Existen muchos puntos de vista a considerar cuando se habla de que un antivirus (AV) detecta un malware y otros no lo hacen. El tema debe tratarse con cuidado y teniendo en cuenta todas las posibilidades existentes del mismo antes de emitir un juicio precipitado y sin fundamento.
Los diversas aplicaciones en este ámbito basan las detecciones en las firmas existentes, su motor de heurística o ambas.
Una firma es para los expertos un patrón de datos que se encuentra dentro del malware.
Podría compararse con el apellido de una persona. Un experto se le escucha hablar sobre cierto troyano que "pertenece a la familia de...", esto quiere decir que el código malicioso detectado es una variante del malware original. Simplemente ha sido modificado para realizar otras funciones o ha cambiado su forma de proceder.
Los laboratorios reciben muestras de las amenazas que circulan por la red y obtienen las firmas que posteriormente serán organizadas en una base de datos. La misma es descargada con una cierta frecuencia por los antivirus instalados en los ordenadores para mantenerse actualizados.
La heurística es un método de revisión de archivos y/o memoria basado en la búsqueda de patrones de actividad que puedan considerarse como un virus. Normalmente utilizados para la detección de nuevas versiones de virus ya conocidos o familias de virus. La heurística es particular de cada compañía. Y se encuentra incluida dentro de la aplicación de seguridad activa en la máquina.
Supongamos que Leonardo está revisando su casilla de correo. Viviana le avisa que un virus circula como adjunto y le proporciona los datos pertinentes para prevenirlo. Con sorpresa descubre que tiene un mensaje con las características que le dijeron, pero su antivirus no le ha reportado nada. Hay un adjunto que se llama "trueno.scr.exe". Una clara amenaza que solo espera un doble clic para hacer sus maldades.
Si se analiza los diversos ángulos del tema pueden verse puntos importantes a tener en cuenta.
Si mencionara que Leonardo no ha permitido la actualización de firmas en los pasados 6 meses, ¿importaría?
¡Mucho!
La base de datos del AV es claramente obsoleta. Si estuviera al día, la amenaza tiene menos posibilidades de eludir la detección.
Solamente podría salvarlo la heurística de la aplicación, y esto dependerá de que tan buena sea la misma para detectar el código malicioso del ejecutable.
La frecuencia de actualización de la base de firmas depende estrictamente de la empresa del software y su política al respecto.
Pese a todas estas particularidades, a veces los archivos maliciosos están corruptos. Significa que les falta parte del código para funcionar, por lo que son inofensivos ya que no lograrán ejecutarse.
Algunos AV en el análisis se dan cuenta que esta dañado y no presenta peligro, por lo que no es reportado. Otros de todos modos, lo reportan como infectado.
Por ejemplo existe una variante del Sober que fue liberado en Internet, pero no era un peligro ya que su programador cometió un par de errores, anulando accidentalmente la peligrosidad del mismo.
Algunos AV lo reportaron como infectado alarmando a los usuarios. Otros en cambio, evaluaron la verdadera peligrosidad del archivo, y decidieron innecesario provocar una alerta infundada.
El detectar o no detectar es relativo, depende de las condiciones.
|
