Últimas noticias

Se habla mucho sobre virus y malware que continuamente atacan nuestros ordenadores, pero poco sabemos sobre la tecnología utilizada para proteger nuestros equipos de estas amenazas. ¿Qué conocemos sobre la arquitectura, diseño o estructura general de un antivirus?

El motor antivirus de BitDefender presenta una arquitectura escalable y basada en distintos motores para diferentes tipos de archivos y malware, que se cargan en tiempo real, sin necesidad de reconfigurar o reiniciar el sistema.

Antes de continuar describiendo el funcionamiento del sistema antivirus, es conveniente definir el concepto de malware, que es la causa de su funcionalidad.

Malware es todo aquel programa realiza alguna de las acciones citadas a continuación:

- Se replica a través de la red o un sistema de archivos sin el consentimiento del usuario
- Permite el control remoto sobre un sistema a una persona no autorizada
- Envía información o archivos a un sistema remoto sin el consentimiento del usuario.
- Envía datos a un sistema con el objetivo de interrumpir su funcionamiento normal

Cada tipo de malware es controlado por un plug-in (un pequeño componente dentro del motor de análisis), el cual puede detectar y desinfectar un tipo de amenaza determinada. Los plugins funcionan de forma secuencial (Ej. Se turnan a la hora de analizar cada archivo) para detectar malware como virus, gusanos, troyanos, exploits y también spyware. La arquitectura de los plugins es tan compleja que pueden comunicarse entre ellos. Los módulos Antispyware fueron integrados dentro de BitDefender Internet Security a la vez que los correspondientes plugins dentro del módulo antivirus.

La arquitectura modular utilizada para construir BitDefender, ha contribuido en su habilidad para utilizarse en una amplia variedad de entornos, que van desde sistemas integrados a estaciones de trabajo y servidores de alta capacidad, entornos de escritorio y servidores genéricos o dedicados.

La tecnología antivirus de BitDefender ha sido integrada en diferentes gamas de productos, entre otros: IBM ISS, GFI, Hauri, Ipswitch, Laplink, Software 602, Bullguard.

El Antivirus de BitDefender es flexible e independiente de la plataforma, siendo compatible a nivel binario con cualquier sistema operativo basado en IA32 (Ej. Windows, Linux, FreeBSD), y a nivel de código fuente con otros sistemas operativos.

Otro beneficio añadido de tener binarios portables, es que BitDefender Antivirus queda eficazmente aislado y es, en gran parte, independiente del sistema operativo instalado. Esto facilita el proceso de añadir rutinas de detección y significa un ahorro de problemas de compatibilidad, ya que no hay que desarrollarlas para cada sistema operativo

El antivirus de BitDefender se divide en dos componentes principales:

• Los motores de análisis
• Lógica de ficheros comprimidos / empaquetados


LOS MOTORES DE DETECCIÓN

Los motores de detección están compuestos de módulos que están siendo constantemente mejorados para ofrecer una protección total contra todo tipo de malware; y que incluyen, pero no se limitan, a: virus ejecutables, script virus, macro virus, puertas traseras, troyanos, spyware, dealers, etc. A cada familia de virus se le asigna un motor de detección específico, diseñado de acuerdo con unas características especiales.

- Alta velocidad. Arquitectura multi-hilo
- Bajo consumo de memoria
- Desinfección del 100% de los virus certificado por los laboratorios independientes de reconocido prestigio mundial: ICSA Labs y Checkmark
- Detección proactiva de virus, incluyendo varias versiones de los archiconocidos virus Bagle, Zafi, Sober y Zotob.
- Con esta tecnología, BitDefender puede detectar actividades sospechosas comunes a gusanos P2P, gusanos de email o programas Antivirus Killer, entre muchos otros.
- El proceso de emulación optimizada permite a BitDefender analizar el comportamiento de cualquier tipo de archivos en una “máquina virtual” con un mínimo impacto en el rendimiento.


SIATEMA ANTIVIRUS BitDefender

Los motores de análisis se componen de diferentes tecnologías que han sido implementadas a lo largo de los años:

1. Análisis Clásico Antivirus

En febrero de 2006, BitDefender tenía una base de datos con unas 270.000 firmas de malware (de las cuales “sólo” 256.000 eran virus y gusanos, y el resto spyware). Esto, sin embargo, no significa que BitDefender pueda detectar sólo 270.000 tipos de malware. Al añadirse firmas genéricas, se pueden detectar muchos virus o amenazas de spyware similares en su comportamiento, por lo que el número actual de detección es mucho mayor. Las firmas genéricas, también pueden ayudar a protegerse contra nuevas variantes de malware antiguo.

2. Análisis Heurístico

La tecnología B-Have (Behavioral Heuristic Analyzer in Virtual Environments) combina diferentes técnicas para detectar malware de forma proactiva.

B-Have es la base para:

- Técnicas heurísticas basadas en el comportamiento
- Rutinas genéricas de detección
- Máquinas virtuales para scripts VB
- Máquinas virtuales para scripts BAT/CMD
- Emulador de script VB
- Entornos virtuales para archivos ejecutables (PE, MZ, COM, SYS, Boot Images)

B-Have es, a día de hoy, una tecnología que ha sido minuciosamente analizada y probada y es responsable de algunos de los resultados más espectaculares:

- De acuerdo con el laboratorio alemán de pruebas independiente AV-Test, el antivirus de BitDefender fue capaz de detectar 6 de 6 variantes del virus Zotob sin necesidad de actualizar sus firmas.
- En Enero del 2006, el test realizado por PC World nombró a BitDefender como el mejor antivirus a la hora de detectar virus nuevos y/o desconocidos.

La tecnología B-Have también actúa como un “multiplicador de fuerza” para otras formas de defensa tradicionales. Así, los archivos que salen del entorno B-HAVE se filtran por otros módulos incluso de forma recursiva (pueden volver a analizarse por el componente B-Have para tener una “segunda opinión”, o bien enviarse a los filtros heurísticos más clásicos)

Además de los componentes heurísticos basados en el contenido, cuyo uso está muy extendido en casi todos los antivirus del sector, B-HAVE implementa sus componentes heurísticos basados en el comportamiento, que reducen en gran medida falsos positivos e incrementan el ratio de detección de malware nuevo.

3. Código de detección Exploit

Se han añadido rutinas especiales de detección al módulo antivirus de BitDefender para erradicar código exploit, como en el caso del exploit WMF. Gracias a estas rutinas, es posible detectar gusanos antes de que se aprovechen de un nuevo exploit.


LÓGICA DE FICHEROS COMPRIMIDOS / EMPAQUETADOS

La lógica de ficheros del motor antivirus de BitDefender está basada en el concepto de “Análisis en profundidad”. Esto significa que puede configurarse para analizar ficheros que contienen un archivo comprimido/empaquetado a profundidad, a la vez que se hace impermeable a los ataques de DoS.

El 80% de los nuevos virus que aparecen, utilizan algún tipo de empaquetado. Hay muchísimas aplicaciones para hacerlo y cada día se crea alguna nueva. Las rutinas de desempaquetación genéricas aceptan las variaciones en el formato, de modo que pueden actuar sobre tipos nuevos o desconocidos.

El análisis soporta más de 18 tipos de archivos comprimidos y 100 empaquetadores (Incluyendo UPX, NeoLite, ASPack, PECrypt, pklite y archivos autoextraibles SFX) así como la mayoría de los paquetes de instalación y tipos de archivos de correo.

El motor antivirus de BitDefender tiene soporte de análisis para archivos .zip, bases de datos de correo, .gzip y otros tipos de archivos empaquetados. Los archivos se desempaquetan, se analizan, se limpian y se vuelven a comprimir. BitDefender analiza una extensísima gama de empaquetadores y archivos comprimidos.