Autor Tema: ¿Como hacen los antivirus para detectar un malware nuevo?  (Leído 318 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 1121
    Ingreso: Enero de 2014
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
¿Como hacen los antivirus para detectar un malware nuevo?
« on: 18 Enero de 2020, 12:29 am »

Estamos acostumbrados a que si un virus es reconocido en la industria, su hash esté en la base de datos de los antivirus, y lo detecten apenas se descargue. Pero no es el caso cuando el malware es nuevo y su hash desconocido. En estos casos, las técnicas mas frecuentada por la compañías de ciberseguridad es el análisis de comportamiento y la heurística. Pero, ¿cómo funcionan estas técnicas? Una explicación un poco más científica.

La heurística tiene varias maneras de funcionar. Una consiste en decompilar el programa y analizar su código fuente. Este código luego es comparado con virus ya conocidos en una base de datos de heurística. De acuerdo al porcentaje de matching con el comportamiento de otros malware, se determina si se catalogará como malware o no. Esto se conoce como heurística estática.

Otra manera de la heurística es ejecutar el archivo en un entorno virtual temporal que crea el antivirus. En base a los procesos que este crea, las claves de registro que modifica, y los autoruns que agrega o quita, se determina si es malicioso o no. Si lo es, se catalogará como malware y se eliminará, y si no, se quitará del entorno virtual y se ejecutará en el sistema host. Esto se conoce como heurística dinámica.

El potencial problema de la heurística es que tiene que emplear una tecnología muy eficiente y delicada, para poder identificar los malware y no crear muchos falsos positivos. Es por eso, que el heurística es solo un módulo de varios de los antivirus.

El análisis de comportamiento es el módulo más importante de un antivirus. A diferencia de la heurística, este "behaviour blocker" está constantemente patrullando el host system en busca de un comportamiento que pudiese significar actividad maliciosa. Comportamiento monitoreado incluye:
  • Intentos de crear, leer, modificar o eliminar otros archivos
  • Intentos de formatear, eliminar u otras acciones irreversibles sobre discos duros
  • Modificación en la lógica de archivo ejecutables, scripts, o macros
  • Modificación de archivos del sistema, archivo hosts, inicio del SO
  • Creación de nuevos procesos (child process, o parent process)
  • Inicio de comuniciones de redes con hosts desconocidos

Depende de la arquitectura de un behaviour blockers, políticas de ejecución se pueden agregar a diferentes archivos. Por ejemplo:

Código: [Seleccionar]
if digital signed
Permitir ejecución: sí
Permitir comunicación con archivos del sistema: no
Permitir conexiones de red: sí

if digitally signed by a trusted vendor
Permitir todo

if not digitally signed
Permitir ejecución: depende de la política de configuración (default=no)
Permitir comunicación con archivos del sistema: no
Permitir conexiones de red: depende de la política de configuración (default=no)



¿Cómo hace un antivirus para hacer todos estos análisis y aún así permitir que el archivo se ejecute rápidamente?

Depende al antivirus, el tipo de análisis difiere. Kaspersky, por ejemplo, ofrece diferentes tipos de análisis a la hora de encontrarse ocn un archivo nuevo. Analizar:
  • Al crearse
  • Al modificarse
  • Al abrirse
  • Al ejecutarse
De esta manera, por ejemplo, un archivo no es escaneado hasta que se ejecute. Esto ahorra bastantes recursos ya que no sea escanea constantemente todos los archivos nuevos, descargados o creados. Asimismo, los archivos que se analizan una vez, no son analizados nuevamente a menos que sean modificados. Esto no solo ahorra recursos del sistema, si no que reduce el tiempo del análisis del sistema.


Saludos Familia!

>>> Autor Original de la informacion <<<
« Última Modificación: 18 Enero de 2020, 03:10 pm por Rock Lee »

Desconectado Príncipe_Azul

  • [L2] Conociendo BomberCode
  • **
  • Mensajes: 111
    Ingreso: Julio de 2015
  • Sexo: Masculino
  • ar
  • Colaborador
    • Ver Perfil
    • Foro ArgentinaIRC - Ayuda de Programación General, IRC y mIRC Scripting
Re:¿Como hacen los antivirus para detectar un malware nuevo?
« Respuesta #1 on: 18 Enero de 2020, 10:40 am »
Buenos días!

Sinceramente una información muy útil! Me gustó y es bueno saber cómo trabajan nuestros antivirus.

Gracias por la info.


Saludos
Enviado desde AdkImode