La mayoría de las compañías de AV tienen un equipo de analistas que monitorean las muestras recibidas de una variedad de fuentes.
Estas fuentes incluyen, pero no se limitan a:
- adquisición de muestras de máquinas de espacio aislado que trabajan en un honeypot
- muestras enviadas a través de clientes de forma automática o manual
- muestras adquiridas de terceros, incluidos proveedores competidores
Las primeras y últimas son generalmente las principales fuentes de datos.
La mayoría del malware recolectado de estas fuentes principales se reproduce y luego se registran las acciones que realiza el malware. Una vez hecho esto, alguien del proveedor de AV puede terminar revisándolo, pero en algunos otros casos es completamente automático: todo depende de la complejidad del malware, pero la mayoría de las veces requiere que alguien lo vea. el propio archivo.
Nombrarlos es una historia diferente. Algunos programas maliciosos terminan obteniendo el mismo nombre o, al menos, similar en todos los proveedores, pero la forma en que abordan el esquema de denominación generalmente termina siendo el mismo proveedor.
Anexo desde que se realizó una edición
Dado que agregó un elemento sobre heurísticas, debe tener en cuenta que las heurísticas no funcionan para los usuarios finales, pero sí permiten que los proveedores de AV sospechen de un archivo en sí. Ciertos comportamientos, como un archivo en un directorio de sistema operativo que se está editando o una configuración de seguridad que se está modificando, pueden hacer que la detección se dispare cuando se ejecuta en el recinto de seguridad.
A veces, no se trata de lo que hace en el sistema de archivos, sino de a qué API del sistema operativo lo llama o incluso de las instrucciones que arroja a la CPU. Hay muchos ejemplos de programas maliciosos que simplemente hacen instrucciones inútiles o que realizan llamadas a la API que simplemente no tienen sentido, como un archivo que se disfraza como una aplicación de calculadora que hace llamadas al carrete de la impresora aunque la aplicación de la calculadora no se imprima.
Para hacer las cosas más complicadas, los autores de malware a menudo también codifican el archivo mediante un empaquetador, lo que significa que el archivo malicioso se codifica de una manera que requiere que lo "descomprima" para saber qué está pasando, piense de compresión de archivos aquí. Los proveedores de AV pueden tener dificultades con esto porque ciertos empaquetadores pueden provenir de fuentes legítimas, lo que significa que no puede tomar la parte de empaquetado de la aplicación como maliciosa, ya que entonces podría estar alojando otras aplicaciones legítimas que utilizan dicho empaquetador. Esto puede hacer que las firmas sean un poco molestas.