Es posible que no se detecte malware más nuevo, pero si los archivos son más antiguos, ¿es más probable que estén limpios cuando se escanean con escáneres antimalware que tienen actualizaciones más recientes?
¿Por ejemplo, archivos que tienen pocos meses de antigüedad y archivos que tienen varios años?
¿Qué posibilidades hay de que algún malware antiguo aún se oculte en ellos e incluso los nuevos escáneres actualizados no detecten nada?
Los proveedores y administradores de antivirus tienden a desactivar las rutinas de escaneo y la detección de patrones para las generaciones de malware más antiguas. Por lo general, hacen esto por razones de rendimiento. La legitimación es que el malware antiguo podría eliminarse de todos modos mientras tanto, porque había tantos mecanismos de detección establecidos durante tanto tiempo que harían imposible que un malware antiguo sobreviviera. Hice un análisis de de los filtros de protección predeterminados de HP TippingPoint y revelé lo mismo en el sector IDS / IPS.
El problema es que el razonamiento es incorrecto. El malware más antiguo podría haber sobrevivido porque todos pensaron que se había extinguido. Hay un problema similar cuando se trata de la vacunación.
Además, podría ser posible que un atacante / malware manipulase las marcas de tiempo de un archivo. Sin una comprobación de integridad, no puede saber si este es realmente el archivo que espera que sea desde un momento anterior.
Un teorema fundamental de la informática teórica es el siguiente: Sea π un predicado no trivial de los programas. Luego, para cada algoritmo A que, dada la descripción de un programa P como salidas de entrada π ( P ), hay entradas para las que A no puede terminar en tiempo finito.
Una propiedad trivial es una que es verdadera o falsa para todos los programas. Dado que algunos programas son malware y otros no, si un programa dado es malware es un predicado no trivial. Dado esto, ninguna herramienta de análisis de malware perfecto puede existir desde un punto de vista teórico. En la práctica, esto significa que inevitablemente habrá una carrera de armamentos entre los autores de malware y las herramientas de detección de malware. Otorgue a cualquier parte tiempo adicional para avanzar en una carrera de armamentos, mientras que su competidor se ve obligado a quedarse quieto y, finalmente, obtendrá una ventaja estratégica.
Creo que esto también es la premisa no escrita de tu pregunta. Y no puedo dudarlo. Sin embargo, nadie en su sano juicio le dirá ningún número específico sobre qué tan "probable" es que un archivo analizado por una herramienta determinada no contenga malware.
Dado que un enfoque general para el análisis de malware es teóricamente imposible, las herramientas prácticas utilizan una mezcla de diferentes heurísticas. Una técnica es utilizar una base de datos de patrones de explotación conocidos. Obviamente, dicha base de datos solo puede contener patrones que se conocían en ese momento. En consecuencia, una herramienta de análisis más nueva se beneficiará de los patrones detectados en el tiempo entre el lanzamiento del malware y la herramienta. Por supuesto, nadie puede saber cuántos patrones aún no se han descubierto. Así que lo mejor que podemos decir es que las herramientas probablemente no se vuelvan peores a medida que avanza el tiempo. Esta no es una declaración demasiado fuerte.
En casos raros, los autores de las herramientas de análisis podrían eliminar patrones de sus bibliotecas porque están causando demasiados falsos positivos, son demasiado ineficientes o se cree que el exploit está obsoleto. El tiempo que un usuario está dispuesto a invertir para ejecutar un análisis es limitado y los fabricantes de herramientas tienen que gastar ese presupuesto de manera inteligente. Por otro lado, las computadoras tienden a volverse más rápidas con el tiempo, por lo que se pueden realizar análisis más complejos.
Además de buscar patrones conocidos, las herramientas de análisis también pueden buscar signos sospechosos más generales. Estos análisis también pueden encontrar malware que no fue conocido de antemano por el fabricante de la herramienta. Es de esperar que, a medida que avance el tiempo y la tecnología, estas heurísticas mejoren y encuentren más malware. Me parece poco probable que un proveedor elimine un análisis de trabajo de su herramienta pero, por supuesto, las regresiones ocurren en la práctica. Las herramientas de análisis de malware son solo software como cualquier otro y las personas que lo escriben cometen errores.
Quizás la mayor ventaja que tiene contra los archivos antiguos es que la vulnerabilidad que estaban explotando podría haberse solucionado mientras tanto. Por supuesto, solo puede aprovechar este beneficio si está utilizando los archivos en un entorno que ha recibido actualizaciones mientras tanto. Es probable que algunas vulnerabilidades que fueron explotadas por malware en un momento dado hayan sido corregidas desde entonces. Por supuesto, se podrían haber introducido otros, pero es muy poco probable que un archivo contenga un exploit operativo para una vulnerabilidad futura. Por lo general, los autores de malware se acercan a sus objetivos con mucho conocimiento íntimo y no se puede saber algo que todavía no existe. Tenga en cuenta que no todos los programas maliciosos funcionan mediante la explotación de vulnerabilidades, sin embargo.
Por supuesto, una regla no convencional pero no totalmente inverosímil a la regla de "las herramientas de análisis mejoran a medida que el tiempo avanza" ocurre si los fabricantes de herramientas deliberadamente dañan sus productos. Podrían hacerlo debido a la presión del gobierno u otras razones cuestionables. Dado que la mayoría de las herramientas de análisis de malware son software propietario, pocas personas realmente saben lo que realmente hacen. Y aquellos que saben más de lo que probablemente no te lo dirán.Lo que siempre puede hacer es analizar un archivo con múltiples herramientas de análisis (antiguas y nuevas) y, por lo tanto, aumentar sus posibilidades de que algunos encuentren algo. Sin embargo, tenga en cuenta que las herramientas de análisis también pueden contener errores y que el malware que ataca específicamente el analizador no es desconocido.
Por encima de todas las consideraciones teóricas, siempre existe la pregunta práctica que usted considera realmente como malware. Si un navegador web envía registros de su actividad a empresas de publicidad, sin duda lo llamaría malware y rechazaré su uso. Otras personas podrían no. Al final, ninguna herramienta podrá tomar esa decisión personal por usted.
Lea otras preguntas en las etiquetas malware