Se stai utilizzando un antivirus ma non hai idea di come funzioni la scansione continua a leggere questo articolo. Imparerai le tecniche di riconoscimento del malware, a cosa servono e come gli hacker tentano di aggirarle. Conoscerai i termini dei software per poterli configurare meglio.
A cosa serve la scansione antivirus
Un antivirus deve rilevare malware prima della sua esecuzione per avvisare l’utente e, se è già presente nel sistema, riconoscerlo e rimuoverlo. Questo è il principio della scansione antivirus. Innanzitutto l’utente installa un client antivirus sul suo computer, che è costituito da un’interfaccia che consente di configurarlo e avviare una scansione.
L’antivirus ha vari moduli di protezione e, quando trova una minaccia, emette un avviso e l’utente può eseguire varie azioni. Ovviamente può avviare una scansione antivirus manualmente oppure il programma può configurare quelle automatiche. L’antivirus ha parti nascoste che l’utente non può vedere.
Ad esempio, scarica quotidianamente le definizioni dei virus e li aggiorna, con l’obiettivo di seguire le minacce che escono ogni momento in modo da proteggere il computer.
Considera che una scansione antivirus modifica molto il sistema operativo, perché il software si carica in profondità nel sistema per cambiare le funzioni di Windows o Mac.
Ciò ti consente di analizzare determinati elementi del sistema, ad esempio monitorare le funzioni di avvio, l’eliminazione dei file o la messa in quarantena. Questo a volte può causare dei crash o problemi con gli aggiornamenti, perché l’antivirus utilizza i driver e, se si creano conflitti, allora provoca problemi.
Come funziona la scansione antivirus
Quando fa una scansione per trovare malware, l’antivirus deve essere in grado di rilevare un file dannoso tra quelli sani. Per fare ciò combina diversi tipi di rilevamenti, alcuni di base e altri più avanzati. Quando l’antivirus si sbaglia e prende per malware un file innocuo, parliamo di falsi positivi.
Il rilevamento per firme funziona mediante un pezzo di codice specifico del malware che è quindi indicato come una firma. Questo è un modello che il software utilizza per riconoscerlo e ogni giorno deve aggiornarsi per scaricare le nuove firme e le definizioni dei virus.
Quando un file contiene questo pezzo di codice, è considerato dannoso e a volte il software aggiunge semplicemente l’hash del file sospetto.
Questo tipo di rilevamento è stato il primo utilizzato ma, con il crescente numero di minacce, le firme diventano rapidamente obsolete. Quindi vengono usati altri tipi di scansione, ma la firma è sempre considerata valida. Il rilevamento euristico e generico funziona mediante parti di codice più generali che mirano a creare rilevamenti più ampi al fine di trovare il malware.
La difficoltà con il rilevamento generico è la manipolazione di un codice generale efficace senza generare troppi falsi positivi. Questi rilevamenti generici possono anche colpire una famiglia di malware. Il rilevamento comportamentale consiste nell’eseguire il file in un ambiente chiuso controllato dall’antivirus come un sandbox.
Serve per testare il file e verificare il comportamento di un programma dannoso, ad esempio copiando i file in APPDATA e creando una chiave di esecuzione. Questo rilevamento è relativamente efficace, anche se gli autori di malware ovviamente cercano di aggirarlo.
Scansione antivirus e rilevamento mediante cloud
Per diversi anni, i creatori di antivirus hanno dovuto affrontare un aumento del malware. Ogni anno milioni di file dannosi invadono Internet e i computer. Ciò pone problemi sul lato del client antivirus il cui database è strapieno e deve essere in grado di monitorare, analizzare e classificare questi milioni di file.
La scansione antivirus moderna beneficia di due nuove tecnologie: il cloud e l’apprendimento automatico. Le campagne di malware mirano a spingere centinaia o migliaia di file diversi attraverso l’uso di packer / crypter. È una vera forza bruta contro la protezione da virus, la firma statica e i rilevamenti euristici diventano rapidamente troppo deboli e inefficaci di fronte a questi attacchi.
Inoltre, le definizioni virali aumentano nel tempo e causano problemi con il funzionamento del client antivirus.
Per rispondere a questo, gli antivirus hanno consolidato e migliorato le protezioni attraverso il cloud antivirus. Si tratta di un grande database alimentato da client antivirus che riportano varie informazioni sui file attualmente in esecuzione sul computer.
Quando un file è positivo viene inviato per l’analisi, tuttavia ciò può comportare problemi di riservatezza poiché l’antivirus ha accesso a tutti i dati sul computer. Naturalmente l’editor si concentra sui file dannosi, quindi i file di immagine non vengono analizzati. I cloud antivirus offrono vari miglioramenti come gli aggiornamenti in tempo reale, ossia la capacità di rilevare elementi dannosi mediante scansione senza necessità di aggiornare il client.
Questa protezione è aggiornata in tempo reale nel cloud. Non c’è più un periodo di tempo tra il momento in cui l’antivirus aggiunge un nuovo rilevamento, lo mette in lista e il client lo recupera. Ciò alleggerisce la scansione dell’antivirus e può ridurre l’utilizzo della CPU e della memoria del software. Inoltre riduce la dimensione delle definizioni virali.
L’apprendimento automatico
Lo sfruttamento dei grandi database consente di eseguire un controllo incrociato di determinati dati per fornire una protezione più ampia e più precisa. I fornitori di antivirus possono anche caricare una varietà di informazioni e, se un file non viene caricato molto, potrebbe trattarsi di malware. In questo modo si costituisce la reputazione dei file e si possono rilevare attacchi mirati.
Ciò permette di individuare e seguire più facilmente nuovi attacchi e campagne di virus contro obiettivi specifici quali grosse società o governi. Con sempre più malware in circolazione, gli antivirus dovevano trovare altri metodi oltre all’analisi umana. Per aiutare sé stessi, usano l’apprendimento automatico, ovvero meccanismi di riconoscimento e classificazione effettuati da programmi o intelligenza artificiale A.I..
Si tratta di eseguire malware in un ambiente virtualizzato dal quale si può classificare il file come sano, malware, indesiderato, eccetera.
Questo metodo consente di tracciare le famiglie di malware. I sistemi di Machine Learning (apprendimento automatico) imparano con i dati, tuttavia non garantiscono il successo. Un utente malintenzionato può modificare i dati di un sistema di Machine Learning per renderlo inutilizzabile e indebolire i modelli al punto che l’analisi non è più affidabile.