Hace algún tiempo tuve un virus en mi computadora, que no es detectado por los programas antivirus.
Sin embargo, puedo ver la actividad maliciosa en el registro de eventos de Windows y en el TcpLogView:
Teniendo en cuenta que las actualizaciones de las bases de datos antivirus siempre se quedan atrás con respecto a la creación de nuevos virus, ¿qué herramientas de programas son las más adecuadas para una detección oportuna de estas amenazas de día cero?
No hay una seguridad perfecta y nadie puede garantizar que un virus nunca pasará por cualquier defensa que configures. Aunque hay algunas medidas que pueden hacerlo menos probable:
monitorear la actividad de red sospechosa
Al igual que el firewall puede detectar actividad de red sospechosa, los antivirus modernos pueden monitorear la actividad sospechosa dentro de su sistema. No importa qué tan nuevo sea el virus, debe ejecutarse de alguna manera cada vez que se inicie la computadora. Por lo general, las aplicaciones se agregan a la ejecución automática durante la instalación o cuando se les pide deliberadamente que lo hagan. Por lo tanto, monitorear la ejecución automática es una buena manera de atrapar un virus y es poco probable que le moleste con falsos positivos. Este es solo un ejemplo, la seguridad basada en el comportamiento podría monitorear cientos de actividades potencialmente dañinas. Entre los antivirus gratuitos que conozco, COMODO Antivirus ofrece este tipo de protección (se llama HIPS). Muchos otros también pueden hacerlo (ver AVG, Avast, Avira, etc.) aunque no estoy seguro de ellos. Aunque con una detección más agresiva vienen más falsos positivos. Así que no te pongas demasiado entusiasta con los ajustes altos.
La detección basada en firmas intenta encontrar virus específicos que ya han sido detectados y analizados. El análisis heurístico está buscando comandos específicos dentro del código de la aplicación que puedan ser perjudiciales. Mientras que la detección basada en el comportamiento analiza qué hace la aplicación , el análisis heurístico analiza lo que podría hacer .
Cuando tienes una PC limpia, la única forma en que un virus puede infectarla es a través de un nuevo archivo que descargaste y lanzaste. Si se preocupa mucho por mantenerse seguro, puede iniciar aplicaciones inseguras (descargadas de Internet, etc.) en un entorno aislado (un entorno aislado desde el cual el virus no puede escapar y dañar su sistema operativo real). Incluso si ejecuta un virus dentro de la caja de arena, se eliminará sin dejar rastro cuando la caja de arena esté cerrada. Las cajas de arena avanzadas le permiten "congelar" su estado cuando se cierra en lugar de solo borrar todo para que pueda continuar el trabajo cuando abra una caja de arena la próxima vez. Todavía es perfectamente seguro.
Aunque algunos virus muy avanzados pueden escapar de un recinto de seguridad utilizando un error en su código, no hay razón para preocuparse. Para que esto ocurra, el virus debe estar dirigido a la aplicación de recinto de seguridad específica que está utilizando (y probablemente a la misma versión) y, en primer lugar, debe ser vulnerable. También crear un virus así requeriría conocimientos de expertos y un montón de trabajo. Simplemente no vale la pena. Los virus como este generalmente se crean para objetivos específicos (me refiero a agencias de inteligencia, etc.) y no se propagan en público. Porque el hecho de que las compañías de antivirus lo atrapen destruiría todo el arduo trabajo dedicado a crear este monstruo.
Un ejemplo de caja de arena gratuita es "sandboxie". Tiene una pantalla molesta después de que la prueba expirara, pero aún así te permite usarla para siempre. También muchas soluciones antivirus modernas tienen una caja de arena incorporada. Una vez más, el antivirus COMODO lo tiene y es probable que muchos otros lo tengan.
P. S.
Cuando ve un proceso desconocido con actividad de red sospechosa en segundo plano, no es necesariamente un virus. Podría ser un servicio de actualización en segundo plano, un servicio de verificación de licencia, etc. Simplemente busque el nombre del proceso en Google y puede averiguar qué es. Además, cuando le preocupa un archivo específico, puede utilizar los servicios de análisis de virus en línea que lo verificarían con todos los antivirus del mundo sin tener que instalar nada. También ayudaría a las compañías de antivirus a implementar una actualización rápidamente si realmente encuentra un nuevo virus; verifican los archivos cargados en dichos servicios (aunque no todos ellos. Sin embargo, requiere la colaboración del propietario del servicio).
P. P. S.
Como se dijo al principio, solo puede aumentar su seguridad pero nunca alcanzar el 100%. Y con más seguridad vienen más falsos positivos molestos y más caída de rendimiento. En algún momento, el antivirus hace más daño que el virus que podría atrapar. Uno de los objetivos de la administración de riesgos es asegurarse de que mantener su seguridad no sea más exigente que tener una violación a veces.
Lea otras preguntas en las etiquetas windows antivirus internet anti-exploitation antimalware