BitDefender saca a la luz el funcionamiento de un motor antivirus
Se habla mucho sobre virus y malware que continuamente atacan nuestros ordenadores, pero poco sabemos sobre la tecnología utilizada para proteger nuestros equipos de estas amenazas. ¿Qué conocemos sobre la arquitectura, diseño o estructura general de un antivirus?
El motor antivirus de BitDefender presenta una arquitectura escalable y basada en distintos motores para diferentes tipos de archivos y malware, que se cargan en tiempo real, sin necesidad de reconfigurar o reiniciar el sistema.
Cada tipo de malware es controlado por un plugin que detecta y desinfecta un tipo de amenaza determinada. Los plugins, que tienen la capacidad de poder comunicarse entre ellos, funcionan de forma secuencial para detectar malware y spyware.
El Antivirus de BitDefender es flexible e independiente de la plataforma, siendo compatible a nivel binario con cualquier sistema operativo basado en IA32 (Ej. Windows, Linux, FreeBSD), y a nivel de código fuente con otros sistemas operativos. Esto significa un ahorro de problemas de compatibilidad, ya que no hay que desarrollarlas para cada sistema operativo.
El motor de antivirus de BitDefender se divide en dos componentes principales:
A) Los motores de análisis
B) Lógica de ficheros comprimidos / empaquetados
A) Los motores de detección:
Los motores de detección están compuestos de módulos que están continuamente mejorándose para ofrecer protección contra todo tipo de malware y que incluyen, pero no se limitan, a: virus ejecutables, script virus, macro virus, puertas traseras, troyanos, spyware, dealers, etc. A cada familia de virus se le asigna un motor de detección específico diseñado de acuerdo con unas características especiales.
Sistema Antivirus BitDefender
Los motores de análisis se componen de diferentes tecnologías que han sido implementadas a lo largo de los años:
1. Análisis Clásico Antivirus
En febrero de 2006, BitDefender tenía en su base de datos alrededor de 270.000 firmas de malware (de las cuales “sólo” 256.000 eran virus y gusanos, y el resto spyware). Al añadir firmas genéricas pueden detectarse muchos virus o amenazas de spyware similares en su comportamiento, y que son detectados mediante única firma, por lo que el número de detección es mucho mayor. Las firmas genéricas, también pueden ayudar a protegerse contra nuevas variantes de malware antiguo.
2. Análisis Heurístico
La tecnología B-Have (Behavioral Heuristic Analyzer in Virtual Environments) combina diferentes técnicas para detectar el malware de forma proactiva. Esta tecnología ha sido minuciosamente analizada y probada, siendo responsable de algunos de los resultados más espectaculares.
La tecnología B-Have también actúa como un “multiplicador de fuerza” para otras formas de defensa tradicionales.
A diferencia de otros sistemas de detección heurística, B-HAVE implementa componentes heurísticos basados en el comportamiento, que reducen los falsos positivos e incrementa el ratio de detección de malware nuevo.
3. Código de detección Exploit
Se pueden añadir rutinas especiales de detección al módulo antivirus para erradicar código exploit (Ej. WMF). Gracias a estas rutinas, es posible detectar gusanos antes de que se aprovechen de un nuevo exploit.
B) Lógica de ficheros comprimidos / empaquetados:
La lógica de ficheros del motor antivirus de BitDefender está basada en el concepto de “Análisis en profundidad”, que significa que puede configurarse para analizar ficheros que contienen un archivo comprimido/empaquetado hasta cualquier profundidad, a la vez que se hace impermeable a los ataques de DoS.
El 80% de los nuevos virus que aparecen, utilizan algún tipo de empaquetado. Las rutinas de desempaquetación genéricas aceptan las variaciones en el formato, de modo que pueden actuar sobre tipos nuevos o desconocidos. Los archivos se desempaquetan, se analizan, se limpian y se vuelven a comprimir.
Para más información, puede encontrar un artículo completo en http://www.bitdefender-es.com/NW389-es--Como-trabaja-la-Tecnolog%EDa-Antivirus-de-BitDefender.html
