Motores antivirus. Licenciamiento del motor antivirus. Revisión detallada en video de AVG Free

Hoy más que nunca el software antivirus no sólo es el más demandado en el sistema de seguridad de cualquier sistema operativo, sino también uno de sus principales componentes. Y si antes el usuario tenía una elección muy limitada y modesta, ahora se pueden encontrar muchos programas de este tipo. Pero si miras la lista de los "10 mejores antivirus", notarás que no todos son equivalentes en términos de funcionalidad. Veamos los paquetes más populares. Al mismo tiempo, el análisis incluirá tanto aplicaciones de pago como shareware (antivirus durante 30 días) y de distribución gratuita. Pero primero lo primero.

Los 10 mejores antivirus para Windows: criterios de prueba

Antes de comenzar a compilar una calificación, probablemente debería familiarizarse con los criterios básicos que se utilizan en la mayoría de los casos al probar dicho software.

Naturalmente, es simplemente imposible considerar todos los paquetes conocidos. Sin embargo, entre todos los diseñados para garantizar la protección de un sistema informático en el sentido más amplio, se pueden identificar los más populares. Al mismo tiempo, tendremos en cuenta tanto las calificaciones oficiales de laboratorios independientes como las reseñas de usuarios que utilizan tal o cual producto de software en la práctica. Además, los programas móviles no se verán afectados; nos centraremos en los sistemas estacionarios.

En cuanto a la realización de pruebas básicas, por regla general, incluyen varios aspectos principales:

• disponibilidad de versiones pagas y gratuitas y limitaciones relacionadas con la funcionalidad;
• velocidad de escaneo estándar;
• identificación rápida de amenazas potenciales y la capacidad de eliminarlas o ponerlas en cuarentena mediante algoritmos integrados;
• frecuencia de actualización de las bases de datos antivirus;
• autodefensa y confiabilidad;
• disponibilidad de funciones adicionales.

Como puede verse en la lista anterior, comprobar el funcionamiento del software antivirus le permite determinar las fortalezas y debilidades de un producto en particular. A continuación, consideraré los paquetes de software más populares incluidos en el Top 10 de antivirus y también daré sus principales características, por supuesto, teniendo en cuenta las opiniones de las personas que los utilizan en su trabajo diario.

Productos de software de Kaspersky Lab

Primero, veamos los módulos de software desarrollados por Kaspersky Lab, que son extremadamente populares en el espacio postsoviético.

Es imposible destacar un solo programa aquí, porque entre ellos se puede encontrar el escáner estándar Kaspersky Antivirus, módulos como Internet Security, utilidades portátiles como Virus Removal Tool e incluso discos de arranque para sistemas Rescue Disc dañados.

Inmediatamente vale la pena señalar dos desventajas principales: en primer lugar, a juzgar por las revisiones, casi todos los programas, con raras excepciones, son pagos o shareware, y en segundo lugar, los requisitos del sistema son excesivamente altos, lo que imposibilita su uso en configuraciones relativamente débiles. . Naturalmente, esto asusta a muchos usuarios comunes, aunque las claves de activación de Kaspersky Antivirus o Internet Security se pueden encontrar fácilmente en la World Wide Web.

Por otra parte, la situación de activación se puede corregir de otra forma. Por ejemplo, las claves de Kaspersky se pueden generar utilizando aplicaciones especiales como Key Manager. Es cierto que este enfoque es, por decirlo suavemente, ilegal, pero muchos usuarios lo utilizan como salida.

La velocidad de funcionamiento en las máquinas modernas es media (por alguna razón, se crean cada vez más versiones pesadas para nuevas configuraciones), pero las bases de datos constantemente actualizadas y la tecnología única para identificar y eliminar virus conocidos y programas potencialmente peligrosos están en su mejor momento. No es sorprendente que Kapersky Laboratory sea hoy líder entre los desarrolladores de software de seguridad.

Y dos palabras más sobre el disco de recuperación. Es único a su manera, ya que carga un escáner con una interfaz gráfica incluso antes de que se inicie Windows, lo que le permite eliminar amenazas incluso desde la RAM.

Lo mismo se aplica a la utilidad portátil Virus Removal Tool, que puede rastrear cualquier amenaza en un terminal infectado. Sólo se puede comparar con una utilidad similar del Dr. Web.

Protección del Dr. Web

Ante nosotros se encuentra otro de los representantes más fuertes en el campo de la seguridad: el famoso "Doctor Web", que estuvo en los orígenes de la creación de todo el software antivirus desde tiempos inmemoriales.

Entre la gran cantidad de programas también puede encontrar escáneres estándar, herramientas de seguridad para navegar por Internet, utilidades portátiles y discos de recuperación. No puedes enumerarlo todo.

Los principales factores a favor del software de este desarrollador incluyen la alta velocidad, la detección instantánea de amenazas con la capacidad de eliminarlas o aislarlas por completo, así como una carga moderada en el sistema en su conjunto. En general, desde el punto de vista de la mayoría de los usuarios, se trata de una especie de versión ligera de Kaspersky. Todavía hay algo interesante aquí. En particular, este es el Dr. Web Katana. Se cree que se trata de un producto de software de nueva generación. Se centra en el uso de tecnologías de “arena”, es decir, colocar una amenaza en la “nube” o “caja de arena” (como quiera llamarlo) para su análisis antes de que penetre en el sistema. Sin embargo, si nos fijamos, no hay ninguna innovación particular aquí, porque esta técnica se utilizó en el antivirus gratuito Panda. Además, según muchos usuarios, el Dr. Web Katana es una especie de Espacio de Seguridad con las mismas tecnologías. Sin embargo, en términos generales, cualquier software de este desarrollador es bastante estable y potente. No es sorprendente que muchos usuarios prefieran estos paquetes.

Programas ESET

Hablando de los 10 mejores antivirus, es imposible no mencionar a otro destacado representante de este campo: la empresa ESET, que se hizo famosa por un producto tan conocido como NOD32. Un poco más tarde nació el módulo ESET Smart Security.

Si consideramos estos programas, podemos notar un punto interesante. Para activar la funcionalidad completa de cualquier paquete, puedes hacer dos cosas. Por un lado, se trata de la adquisición de una licencia oficial. Por otro lado, puedes instalar un antivirus de prueba de forma gratuita, pero actívalo cada 30 días. Interesante y la situación con la activación.

Como señalan absolutamente todos los usuarios, para ESET Smart Security (o para un antivirus estándar) en el sitio web oficial se pueden encontrar claves distribuidas gratuitamente en forma de nombre de usuario y contraseña. Hasta hace poco, sólo se podían utilizar estos datos. Ahora el proceso se ha vuelto algo más complicado: primero debe iniciar sesión y contraseña en un sitio web especial, convertirlo en un número de licencia y solo luego ingresarlo en el campo de registro del programa. Sin embargo, si no prestas atención a esas pequeñas cosas, puedes notar que este antivirus es uno de los mejores. Ventajas notadas por los usuarios:

• las bases de datos de firmas de virus se actualizan varias veces al día,
• identificación de amenazas al más alto nivel,
• no hay conflictos con los componentes del sistema (firewall),
• el paquete tiene la autodefensa más fuerte,
• no hay falsas alarmas, etc.

Por separado, vale la pena señalar que la carga en el sistema es mínima y el uso del módulo antirrobo incluso le permite proteger los datos contra robo o uso indebido para beneficio personal.

Antivirus AVG

AVG Antivirus es un software pago diseñado para brindar seguridad integral a los sistemas informáticos (también existe una versión truncada gratuita). Y aunque hoy este paquete ya no se encuentra entre los cinco primeros, demuestra una velocidad y estabilidad bastante altas.

En principio, es ideal para uso doméstico porque, además de velocidad, tiene una cómoda interfaz rusificada y un comportamiento más o menos estable. Es cierto que, como señalan algunos usuarios, a veces puede pasar por alto amenazas. Y esto no se aplica a los virus como tales, sino al spyware o “basura” publicitaria llamados Malware y Adware. El propio módulo del programa, aunque ha recibido mucha publicidad, todavía, según los usuarios, parece algo inacabado. Y un firewall adicional a menudo puede causar conflictos con el firewall "nativo" de Windows si ambos módulos están activos.

Paquete Avira

Avira es otro miembro de la familia de antivirus. No es fundamentalmente diferente de la mayoría de paquetes similares. Sin embargo, si lees las opiniones de los usuarios al respecto, puedes encontrar publicaciones bastante interesantes.

Mucha gente no recomienda utilizar la versión gratuita bajo ninguna circunstancia, ya que simplemente faltan algunos módulos. Para garantizar una protección confiable, deberá comprar un producto pago. Pero dicho antivirus es adecuado para las versiones 8 y 10, en las que el sistema en sí usa muchos recursos y el paquete los usa en el nivel más bajo. En principio, Avira es más adecuado, por ejemplo, para portátiles económicos y ordenadores más débiles. Sin embargo, una instalación de red está fuera de discusión.

Servicio en la nube Panda Cloud

En un momento, lo gratuito se convirtió casi en una revolución en el campo de las tecnologías antivirus. El uso del llamado “sandbox” para enviar contenido sospechoso para su análisis antes de que penetre en el sistema ha hecho que esta aplicación sea especialmente popular entre usuarios de todos los niveles.

Y es precisamente al “sandbox” al que hoy se asocia este antivirus. Sí, efectivamente, esta tecnología, a diferencia de otros programas, permite evitar que entren amenazas al sistema. Por ejemplo, cualquier virus primero guarda su cuerpo en el disco duro o en la RAM, y solo entonces comienza su actividad. Aquí la cuestión no llega a la conservación. Primero, el archivo sospechoso se envía a un servicio en la nube, donde se verifica y solo entonces se puede guardar en el sistema. Es cierto que, según testigos presenciales, lamentablemente esto puede llevar bastante tiempo y cargar innecesariamente el sistema. Por otro lado, cabe preguntarse qué es más importante: ¿la seguridad o un mayor tiempo de verificación? Sin embargo, para configuraciones de ordenadores modernas con velocidades de conexión a Internet de 100 Mbit/s y superiores, se puede utilizar sin problemas. Por cierto, su propia protección la proporciona precisamente a través de la "nube", lo que a veces genera críticas.

Escáner antivirus Avast Pro

Ahora unas palabras sobre otro brillante representante: es bastante popular entre muchos usuarios, sin embargo, a pesar de la presencia del mismo sandbox, anti-spyware, escáner de red, firewall y cuenta virtual, desafortunadamente Avast Pro Antivirus es superado en términos de rendimiento. Los principales indicadores de rendimiento, funcionalidad y confiabilidad pierden claramente frente a gigantes como los productos de software o aplicaciones de Kaspersky Lab que utilizan tecnologías Bitdefender, aunque demuestra una alta velocidad de escaneo y un bajo consumo de recursos.

Los usuarios se sienten atraídos por este producto principalmente por el hecho de que la versión gratuita del paquete es lo más funcional posible y no se diferencia mucho del software pago. Además, este antivirus funciona en todas las versiones de Windows, incluido Windows 10, y funciona muy bien incluso en máquinas obsoletas.

Paquetes de seguridad 360

Ante nosotros se encuentra probablemente uno de los antivirus más rápidos de nuestro tiempo: 360 Security, desarrollado por especialistas chinos. En general, todos los productos con la etiqueta "360" se distinguen por una velocidad de funcionamiento envidiable (el mismo navegador de Internet 360 Safety Browser).

A pesar de su objetivo principal, el programa cuenta con módulos adicionales para eliminar vulnerabilidades del sistema operativo y optimizarlo. Pero ni la velocidad de funcionamiento ni la distribución gratuita pueden compararse con falsas alarmas. En la lista de programas que tienen los indicadores más altos para este criterio, este software ocupa uno de los primeros lugares. Según muchos expertos, los conflictos surgen a nivel del sistema debido a optimizadores adicionales, cuya acción se cruza con la ejecución de tareas del propio sistema operativo.

Productos de software basados ​​en tecnologías Bitdefender

Otro “viejo” entre los defensores más famosos de los sistemas operativos es Bitdefender. Desafortunadamente, en 2015 perdió la palma frente a los productos de Kaspersky Lab; sin embargo, en cuanto a antivirus, por así decirlo, es uno de los que marcan tendencias.

Si observa un poco más de cerca, notará que muchos programas modernos (el mismo paquete 360 ​​​​Security) en diferentes variaciones se crean precisamente sobre la base de estas tecnologías. A pesar de la rica base funcional, también tiene sus desventajas. En primer lugar, no encontrará el antivirus ruso (rusificado) Bitdefender, ya que no existe en absoluto en la naturaleza. En segundo lugar, a pesar del uso de los últimos avances tecnológicos en términos de protección del sistema, desafortunadamente, muestra un número demasiado alto de falsos positivos (por cierto, según los expertos, esto es típico de todo el grupo de programas creados sobre la base de Bitdefender). La presencia de componentes optimizadores adicionales y sus propios firewalls generalmente no mejoran el comportamiento de dichos antivirus. Pero no se puede negar la velocidad de esta aplicación. Además, se utiliza P2P para la verificación, pero no existe una verificación de correo electrónico en tiempo real, lo que a muchas personas no les gusta.

Antivirus de Microsoft

Otra aplicación que destaca por su envidiable rendimiento con o sin motivo es el producto propio de Microsoft llamado Security Essentials.

Este paquete está incluido en el Top 10 de antivirus, aparentemente, solo porque está diseñado exclusivamente para sistemas Windows, lo que significa que no causa absolutamente ningún conflicto a nivel del sistema. Además, ¿quién sino los especialistas de Microsoft conocen todos los agujeros de seguridad y vulnerabilidades de sus propios sistemas operativos? Por cierto, un hecho interesante es que las versiones iniciales de Windows 7 y Windows 8 tenían MSE como estándar, pero luego, por alguna razón, abandonaron este kit. Sin embargo, para Windows puede convertirse en la solución más sencilla en términos de seguridad, aunque no puede contar con ninguna funcionalidad especial.

Aplicación McAfee

En cuanto a esta aplicación, parece bastante interesante. Sin embargo, la mayor popularidad la ganó en el campo de la aplicación en dispositivos móviles con todo tipo de bloqueos, sin embargo, en computadoras de escritorio este antivirus no se comporta peor.

El programa tiene soporte de bajo nivel para redes P2P al compartir archivos de Instant Messenger y también ofrece protección de 2 niveles, en el que el papel principal se le da a los módulos WormStopper y ScriptStopper. Pero en general, según los consumidores, la funcionalidad está en un nivel medio y el programa en sí está más centrado en identificar software espía, gusanos informáticos y troyanos y en evitar que scripts ejecutables o códigos maliciosos entren en el sistema.

Antivirus y optimizadores combinados

Naturalmente, aquí solo se consideraron los incluidos en el Top 10 de antivirus. Si hablamos de otros programas de este tipo, podemos notar algunos paquetes que contienen módulos antivirus en sus conjuntos.

¿Qué preferir?

Naturalmente, todos los antivirus tienen ciertas similitudes y diferencias. ¿Qué instalar? Aquí debe partir de las necesidades y el nivel de protección proporcionado. Como regla general, los clientes corporativos deberían comprar algo más potente con posibilidad de instalación en red (Kaspersky, Dr. Web, ESET). En cuanto al uso doméstico, aquí el usuario elige lo que necesita (si lo desea, incluso puede encontrar un antivirus por un año, sin registrarse ni comprar). Pero, si nos fijamos en las opiniones de los usuarios, es mejor instalar Panda Cloud, incluso a pesar de cierta carga adicional en el sistema y el tiempo que lleva comprobarlo en el sandbox. Pero aquí es donde existe una garantía total de que la amenaza no penetrará en el sistema de ninguna manera. Sin embargo, cada uno es libre de elegir por sí mismo qué es exactamente lo que necesita. Si la activación no es difícil, por favor: Los productos ESET funcionan bien en sistemas domésticos. Pero utilizar optimizadores con módulos antivirus como principal medio de protección es extremadamente indeseable. Bueno, también es imposible decir qué programa ocupa el primer lugar: hay tantos usuarios, tantas opiniones.

No es necesario buscar muy lejos para utilizar un antivirus gratuito como alternativa a los productos pagos para proteger su computadora contra virus, software espía y otras amenazas. El sistema operativo Microsoft tiene su propio antivirus, una aplicación estándar que proporciona un nivel básico de protección informática. Mucha gente no se lo toma en serio por varias razones, pero se puede hablar razonablemente de la eficacia insuficiente de Windows Defender basándose únicamente en varias pruebas independientes, en las que el antivirus estándar del sistema muestra resultados, lamentablemente, lejos de ser perfectos. Afortunadamente, hoy en día en el mercado del software existe una gran cantidad de soluciones gratuitas y también inteligentes para proteger su computadora contra el malware. A continuación se ofrecerá una descripción general de estos. En este artículo veremos las capacidades de siete antivirus gratuitos para el sistema operativo Windows.

Participantes de la revisión (se proporciona un enlace para descargar programas desde sus sitios web oficiales):

1. Nano Antivirus (http://www.nanoav.ru/index.php?option=com_content&view=article&id=23391&Itemid=74&lang=ru);
2. Antivirus gratuito Avira (http://www.avira.com/ru/avira-free-antivirus);
3. ¡Zillya! Antivirus (http://zillya.ua/ru);
4. Antivirus gratuito Panda (http://www.pandasecurity.com/russia/homeusers/solutions/free-antivirus);
5. Kaspersky 365 (http://www.kaspersky.ru/free-antivirus);
6. 360 Seguridad Total (http://www.360totalsecurity.com/ru);
7. Comodo Internet Security (http://www.comodorus.ru/free_versions/detal/comodo_free/8).

1. Nanoantivirus

Comencemos la revisión con un producto nacional. Nano Antivirus es un producto de software completo de desarrolladores rusos, basado en su propio motor antivirus. Tiene un conjunto estándar de funciones para el nivel básico de protección de la computadora: tipos de escaneo personalizables (incluido el escaneo programado), protección en tiempo real contra todo tipo de amenazas, protección web. Además del conjunto estándar de capacidades, Nano Anti-Virus ofrece una función de protección de archivos habilitada/deshabilitada similar al filtro estándar SmartScreen de Windows. Nano Antivirus no exige mucho a los recursos del sistema de su computadora y tiene una interfaz simple, poco atractiva pero fácil de usar.

Obtenemos más funciones que en la versión gratuita en la versión más funcional de Nano Antivirus Pro. Es cierto que entre las funcionalidades de este último, y estos son varios temas de diseño de interfaz, modo antivirus de juego, creación de más de 3 tareas en el programador, lo único que realmente vale la pena es, de hecho, el soporte técnico del desarrollador a través de canales de comunicación personal. .

Como corresponde a un proyecto antivirus serio, Nano Antivirus tiene su propio escáner en la nube: un escaneo en línea gratuito de archivos individuales para identificar amenazas. El escáner en la nube está disponible en el sitio web oficial del antivirus Nanoav.Ru, así como en el formato de la aplicación Metro “Nano Antivirus Sky Scan” para Windows 8.1 y 10. Esta aplicación se puede instalar de forma gratuita en la tienda de Windows.

2. Antivirus gratuito Avira

Avira Free Antivirus, una creación de los desarrolladores alemanes, es un veterano en el mercado del software de seguridad para Windows. Hace unos años gozó de gran popularidad debido a la menor cantidad de ofertas gratuitas entre los antivirus que valían la pena. El nivel básico de protección de Avira Free Antivirus está representado por un escáner antivirus con la capacidad de seleccionar diferentes áreas de la computadora, protección en tiempo real y un firewall integrado. Además de varias áreas de análisis, el análisis se puede realizar como parte de la búsqueda de un tipo separado de amenaza: los rootkits.

La versión gratuita de este antivirus no tiene módulos de protección de correo ni web, pero este último se puede implementar instalando extensiones de Avira en los navegadores Internet Explorer, Google Chrome, Mozilla Firefox, así como en navegadores clonados que admitan trabajar con este último. extensiones. Estas extensiones duplican la protección integrada del navegador contra códigos maliciosos en Internet y sitios fraudulentos.

En la versión paga de Avira Antivirus Pro, obtenemos protección web mejorada, la capacidad de escanear archivos individuales usando tecnología en la nube en tiempo real, modo de juego, protección de correo, evitando que el malware desactive el antivirus, así como soporte técnico.

Por el momento, Avira Free Antivirus no es la mejor solución para ordenadores de bajo consumo. Existen en el mercado de antivirus gratuitos soluciones que resultan más económicas en cuanto al uso de recursos del sistema. Este es, en particular, el Nano Anti-Virus mencionado anteriormente o, por ejemplo, el siguiente participante de la revisión: ¡Zillya! antivirus.

3. ¡Zillya! antivirus

¡Zillya! El antivirus es una respuesta de los desarrolladores ucranianos a rusos y alemanes en forma de un producto de seguridad para Windows basado en su propio motor antivirus. Al igual que los participantes anteriores de la revisión, la versión gratuita del antivirus ucraniano proporciona un nivel básico de protección informática. Este antivirus es ideal para nuevos usuarios, porque Zillya! El antivirus tiene una interfaz agradable e intuitiva. Y los controles grandes, además de esto, hacen de este antivirus una solución conveniente para dispositivos táctiles con pantallas pequeñas. El nivel básico de protección está representado tradicionalmente por la función de escanear áreas individuales de la computadora (incluida la capacidad de asignar tareas en el programador) y la protección en tiempo real (la función "Watchman"). Además de esto, también recibiremos un módulo gratuito de escaneo de correo en busca de amenazas y un filtro USB para verificar las unidades USB conectadas, que siguen activas por defecto.

¡Liberen a Zillya! El antivirus también ofrece una opción de modo de protección de la computadora: económico, óptimo y máximo. Para obtener acceso a la configuración avanzada, debe registrar el antivirus iniciando sesión mediante correo electrónico o cuentas de redes sociales populares.

¡Continuación paga de Zillya! ¡Antivirus es un paquete de protección integral de Zillya! Internet Security, que ya contiene módulos para un filtro web, control parental, trituradora de archivos (sobrescritura de archivos en el disco duro) y otras funciones innecesarias para el ciudadano medio.

4. Antivirus gratuito Panda

Panda Free Antivirus es una versión gratuita de un antivirus de una serie de numerosos productos de software para la protección de PC de la empresa desarrolladora española Panda Security SL. Una característica especial de este antivirus es su tecnología de protección en la nube, que permite la ubicación de las bases de datos del antivirus en Internet, en los servidores del creador del antivirus, que se actualizan allí en tiempo real. Mientras que en las computadoras de los usuarios solo existe la parte cliente del producto de software. La parte cliente, la interfaz del software antivirus instalado en el sistema, utiliza un mínimo de recursos del sistema informático, ya que todo el trabajo no se realiza localmente en el ordenador del usuario, sino en servidores remotos de Panda Security SL.

El cliente Panda Free Antivirus tiene una interfaz agradable e intuitiva con controles grandes. Los mosaicos de los módulos del programa en la ventana principal se pueden mover, personalizando la interfaz según sus preferencias.

Panda Free Antivirus, en comparación con otros participantes en esta revisión, proporciona quizás el conjunto de módulos de protección menos estándar para un producto antivirus gratuito. De los módulos estándar, sólo encontraremos la posibilidad de escanear varias zonas del ordenador para detectar amenazas (con un programador de análisis programado).

¿Cuáles son estos módulos de protección no estándar? El antivirus se instala con la función predeterminada de ejecutar un análisis cuando los dispositivos USB están conectados a la computadora. Y si es necesario, estos últimos pueden “vacunarse” por completo. Al habilitar la función de vacunación del dispositivo USB en Panda Free Antivirus, la ejecución automática se desactivará para todos los medios de almacenamiento conectados a través del puerto USB. Ver un monitor de procesos en un antivirus gratuito es algo bastante raro, y podemos verlo eligiendo Panda Free Antivirus para proteger nuestro ordenador. En la ventana del monitor de procesos veremos una tabla con los procesos del sistema en ejecución que utilizan la red. Cada uno de los procesos se mostrará con su clasificación de seguridad asignada. Los procesos sospechosos se pueden bloquear en la ventana del informe completo.

Panda Free Antivirus intentará ayudar incluso en una situación crítica cuando su funcionamiento en el ordenador esté bloqueado por malware. Sin embargo, para hacer esto, necesitarás instalar este antivirus en otra computadora y crear una unidad USB de emergencia con el antivirus. O proporcione uno por adelantado.

5. Kaspersky gratis

Kaspersky Free, anteriormente conocido como Kaspersky 365, es una edición gratuita del producto antivirus de Kaspersky Lab. El Kaspersky Free gratuito se basa en el mismo motor antivirus que los productos pagos del desarrollador y, en consecuencia, es tan eficaz como estos últimos a la hora de proteger contra amenazas. Es cierto que el uso gratuito de antivirus tiene límites y son temporales. La licencia gratuita se activa tras la instalación del programa y es válida sólo por un año.

Kaspersky Free tiene una lista óptima de módulos para proteger la computadora del usuario promedio. Tal armonía de funcionalidad es poco común en los productos gratuitos, porque obtenemos un escáner antivirus completo con un programador de tareas, protección en tiempo real, protección web, verificación de correo e incluso monitoreo de la presencia de programas de mensajería instalados en el sistema. de enlaces maliciosos en los mensajes de las bandejas de entrada.

Tanto las soluciones pagas como la edición gratuita de Kaspersky Free pueden contar con la solución del conocido problema de la absorción activa de recursos del sistema informático por parte de los productos de Kaspersky Lab. En la configuración del antivirus, además de la opción preestablecida de asignar recursos al cargar Windows, también podemos activar la función de dar prioridad en el uso de recursos del ordenador a otros programas para sus necesidades durante el funcionamiento del sistema.

6. Seguridad total 360

360 Total Security es un paquete de software funcional gratuito para proteger su computadora y mejorar su rendimiento con un módulo antivirus integrado de la empresa desarrolladora china Qihoo. En él veremos muchas funciones, algunas de las cuales en otros conjuntos de software de seguridad se ofrecen solo en versiones pagas, y otras incluso se proporcionan en software separado. Se trata, en particular, del modo "Sandbox" (Sandbox, un entorno virtual para el lanzamiento aislado de archivos ejecutables), funciones para limpiar y optimizar el sistema, comprimir espacio en disco, proteger la configuración del navegador e incluso administrar las actualizaciones del sistema Windows. Si es necesario, también puede activar un firewall GlassWire gratuito de terceros, así como utilizar la función 360 ​​Connect, dentro de la cual se puede administrar la protección de su computadora a través de una aplicación móvil para dispositivos iOS y Android.

Los desarrolladores también fueron inteligentes con el módulo antivirus. En 360 Total Security hay hasta cinco motores antivirus, sin embargo, dos de ellos, los motores de los conocidos antivirus Avira y BitDefender, están inicialmente inactivos y pueden activarse a petición del usuario. ¿Cuáles son los tres motores que están activos por defecto? Uno de ellos es el escáner en la nube 360 ​​​​Cloud, el otro es un motor para solucionar problemas en el sistema operativo y el tercero está diseñado para brindar protección en tiempo real.

Al conjunto estándar de protección en tiempo real, escaneo de varias áreas de la computadora y protección web, si lo desea, también puede agregar extensiones para los navegadores Google Chrome, Mozilla Firefox, Opera y Yandex Browser que previenen las amenazas web.

La interfaz de 360 ​​​​Total Security se puede decorar con diferentes temas de diseño todos los días. El programa no exige recursos del sistema informático.

7. Seguridad de Internet Comodo

Comodo Internet Security es un producto de software autoexplicativo del desarrollador estadounidense Comodo Group Inc. Al igual que el participante anterior en la revisión, Comodo Internet Security es un software gratuito poco común con funcionalidad avanzada. Pero, a diferencia de 360 ​​​​Total Security, el producto Comodo tiene todas las funciones proporcionadas, por así decirlo, al grano. Comodo Internet Security trabaja para proteger su computadora de amenazas, en lugar de limpiar y optimizar el sistema. A bordo encontraremos un módulo antivirus con protección en tiempo real, protección web y un conjunto de áreas de escaneo (incluido el programador) y el llamado escaneo de reputación. Este último es un escaneo basado en la nube de áreas de su computadora que frecuentemente se ven afectadas por malware, obteniendo una calificación de seguridad para los archivos escaneados.

Comodo Internet Security también incluye un firewall, un modo Sandbox y una característica única que no se encuentra en ninguno de los antivirus que participan en esta revisión (como, de hecho, en muchos otros programas de seguridad): un escritorio virtual. Un escritorio virtual es un espacio aislado tipo "Sandbox" donde puede visitar cualquier sitio de Internet y ejecutar aplicaciones dudosas. En el modo de escritorio virtual de tableta también podremos trabajar con aplicaciones web como Chrome OS. La lista de aplicaciones web preinstaladas se puede complementar con otras de la tienda de Google Chrome.

Pero no funcionarán directamente con Google Chrome, sino con su clon "adaptado": el navegador Chromodo, esencialmente el mismo Chrome, pero con extensiones preinstaladas para una navegación web segura desde Comodo. El navegador Chromodo se instala de forma predeterminada con Comodo Internet Security.

La interfaz de Comodo Internet Security es simple y sólo superficialmente intuitiva. Si quieres profundizar en los ajustes, encontrarás que su organización es algo incómoda. Y con la abundancia de opciones diferentes, muchos no entenderán de inmediato qué es qué. Comodo Internet Security es un producto flexible y personalizable, hasta el punto de que la configuración proporciona su propia exportación-importación para casos de reinstalación del programa.

Puede experimentar instalando Comodo Internet Security en PC y portátiles débiles. Este no es el producto más liviano de todos los analizados anteriormente, pero será más liviano que Avira Free Antivirus y Kaspersky Free.

¡Qué tengas un lindo día!

360 Total Security: antivirus gratuito de Qihoo 360 con optimización de PC y protección en tiempo real contra todo tipo de amenazas en línea con 5 motores: Avira y Bitdefender, QVM II proactivo y Cloud 360 Cloud, así como System Repair para recuperación del sistema.

Descripción del programa

360 Total Security ofrece protección integral contra todo tipo de malware y amenazas en línea.

El antivirus gratuito de Qihoo 360 utiliza protección en tiempo real con los motores antivirus Avira y Bitdefender, QVM II proactivo y 360 Cloud, así como Reparación del sistema para evaluar exhaustivamente y reparar rápidamente cambios anormales en el sistema operativo Windows.

Cuando realiza compras en línea, descarga archivos, visita páginas web de diversos recursos en Internet, 360 Total Security lo protege de amenazas en tiempo real. Además, puede utilizar la función de limpieza con un solo clic para optimizar el rendimiento de su computadora.

Cinco motores brindan niveles insuperables de confiabilidad y seguridad, en línea y fuera de línea, al tiempo que mantienen un alto rendimiento y capacidad de respuesta del sistema.

Características principales de 360 ​​Seguridad Total:

• La nueva versión de 360 ​​Total Security agrega el motor antivirus Avira y System Repair para la recuperación del sistema a los motores existentes de Bitdefender, proactive QVM II y cloud 360 Cloud.
• También se agrega una función de aceleración y limpieza con un solo clic para optimizar el rendimiento de su computadora.

Características clave de 360 ​​Total Security

Verificación del sistema
- Verifique rápidamente el estado general y la seguridad de su computadora con un solo clic

Escaneo antivirus
- Uso de 5 motores principales, incluidos 360 Cloud Engine / QVMII / Avira y Bitdefender para una protección integral y una mejor detección, así como System Repair para la recuperación del sistema.

Aceleración del sistema
- Le permite administrar y optimizar el inicio automático de aplicaciones, complementos y servicios. Reduzca el tiempo de arranque de su PC.

Limpieza del sistema
- Ayuda a liberar espacio en el disco duro al eliminar archivos innecesarios de su computadora y hacer su trabajo más eficiente.

Protección en tiempo real
- Proteja su computadora de malware, phishing y amenazas ocultas y emergentes utilizando tecnología de nube rápida e inteligente.

Un chino está sentado en la hierba, atrapado... Entonces, señor, ¿de qué estoy hablando? Les traigo una descripción general del milagro de la industria antivirus china. Este es un antivirus multimotor absolutamente gratuito llamado Qihoo 360 Total Security. Aunque la mayoría de las veces se llama simplemente 360 ​​Total Security. Mantendré este nombre en el futuro. Antivirus 360 Total Security puede competir con muchos programas comerciales, sin mencionar la mayoría de las aplicaciones antivirus gratuitas. Echemos un vistazo a lo que lo hace tan bueno, nuestro amigo de ojos entrecerrados.

Instalación de antivirus

La distribución completa de la instalación pesa poco más de 30 MB. No se sabe qué tipo de prensa utilizaron los desarrolladores para comprimir los archivos, porque el hardware de este antivirus es muy, muy impresionante.

Comencemos la instalación. En la pestaña "Configuración", solo puede seleccionar la carpeta de instalación.

Haga clic en el gran botón verde, espere 20 segundos y listo, la instalación del antivirus estará completa. Muy rápido y muy sencillo. Sin opciones de instalación adicionales, selección de componentes ni escaneo preliminar. Por supuesto, a veces uno quiere modificar la configuración, pero el usuario promedio todavía presiona el botón "Siguiente" en todas las ventanas, no lee nada y no configura nada. Entonces es realmente bueno.

Cuando inicia por primera vez el antivirus 360 ​​Total Security, proporciona algo así como una capacitación rápida mostrando sugerencias.

No se deje intimidar por los cinco íconos en esta ventana. Aunque todos los sitios escriben sobre cinco motores antivirus, en realidad este no es el caso. Lo analizaremos un poco más tarde.

Interfaz antivirus

El caparazón gráfico de 360 ​​Total Security no genera ninguna queja particular. La interfaz es bastante lógica, cómoda y atractiva.

Si no le gusta el aspecto del antivirus 360 Total Security, puede descargar fácilmente uno de varios temas adicionales para elegir haciendo clic en el ícono de la camiseta en la esquina superior derecha.

A mí, por ejemplo, me gustó el tema inspirado en Norton de Symantec, pero a lo largo de la revisión usaré el tema estándar.

Componentes de protección antivirus

Pasemos a lo más importante, y en este caso, el más divertido: el nivel de protección del antivirus 360 ​​Total Security. Veamos cinco motores.

Motores antivirus

1. Escáner en la nube 360 ​​Cloud. Motor antivirus propio en la nube que utiliza información sobre sumas de comprobación de archivos. Siempre encendido, no se puede apagar por separado.
2. Motor Bitdefender. Un motor antivirus de muy alta calidad de desarrolladores rumanos. Desactivado de forma predeterminada.
3. Motor Avira. Potente motor antivirus de los alemanes. Deshabilitado por defecto.
4. IA QVM. Sistema propio de protección proactiva mediante tecnologías en la nube. Básicamente, este es solo un módulo separado para la protección contra amenazas desconocidas; sin embargo, 360 Total Security lo considera un motor independiente. No lo considero así. Siempre encendido, no se puede apagar por separado.
5. Corrección del sistema. Herramienta de limpieza y optimización del sistema. No tiene nada que ver con la protección antivirus, nunca con un motor antivirus.

Como puedes ver, 360 Total Security cuenta con 3 motores antivirus específicos y un módulo de protección proactiva, que puede considerarse o no el cuarto.

Es muy, muy bueno que los motores antivirus Bitdefender y Avira se puedan activar y desactivar manualmente. Aprendan, compañeros delincuentes de Trustport. Cabe señalar que estos motores primero se cargan con antivirus y solo luego se encienden y actualizan. De forma predeterminada, no hay archivos obligatorios para ellos.

Si ya tienes dudas sobre qué motor antivirus mantener activo en 360 Total Security, te responderé. La propia nube nativa china 360 ​​muestra muy buenos resultados. Pero está basado en la nube y requiere una conexión constante a Internet. Por lo tanto, además de 360 ​​Cloud, recomiendo incluir el motor Avira o Bitdefender. A tu gusto. Me quedaría con Avira. Me gusta más ella.

En principio, puedes encender todos los motores. Sorprendentemente, incluso en estas condiciones, mi sistema virtual de prueba, que se ejecuta en un solo núcleo con 1,5 GB de RAM, se mueve con bastante rapidez. Sí, por supuesto, hay cierta desaceleración, pero es bastante cómodo trabajar. Cómo lograron esto los chinos, no lo sé. Las ralentizaciones notables comienzan solo cuando se actualiza el antivirus 360 ​​Total Security. El servicio de actualización ejerce mucha presión sobre el procesador, pero esto es un fenómeno temporal debido a la presencia de un solo núcleo.

Por cierto, el proceso de actualización en sí se implementa de una manera muy interesante. Funciona mediante tecnología P2P, es decir, como un torrent. Bueno, a los chinos no se les ocurre nada.

Tecnologías de seguridad

Ahora seleccionemos y consideremos los más interesantes de la extensa lista de la imagen a continuación. ¿Qué metieron en el antivirus 360 ​​Total Security?

Protección de cámara web. Bloquea el acceso de los atacantes a tu cámara web, en caso de que no te hayas afeitado hoy y te haya aparecido un grano en la frente.

Protección de registrador de teclas. Lucha contra los ganchos del teclado. Es muy importante si realizas compras online y pagas con tarjeta. Sin embargo, la prueba Zemana Keylogger falló en mi caso. La prueba AKLT (Anti-KeyLogger Tester) también falló parcialmente.

Comprobando archivos descargados. En teoría, este componente debería verificar el archivo descargado antes de que vaya directamente a su disco duro. Pero la verificación con EICAR mostró que el archivo de prueba solo quedó atrapado en el caché del navegador. Sin embargo, en la imagen a continuación puede ver que el antivirus 360 ​​Total Security bloqueó la página HTML, que contenía la cadena de prueba. Es decir, 360 Total Security revisó todo el texto de la página de Internet y encontró una línea de prueba de "virus". Es muy extraño que no bloquee el archivo ejecutable al descargarlo.

Bloqueo de sitios maliciosos. No se necesita explicación. Además, el antivirus 360 Total Security tiene complementos adicionales para los navegadores Chrome y Firefox, que brindan protección adicional contra phishing y sitios maliciosos. Sin embargo, la prueba EICAR para cargar un archivo con un complemento en Firefox también falló.

Protección de compras online. Una función interesante que detecta el momento de visitar una tienda online y bloquea el inicio de todos los programas desconocidos en ese momento. Nuestro 360 Total Security volvió a fallar en la prueba Zemana Keylogger y AKLT. Quizás los programas de prueba sean conocidos por el antivirus y sean confiables, quizás el entorno virtual de Virtual Box sea el culpable, pero al ejecutar el navegador en el sandbox no se pudo realizar ni una sola interceptación. Usa la caja de arena.

Protección de almacenamiento USB. Le permite desactivar la función de ejecución automática de una unidad flash.

Bloqueo conductual. Prohíbe que los programas realicen acciones sospechosas. Es una defensa proactiva.

Protección del registro. Prohíbe la modificación de ramas registrales críticas. Buen material proactivo.

Bloqueo de amenazas de red. Es difícil decir qué es. Después de todo, el antivirus 360 Total Security no tiene firewall. Parece que simplemente bloquea el acceso de los programas a recursos de red maliciosos. No he encontrado ninguna información que aclare la situación en ningún idioma.

Archivo de protección del sistema. Prohíbe la modificación de archivos importantes del sistema. Necesario y útil.

Componentes adicionales

Aceleración. Optimizador del sistema. Úselo con extrema precaución, porque... sugiere deshabilitar, por ejemplo, la creación automática de puntos de restauración del sistema. Antes de empezar recomiendo revisar todas las operaciones que se están realizando, y en caso de duda no te metas para nada con esta herramienta.

Limpieza. Elimina archivos temporales de todo tipo de cachés. Un vistazo rápido no parece peligroso, pero la lista de cosas que se deben eliminar es enorme.

Herramientas.

Vulnerabilidades. Supervisa las actualizaciones de Windows. Sugiero que los propietarios de una copia con licencia utilicen el servicio de actualización nativo. Para los propietarios de una versión sin licencia, les recomiendo que desactiven manualmente el servicio Windows Update y desactiven la notificación de actualizaciones en 360 Total Security. Para hacer esto, haga clic en "Vulnerabilidades" - "Opciones" - "Desactivar notificación emergente".

Salvadera. Le permite ejecutar programas sospechosos en un entorno virtual limitado. Normalmente es necesario para reaseguros y experimentación, pero para 360 Total Security es una herramienta indispensable en la lucha contra los keyloggers.

Copias de seguridad del sistema de limpieza. Elimina el controlador de Windows y actualiza los archivos de copia de seguridad.

Configurar un antivirus

Con tal arsenal en 360 Total Security, no tienes que preocuparte por la configuración. Enciende el motor adicional y duerme tranquilo. Pero por defecto el antivirus funciona en “modo óptimo”. Cambiaría a seguro o personalizado. Para hacer esto, haga clic en el ícono del escudo y luego cambie el modo. En el modo personalizado, puede habilitar o deshabilitar cada tecnología de seguridad por separado. Muy conveniente.

Pero puedes ir más allá y reforzar aún más la protección. Vayamos a la configuración.

1. Los principales son escanear archivos comprimidos durante un escaneo completo del disco.
2. Protección activa: supervise todos los tipos de archivos.

Revisión final. Conclusiones de la revisión del antivirus.

Potente antivirus multimotor con un buen nivel de protección proactiva. Completamente gratis. Incluso con la configuración máxima del antivirus 360 ​​Total Security, el sistema de prueba bastante débil no se ralentizó mucho. Puede habilitar motores antivirus adicionales individualmente y también seleccionar las tecnologías de protección utilizadas de manera bastante sutil. Interfaz fácil de usar, disponibilidad de temas adicionales para todos los gustos y colores.

Las desventajas del programa incluyen la ausencia total de un firewall y el funcionamiento poco claro de los componentes de protección web, que no pueden bloquear los archivos infectados antes de descargarlos, pero sí pueden comprobar el texto de una página web. Además, suscitan críticas la configuración del antivirus 360 ​​Total Security, que no tiene un único árbol para todos los componentes. Las configuraciones para módulos adicionales se abren por separado, cada uno en su propia ventana. También es dudoso el servicio de optimización del sistema, que ofrece desactivar servicios de Windows potencialmente necesarios. No hay ninguna información de ayuda sobre el programa.

Como resultado, el antivirus gratuito 360 Total Security deja una impresión muy agradable. Si buscas un antivirus gratuito potente o quieres cambiar de un programa pago, pero sin sacrificar la seguridad, Qihoo 360 Total Security es una excelente opción.

Olvídate de esos relojes chinos que se estropearon al día siguiente de tu compra. Antivirus 360 Total Security es una historia completamente diferente.

Pequeña actualización. La versión 360 Total Security se ha actualizado a 6.6. Ahora la protección contra keyloggers y la protección de compras en línea en un sistema virtual funcionan bien. Ni las pruebas de Zemana ni de AKLT pudieron interceptar información no solo de sitios protegidos, ¡sino incluso de un bloc de notas! Todavía no he visto dicha protección en ninguno de los antivirus pagos. Además, se lanzó una versión ligera del programa, denominada 360 Total Security ESSENTIAL. Es un antivirus puramente sin componentes innecesarios para optimizar, limpiar y actualizar el sistema. Su versión actualmente es la 6.0, pero toda la protección contra keyloggers también funciona muy bien.

Actualización 2: La línea de antivirus gratuitos ha sido actualizada a la versión 7.6. 360 Total Security agregó un firewall de GlassWire (instalado por separado), un administrador de enrutador, protección del navegador contra cambios de configuración y protección contra la interceptación de datos. El último punto es un medio para combatir los virus cifrados. Con el componente de protección de interceptación de datos activo, el antivirus proporcionará acceso a archivos y documentos de un determinado formato sólo a aplicaciones confiables. La versión Essential solo agrega este componente. Además, se han solucionado algunos errores, pero la protección web sigue sin funcionar correctamente.

Actualización 3: Hice una revisión y prueba detallada de la versión ligera del antivirus gratuito Qihoo 360 Total Security Essential 7.2.

Una de las partes principales de cualquier antivirus es el llamado "motor" antivirus, un módulo responsable de escanear objetos y detectar malware. La calidad de la detección de malware y, como consecuencia, el nivel de protección proporcionado por el antivirus depende del motor antivirus, de cómo está diseñado y de los métodos de detección y heurísticas que utiliza.

Este artículo describe en detalle las tecnologías estándar y algunos enfoques originales de varios desarrolladores de antivirus, implementados en el motor antivirus. En el camino, se considerarán algunas cuestiones técnicas relacionadas que son necesarias para evaluar la calidad del motor antivirus y aclarar las tecnologías utilizadas en él.

¿Buen o mal "motor"?

Desafortunadamente, los desarrolladores de software antivirus rara vez divulgan detalles de implementación de sus motores. Sin embargo, mediante signos indirectos se puede determinar si el “motor” está en buen estado o no. Estos son los principales criterios mediante los cuales puede determinar la calidad de un motor antivirus:

Calidad de detección. ¿Qué tan bien detecta el antivirus los virus? Este criterio se puede evaluar en función de los resultados de varias pruebas realizadas por varias organizaciones y que generalmente se presentan en los recursos web del desarrollador.

Nivel de detección por analizadores heurísticos. Desafortunadamente, es imposible determinar este parámetro sin realizar pruebas en una colección de virus, pero es bastante fácil determinar cuál es el nivel de falsos positivos para un motor en particular.

Tasa de falsos positivos. Si en archivos 100% no infectados el antivirus informa que ha detectado un archivo posiblemente infectado, entonces se trata de un falso positivo. ¿Deberíamos confiar en un analizador heurístico que molesta al usuario con falsas alarmas? Después de todo, debido a la gran cantidad de falsos positivos, el usuario puede pasar por alto un virus verdaderamente nuevo.

Soporte para una gran cantidad de empaquetadores y archivadores. Este es un factor muy importante, ya que a menudo los creadores de malware, después de escribir un virus, lo empaquetan con varias utilidades para empaquetar módulos ejecutables y, después de recibir varios virus diferentes, los liberan al mundo. Básicamente, todos estos virus son casos de la misma variante. Para un motor antivirus que admita todas o casi todas las utilidades de empaquetado populares, no será difícil identificar todas estas instancias del mismo virus, llamándolas con el mismo nombre; para otros motores, será necesario actualizar la base de datos del antivirus (; así como el tiempo que tardan los expertos en antivirus en analizar la instancia del virus).

Frecuencia y tamaño de las actualizaciones de la base de datos antivirus. Estos parámetros son signos indirectos de la calidad del motor. Dado que el lanzamiento frecuente de actualizaciones garantiza que el usuario siempre estará protegido contra los virus que aparecen recientemente. El tamaño de la actualización (y la cantidad de virus detectados en esta actualización) habla de la calidad del diseño de la base de datos antivirus y, en parte, del motor.

La capacidad de actualizar el motor sin actualizar el programa antivirus. A veces, para detectar un virus, es necesario actualizar no sólo la base de datos antivirus, sino también el propio "motor". Si el antivirus no admite esta función, el usuario puede quedar sin protección ante un nuevo virus. Además, esta característica le permite mejorar rápidamente el motor y corregir errores en el mismo.

"Motor" antivirus: tecnologías existentes

Con la llegada de los primeros virus informáticos, los programadores rápidamente descubrieron cómo funcionan y crearon los primeros programas antivirus. Ha pasado bastante tiempo desde entonces y los antivirus modernos se diferencian de aquellos primeros antivirus, como un ordenador personal se diferencia de una calculadora.

En el primer párrafo de este artículo, se dio una definición algo "ingenua" del "motor" antivirus. A continuación, se darán una serie de definiciones precisas y descripciones tecnológicas que, en última instancia, le permitirán comprender completamente la estructura y los algoritmos del motor antivirus.

Anti-Virus Engine es un módulo de software diseñado para detectar software malicioso. El "motor" es el componente principal de cualquier programa antivirus, independientemente de su finalidad. El motor se utiliza tanto en productos personales (un escáner o monitor personal) como en soluciones de servidor (un escáner para un servidor de correo o archivos, un firewall o un servidor proxy). Como regla general, para detectar malware, la mayoría de los "motores" implementan las siguientes tecnologías:

Búsqueda por "firmas" (una secuencia única de bytes);
Búsqueda por sumas de verificación o CRC (suma de verificación con una secuencia única de bytes);
Usando una máscara reducida;
Criptoanálisis;
Análisis estadístico;
Análisis heurístico;
Emulación.

Veamos cada uno de estos métodos con más detalle.

Búsqueda por "firmas"

Una firma es una “cadena” única de bytes que caracteriza de manera única a un programa malicioso en particular. La búsqueda de firmas, con una modificación u otra, se ha utilizado para detectar virus y otros programas maliciosos, desde los primeros programas antivirus hasta la actualidad. La ventaja innegable de la búsqueda de firmas es la velocidad de funcionamiento (cuando se utilizan algoritmos especialmente desarrollados, por supuesto) y la capacidad de detectar varios virus con una sola firma. Desventaja: el tamaño de la firma para una detección confiable debe ser bastante grande, al menos de 8 a 12 bytes (generalmente se usan firmas mucho más largas, de hasta 64 bytes, para una detección precisa), por lo tanto, el tamaño de la base de datos antivirus será ser bastante grande. Además, recientemente, los programas maliciosos escritos en lenguajes de alto nivel (C++, Delphi, Visual Basic) se han generalizado cada vez más y dichos programas tienen partes separadas del código que prácticamente no cambian (la llamada biblioteca en tiempo de ejecución). ). Una firma elegida incorrectamente conducirá inevitablemente a un falso positivo: la detección de un archivo "limpio" y no infectado como infectado con un virus. Como solución a este problema, se propone utilizar firmas muy grandes o utilizar la detección para determinadas áreas de datos, por ejemplo, tablas de reubicación o cadenas de texto, lo que no siempre es bueno.

Búsqueda por sumas de verificación (CRC)

La búsqueda por sumas de verificación (CRC - verificación de redundancia cíclica), es esencialmente una modificación de la búsqueda por firmas. El método se desarrolló para evitar las principales desventajas de la búsqueda de firmas: el tamaño de la base de datos y reducir la probabilidad de falsos positivos. La esencia del método es que para buscar código malicioso, no solo se toma la línea de "referencia": la firma, o más bien, la suma de verificación de esta línea, sino también la ubicación de la firma en el cuerpo del programa malicioso. La ubicación se utiliza para evitar tener que calcular sumas de comprobación para todo el archivo. Así, en lugar de 10-12 bytes de firma (mínimo), se utilizan 4 bytes para almacenar la suma de comprobación y otros 4 bytes para la ubicación. Sin embargo, el método de búsqueda por suma de comprobación es algo más lento que la búsqueda por firma.
El uso de máscaras para detectar códigos maliciosos a menudo se complica por la presencia de código cifrado (los llamados virus polimórficos), ya que es imposible seleccionar una máscara o una máscara del tamaño máximo no cumple la condición de unívocamente Identificar un virus sin falsos positivos.
La imposibilidad de elegir una mascarilla de tamaño suficiente en el caso de un virus polimórfico se explica fácilmente. Al cifrar su cuerpo, el virus se asegura de que la mayor parte de su código en el objeto afectado sea una variable y, en consecuencia, no pueda seleccionarse como máscara. (Los virus polimórficos y autocifrados se describen con más detalle en el apéndice al final del artículo).
Para detectar dichos virus se utilizan los siguientes métodos: el uso de una máscara reducida, criptoanálisis y análisis estadístico. Veamos estos métodos con más detalle.

Usar una mascarilla reducida

Al infectar objetos, un virus que utiliza cifrado convierte su código en una secuencia cifrada de datos:
S = F(T), donde
T - código base del virus;
S - códigos de virus cifrados;
F es la función de cifrado del virus, seleccionada aleatoriamente de un determinado conjunto de transformaciones (F).
El método de máscara reducida consiste en elegir una transformación R de los códigos de virus cifrados S, de manera que el resultado de la transformación (es decir, alguna secuencia de datos S") no dependa de las claves de transformación F, es decir
S=F(T)
S" = R (S) = R (F (T)) = R" (T).
Al aplicar la transformación R a todas las variantes posibles del código cifrado S, el resultado S" será constante a una T constante. Así, la identificación de los objetos afectados se realiza eligiendo S" como máscara reducida y aplicando la transformación R a los objetos afectados.

Criptoanálisis

Este método es el siguiente: utilizando un código base conocido del virus y un código cifrado conocido (o un código "sospechoso" similar al cuerpo cifrado del virus), se restauran las claves y el algoritmo del programa descifrador. Luego, este algoritmo se aplica a la parte cifrada, lo que da como resultado el cuerpo descifrado del virus. Al resolver este problema, debes lidiar con un sistema de ecuaciones.
Como regla general, este método funciona mucho más rápido y ocupa mucha menos memoria que emular instrucciones de virus. Sin embargo, resolver este tipo de sistemas suele ser una tarea muy compleja.
Además, el principal problema es el análisis matemático de la ecuación resultante o del sistema de ecuaciones resultante. En muchos sentidos, el problema de resolver sistemas de ecuaciones al recuperar el cuerpo cifrado de un virus se parece al problema criptográfico clásico de recuperar texto cifrado con claves desconocidas. Sin embargo, aquí esta tarea suena algo diferente: es necesario descubrir si un determinado código cifrado es el resultado de aplicar alguna función conocida hasta las claves. Además, se conocen de antemano muchos datos para resolver este problema: una sección del código cifrado, una sección del código no cifrado, posibles variantes de la función de transformación. Además, el propio algoritmo de esta transformación y las claves también están presentes en los códigos analizados. Sin embargo, existe una limitación importante: este problema debe resolverse dentro de los límites específicos de la RAM y el procedimiento de solución no debería llevar mucho tiempo.

Análisis estadístico

También se utiliza para detectar virus polimórficos. Durante su funcionamiento, el escáner analiza la frecuencia de uso de los comandos del procesador, crea una tabla de los comandos del procesador encontrados (códigos de operación) y, basándose en esta información, llega a la conclusión de que el archivo está infectado con un virus. Este método es eficaz para buscar algunos virus polimórficos, ya que estos virus utilizan un conjunto limitado de comandos en el descifrador, mientras que los archivos "limpios" utilizan comandos completamente diferentes con una frecuencia diferente. Por ejemplo, todos los programas de MS-DOS suelen utilizar la interrupción 21h (código de operación CDh 21h), pero este comando prácticamente nunca se encuentra en el descifrador de virus polimórficos de DOS.
La principal desventaja de este método es que existen varios virus polimórficos complejos que utilizan casi todos los comandos del procesador y de una copia a otra el conjunto de comandos utilizados cambia mucho, es decir, no es posible detectar un virus utilizando la frecuencia construida. mesa.

Análisis heurístico

Cuando el número de virus superó los cientos, los expertos en antivirus empezaron a pensar en la idea de detectar malware cuya existencia el programa antivirus aún no sabía (no había firmas correspondientes). Como resultado, se crearon los llamados analizadores heurísticos. Un analizador heurístico es un conjunto de rutinas que analizan el código de archivos ejecutables, macros, scripts, memoria o sectores de arranque para detectar diferentes tipos de programas informáticos maliciosos. Hay dos principios operativos del analizador.

Método estático. Busque firmas cortas comunes que estén presentes en la mayoría de los virus (los llamados comandos "sospechosos"). Por ejemplo, una gran cantidad de virus buscan virus usando la máscara *.EXE, abren el archivo encontrado y escriben en el archivo abierto. La tarea de la heurística en este caso es encontrar firmas que reflejen estas acciones. Luego se analizan las firmas encontradas y, si se encuentra una cierta cantidad de "comandos sospechosos" necesarios y suficientes, se decide que el archivo está infectado. La gran ventaja de este método es su facilidad de implementación y su buena velocidad, pero el nivel de detección de nuevo malware es bastante bajo.

Método dinámico. Este método apareció simultáneamente con la introducción de la emulación de comandos del procesador en los programas antivirus (el emulador se describe con más detalle a continuación). La esencia del método es emular la ejecución del programa y registrar todas las acciones "sospechosas" del programa. Sobre la base de este protocolo, se toma una decisión sobre la posible infección del programa con un virus. A diferencia del método estático, el método dinámico exige más recursos de la computadora; sin embargo, el nivel de detección del método dinámico es mucho mayor.

Emulación

La tecnología de emulación de código de programa (o Sandboxing) fue una respuesta a la aparición de una gran cantidad de virus polimórficos. La idea de este método es emular la ejecución de un programa (tanto infectado con un virus como uno “limpio”) en un “entorno” especial, también llamado buffer de emulación o “sandbox”. Si un archivo infectado con un virus polimórfico ingresa al emulador, luego de la emulación, el cuerpo descifrado del virus aparece en el búfer, listo para ser detectado por métodos estándar (búsqueda de firma o CRC).
Los emuladores modernos no solo emulan los comandos del procesador, sino también las llamadas del sistema operativo. La tarea de escribir un emulador completo requiere bastante mano de obra, sin mencionar el hecho de que cuando se usa un emulador hay que monitorear constantemente las acciones de cada comando. Esto es necesario para evitar la ejecución accidental de componentes destructivos del algoritmo del virus.
Cabe señalar especialmente que es necesario emular el funcionamiento de las instrucciones de los virus y no rastrearlas, ya que al rastrear un virus, la probabilidad de encontrar instrucciones o códigos destructivos responsables de la propagación del virus es demasiado alta.

Base de datos del motor antivirus

La base de datos es una parte integral del motor antivirus. Además, si asumimos que un "motor" bien diseñado no cambia con tanta frecuencia, entonces la base de datos antivirus cambia constantemente, porque es en la base de datos antivirus donde se encuentran firmas, sumas de verificación y módulos de software especiales para detectar malware. . Como usted sabe, aparecen nuevos virus, gusanos de red y otros programas maliciosos con una frecuencia envidiable y, por lo tanto, es muy importante que la base de datos antivirus se actualice con la mayor frecuencia posible. Si hace cinco años las actualizaciones semanales eran suficientes, hoy simplemente es necesario recibir al menos actualizaciones diarias de la base de datos antivirus.
También es muy importante qué hay exactamente en la base de datos antivirus: si solo hay registros de virus o procedimientos de software adicionales. En el segundo caso, es mucho más fácil actualizar la funcionalidad del motor antivirus simplemente actualizando las bases de datos.

Soporte para objetos anidados "complejos"

Los motores antivirus han cambiado mucho en los últimos años. Si los primeros antivirus, para ser considerados un programa de primera clase, solo tenían que verificar la memoria del sistema, los archivos ejecutables y los sectores de arranque, unos años más tarde, debido a la creciente popularidad de las utilidades especiales para empaquetar módulos ejecutables, los desarrolladores Nos enfrentamos a la tarea de descomprimir el archivo empaquetado antes de escanearlo.
Luego surgió un nuevo problema: los virus aprendieron a infectar archivos archivados (y los propios usuarios a menudo enviaban archivos infectados en archivos comprimidos). Los antivirus también se vieron obligados a aprender a procesar archivos comprimidos. En 1995 apareció el primer virus de macro que infectó documentos de Microsoft Word. Vale la pena señalar que el formato de documento utilizado por Microsoft Word es cerrado y muy complejo. Varias empresas de antivirus aún no saben cómo procesar dichos archivos por completo.
Hoy en día, debido a la enorme popularidad del correo electrónico, los motores antivirus también procesan tanto las bases de datos de mensajes de correo como los propios mensajes.

Métodos de detección

Un “motor” antivirus típico, que se implementa en cada programa antivirus, utiliza todas las tecnologías necesarias para detectar malware: un analizador heurístico eficaz, un emulador de alto rendimiento y, lo más importante, una arquitectura de software competente y flexible. Subsistema de detección de malware, que permite el uso de todos los métodos de detección anteriores.
Casi todos los motores antivirus utilizan la detección de suma de comprobación como método básico. Este método se eligió basándose en el requisito de minimizar el tamaño de las bases de datos antivirus. Sin embargo, la arquitectura del motor suele ser tan flexible que permite el uso de cualquiera de los métodos de detección enumerados anteriormente, que es lo que se hace con algunos virus particularmente complejos. Esto le permite lograr un alto nivel de detección de virus. La arquitectura del motor antivirus se presenta con más detalle en el diagrama que aparece más adelante en el texto.
La aplicación práctica de métodos para detectar virus polimórficos (criptoanálisis y análisis estadístico, uso de máscara reducida y emulación) se reduce a elegir el método más óptimo en términos de velocidad y cantidad de memoria requerida. El código de la mayoría de los virus autocifrados se restaura con bastante facilidad mediante el procedimiento de emulación. Si utilizar un emulador no es la solución óptima, entonces el código del virus se restaura mediante una subrutina que implementa la transformación inversa: el criptoanálisis. Para detectar virus que no se pueden emular y virus para los que no es posible construir una transformación inversa, se utiliza el método de construcción de máscaras reducidas.
En algunos de los casos más complejos, se utiliza una combinación de los métodos anteriores. Se emula parte del código del descifrador y los comandos que son realmente responsables del algoritmo de descifrado se extraen del descifrador. Luego, a partir de la información recibida, se construye y resuelve un sistema de ecuaciones para restaurar el código del virus y detectarlo.
También se utiliza una combinación de métodos cuando se utiliza cifrado múltiple, cuando el virus cifra su cuerpo varias veces utilizando diferentes algoritmos de cifrado. A menudo se utiliza un método combinado de recuperación de información o emulación "pura" del código descifrador porque cada nuevo virus debe analizarse e incluirse en la base de datos antivirus en el menor tiempo posible, lo que no siempre se ajusta a los requisitos necesarios. análisis matemático. Y como resultado, hay que utilizar métodos más complicados para detectar un virus, a pesar de que los métodos de análisis matemático del algoritmo descifrador son bastante aplicables.

Trabajar con objetos "complejos"

Los motores antivirus admiten trabajar con una gran cantidad de formatos de empaquetado y archivo. Los desarrolladores rara vez publican una lista completa (o al menos suficientemente detallada) de los formatos compatibles. La siguiente es información publicada oficialmente sobre la compatibilidad con formatos "complejos" en Kaspersky Anti-Virus. En otros productos antivirus, la lista de formatos compatibles debería ser aproximadamente la misma.
El motor Kaspersky Anti-Virus admite el trabajo con más de 400 utilidades diferentes para empaquetar archivos ejecutables, instaladores y archivadores (más de 900 modificaciones en total, hasta mayo de 2003). Entre ellos:

Empaquetadores de archivos ejecutables y sistemas de cifrado. Los más populares: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb , SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (varias versiones), WWPACK, ASPack (varias versiones), ASProtect (varias versiones), Astrum, BitArts, BJFnt, Cexe, Cheaters, Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (varias versiones), PCshrink, PE-Crypt, PE-Diminisher, PELock, PEncrypt, PE-Pack (varias versiones), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
La compatibilidad con tantos empaquetadores y archivadores permite reducir el tiempo de análisis de nuevos virus, lo que conduce a un aumento en la velocidad de respuesta ante la aparición de un nuevo virus, y a lograr un alto nivel de detección de virus ya conocidos.

Archivadores e instaladores (más de 60 en total). Los más populares: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (varias versiones), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, Especialista en configuración, NSIS, Astrum, PCInstall, Effect Office.
La compatibilidad con una gran cantidad de tipos de archivadores es especialmente importante para escanear sistemas de correo, ya que la gran mayoría de los virus se envían por correo en forma archivada. Los objetos se descomprimen independientemente del nivel de anidamiento de los archivos. Por ejemplo, si un archivo infectado está empaquetado con UPX y luego el archivo está empaquetado en un archivo ZIP, que a su vez está empaquetado en un archivo CAB, etc., entonces el motor antivirus aún debería poder llegar al archivo original y detectar el virus.
Cabe señalar que tales consideraciones no son en absoluto teóricas. Así, es ampliamente conocido el programa troyano Backdoor.Rbot, que se distribuía junto con muchos programas diferentes (Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock). , PESpin, TeLock, Molebox, Yoda, Ezip, Krypton, etc.).
El algoritmo de descompresión de archivos suele tener suficiente inteligencia para no descomprimir todo tipo de "bombas de archivos": archivos pequeños que contienen archivos enormes (con una relación de compresión muy alta) o varios archivos idénticos. Normalmente, escanear un archivo de este tipo lleva mucho tiempo, pero los motores antivirus modernos suelen reconocer este tipo de "bombas".

El mecanismo para actualizar las bases de datos antivirus y su tamaño.

Las actualizaciones de la base de datos antivirus suelen publicarse varias veces al día. Algunos pueden publicar actualizaciones una vez cada hora, otros, cada dos horas. En cualquier caso, dado el alto nivel de peligrosidad actual en Internet, una actualización tan frecuente de las bases de datos antivirus está completamente justificada.
El tamaño de las actualizaciones indica la arquitectura bien pensada del motor antivirus. Por tanto, el tamaño de las actualizaciones periódicas de las empresas líderes del sector no suele superar los 30 KB. Al mismo tiempo, las bases de datos antivirus suelen contener aproximadamente el 70% de la funcionalidad de todo el motor antivirus. Cualquier actualización de la base de datos antivirus puede agregar soporte para un nuevo empaquetador o archivador. Así, al actualizar diariamente la base de datos antivirus, el usuario recibe no sólo nuevos procedimientos para detectar nuevo malware, sino también una actualización de todo el antivirus. Esto le permite reaccionar de forma muy flexible ante la situación y garantizar al usuario la máxima protección.

Analizador heurístico

El analizador heurístico, que forma parte de casi todos los antivirus, utiliza los dos métodos de análisis descritos anteriormente: criptoanálisis y análisis estadístico. Un analizador heurístico moderno está diseñado desde cero para ser extensible (a diferencia de la mayoría de los analizadores heurísticos de primera generación, que fueron diseñados para detectar malware solo en módulos ejecutables).
Actualmente, el analizador heurístico puede detectar códigos maliciosos en archivos ejecutables, sectores y memoria, así como nuevos virus de script y malware para Microsoft Office (y otros programas que utilizan VBA) y, finalmente, códigos maliciosos escritos en lenguajes de alto nivel, como como Microsoft Visual Basic.
La arquitectura flexible y la combinación de varios métodos nos permiten alcanzar un nivel bastante alto de detección de nuevo malware. Al mismo tiempo, los desarrolladores están haciendo todo lo posible para reducir al mínimo el número de falsas alarmas. Los productos presentados por los líderes de la industria antivirus rara vez cometen errores al detectar códigos maliciosos.

Esquema de funcionamiento del motor antivirus.

El siguiente diagrama describe un algoritmo aproximado para el funcionamiento del motor antivirus. Cabe señalar que la emulación y la búsqueda de malware conocido y desconocido se producen simultáneamente.

Esquema de funcionamiento de un motor antivirus típico utilizando el ejemplo de Kaspersky Anti-Virus

Como se mencionó anteriormente, al actualizar la base de datos antivirus, también se actualizan y agregan módulos para descomprimir archivos comprimidos, un analizador heurístico y otros módulos del motor antivirus.

Tecnologías originales en motores antivirus.

Casi todos los desarrolladores de productos antivirus implementan algunas de sus propias tecnologías que hacen que el programa sea más eficiente y productivo. Algunas de estas tecnologías están directamente relacionadas con el diseño del “motor”, ya que muchas veces el rendimiento de toda la solución depende de su funcionamiento. A continuación, consideraremos una serie de tecnologías que pueden acelerar significativamente el escaneo de objetos al tiempo que garantizan la preservación de una detección de alta calidad, así como también mejoran la detección y el tratamiento de software malicioso en archivos archivados.
Comencemos con la tecnología iChecker. Esta tecnología y sus análogos se implementan en casi todos los antivirus modernos. Cabe señalar que iChecker es un nombre propuesto por los especialistas de Kaspersky Lab. Los expertos, por ejemplo, Panda Software lo llaman UltraFast. Esta tecnología le permite lograr un equilibrio razonable entre la confiabilidad de la protección de las estaciones de trabajo (y especialmente los servidores) y el uso de los recursos del sistema de la computadora protegida. Gracias a esta tecnología, se reduce significativamente el tiempo de carga (hasta un 30-40%) del sistema operativo (en comparación con la protección antivirus tradicional) y el tiempo de inicio de aplicaciones con protección antivirus activa. Esto garantiza que todos los archivos en los discos de la computadora hayan sido escaneados y no estén infectados. La idea principal de esta tecnología es que no es necesario comprobar lo que no ha cambiado y ya se ha comprobado. El motor antivirus mantiene una base de datos especial en la que se almacenan las sumas de comprobación de todos los archivos analizados (y no infectados). Ahora, antes de enviar el archivo para verificación, el "motor" calcula y compara la suma de verificación del archivo con los datos almacenados en la base de datos. Si los datos coinciden, esto significa que el archivo ha sido verificado y no es necesario volver a verificarlo. Vale la pena señalar que el tiempo dedicado a calcular las sumas de comprobación de archivos es significativamente menor que el tiempo que lleva un análisis antivirus.
Un lugar especial en el trabajo del antivirus lo ocupa el tratamiento de objetos archivados infectados. Esto es exactamente lo que se discutirá a continuación. iCure es una tecnología para tratar archivos infectados en archivos. Gracias a esta tecnología, los objetos infectados dentro de los archivos archivados se desinfectarán (o eliminarán, según la configuración del antivirus) con éxito sin el uso de utilidades de archivo externas. Hoy en día, la mayoría de los antivirus admiten los siguientes tipos de archivos: ARJ, CAB, RAR, ZIP. Gracias a la arquitectura modular y las tecnologías para actualizar el motor antivirus, el usuario, por regla general, puede actualizar y ampliar fácilmente la lista de tipos de archivadores compatibles sin reiniciar el antivirus.
iArc es otra tecnología para trabajar con archivos comprimidos. Esta tecnología es necesaria para trabajar con archivos de varios volúmenes. iArc le permite escanear archivos de varios volúmenes y detectar virus incluso si están empaquetados en un archivo de varios volúmenes, que, a su vez, también estará empaquetado en un archivo de varios volúmenes.
Subprocesos múltiples. El “motor” antivirus es un módulo multiproceso y puede procesar simultáneamente (verificar si hay códigos maliciosos) varios objetos (archivos, sectores, scripts, etc.).
La mayoría de las tecnologías enumeradas anteriormente se implementan de una forma u otra en todos los productos antivirus modernos.

Virus polimórficos

A lo largo del artículo, se utilizaron con frecuencia los términos virus "polimórficos" y "autocifrados". Como debería haber quedado claro en las discusiones anteriores, fue este tipo de código malicioso el que tuvo una fuerte influencia en el desarrollo de las tecnologías antivirus. La siguiente es información sobre virus polimórficos proporcionada por expertos de Kaspersky Lab.

Definiciones básicas: autocifrado y polimorfismo. Son utilizados por casi todos los tipos de virus para complicar al máximo el procedimiento de detección del virus. Los virus polimórficos son bastante difíciles de detectar si no tienen firmas, es decir, no contienen una sola sección constante de código. En la mayoría de los casos, dos muestras del mismo virus polimórfico no tendrán una sola coincidencia. Esto se logra cifrando el cuerpo principal del virus y modificando el programa de descifrado. Los virus polimórficos incluyen aquellos que no se pueden detectar (o son extremadamente difíciles) usando las llamadas máscaras de virus: secciones de código constante específicas para un virus en particular. Esto se logra de dos maneras principales: cifrando el código del virus principal con una clave no permanente y un conjunto aleatorio de comandos de descifrado, o cambiando el código del virus ejecutable. También hay otros ejemplos bastante exóticos de polimorfismo: el virus DOS "Bomber", por ejemplo, no está cifrado, pero la secuencia de comandos que transfiere el control al código del virus es completamente polimórfica.
Se encuentran polimorfismos de diversos grados de complejidad en virus de todo tipo, desde virus de arranque y archivos de DOS hasta virus de Windows e incluso virus de macro.

Descifradores polimórficos

El ejemplo más simple de un descifrador parcialmente polimórfico es el siguiente conjunto de comandos, como resultado de lo cual ni un solo byte del código del virus en sí y su descifrador es constante al infectar diferentes archivos:

MOV reg_1, contar ; reg_1, reg_2, reg_3 se seleccionan de
MOV reg_2, clave ; HACHA,BX,CX,DX,SI,DI,BP
MOV reg_3, _desplazamiento ; count, key, _offset también puede cambiar
_bucle:
xxx byte ptr, reg_2 ; xor, agregar o sub
DIC reg_1
Jxx_loop ; ja o jnc
; Luego viene el código cifrado y los datos del virus.

Los virus polimórficos complejos utilizan algoritmos mucho más complejos para generar el código de sus descifradores: las instrucciones anteriores (o sus equivalentes) se reorganizan de una infección a otra, diluidas con comandos que no cambian nada como NOP, STI, CLI, STC, CLC, etc.
Los virus polimórficos completos utilizan algoritmos aún más complejos, como resultado de lo cual el descifrador de virus puede contener operaciones SUB, ADD, XOR, ROR, ROL y otras en un número y orden arbitrarios. La carga y cambio de claves y otros parámetros de cifrado también se realiza mediante un conjunto arbitrario de operaciones, en las que se pueden encontrar casi todas las instrucciones del procesador Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) con todos los modos de direccionamiento posibles. También aparecen virus polimórficos, cuyo descifrador utiliza instrucciones hasta Intel386, y en el verano de 1997 se descubrió un virus polimórfico de 32 bits que infecta archivos EXE de Windows 95.
Como resultado, al principio de un archivo infectado con dicho virus hay una serie de instrucciones aparentemente sin sentido. Es interesante que algunas combinaciones que son bastante funcionales no son aceptadas por los desensambladores propietarios (por ejemplo, la combinación CS:CS: o CS:NOP). Y entre este "lío" de comandos y datos, ocasionalmente se escapan MOV, XOR, LOOP, JMP, instrucciones que realmente "funcionan".

Niveles de polimorfismo

Existe una división de los virus polimórficos en niveles dependiendo de la complejidad del código que se encuentra en los descifradores de estos virus. Esta división fue propuesta por primera vez por el Dr. Alan Solomon, después de un tiempo Vesselin Bonchev la amplió:

Nivel 1: Virus que tienen un determinado conjunto de descifradores con un código constante; cuando se infectan, eligen uno de ellos. Estos virus son "semipolimórficos" y también se les llama "oligomórficos". Ejemplos: "Cheeba", "Eslovaquia", "Ballena".

Nivel 2: el descifrador de virus contiene una o más instrucciones permanentes, pero la parte principal es inestable.

Nivel 3: el descifrador contiene instrucciones no utilizadas: "basura", como NOP, CLI, STI, etc.

Nivel 4: el descifrador utiliza instrucciones intercambiables e instrucciones de reordenamiento (barajado). El algoritmo de descifrado no cambia.

Nivel 5: Se utilizan todas las técnicas anteriores, el algoritmo de descifrado no es constante, es posible volver a cifrar el código del virus e incluso cifrar parcialmente el código de descifrado.

Nivel 6: Virus permutantes. El código principal del virus está sujeto a cambios: se divide en bloques que, cuando se infectan, se reorganizan en orden aleatorio. El virus sigue siendo funcional. Es posible que estos virus no estén cifrados.

La clasificación anterior tiene sus inconvenientes, ya que se realiza según un único criterio: la capacidad de detectar un virus mediante el código descifrador utilizando la técnica estándar de máscaras antivirus:

Nivel 1: para detectar el virus basta con tener varias mascarillas;
Nivel 2: detección de máscara mediante "comodines";
Nivel 3: detección mediante mascarilla tras retirar instrucciones “basura”;
Nivel 4: la máscara contiene varias opciones para posible código, es decir, se vuelve algorítmica;
Nivel 5: incapacidad para detectar el virus usando la máscara.

La insuficiencia de dicha división se demuestra en el virus del tercer nivel de polimorfismo, que se denomina “Nivel 3”. Este virus, al ser uno de los virus polimórficos más complejos, según la división anterior cae en el Nivel 3, ya que tiene un algoritmo de descifrado constante, precedido por una gran cantidad de comandos "basura". Sin embargo, en este virus el algoritmo de generación de basura se ha perfeccionado: casi todas las instrucciones del procesador i8086 se pueden encontrar en el código de descifrado.
Si dividimos en niveles desde el punto de vista de los antivirus que utilizan sistemas para descifrar automáticamente el código del virus (emuladores), entonces la división en niveles dependerá de la complejidad de emular el código del virus. Es posible detectar un virus utilizando otros métodos, por ejemplo, descifrado utilizando leyes matemáticas elementales, etc.
Una clasificación más objetiva sería aquella en la que, además del criterio de las mascarillas virales, también intervinieran otros parámetros, por ejemplo:

El grado de complejidad del código polimórfico (el porcentaje de todas las instrucciones del procesador que se pueden encontrar en el código descifrador);
Utilizar técnicas especiales que dificultan la emulación a los antivirus;
Constancia del algoritmo descifrador;
Constancia de la longitud del descifrador.

Cambiar el código ejecutable

Muy a menudo, este método de polimorfismo es utilizado por virus de macro que, al crear nuevas copias de sí mismos, cambian aleatoriamente los nombres de sus variables, insertan líneas vacías o cambian su código de alguna otra manera. Por lo tanto, el algoritmo del virus permanece sin cambios, pero el código del virus cambia casi por completo de una infección a otra.
Este método lo utilizan con menos frecuencia los virus de arranque complejos. Estos virus inyectan solo un procedimiento bastante corto en los sectores de arranque, que lee el código principal del virus del disco y le transfiere el control. El código para este procedimiento se selecciona entre varias opciones diferentes (que también se pueden mezclar con comandos "vacíos"), se reorganizan los comandos, etc.
Esta técnica es aún menos común con los virus de archivos; después de todo, tienen que cambiar completamente su código y esto requiere algoritmos bastante complejos. Hasta la fecha, sólo se conocen dos virus de este tipo, uno de los cuales ("Ply") mueve aleatoriamente sus comandos por su cuerpo y los reemplaza con comandos JMP o CALL. Otro virus ("TMC") utiliza un método más complejo: cada vez que se infecta, el virus intercambia bloques de su código y datos, inserta "basura", establece nuevos valores de compensación en los datos en sus instrucciones de ensamblaje, cambia constantes, etc. Como resultado, aunque el virus no cifra su código, es un virus polimórfico: no hay un conjunto constante de comandos en el código. Además, al crear nuevas copias de sí mismo, el virus cambia su longitud.