I virus più vecchi vengono rimossi dai file di definizione dei virus?

Naviga le tue risposte
22

Il software antivirus riceve aggiornamenti costanti sotto forma di file di definizione dei virus , contenenti i modelli utilizzati per identificare i virus. È una caratteristica presente sulla maggior parte (se non tutti) degli AV principali almeno negli ultimi dieci anni e mezzo.

La frequenza e le dimensioni degli aggiornamenti sono cresciute solo negli anni e mi chiedo se per limitare la dimensione degli aggiornamenti le aziende AV rimuovano i vecchi virus dai loro database.

Se è così, quanto è probabile che un virus vecchio abbastanza da essere stato rimosso dai file di definizione, ma non abbastanza vecchio per essere obsoleto si diffonderà facilmente, senza controllo e non rilevato.

    
posta That Brazilian Guy 02.01.2013 - 04:18
fonte

3 risposte

16

Il rilevamento di un pezzo di malware non viene mai rimosso da un AV mainstream.

Il rilevamento di malware vecchio o raro non viene rimosso principalmente perché i benchmark e i client AV vedono un AV mancante di rilevamento mentre gli altri lo hanno.

Diciamo che è stata aggiunta una firma per il malware "Malw", ma poi lo scrittore di malware persistente apporta modifiche minime per evitare quel rilevamento specifico. Quindi le varianti iniziano a gocciolare in: Malw.1, Malw.B, Malw.X.32768, .... L'azienda AV inizia quindi a vedere un modello e produce una firma più intelligente che trova un fattore comune e rileva tutte le varianti.

Questa firma più intelligente potrebbe essere:

  • lo stesso modello di byte classico ma su qualcosa che non cambia tra le varianti
  • un pattern di tipo regolare
  • una combinazione di modelli di byte e metadati relativi all'eseguibile
  • funzionalità estratte dall'emulazione del malware, come i programmi di compressione, i pattern di caricamento e il comportamento

Questa firma più intelligente è più lenta del semplice modello di byte, ma quando ci sono molte varianti di firme, le prestazioni complessive favoriranno la firma intelligente. Quando le prestazioni sono migliori con la firma intelligente, le firme semplici riceveranno una priorità inferiore o saranno eliminate . Ciò significa che alcuni malware perderanno il rilevamento specifico anche se alcuni motori AV genereranno il rilevamento con più firme, non solo si fermeranno al primo rilevamento.

Viene eseguita una nuova scansione periodica dell'intera raccolta di malware per verificare se alcune modifiche all'AV hanno causato la mancata rilevazione di malware o sono stati introdotti falsi positivi dalle firme intelligenti.

    
risposta data 02.01.2013 - 12:57
fonte
3

Dipende dal malware e dal venditore, ma il principale incentivo per ridurre il numero di firme è la performance.

Alcuni motivi per cui una regola di rilevamento malware potrebbe essere rimossa:

  • Funziona solo su una piattaforma che non è più supportata dal motore AV, ad es. vecchio malware PE / 16-bit PE.
  • Il malware è così vecchio da non rappresentare più alcuna minaccia (ad esempio si blocca solo alla prima esecuzione), a causa delle attenuazioni delle minacce introdotte nelle patch del sistema operativo che il 99,99% delle macchine ora avrà installato.
  • Il malware non è più in distribuzione e nessuna istanza è stata rilevata per anni.
  • Il malware è molto raro e ha un impatto minimo, ma la firma richiesta per rilevarlo è piuttosto intensa per CPU / disco.
  • La firma specifica è stata sostituita da una firma generica che cattura ancora quel malware.

Ricorda che questi sono solo motivi possibili . Il venditore può scegliere di non cancellare qualcosa o potrebbe avere motivi di sviluppo / test per mantenere una vecchia definizione. Spesso vengono utilizzati vecchi malware per testare la protezione di base quando vengono revisionati i sistemi AV.

Quindi, anche se non c'è una risposta concreta alla tua domanda (aziende diverse hanno idee diverse) non è difficile capire quando / perché una suite AV potrebbe avere alcune vecchie definizioni sfoltite dal suo database di tanto in tanto.

    
risposta data 02.01.2013 - 13:58
fonte
1

I wonder if in order to limit the size of the updates the AV companies remove older viruses from their databases.

Non lo sono.

La definizione dei virus rimane nel tempo e, in quanto tale, occupa spazio. L'antivirus struttura il proprio database delle firme per scopi gestionali e consente a noi, tecnici, di essere in grado di gestirli, ripararli, modificarli e fare il backup da molti anni.

If so, how likely is it that a virus old enough to have been removed from definition files, but not old enough to be obsolete would easily spread, uncontrolled and undetected.

Essere in grado di proteggere l'integrità del database dei virus fa parte della sicurezza stessa e un'attività di monitoraggio necessaria (imho) 1 . Penso che potrebbe spiegare un po 'perché i programmi antivirus sono a volte così profondamente radicati nei computer che "proteggono" e perché succede anche quell'antivirus avvita il sistema operativo.

Come IT sec, potrebbe essere parte del tuo dovere gestire il rischio su fattori quali compatibilità e abandonware, ecc. Poiché l'antivirus può rovinare proprio come qualsiasi altro software, devono essere gestiti e quindi anche la loro definizione di virus.

L'esclusione di tali firme potrebbe ridurre l'utilizzo del disco, ridurre il verificarsi di corruzione del motore antivirus, frammentazione, ecc. e il rischio sarebbe gestito, ecc., proprio come la distribuzione del sistema operativo / software / aggiornamento / installazione del firmware, ecc. Non tutti gli aggiornamenti sono utili per tutti i computer park, ecc.

Esempi Norton Nod32

    
risposta data 02.01.2013 - 06:12
fonte

Leggi altre domande sui tag

Quali passi dovrebbero essere presi per convalidare le immagini caricate dall'utente all'interno di un'applicazione? Insidie nell'utilizzo di OAuth per le applicazioni mobili