El software antivirus se desarrolló originalmente para detectar y eliminar virus informáticos.
Hay varios métodos que el motor antivirus puede usar para identificar malware:
- Detección de sandbox : es una técnica de detección basada en el comportamiento particular que, en lugar de detectar la huella digital del comportamiento en tiempo de ejecución, ejecuta los programas en un entorno virtual, registrando las acciones que realiza el programa. Dependiendo de las acciones registradas, el motor antivirus puede determinar si el programa es malicioso o no. [81] Si no, entonces, el programa se ejecuta en el entorno real. Aunque esta técnica ha demostrado ser bastante efectiva, dada su pesadez y lentitud, rara vez se usa en soluciones antivirus para usuarios finales.
- Técnicas de minería de datos : son uno de los últimos enfoques aplicados en la detección de malware. Los algoritmos de minería de datos y aprendizaje automático se utilizan para tratar de clasificar el comportamiento de un archivo (ya sea malicioso o benigno) dada una serie de características del archivo, que se extraen del archivo en sí.
Detección basada en firma
- ¿Cómo fue hackeado el teléfono celular del general Kelly y qué obtuvieron los hackers?
- Cómo engañar a un hacker
- Para los hackers, ¿crees que es posible crear un sistema operativo completamente seguro?
- ¿Puedo instalar varios antivirus en la misma máquina?
- Seguridad informática: tengo una profunda obsesión con el desarrollo de malware; ¿Cómo puedo canalizar esta energía en algo productivo?
El software antivirus tradicional depende en gran medida de las firmas para identificar malware.
Sustancialmente, cuando un malware llega a manos de una empresa antivirus, es analizado por investigadores de malware o por sistemas de análisis dinámico. Luego, una vez que se determina que es un malware, se extrae una firma adecuada del archivo y se agrega a la base de datos de firmas del software antivirus.
Aunque el enfoque basado en la firma puede contener efectivamente brotes de malware, los autores de malware han intentado mantenerse un paso adelante de dicho software escribiendo virus “oligomórficos”, “polimórficos” y, más recientemente, “metamórficos”, que encriptan partes de sí mismos o de otra manera modificarse a sí mismos como un método de disfraz, para no coincidir con las firmas de virus en el diccionario.
Heurística
Muchos virus comienzan como una sola infección y, a través de mutaciones o refinamientos de otros atacantes, pueden convertirse en docenas de cepas ligeramente diferentes, llamadas variantes. La detección genérica se refiere a la detección y eliminación de múltiples amenazas utilizando una sola definición de virus.
Por ejemplo, el troyano Vundo tiene varios miembros de la familia, según la clasificación del proveedor de antivirus. Symantec clasifica a los miembros de la familia Vundo en dos categorías distintas, Trojan.Vundo y Trojan.Vundo.B .
Si bien puede ser ventajoso identificar un virus específico, puede ser más rápido detectar una familia de virus mediante una firma genérica o mediante una coincidencia inexacta con una firma existente. Los investigadores de virus encuentran áreas comunes que todos los virus de una familia comparten de manera única y, por lo tanto, pueden crear una firma genérica única. Estas firmas a menudo contienen código no contiguo, utilizando caracteres comodín donde se encuentran las diferencias. Estos comodines permiten que el escáner detecte virus incluso si están rellenados con un código adicional sin sentido.
Se dice que una detección que usa este método es “detección heurística”.
Detección de rootkits
Artículo principal: Rootkit
El software antivirus puede intentar buscar rootkits. Un rootkit es un tipo de malware diseñado para obtener control de nivel administrativo sobre un sistema informático sin ser detectado. Los rootkits pueden cambiar la forma en que funciona el sistema operativo y, en algunos casos, pueden alterar el programa antivirus y hacerlo ineficaz. Los rootkits también son difíciles de eliminar, en algunos casos requieren una reinstalación completa del sistema operativo.
Protección en tiempo real
La protección en tiempo real, el escaneado en el acceso, la protección de fondo, el escudo residente, la autoprotección y otros sinónimos se refieren a la protección automática proporcionada por la mayoría de los programas antivirus, antispyware y otros programas antimalware. Esto supervisa los sistemas informáticos en busca de actividad sospechosa, como virus informáticos, spyware, adware y otros objetos maliciosos en “tiempo real”, en otras palabras, mientras los datos se cargan en la memoria activa de la computadora: al insertar un CD, abrir un correo electrónico o navegar la web, o cuando se abre o ejecuta un archivo que ya está en la computadora.
