virus sumamente invasivos y riesgosos antes de haber sido estos catalogados.

La exclusiva tecnología de heurística avanzada desarrollada por ESET, hace que sus productos antivirus presenten las siguientes características:

  • Muy baja utilización de recursos del sistema.
  • Elevadísima tasa de detección de virus y otros códigos maliciosos, obteniendo por esta característica, la mayor cantidad de premios Virus Bulletin 100% de la historia de esta comparativa, por la intercepción de todos los virus descriptos por The WildList Organization International.
  • Incremento de la velocidad de análisis, mediante búsqueda asociativa utilizando caché multinivel y optimización de programación de bajo nivel.
  • Análisis heurístico de alta capacidad con detección de virus y otros códigos maliciosos capaces de ejecutarse bajo DOS, Windows de 32 bits y en sectores de inicio.
  • Utilización de puntos rápidos de comprobación y rutinas de control de redundancia cíclica para maximizar la velocidad y seguridad de la comprobación.
  • Instrumentación de un poderoso emulador virtual para detección de sofisticados virus polimórficos y sus posibles metamorfosis.
  • Desinfección de virus basado en refinadas técnicas heurísticas y complejos algoritmos matemáticos.
  • Reconstrucción de las más importantes áreas críticas de sistema en caso de producirse una infección.
  • Desinfección de virus de macro (macrovirus) y restauración de documentos a su formato original.
  • Detección de virus aún en documentos y bases de datos cifrados o protegidos con clave.
  • Detección de virus en archivos ejecutables comprimidos o protegidos con PKLite, LZexe, Diet, Exepack, CPAV, entre otros.
  • Heurística avanzada para gusanos y troyanos de plataforma Win32.
  • Soporte para el análisis de nuevos tipos de archivos comprimidos de auto extracción, como UPX, ASPACK.
  • Soporte para el análisis de nuevos archivos comprimidos como RAR3.

Más información:
 
Actualizado: 20-Jun-2008 8:09
Ontinet.com, S.L.