Elige su paísLa mejor manera de obtener una solución antivirus proactiva es ejecutar el archivo sospechoso en un entorno seguro. Dicho de otro modo: hay que seguirle la corriente al virus.
 |
De esta manera, se aísla el archivo desconocido y sospechoso que está intentando entrar en el ordenador, y se impide que infecte al sistema durante el análisis. Conforme se desarrolla el virus, la solución proactiva controla y valora el comportamiento del archivo sospechoso.
En función de este análisis, el sistema determina si debe poner el archivo en cuarentena o permitirle la entrada al ordenador. Poner en práctica este procedimiento en un sistema real no es viable.
Es posible que se tengan que variar muchos parámetros del sistema operativo antes de que se propague el virus en potencia (dependencias como fecha, hora, número de creación, configuración de seguridad, directorio de sistema, etc.). El uso de un sistema real requeriría muchos ajustes y, con toda probabilidad, varios intentos de arranque. En dos palabras: llevaría mucho tiempo y resultaría poco eficaz.
Para poner este procedimiento en práctica en un plazo aceptable y con unos recursos de sistema eficaces, hace falta un módulo independiente (SandBox) que disponga de su propio sistema operativo. Norman SandBox funciona como una parte del motor antivirus de Norman y es compatible con funciones de Windows como Winsock, Kernel y MPR. También es compatible con funciones de red e Internet como HTTP, FTP, SMTP, DNS, IRC y P2P.
Dicho de otro modo: se trata de un ordenador completamente simulado, aislado dentro del ordenador real e integrado en el motor antivirus Norman: ¡sin necesidad de añadir hardware para conseguir estos resultados!
El simulador utiliza prestaciones completas ROM BIOS, hardware simulado, unidades de disco duro simuladas, etc. Este simulador emula la secuencia completa de instrucciones iniciales de un sistema normal en el arranque, empezando por cargar los archivos del sistema operativo y la estructura de comandos desde la unidad simulada. Esta unidad contendrá los directorios y archivos que necesita el sistema, ajustándose a los archivos de sistema de las unidades de disco físicas.
El archivo sospechoso se coloca en el disco duro simulado y se abre en el entorno simulado. Este archivo no sabe que está funcionando en un mundo simulado...
Dentro del entorno simulado, el archivo puede campar a sus anchas. Puede infectar archivos. Puede borrar archivos. Puede copiarse en las redes. Puede conectarse a un servidor IRC. Puede enviar correos electrónicos. Puede configurar puertos de escucha. Cada una de sus acciones se registra en el programa antivirus, porque de hecho es el emulador quien realiza las acciones basándose en el código del archivo. Ningún código se ejecuta en la CPU real, salvo el motor del emulador antivirus: hasta el hardware del equipo simulado es una emulación.
No se trata de controlar y detener acciones potencialmente peligrosas en el momento de la ejecución, sino de descubrir lo que habría hecho el programa de habérsele permitido ejecutarse libremente en un equipo o en una red sin protección, incluso si se ejecutase en un servidor Netware, Linux, OS/2 o DOS.
La solución de Norman (vínculos disponibles sólo en inglés): Let the virus play out its game. Then control the game!
|
|
Medium risk
Low risk