En este artículo aprenderás:

Como los AV detectan la presencia de virus en nuestro
sistema.
Porque a veces se equivocan o no los detectan
Como atacarlos
Defendernos sin AV

Los virus son programas informáticos que son capaces de destrozar nuestro disco duro, hardware, e incluso utilizar nuestro sistema como equipo zombi para atacar a otros equipos con más fuerza. Son programados lo mas sencillo posible para intentar aumentar su eficacia de ataque, bien para reproducirse a una velocidad de vértigo o destruir nuestros sistemas. Pero para eso se han creado unos programas capaces de encontrar y aniquilar a cualquiera de estos bichos que entre en el disco duro. Los virus son tan complejos que pueden entrar por cualquier parte de cualquier forma, por cualquier conexión de red (Internet, programas de mensajería…) y desde medios externos (CD, DVD, discos duros externos…).
 
La cuestión es como estos programas denominados Antivirus detectan la presencia de virus y porque en ocasiones no los detectan o se equivocan.
 
Existen tres métodos que usan los AV para detectar a estos bichos:
 
Índice:

Signaturas
Heurísticos
Behaviorales

Signatura:
 
La signatura de un virus es una cadena de bytes con los que se identifican (La signaturas usadas en la actualidad tiene una longitud mínima de 15 bytes). Se comparan los bytes del archivo con los que tiene el AV en su base de datos y si coincide, es reportado sospechoso. Pero la signatura ahora no solo tiene que identificar a un solo virus también a muchas de sus mutaciones, cada vez los virus tienen más familia, porque a partir de un virus después salen muchos otros ( Ej: MyDoom). Por eso la asignatura de este tipo no puede ser ni demasiado larga ni corta, por el riesgo de obtener falsos positivos.
 
En este artículo aprenderás:

Como los AV detectan la presencia de virus en nuestro sistema.
Porque a veces se equivocan o no los detectan
Como atacarlos
Defendernos sin AV

La mejor forma de que representa un virus o a sus mutaciones es la cadena binaria.
 
Heurísticos:
 
Posiblemente esta sea la mas fácil de las opciones, pero es la más probable de falsos positivos. Esta detección se basa en la búsqueda de órdenes dentro del código fuente del virus. Lo detecta cuando el programa o virus da ordenes al sistema típicas de un virus y hay es cuando el AV cree que es un virus.
 
Si la cantidad de órdenes dichas por el virus o programa excede el limite establecido por el AV, el programa antivirus se encarga de avisar al usuario de la posible existencia de virus en su sistema. Este método es poco ortodoxo, por su facilidad de falsos positivos.
 
Behaviorales:
 
Este método se basa en la observación de acciones que se realizan en el sistema. Un programa o virus que intente modificar el contenido del disco o de modificar una rama del registro de Windows, lo detecta sospechoso. Es un método que a su vez da muchos falsos positivos, porque puede dar la casualidad que ese programa que esta modificando la rama del registro de Windows, sea necesario para la estabilidad del sistema.
 
Respecto a esto podemos presumir de que el método mas eficaz y positivo es la “signatura”, por su falsa de positivos falsos y sus aciertos cuando se trata de un virus. Es una simple comparación de cadenas de bytes. Esto depende de que no cometa un error en la longitud de las signaturas utilizadas. También contiene la ventaja de que la base de datos de la signatura se actualiza muy recientemente.
 
Índice:

Virus polimórficos
Denegando acceso a la actualizaciones
Los Rootkits

Virus polimórficos:
 
Los virus polimórficos son aquellos que tratan de ocultarse modificando su propia secuencia de código en cada infección, haciendo imposible crear una asignatura típica del virus. Los AV lanzan una rutina de descifrado, con el cual aprovecha de que no todo código del virus puede ser cifrado, y esa parte de código lo llevan sus mutuaciones. Lo cual ayuda a declarar a sus familiares de dicho virus.
 
Denegando acceso a las actualizaciones:
 
Se puede atacar un sistema mas tranquilo sin la presencia de un programa antivirus por eso doy a conocer estas razones, para poder hacer parar al AV sus actualizaciones diarias de la base de datos. Esto nos servirá para que el AV este desactualizado de última hora y no reconozca las nuevas técnicas
empleadas por los virus y no lo pueda reconocer como sospechoso.
 
Formas:

Añadiendo una regla al cortafuegos del sistema prohibiendo el acceso al servidor de las actualizaciones
Añadiendo a la configuración del sistema las direcciones prohibidas.
Haciendo producto de tu imaginación, intentando parar la comunicación de cliente (AV) y servidor (Base de actualizaciones)

Los Rootkits:
 
Un rootkit es un programa que permite al hacker una vez conseguido el acceso al sistema de la victima esconder sus armas y su rastro. Cuando un hacker ya a terminado de entrar en el sistema que pretendia atacar, procederá a esconder su Backdoor (puerta trasera) por la cual a entrado, para que cuando la necesite para un nuevo ataque lo tenga a mano, sin que el administrador de dicho sistema se de cuenta de la entrada. Un backdoor es muy fácil de encontrar, y hay es cuando el rootkit empieza a trabajar, intenta de cualquier forma neutralizar los programas de seguridad que puedan delatar la presencia del backdoor istalado.
 
Índice:

Analizando sin AV
Consejos a seguir

Analizando sin AV:
 
Ante todo tener controlado los servicios y procesos en nuestro sistema, para ello accede al administrador de tareas, debemos observar los procesos en funcionamiento y ver cual esta en la lista que normalmente esperaríamos encontrar en nuestro sistema, lo que veas que son sospechosos deberíamos a hacerle una análisis mas completo y profundo.
 
Página Web de procesos: www.processlibrary.com
 
Un programa para analizar los procesos en ejecución podría ser Process Explorer, disponible gratuitamente en Internet.
 
Página Web de la tool: www.sysinternals.com
 
Es recomendado tener solo los procesos en ejecución de las aplicaciones que estamos utilizando, si no es así, es mejor que bloquemos dicho proceso o ponerle un poco de atención e investigar ese proceso.
En caso de sospechar de rootkit será necesaria la aplicación Rootkit Revealer, Para los rootkits ejecutados en espacio de usuario que se hacen pasar por procesos.
 
Página Web de la tool: www.sysinternals.com
 
Si queremos eliminar entradas ocultas por el rootkit, tendremos que acceder a los ficheros del registro en modo Raw Data, para ello la tool RegdatXP.
 
Página Web de la tool: www.people.freenet.de/h.ulbrich/regdatxp.zip
 
Consejos:
 
Ha continuación unos cuantos consejos para prevenir nuestro sistema de ataques:

- Reducir al mínimo las operaciones como administrador, para esto es mejor
Linux, que cada vez que quieres hacer una acción en modo admin, es
necesario el comando sudo.
- Cuidado con las páginas que nos intentan instalar software en nuestro
equipo.
- Desactivar los servicios que no vallamos a utilizar