SCAN



Uno de los más famosos anti virus del mundo es el Scan.
En el país es el más usado, por ser shareware y de
actualización constante. Veamos como funciona.

Scan es un programa Shareware producido por McAfee
associates. Es un detector de strings, busca dentro de
los programas que se le indiquen pedazos de código o
datos pertenecientes a virus conocidos. De esta forma
puede determinar con gran rapidez la existencia o no de
virus conocidos en cualquier sistema, aunque antes de
usarse jamás se le hubiese aplicado ninguna medida
preventiva con un antivirus. Para lograr esto contiene
una base de datos con toda la información necesaria como
para diferenciar esos virus de entre los archivos
normales del disco. Su eficiencia depende más que nada de
la información que consigue la gente de McAfee para la
actualización de esa base con los nuevos virus. Mes a mes
sale una versión nueva con nuevas definiciones de virus,
los cuales provienen de todo el mundo. Han conseguido
armar una red impresionante de investigadores y
colaboradores voluntarios en todo el mundo, con lo cual
pasa muy poco tiempo desde que se descubre un virus en
cualquier lugar hasta que se lo incluye en el programa.
Una contra que tiene este método de detección es que
pequeños cambios en el virus lo hacen totalmente
indetectable. Un programador de virus podría tomar un
archivo infectado can alguna creación suya y pasarle el
scan para ver si lo detecta. Si es así, puede ir
cortándole partes hasta detectar que porción es la que
usa Scan para detectarlo. El método que suelen usar los
creadores de virus es una búsqueda recursiva binaria:
cortar el virus en dos mitades, pasarle el scan /A a cada
mitad, ver en que mitad está el string de identificación
y repetir el proceso con la mitad donde detecta el virus
hasta encontrar la porcion mínima que detecta. Dentro de
esa porcion está el string. Si se quiere reducir aún mas
el string hasta que sea exactamente lo que usa el Scan se
pueden ir borrando alternativamente el primer y último
byte del archivo hasta que deje de detectarlo. Por lo
general ese string es de unos 10 o 20 bytes. Cuando el
programador del virus tiene el string simplemente se fija
a que parte del código corresponde y lo cambia levemente,
por ejemplo cambiando un mov ax,0 por un xor ax,ax. Eso
basta para que el scan no lo detecte más.

Utilizando el programa

Su uso es extremadamente sencillo. Con solo tipear
'scan c:' se hace que el programa busque en todo el drive
C:, incluyendo subdirectorios. Además de eso, busca en la
memoria los virus que pueden afectar su correcto
funcionamiento, como ser los 'stealth', o sea, no
detectables en el disco, o los que se propagan con
cualquier tipo de acceso a los archivos (precaución sin
la cual el solo hecho de pasar el Scan haría que el disco
se llene de virus). En el caso de detectarse un virus
'crítico' en memoria el programa avisa al usuario y deja
de funcionar en el momento, pidiendo que se carge el DOS
desde un disco limpio para evitar mayores problemas.
Para los que quieren mayor seguridad, existen más
opciones. Podemos especificar un directorio donde va a
buscar el programa, con lo cual podemos verificar si el
software nuevo que tenemos está limpio o no, sin tener
que revisar nuevamente todo el disco. Con la opción /A
podemos revisar todos los tipos de archivos, y no solo
los que tienen extensiones de ejecutable. Con /CHKHI
podemos revisar la memoria desde 0Kb hasta 1088Kb. Con
/NOMEM podemos decirle que no revise la memoria, opción
útil por ejemplo si queremos revisar gran cantidad de
diskettes y acelerar el proceso. La opción /M hace que
busque todos los virus conocidos en memoria, con lo cual
podemos detectar rápidamente la actividad de un virus.

Controlando el sistema

Scan también tiene opciones para verificar la
integridad de los programas, con lo cual puede detectar
si han sido modificados por algún virus. Permite al
usuario guardar la información necesaria como para
comparar el estado del archivo sano con su estado actual,
y detectar cualquier diferencia que pueda ser producida
por un virus. De esta forma se implementa un control muy
efectivo sobre el sistema. Tambien se puede usar un modo
extendido que permite incluso restaurar los archivos a su
estado original antes de la posible infección. Tambien
esto puede ser usado para controlar áreas críticas del
disco, como ser la tabla de particiones, el sector de
booteo y los archivos de sistema.

Limpiando la máquina de virus

¿Qué hacer cuando descubrimos un virus en nuestra
máquina y queremos sacarlo? Con el Scan podemos utilizar
la opción /D, que cada vez que encuentra un archivo
infectado nos da la opción de borrarlo de forma que sea
imposible de recuperar. Pero esto no nos sirve para virus
de tablas de particiones, de sectores de booteo o cuando
simplemente no queremos destruir por completo el archivo
infectado. Para esto usamos el programa acompañante del
Scan, el Clean. Esta utilidad nos permite eliminar
algunos virus conocidos de nuestra máquina. Simplemente
hay que decirle qué virus detectó el Scan y luego se
encarga de borrarlo si eso es posible. Hay una lista
bastante limitada de virus que puede limpiar, por lo cual
se recomienda usarlo sólo en caso de no disponer de una
copia del archivo sin infectar. En el caso de virus de
boot sector o de tabla de particiones es mucho más útil,
ya que es más dificil limpiar esas áreas del sistema sin
utilizar programas complejos y sin saber bastante de lo
que se está haciendo. De todas formas Clean limpia los
virus más comunes, por lo tanto no representan tanto
problema sus falencias.

Ayuda y manuales

Scan puede mostrar sus mensajes en inglés, frances o
español, lo cual lo hace más fácil de usar para quienes
hablan esos idiomas. El manual que lo acompaña, un
archivo de texto, es bastante completo, y no es necesario
tener grandes conocimientos como para usar el programa
con su ayuda, ya que todo está muy bien explicado.

You are viewing proxied material from texto-plano.xyz. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.