Un compañero profesional de TI dijo que nunca más serÃa necesario ejecutar un escaneo de virus en una PC porque la mayorÃa de los antivirus escanean el sistema en tiempo real, ¿es cierto esto?
Si bien es cierto que los sistemas antivirus escanean la mayorÃa de los archivos verificando que se cumplan las condiciones establecidas por las firmas más nuevas instaladas, no escanean el sistema de archivos en tiempo real. El sistema de archivos es monitoreado efectivamente por accesos y manipulaciones de archivos de una forma que el programa antivirus considera que es una amenaza.
Bueno, analicemos estos hechos. He asistido a varias conferencias de seguridad de TI y leÃdo más que suficiente del material de referencia sobre Hawking y técnicas forenses para proteger de intrusiones a las computadoras. Aunque no hay una biblia en este tema, la mayorÃa de los profesionales de TI que conozco, que tienen bastante exposición en estos temas, están de acuerdo en que ningún producto antispam o antivirus puede atraparlo todo.
Por ejemplo, no estoy escogiendo a Symantec especÃficamente, ni voy a citar un ejemplo preciso, pero este asunto sucedió de verdad. El antivirus tiene las últimas firmas actualizadas. El servidor fue emparchado con las últimas actualizaciones crÃticas y recomendadas. Sin embargo, habÃa un alto uso de memoria en el servidor en cuestión. Fue solo después de escrutarlo con Process Explorer de Systinternals, PsList (también de Sysinternals) Netstat, Task Manager, una conexión remota de archivo UNC, y un escáner remoto de puertos que pude confirmar que habÃa una intento de intrusión en progreso.
