Un programa anti-virus es un grupo de herramientas software que ayudan a prevenir, diagnosticar y corregir los daños causados por los virus.
    Las herramientas antivirus pueden clasificarse en cinco categorías fundamentales:

• Buscadores o scanners:  disponen de una larga lista de marcas de virus conocidos y se dedican a buscarlas dentro de los ficheros explorados. Estas marcas consisten en cadenas o patrones cortos que forman parte de un virus y que lo identifican. Su presencia señala que el fichero probablemente esté infectado.
• Detectores expertos: tratan de detectar virus analizando el comportamiento de los programas que se ejecutan para bloquear los intentos de modificar ficheros ejecutables, de permanecer residentes, de interferir interrupciones... También chequean periódicamente los ficheros en busca de modificaciones que pueda delatar la presencia de algún virus. Para ello guardan información de los ficheros como puede ser su tamaño, un checksum (resumen) de su contenido e incluso las primeras instrucciones que ejecutan. Por último podemos destacar los análisis heurísticos que analizan el funcionamiento de los programas sin ejecutarlos en busca de acciones sospechosas. Para ello buscan el punto de entrada de los programas, desensamblan parte de su código y emulan su ejecución estudiando su comportamiento.
• Desinfectadores:  intentan eliminar todas las copias del virus y evitar que lleguen a activarse. Su funcionamiento se basa en el análisis de las operaciones que cada virus realiza durante el proceso de infección. Con ello se pretende definir un algoritmo, específico de cada virus, que realice la transformación inversa, consiguiendo así la desinfección del fichero. Pero puede ocurrir que no se encuentre ningún algoritmo de desinfección para un virus en concreto, o que el virus mute, con lo que la rutina no será válida para cada mutación; e incluso, si la infección es masiva, el coste de la desinfección será tan grande que no se podrá hacer de forma automática.
• Vacunas:
• La vacuna por firma consiste en marcar los ficheros a proteger con la firma de los virus de los que queremos inmunizarlos, de esta manera, los virus creen que el fichero ya está infectado y no lo infectan. Esta solución sólo es recomendable si queremos protegernos de unos pocos virus, ya que sería muy engorroso guardar las marcas de todos los virus en cada fichero.
• La vacuna de búsqueda consiste en escanear los ficheros antes de que se vayan a ejecutar y abortar su ejecución si contienen un virus.
• La vacuna del controlador de integridad residente que estudia los efectos que realiza el fichero, si ha cambiado desde que se chequearon sus características, si es un fichero nuevo y controlado...
• Bloqueadores: se trata de una serie de herramientas que permiten proteger contra escritura todo o parte del disco duro para que en los ficheros ejecutables no puedan ser introducidas instrucciones de virus.

    En general, podemos hacer una clasificación más sencilla atendiendo a las funciones primarias de un anti-virus. Así pues podemos encontrar herramientas de:

• prevención
• detección
• corrección

  7.1 Prevención

   El proceso de Prevención obliga a que exista un programa funcionando continuamente en memoria, capaz de interceptar instantáneamente un virus que intente acceder a su sistema.
  Los programas antivirus que llevan a cabo la prevención buscan modificaciones (de la RAM, de los sectores de arranque, FAT...) que no estén autorizadas o que no correspondan al funcionamiento normal del software que se está ejecutando.
   Actualmente se utilizan programas antivirus que utilizan funciones de análisis heurístico, examinan el número de veces que se accede al disco, a la tabla de particiones o a distintos programas, y basándose en resultados estadísticos son capaces de reconocer un nuevo virus, del que no tengan ningún patrón.
   El análisis heurístico consiste en utilizar un conjunto de reglas que, basadas en la experiencia, descomponen las secuencias de instrucciones de un archivo para determinar sus malas intenciones.  Este análisis revisa la secuencia de instrucciones, no las firmas o patrones, por lo que podrá detectar virus desconocidos, pero también podrá equivocarse.

  7.2 Detección

   Los programas antivirus que llevan a cabo la detección son aquellos que exploran la memoria, el sector de arranque o los ficheros, intentando encontrar los patrones característicos o las firmas de los virus, y mostrando en pantalla el nombre del virus, si es conocido (está en la lista de virus), o indicando la existencia de trazas de virus si no es conocido (no está en la lista).
  La mayoría de los antivirus utilizan un escáner para detectar virus. Éste hace un estudio de los tamaños de los ficheros, estudia la integridad de la FAT, la tabla de particiones y el sector de arranque.
  Por lo que se refiere a Internet, muchos antivirus controlan el tráfico de paquetes TCP/IP a través de los puertos estándar, SMTP (25), POP (110), FTP (21), HTTP(80), pero se dejan sin escanear todos los demás. En muchos caos, se olvidan que a través del puerto 81 también se pueden visualizar páginas web, que mediante el IRC (generalmente puertos entre 6660 u 6669) también se pueden recibir virus, que haciendo un telnet se pueden conectar con otros sistemas y recibir un virus... Esto es bastante perjudicial para el usuario, ya que si un i-worm entra en su sistema y empieza a reproducirse, mientras el antivirus lo identifica, lo analiza, desarrolla su vacuna y posteriormente actualiza todos los clientes, puede llevar varias horas, tiempo suficiente para que se puedan realizar miles de contagios.

   7.3 Corrección

    Los programas antivirus que llevan a cabo la corrección son aquellos que eliminan el virus, ya sea de la memoria, del sector de arranque o del área de los ficheros.
 

    7.4 Autoridades que certifican antivirus

    En America algunos antivirus están certificados por la NCSA (National Computer Security Association). Las pruebas de la NCSA obligan a que los programas antivirus que son certificados por ella, detecten el 100% de los virus de su librería y al menos el 90% de otra librería con 6.000 ejemplos de virus no documentados. La certificación se realiza 4 veces al año para evitar que el antivirus se quede obsoleto.

   Una de las certificaciones más prestigiosas internacionalmente es la de la ICSA (International Computer Security Association), que también hace pasar unos tests de detección a los antivirus que son certificados por ella. Éstos se centran en las listas ITW (In the Wild), que son confeccionadas en su amplia mayoría por las incidencias que recogen los propios antivirus.
   Por otro lado, los laboratorios de los propios antivirus abren circuitos de intercambio de muestras, como puede ser REVS (Rapid Exchange of Virus Examples) para acceder con facilidad a las distintas amenazas. De este modo, se puede evitar la propagación de virus más rapidamente.