Antivirus a prueba
Fuente: Automated Classification and Analysis of Internet Malware
Recientemente, un grupo de investigadores de una universidad americana y la compañía Arbor Networks han analizado la actuación de los programas antivirus respecto a cómo se manejan con el código malicioso existente. Adicionalmente, su trabajo busca demostrar que la forma de clasificación actual del código malicioso de los antivirus no es efectivo, y proponen un método más útil, basado en agrupación de aquellos que tienen comportamiento similar, aún para el análisis mismo.
Corrientemente, los antivirus basan su análisis y clasificación en secuencias y patrones de llamadas de sistemas, algo que el documento busca demostrar -es inefectivo.
Los resultados concluyen en si los antivirus son realmente herramientas completas para la defensa de código malicioso, si son consistentes entre lo que unos y otros detectan, y si son concisas en entregar suficiente y no mucha-o-poca información del código detectado.
Para lograr esa caracterización basada en comportamiento, los analistas desarrollaron un sistema que hacía uso de una máquina virtual donde se ejecutaba el código malicioso, y en el que se colectaba los cambios de estado de máquina provocado por 3,700 códigos maliciosos, lo que permitió crear perfiles o huellas de comportamiento en grupos, a diferencia de cómo lo hacen los antivirus.
Por supuesto, hacer una herramienta de análisis y defensa que tenga esa características, sería muy criticada en los recursos de hardware que tendría que usar para operar. Pero, eso no es lo que propone el trabajo, lo más importante es el demostrar cuán efectivos son los AV actuales.
