Tempi più lunghi per le segnature dei malware

La rilevazione e la rimozione di malware e il system hardening sembrano essere pratiche più diffuse dell’eliminazione dei virus. Questo comporta qualche effetto qualità degli aggiornamenti delle segnature dei malware e sui tempi di rilascio? È vero, la

La rilevazione e la rimozione di malware e il system hardening sembrano essere pratiche più diffuse dell'eliminazione dei virus. Questo comporta qualche effetto qualità degli aggiornamenti delle segnature dei malware e sui tempi di rilascio?

È vero, la rilevazione e la rimozione di malware, come spyware e rootkit, sono operazioni molto più diffuse che non la ricerca e l'eliminazione dei virus. Questo comporta che i tempi necessari a fornire gli aggiornamenti delle segnature del malware siano più lunghi. Mentre i virus, una volta che sono stati rilasciati, si propagano autonomamente e sopravvivono o muoiono in funzione del loro payload, il malware può essere aggiornato e modificato anche in tempi successivi alla sua creazione. Ecco perchè cambia così rapidamente la sua attività e il suo modo di infettare.

Le aziende che producono antivirus riescono generalmente ad aggiornare le signature dei loro software entro le 24 ore successive alla scoperta di un nuovo virus o di una variante di un virus esistente. L'aggiornamento delle signature del malware richiede circa 72 ore, se non addirittura un tempo più lungo. Questa differenza è dovuta a vari fattori. In primo luogo, un virus può essere trasmesso per controllo o analisi. Secondariamente, il virus è self-contained e include il codice necessario a riprodursi. Ciò fornisce una signature unica, che può essere usata per identificarlo in modo definitivo e renderlo innocuo. Il malware invece non è self-contained e nemmeno completamente identificabile. A meno che il contenuto attivo che deposita il malware in un computer non sia colto sul fatto, bisogna individuare una fonte di infezione prima di poter cominciare il processo di confronto, necessario per identificare come agisce il malfare e cosa modifica. Per rimuovere l'infezione, dovete sostituire o cancellare dei file oppure effettuare degli aggiornamenti. Può essere molto difficile definire una metodologia che rimuova in modo sicuro il malware da tutte le possibili configurazioni del computer. Questo risulta soprattutto vero per i rootkit del kernel, dove l'unica cura certa è la completa cancellazione dell'hard disk infetto seguita dalla reinstallazione del sistema operativo.

A causa di questo ritardo, alcuni
fornitori stanno cercando di prevenire l'attivazione del malware partendo
dall'analisi del comportamento del programma e provando a individuare, e quindi
impedire, qualsiasi condotta pericolosa. Ogni tipo di malware tenta di
raggiungere un determinato obiettivo impiegando metodi differenti. Per esempio,
un Trojan trasmette sempre alcuni file e un dialer tenta sempre di comporre un
numero telefonico. Due programmi che usano questo metodo sono Malware-IDS
(http://www.emsisoft.com/en/software/ids) e Principal Antivirus
(http://www.resplendence.com/antivirus). Un prodotto molto diffuso che si avvale
di un database di threat è CounterSpy di Sunbelt, il quale è venduto anche in
una versione Enterprise, centralizzata e policy-based. CounterSpy riceve gli
aggiornamenti dalle migliaia di utenti che partecipano alla Comunità di
ThreatNet di Sunbelt e le nuove definizioni di spyware direttamente da
Microsoft. Maggiori dettagli sono disponibili su
http://www.sunbeltsoftware.com/CounterSpy.cfm.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here