Desde hace años, los malhechores usan JavaScript para crear ataques de malware web, como el ataque de descarga que se usa por ejemplo para instalar el famoso CoolWebSearch virus.
Existen métodos estáticos que analizan el texto de las páginas web y enseñan a una máquina de aprendizaje a informar a un clasificador sobre cómo detectar malware web basado en firmas. Este enfoque no es bueno porque es inútil contra el código JavaScript confuso y los ataques de día cero.
Existen otras soluciones y se basan en el análisis de los comportamientos dinámicos de JavaScript que utilizan entornos de espacio aislado o estableciendo un proxy (en ambos casos, la página no se representa para el usuario antes de su análisis dinámico).
Mi pregunta: ¿Por qué los entornos de sandboxing utilizados para supervisar el malware de JavaScript no dependen de un programa antivirus y prefieren utilizar programas codificados para analizar el estado de la máquina (máquina virtual) en la que se ejecutan? (Los programas de antivirus también utilizan el análisis dynamix)