¿Se eliminan los virus más antiguos de los archivos de definición de virus?

22

El software antivirus recibe actualizaciones constantes en forma de archivos de definición de virus , que contienen los patrones utilizados para identificar virus. Es una característica presente en la mayoría de los AV principales (si no todos) durante al menos la última década y media.

La frecuencia y el tamaño de las actualizaciones solo han aumentado con los años, y me pregunto si para limitar el tamaño de las actualizaciones, las compañías de AV eliminan los virus más antiguos de sus bases de datos.

Si es así, ¿cuál es la probabilidad de que un virus con la edad suficiente para haber sido eliminado de los archivos de definición, pero no lo suficientemente antiguo como para ser obsoleto se propague, no se controle ni se detecte fácilmente?

    
pregunta That Brazilian Guy 02.01.2013 - 04:18
fuente

3 respuestas

16

La detección de una pieza de malware nunca se elimina de un AV convencional.

La detección de malware antiguo o raro no se elimina principalmente porque los puntos de referencia AV y los clientes ven una detección AV que falta, mientras que los otros la tienen.

Digamos que se agrega una firma para el malware "Malw" pero luego el escritor de malware persistente realiza cambios sutiles para evitar esa detección específica. Así que las variantes comienzan a gotear en: Malw.1, Malw.B, Malw.X.32768, .... La compañía de AV comienza a ver un patrón y produce una firma más inteligente que encuentra un factor común y detecta todas las variantes.

Esta firma más inteligente podría ser:

  • el mismo patrón de bytes clásico pero en algo que no cambia entre variantes
  • un patrón similar a una expresión regular
  • una combinación de patrones de bytes y metadatos sobre el ejecutable
  • características extraídas de la emulación del malware, como empaquetadores, patrones de carga y comportamiento

Esta firma más inteligente es más lenta que el patrón de bytes simple, pero cuando hay muchas firmas de variantes, el rendimiento general favorecerá a la firma inteligente. Cuando el rendimiento sea mejor con la firma inteligente, las firmas simples recibirán una prioridad más baja o se eliminarán . Eso significa que algunos programas maliciosos perderán una detección específica, aunque algunos motores AV generarán la detección con varias firmas, no solo se detendrán en la primera detección.

Se realiza una reexaminación periódica de toda la colección de malware para verificar si algunos cambios en el AV han provocado que las firmas inteligentes no hayan detectado malware o se hayan introducido falsos positivos.

    
respondido por el Cristian Dobre 02.01.2013 - 12:57
fuente
3

Depende del malware y del proveedor, pero el principal incentivo para reducir el número de firmas es el rendimiento.

Algunas razones por las que se puede eliminar una regla de detección de malware:

  • Solo funciona en una plataforma que ya no es compatible con el motor AV, por ejemplo. antiguo malware de DOS / 16 bits PE.
  • El malware es tan antiguo que ya no representa ninguna amenaza (por ejemplo, solo se bloquea en la primera ejecución), debido a las mitigaciones de amenazas introducidas en los parches del sistema operativo que el 99,99% de las máquinas ahora tendrán instaladas.
  • El malware ya no se distribuye, y no se han detectado instancias de él durante años.
  • El malware es muy raro y tiene un impacto mínimo, pero la firma requerida para detectarla es bastante intensiva en CPU / disco.
  • La firma específica ha sido reemplazada por una firma genérica que aún atrapa ese malware.

Tenga en cuenta que estas son solo las razones posibles . El proveedor puede optar por no eliminar algo, o puede tener razones de desarrollo / prueba para mantener una definición anterior. A menudo, el malware antiguo se utiliza para probar la protección básica cuando se revisan los sistemas AV.

Entonces, si bien no hay una respuesta concreta a su pregunta (diferentes compañías tienen ideas diferentes) no es difícil ver cuándo / por qué una suite de AV podría tener algunas definiciones antiguas eliminadas de su base de datos de vez en cuando.

    
respondido por el Polynomial 02.01.2013 - 13:58
fuente
1
  

Me pregunto si para limitar el tamaño de las actualizaciones de las compañías de AV.   eliminar virus antiguos de sus bases de datos.

No lo son.

La definición de virus permanece en el tiempo y, como tal, ocupa espacio. Los antivirus estructuran su base de datos de firmas con fines de gestión y nos permiten a los técnicos, poder gestionarlos, repararlos, modificarlos y hacer copias de seguridad de ellos desde hace muchos años.

  

Si es así, ¿qué tan probable es que un virus tenga la edad suficiente para ser eliminado?   de los archivos de definición, pero no lo suficientemente viejos como para ser obsoletos fácilmente   Dispersos, no controlados y no detectados.

Ser capaz de proteger la integridad de la base de datos de virus es parte de la seguridad en sí misma y de una actividad de monitoreo necesaria (imho) 1 . Creo que podría explicar un poco por qué los programas antivirus están en algún momento tan profundamente arraigados a las máquinas que "protegen" y por qué también sucede que antivirus atornille el sistema operativo.

Como parte de TI, podría ser parte de su deber administrar el riesgo en función de factores como la compatibilidad y el abandono de software, etc. Dado que el antivirus puede fallar como cualquier otro software, debe ser administrado y también su definición de virus.

Excluir esas firmas podría reducir el uso del disco, reducir la aparición de daños en el motor antivirus, la fragmentación, etc., y el riesgo se manejaría, etc., al igual que la distribución / actualización del sistema operativo / software / firmware, etc., a través de la red. No todas las actualizaciones son útiles para todos los parques de computadoras, etc.

ejemplos Norton Nod32

    
respondido por el happy 02.01.2013 - 06:12
fuente

Lea otras preguntas en las etiquetas