¿Los antivirus basados en firmas buscan las coincidencias exactas de las firmas que tienen en su base de datos con las de los virus para analizar?
Hago esta pregunta porque me pregunto si es la razón por la que a menudo leo que solo los antivirus basados en firmas están obsoletos.
¿Los antivirus basados en firmas buscan las coincidencias exactas de las firmas que tienen en su base de datos con las de los virus para analizar?
Espero que no lo hagan. Por lo general, AV tiene varias técnicas de exploración diferentes y la exploración basada en firmas es solo una de ellas. Creo que hay una especie de umbral en el escenario más simple, donde contamos la cantidad de firmas que sabemos que pueden ser maliciosas. Cuando el contador alcanza la masa crítica, se marca el ejecutable. En el mundo real creo que es mucho más complejo que eso. Alguien familiarizado con Clam AV puede dar una mejor respuesta (también puede consultar el código )
Hago esta pregunta porque me pregunto si es la razón por la que a menudo leo que los antivirus exclusivos basados en firmas están desactualizados.
Si escribiera un virus, insertaría la mutación y la ofuscación dentro del cuerpo. Cada vez que se ejecuta la carga útil, el cuerpo de un virus muta tanto que cualquier firma anterior no funcionaría.
Alternativamente, se puede usar la criptografía para cifrar el cuerpo. Una nueva ronda de cifrado produce una nueva chatarra aleatoria (a menos que uno tenga una clave de descifrado, que generalmente se distribuye a través de dominios aleatorios en función del número de inicial inicial y la fecha).
Los virus polimórficos tienen más probabilidades de ser inmunes a cualquier enfoque basado en firmas.
Teniendo en cuenta lo fácil que es hacer este tipo de virus, no me sorprende que la gente diga que los AV basados en firmas son obsoletos e ineficaces.
No hay mucho que pueda hacer para evitar que un conjunto de firmas AV quede desactualizado. Imagina que deseas crear una pieza de malware con el objetivo de infectar a la mayor cantidad de personas posible. Ciertamente no querrás que sea detectado por ningún escáner de virus, ¿verdad? Entonces, ¿Qué haces? Deja que todos los escáneres de virus se puedan ejecutar sobre su malware, vea si lo detectan, y cuando lo hacen, modifican y ofuscan su malware hasta que no lo hagan.
Ahora su malware es indetectable ... hasta que los analizadores AV lo descubran y actualicen para que lo detecten nuevamente.
¿Qué haces ahora? Obtiene los escáneres de virus actualizados y nuevamente comienza a modificar y ofuscar su malware hasta que ya no puedan detectarlo y lo vuelvan a liberar. Luego el ciclo se repite.
Es un juego interminable de gatos y ratones entre los proveedores de AV y los hackers de sombrero negro. Ambos tienen intereses comerciales. Cuando uno deja de actualizar su producto para ser más astuto que el otro, perderían un negocio muy lucrativo.
Lea otras preguntas en las etiquetas antivirus antimalware