Heurística o firmas, ¿cuál usar?

Randy Abrams, Director de Educación, publicó en el blog de ESET en inglés un interesante post (How Do You Find 200,000 Unique Samples a Day?) sobre las muestras que recibimos diariamente en los laboratorios de la compañía, y algunas dudas de los usuarios de cómo actuamos en consecuencia y cómo lo hace el software antivirus en cuanto a sus métodos de detección. A partir de un par de preguntas de un lector, Abrams aprovechó para dejar algunos conceptos sobre estos temas, que compartimos a continuación:

Tú dices que ESET recibe 200 mil muestras únicas de malware por día, ¿ESET detecta la mayoría de ellas o sólo las que están listadas en las firmas aquí: http://www.eset.com/threat-center/threatsense-updates?

En la detección de nuvas amenazas, las firmas tradicionales no son útiles. Hay una variedad de acercamientos heurísticos y uno de ellos, particularmente efectivo, se llama detección genérica. Con la detección genérica podemos identificar nuevas amenazas, basados en otras ya existentes. Con las firmas tradicionales cada pequeña modificación sobre un virus o troyano rompe la detección, pero con las firmas genéricas los cambios menores no afectan la detección. Varias de las amenazas son detectadas por nuestra heurística pasiva. El motor analiza el archivo y decide si el mismo puede ejecutarse o hará algo dañino. Muchas otras amenazas son detectadas por nuestra heurística activa. Con ella, se crea una computadora virtual dentro del motor antivirus para ejecutar la muestra. Esto nos permite observar que hará la aplicación.

En resumen, y como bien indica Abrams, “las firmas que se ven en el sitio web son sólo algunos de los códigos maliciosos que detectamos“. Para ser más específicos, sólo aquellos que detectamos por firmas tradicionales. La segunda pregunta permite arrojar más información sobre este tema:

En la actualidad, ¿por qué se escriben firmas? ¿Son escritas para detectar malware o para cubrir la brecha que la heurística no puede? De lo contrario, ¿es la principal tarea de la heurística ser un complemento a la base de firmas?

Hay una variedad de motivos para mantener las firmas tradicionales. En muchos casos, es necesario actualizar nuestros algoritmos heurísticos para detectar ciertas amenazas, y las firmas son una forma más rápida de hacerlo. Otro motivo importante para mantener las firmas tradicionales es el rendimiento. El análisis heurístico requiere más consumo de procesador que las firmas. Usando los métodos tradicionales podemos mantener el rendimiento de nuestro producto muy efectivo. Además, para ciertas amenazas son necesarias las firmas porque los gerentes prefieren que el equipo de IT conozca y pueda informarle cuál es el nombre de una determinada amenaza.

Agregando a lo que explica Abrams, este último punto es muy importante, ya que explica dos ideas importantes: que los métodos por firmas y heurísticos se combinan, y que una detección por firmas puede derivar a un algoritmo de heurística, o viceversa. Es decir, a partir de una detección que se realiza por base de firmas es posible analizar comportamiento de muchas amenazas y crear nuevos algoritmos heurísticos que a largo plazo ofrezcan protección contra nuevas variantes con patrones similares. Pero también es posible que determinadas amenazas detectadas por heurística luego sean identificadas a través de firmas para poder crear acciones particulares en cuanto a los datos sobre esa amenaza.

A los que deseen más información sobre este tema, pueden descargar de nuestro Centro de Amenazas el artículo Heurística Antivirus: detección proactiva de malware, donde se explica con más detalle el concepto de detección proactiva de amenazas, y cómo este es implementado por ESET NOD32 Antivirus.

Sebastián Bortnik
Coordinador de Awareness & Research

Autor , ESET

Síguenos