VR3: SCAN
Uno de los más famosos anti virus del mundo es el Scan. En el país es el más usado, por ser shareware y de actualización constante. Veamos como funciona.
Scan es un programa Shareware producido por McAfee associates. Es un detector de strings, busca dentro de los programas que se le indiquen pedazos de código o datos pertenecientes a virus conocidos. De esta forma puede determinar con gran rapidez la existencia o no de virus conocidos en cualquier sistema, aunque antes de usarse jamás se le hubiese aplicado ninguna medida preventiva con un antivirus. Para lograr esto contiene una base de datos con toda la información necesaria como para diferenciar esos virus de entre los archivos normales del disco. Su eficiencia depende más que nada de la información que consigue la gente de McAfee para la actualización de esa base con los nuevos virus. Mes a mes sale una versión nueva con nuevas definiciones de virus, los cuales provienen de todo el mundo. Han conseguido armar una red impresionante de investigadores y colaboradores voluntarios en todo el mundo, con lo cual pasa muy poco tiempo desde que se descubre un virus en cualquier lugar hasta que se lo incluye en el programa. Una contra que tiene este método de detección es que pequeños cambios en el virus lo hacen totalmente indetectable. Un programador de virus podría tomar un archivo infectado can alguna creación suya y pasarle el scan para ver si lo detecta. Si es así, puede ir cortándole partes hasta detectar que porción es la que usa Scan para detectarlo. El método que suelen usar los creadores de virus es una búsqueda recursiva binaria: cortar el virus en dos mitades, pasarle el scan /A a cada mitad, ver en que mitad está el string de identificación y repetir el proceso con la mitad donde detecta el virus hasta encontrar la porcion mínima que detecta. Dentro de esa porcion está el string. Si se quiere reducir aún mas el string hasta que sea exactamente lo que usa el Scan se pueden ir borrando alternativamente el primer y último byte del archivo hasta que deje de detectarlo. Por lo general ese string es de unos 10 o 20 bytes. Cuando el programador del virus tiene el string simplemente se fija a que parte del código corresponde y lo cambia levemente, por ejemplo cambiando un mov ax,0 por un xor ax,ax. Eso basta para que el scan no lo detecte más.
Utilizando el programa
Su uso es extremadamente sencillo. Con solo tipear 'scan c:' se hace que el programa busque en todo el drive C:, incluyendo subdirectorios. Además de eso, busca en la memoria los virus que pueden afectar su correcto funcionamiento, como ser los 'stealth', o sea, no detectables en el disco, o los que se propagan con cualquier tipo de acceso a los archivos (precaución sin la cual el solo hecho de pasar el Scan haría que el disco se llene de virus). En el caso de detectarse un virus 'crítico' en memoria el programa avisa al usuario y deja de funcionar en el momento, pidiendo que se carge el DOS desde un disco limpio para evitar mayores problemas. Para los que quieren mayor seguridad, existen más opciones. Podemos especificar un directorio donde va a buscar el programa, con lo cual podemos verificar si el software nuevo que tenemos está limpio o no, sin tener que revisar nuevamente todo el disco. Con la opción /A podemos revisar todos los tipos de archivos, y no solo los que tienen extensiones de ejecutable. Con /CHKHI podemos revisar la memoria desde 0Kb hasta 1088Kb. Con /NOMEM podemos decirle que no revise la memoria, opción útil por ejemplo si queremos revisar gran cantidad de diskettes y acelerar el proceso. La opción /M hace que busque todos los virus conocidos en memoria, con lo cual podemos detectar rápidamente la actividad de un virus.
Controlando el sistema
Scan también tiene opciones para verificar la integridad de los programas, con lo cual puede detectar si han sido modificados por algún virus. Permite al usuario guardar la información necesaria como para comparar el estado del archivo sano con su estado actual, y detectar cualquier diferencia que pueda ser producida por un virus. De esta forma se implementa un control muy efectivo sobre el sistema. Tambien se puede usar un modo extendido que permite incluso restaurar los archivos a su estado original antes de la posible infección. Tambien esto puede ser usado para controlar áreas críticas del disco, como ser la tabla de particiones, el sector de booteo y los archivos de sistema.
Limpiando la máquina de virus
¿Qué hacer cuando descubrimos un virus en nuestra máquina y queremos sacarlo? Con el Scan podemos utilizar la opción /D, que cada vez que encuentra un archivo infectado nos da la opción de borrarlo de forma que sea imposible de recuperar. Pero esto no nos sirve para virus de tablas de particiones, de sectores de booteo o cuando simplemente no queremos destruir por completo el archivo infectado. Para esto usamos el programa acompañante del Scan, el Clean. Esta utilidad nos permite eliminar algunos virus conocidos de nuestra máquina. Simplemente hay que decirle qué virus detectó el Scan y luego se encarga de borrarlo si eso es posible. Hay una lista bastante limitada de virus que puede limpiar, por lo cual se recomienda usarlo sólo en caso de no disponer de una copia del archivo sin infectar. En el caso de virus de boot sector o de tabla de particiones es mucho más útil, ya que es más dificil limpiar esas áreas del sistema sin utilizar programas complejos y sin saber bastante de lo que se está haciendo. De todas formas Clean limpia los virus más comunes, por lo tanto no representan tanto problema sus falencias.
Ayuda y manuales
Scan puede mostrar sus mensajes en inglés, frances o español, lo cual lo hace más fácil de usar para quienes hablan esos idiomas. El manual que lo acompaña, un archivo de texto, es bastante completo, y no es necesario tener grandes conocimientos como para usar el programa con su ayuda, ya que todo está muy bien explicado.