Un teorema fundamental de la informática teórica es el siguiente: Sea π un predicado no trivial de los programas. Luego, para cada algoritmo A que, dada la descripción de un programa P como salidas de entrada π ( P ), hay entradas para las que A no puede terminar en tiempo finito.
Una propiedad trivial es una que es verdadera o falsa para todos los programas. Dado que algunos programas son malware y otros no, si un programa dado es malware es un predicado no trivial. Dado esto, ninguna herramienta de análisis de malware perfecto puede existir desde un punto de vista teórico. En la práctica, esto significa que inevitablemente habrá una carrera de armamentos entre los autores de malware y las herramientas de detección de malware. Otorgue a cualquier parte tiempo adicional para avanzar en una carrera de armamentos, mientras que su competidor se ve obligado a quedarse quieto y, finalmente, obtendrá una ventaja estratégica.
Creo que esto también es la premisa no escrita de tu pregunta. Y no puedo dudarlo. Sin embargo, nadie en su sano juicio le dirá ningún número específico sobre qué tan "probable" es que un archivo analizado por una herramienta determinada no contenga malware.
Dado que un enfoque general para el análisis de malware es teóricamente imposible, las herramientas prácticas utilizan una mezcla de diferentes heurísticas. Una técnica es utilizar una base de datos de patrones de explotación conocidos. Obviamente, dicha base de datos solo puede contener patrones que se conocían en ese momento. En consecuencia, una herramienta de análisis más nueva se beneficiará de los patrones detectados en el tiempo entre el lanzamiento del malware y la herramienta. Por supuesto, nadie puede saber cuántos patrones aún no se han descubierto. Así que lo mejor que podemos decir es que las herramientas probablemente no se vuelvan peores a medida que avanza el tiempo. Esta no es una declaración demasiado fuerte.
En casos raros, los autores de las herramientas de análisis podrían eliminar patrones de sus bibliotecas porque están causando demasiados falsos positivos, son demasiado ineficientes o se cree que el exploit está obsoleto. El tiempo que un usuario está dispuesto a invertir para ejecutar un análisis es limitado y los fabricantes de herramientas tienen que gastar ese presupuesto de manera inteligente. Por otro lado, las computadoras tienden a volverse más rápidas con el tiempo, por lo que se pueden realizar análisis más complejos.
Además de buscar patrones conocidos, las herramientas de análisis también pueden buscar signos sospechosos más generales. Estos análisis también pueden encontrar malware que no fue conocido de antemano por el fabricante de la herramienta. Es de esperar que, a medida que avance el tiempo y la tecnología, estas heurísticas mejoren y encuentren más malware. Me parece poco probable que un proveedor elimine un análisis de trabajo de su herramienta pero, por supuesto, las regresiones ocurren en la práctica. Las herramientas de análisis de malware son solo software como cualquier otro y las personas que lo escriben cometen errores.
Quizás la mayor ventaja que tiene contra los archivos antiguos es que la vulnerabilidad que estaban explotando podría haberse solucionado mientras tanto. Por supuesto, solo puede aprovechar este beneficio si está utilizando los archivos en un entorno que ha recibido actualizaciones mientras tanto. Es probable que algunas vulnerabilidades que fueron explotadas por malware en un momento dado hayan sido corregidas desde entonces. Por supuesto, se podrían haber introducido otros, pero es muy poco probable que un archivo contenga un exploit operativo para una vulnerabilidad futura. Por lo general, los autores de malware se acercan a sus objetivos con mucho conocimiento íntimo y no se puede saber algo que todavía no existe. Tenga en cuenta que no todos los programas maliciosos funcionan mediante la explotación de vulnerabilidades, sin embargo.
Por supuesto, una regla no convencional pero no totalmente inverosímil a la regla de "las herramientas de análisis mejoran a medida que el tiempo avanza" ocurre si los fabricantes de herramientas
deliberadamente dañan sus productos. Podrían hacerlo debido a la presión del gobierno u otras razones cuestionables. Dado que la mayoría de las herramientas de análisis de malware son software propietario, pocas personas realmente saben lo que realmente hacen. Y aquellos que saben más de lo que probablemente no te lo dirán.
Lo que siempre puede hacer es analizar un archivo con múltiples herramientas de análisis (antiguas y nuevas) y, por lo tanto, aumentar sus posibilidades de que algunos encuentren algo. Sin embargo, tenga en cuenta que las herramientas de análisis también pueden contener errores y que el malware que ataca específicamente el analizador no es desconocido.
Por encima de todas las consideraciones teóricas, siempre existe la pregunta práctica que usted considera realmente como malware. Si un navegador web envía registros de su actividad a empresas de publicidad, sin duda lo llamaría malware y rechazaré su uso. Otras personas podrían no. Al final, ninguna herramienta podrá tomar esa decisión personal por usted.