12/10/09

Tecnicas heuristicas


Los virus cuentan con una serie de patrones de códigos o huellas digitales, que les identifican como virus. El trabajo de todas las aplicaciones que se analizan en estas páginas es precisamente buscar estos patrones y compararlos con todos aquellos que tienen almacenados en su lista (por esto la actualización es tan importante y sin ella la aplicación no vale de nada). Cuando los patrones no aparecen incluso después de haber actualizado su lista,entra en juego la heurística por la que el programa antivirus analiza el código de los programas buscando instrucciones, acciones sospechosas o indicios que delaten la presencia de virus en la computadora, de acuerdo a los patrones habituales empleados por los códigos maliciosos. Este tipo de búsquedas de virus aparecen en el momento que surge la necesidad de crear una detección genérica de los virus (detectar un virus sin haberlo analizado antes y sin estar en la base de datos del programa antivirus). Su funcionamiento es sencillo. Primero analiza cada programa sospechoso sin ejecutar las instrucciones, descompilando el código de máquina para deducir qué haría el programa si se ejecutara. En caso de anomalía, el antivirus avisa de que esa aplicación tiene alguna instrucción que hace algo que no es “normal” en ese programa y da un aviso de posible virus.El problema de estas técnicas es lo que se conoce como falsos positivos, es decir el antivirus te avisade un posible fallo o anomalía, que no lo es. Por tanto todo queda a la interpretación que el usuario realice de ese aviso heurístico. Una vez más tu vuelves a ser el auténtico antivirus de tu equipo.


W32.HLLW.Fizzer@mm

El gusano (worm) W32.HLLW.Fizzer@mm se transmite por correo electrónico, enviándose a todos los contactos de la libreta de direcciones y contiene una puertatrasera que usa mIRC para establecer comunicación con un atacante remoto. Además, contiene un programa de captura de teclado que sigue la pista de las pulsaciones de cada tecla.Y como si fuera poco intenta desactivar los programas antivirus activos, para reproducirse a total satisfacción.
Otros nombres con el cual es conocido este gusano: I-Worm.Fizzer, W32/Fizzer.gen@MM, WORM_FIZZER.A .
El W32.HLLW.Fizzer@mm fue detectado entre el 8 y el 12 de mayo del 2003.
Sabemos que crea archivos asociados y afecta a Windows 95, windows 98, windows 2000, Windows Me, Windows Nt y Windows Xp.
Abra sus ojos, mantenga su antivirus actualizado y ojala una poderosa herramienta antiyspyware afiladita.