Scanare la acces
Software-ul antivirus rulează în fundal pe computer, verificând fiecare fișier pe care îl deschideți. Acest lucru este cunoscut în general ca scanare la acces, scanare în fundal, scanare rezidentă, protecție în timp real sau altceva, în funcție de programul antivirus.

Când faceți dublu-clic pe un fișier EXE, poate părea că programul se lansează imediat – dar nu este așa. Software-ul dumneavoastră antivirus verifică mai întâi programul, comparându-l cu viruși, viermi și alte tipuri de malware cunoscute. Software-ul dvs. antivirus efectuează, de asemenea, verificări „euristice”, verificând programele pentru tipuri de comportament rău care pot indica un virus nou, necunoscut.

Programele antivirus scanează și alte tipuri de fișiere care pot conține viruși. De exemplu, un fișier de arhivă .zip poate conține viruși comprimați sau un document Word poate conține o macrocomandă rău intenționată. Fișierele sunt scanate ori de câte ori sunt utilizate – de exemplu, dacă descărcați un fișier EXE, acesta va fi scanat imediat, chiar înainte de a-l deschide.

Este posibil să utilizați un antivirus fără scanare la acces, dar aceasta nu este, în general, o idee bună – virușii care exploatează găurile de securitate din programe nu ar fi capturați de scaner. După ce un virus v-a infectat sistemul, este mult mai greu de eliminat. (De asemenea, este greu să fii sigur că malware-ul a fost vreodată eliminat complet).

Scanări complete ale sistemului
Din cauza scanării la acces, de obicei nu este necesar să rulați scanări ale sistemului complet. Dacă descărcați un virus pe computer, programul antivirus va observa imediat – nu trebuie să inițiați manual o scanare mai întâi.

Scanările întregului sistem pot fi totuși utile pentru unele lucruri. O scanare completă a sistemului este utilă atunci când tocmai ați instalat un program antivirus – vă asigură că nu există viruși latenți pe computer. Majoritatea programelor antivirus stabilesc scanări complete programate ale sistemului, adesea o dată pe săptămână. Acest lucru asigură că cele mai recente fișiere de definire a virușilor sunt utilizate pentru a vă scana sistemul pentru viruși inactivi.

Aceste scanări complete pe disc pot fi utile și atunci când reparați un computer. Dacă doriți să reparați un computer deja infectat, este util să introduceți unitatea de disc în alt computer și să efectuați o scanare completă a sistemului pentru viruși (dacă nu faceți o reinstalare completă a Windows). Cu toate acestea, de obicei, nu trebuie să rulați singuri scanări complete ale sistemului atunci când un program antivirus vă protejează deja – scanează întotdeauna în fundal și efectuează propriile scanări regulate, complete ale sistemului.

Definiții de virus
Software-ul dumneavoastră antivirus se bazează pe definițiile virușilor pentru a detecta malware. De aceea, descarcă automat fișiere de definiții noi, actualizate – o dată pe zi sau chiar mai des. Fișierele de definiție conțin semnături pentru viruși și alte programe malware care au fost întâlnite în sălbăticie. Când un program antivirus scanează un fișier și observă că fișierul se potrivește cu un malware cunoscut, programul antivirus oprește rularea fișierului, punându-l în „carantină”. În funcție de setările programului dvs. antivirus, programul antivirus poate șterge automat fișierul sau puteți permite oricum să rulați fișierul – dacă sunteți sigur că este un fals pozitiv.

Companiile de antivirus trebuie să fie în permanență la curent cu cele mai recente componente de malware, lansând actualizări de definiții care asigură că malware-ul este capturat de programele lor. Laboratoarele antivirus folosesc o varietate de instrumente pentru a dezasambla virușii, a-i rula în sandbox și pentru a lansa actualizări în timp util care asigură că utilizatorii sunt protejați de noul program malware.

Euristică
Programele antivirus folosesc, de asemenea, euristica și învățarea automată. Modelele de învățare automată sunt create prin analiza a sute sau mii de programe malware pentru a găsi atribute sau comportamente comune. Combinația permite unui program antivirus să identifice tipuri noi sau modificate de malware, chiar și fără fișiere de definire a virușilor. De exemplu, dacă un program antivirus observă că un program care rulează pe sistemul dvs. încearcă să deschidă fiecare fișier EXE de pe sistemul dvs., infectându-l prin scrierea unei copii a programului original în el, programul antivirus poate detecta acest program ca fiind nou, tip necunoscut de virus.

Niciun program antivirus nu este perfect. Euristice care sunt prea agresive – sau modele de învățare automată care sunt antrenate incorect – pot marca accidental software-ul perfect sigur ca malware.

Fals pozitive
Din cauza cantității mari de software, este posibil ca programele antivirus să spună ocazional că un fișier este un virus atunci când este de fapt un fișier complet sigur. Acest lucru este cunoscut ca „fals pozitiv”. Ocazional, companiile de antivirus chiar fac greșeli, cum ar fi identificarea fișierelor de sistem Windows, a programelor populare de la terțe părți sau a propriilor fișiere de program antivirus ca viruși. Aceste rezultate false pozitive pot deteriora sistemele utilizatorilor – astfel de greșeli ajung în general la știri, cum ar fi atunci când Microsoft Security Essentials a identificat Google Chrome ca un virus, AVG a deteriorat versiunile pe 64 de biți ale Windows 7 sau Sophos s-a identificat ca fiind malware.

Euristica poate crește, de asemenea, rata de fals pozitive. Un antivirus poate observa că un program se comportă similar cu un program rău intenționat și îl poate identifica în mod eronat ca virus.

În ciuda acestui fapt, fals pozitive sunt destul de rare în utilizarea normală. Dacă antivirusul tău spune că un fișier este rău intenționat, ar trebui să crezi în general. Dacă nu sunteți sigur dacă un fișier este de fapt un virus, puteți încerca să îl încărcați în VirusTotal (care este acum deținut de Google). VirusTotal scanează fișierul cu o varietate de produse antivirus diferite și vă spune ce spune fiecare despre el.

Rate de detectare
Diferite programe antivirus au rate de detectare diferite, iar atât definițiile virușilor, cât și euristica contribuie la discrepanțe. Unele companii de antivirus pot avea euristici mai eficiente și pot lansa mai multe definiții de viruși decât concurenții lor, ceea ce duce la o rată de detectare mai mare.

Unele organizații efectuează teste regulate ale programelor antivirus în comparație între ele, comparând ratele lor de detectare în utilizarea în lumea reală. AV-Comparitives lansează în mod regulat studii care compară starea actuală a ratelor de detectare a antivirusului. Ratele de detectare tind să fluctueze în timp – nu există un singur produs cel mai bun care să fie constant în top. Dacă doriți cu adevărat să vedeți cât de eficient este un program antivirus și care sunt cele mai bune de acolo, studiile privind rata de detectare sunt locul unde să căutați.

Testarea unui program antivirus
Dacă doriți vreodată să testați dacă un program antivirus funcționează corect, puteți utiliza fișierul de testare EICAR. Fișierul EICAR este o modalitate standard de a testa programele antivirus – nu este de fapt periculos, dar programele antivirus se comportă ca și cum ar fi periculoase, identificându-l ca un virus. Acest lucru vă permite să testați răspunsurile programului antivirus fără a utiliza un virus viu.

Programele antivirus sunt programe complicate și s-ar putea scrie cărți groase despre acest subiect – dar, sperăm, acest articol v-a adus la curent cu elementele de bază.