¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Cocina

Кухня

Otras ediciones de este tema (37)
  • añadir a favoritos
    Añadir a marcadores

Adelantando a los malintencionados

Consultas: 1077 Comentarios: 1 Ranking: 9

miércoles, 27 de septiembre de 2017

Un sistema de formación por medio de preguntas, de Sócrates, se llamaba «heurística» (de griego heurisko – busco, descubro). De la misma forma se llama la ciencia que estudia el pensamiento creativo productivo. Lo mismo significa un conjunto de los métodos de investigación destinados para conocer lo nuevo, anteriormente desconocido.

El analizador heurístico en el antivirus se percibe como un remedio milagroso. Muchas veces, al enterarse de que los antivirus a veces no bloquean los programas nocivos, la gente pregunta: Y ¿qué tal los anlizadores heurísticos? Vamos a verlo.

Un antivirus captura los virus usando firmas (que las empresas antivirus llaman entradas) en las bases de virus. Un analizador heurístico también consiste en entradas que forman parte de estas bases. Pero las entradas del analizador heurístico contienen la información característica no de solo uno, sino para un grupo entero de programas nocivos. Por ejemplo, si este programa se crea (se genera) con un generador de virus (un programa especial que crea software nocivo por solicitud), es muy probable que todas las “obras” de este generador se capturen con una entrada.

Por lo tanto:

Un analizador heurístico no puede capturar lo desconocido. Si no hay información, no hay posibilidad de detectar la amenaza.

No es inteligencia artificial, sino algo parecido al filtro, una regla sofisticada con opciones determinadas. Todo lo que no se bloquea por el filtro, se permite.

¿Cómo esquivar un analizador heurístico? Teóricamente, es bastante fácil. Creamos más plantillas nuevas de programas nocivos, las enviamos a VirusTotal o compramos e instalamos todos los antivirus populares para comprobar la detección de troyanos sin ayuda. En cuanto el programa nocivo deje de ser detectado, empezamos a implementarlos, para usuarios.

¿Es posible protegerse? Vamos a verlo.

Primero, los malintencionados no siempre entienden las capacidades de un antivirus. No todos con hackers, a veces también hay gente ordinaria que desea ganar dinero sin hacer nada. Al enviar sus muestras a VirusTotal, piensan que el mismo puede dar una respuesta exacta si el nuevo archivo nocivo se detecta. En realidad, VirusTotal no usa todas las posibilidades del antivirus – solo se realiza la comprobación de detección con firmas de bases de virus. Es decir, es una comprobación de posibilidades del analizador heurístico. Pero un antivirus ya hace mucho consiste no solo en las bases de virus, también escanea scripts, contiene un analizador heurístico, y muchas cosas más.

Los que usan un antivirus ordinario, no eligen la mejor opción, porque estos productos no contienen medios que completan las posibilidades del núcleo. Y si el producto no contiene un analizador heurístico, el mismo no es capaz de afrontar las amenazas desconocidas, sus creadores solamente se refieren al mito diciendo que un antivirus es capaz de capturar hasta 100% de programas nocivos. Y es muy fácil crear los programas nocivos que esquivan esta protección. Los malintencionados tampoco necesitan comprar nada – las posibilidades de VirusTotal son suficientes para ellos.

#escaneo_antivirus #tecnologías_Dr.Web

El mundo de antivirus recomienda

Se puede crear un programa nocivo que no será detectado por ningún antivirus. Pero también es posible encontrar un antivirus que afronta este software (esquiva los analizadores heurísticos).

Lo que pasa es que los malintencionados no solamente desean esquivar los antivirus, sino intentan hacerlo rápido y ganar dinero enseguida. Si no entienden que crear un software nocivo que no será detectado por un antivirus en concreto no tiene ventajas, es más fácil que busquen víctimas entre los usuarios de otros antivirus.

Los malintencionados no pueden sacar provecho de creación de programas nocivos destinados que ataquen a los usuarios de Dr.Web:

  1. La tecnología Fly-Code — permite detectar los virus comprimidos hasta por los comprimidores desconocidos para el software antivirus Dr.Web. Para ocultar un archivo al antivirus, es más fácil volver a comprimirlo o cifrarlo. Los creadores de virus creen que para detectar esta muestra, hay que añadir una nueva firma a las bases. Hasta este momento el usuario permanece desprotegido, y el virus funcionará sin restricciones. Pero no en caso de Dr.Web.
  2. Dr.Web HyperVisor – proporciona la intercepción de llamadas de sistema a nivel mínimo posible del sistema operativo. Un programa nocivo desconocido no puede estar a nivel más bajo, por lo tanto, al aparecer una actualización, será destruido.
  3. Analizador heurístico Dr.Web – controla el sistema no solo desde fuera, sino también desde dentro. La tecnología Dr.Web ShellGuard usada en el mismo detecta los intentos de implementación de exploits en los procesos controlados. Si el analizador heurístico tradicional funciona una vez cifrados 5-10 archivos, Dr.Web ShellGuard no le ofrece ni siquiera esta posibilidad al cifrador.
  4. Антиспам Dr.Web – detecta hasta 98% de archivos nocivos adjuntos, y solo gracias al funcionamiento de las tecnologías del antispam.
  5. ScriptHeuristic – previene la ejecución de cualquier script nocivo en el navegador y en los documentos PDF, sin dañar la funcionalidad de los scripts legales.

Cabe recordar también que, al configurar el Control parental/de oficina y el analizador heurístico (así mismo, las restricciones de funcionamiento de procesos), se puede reducir bastante la posibilidad de infección.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios