Qualche tempo fa ho ricevuto un virus sul mio computer, che non è stato rilevato dai programmi antivirus.
Eppure posso vedere l'attività dannosa nel registro eventi di Windows e nel TcpLogView:
Considerando che gli aggiornamenti dei database antivirus sono sempre in ritardo rispetto alla creazione di nuovi virus, quali strumenti del programma sono più adatti per un rilevamento tempestivo di tali minacce zero-day?
Non esiste una sicurezza perfetta e nessuno può garantire che un virus non possa mai passare attraverso la difesa impostata. Sebbene ci siano alcune misure che possono renderlo meno probabile:
controlla l'attività di rete sospetta
Proprio come il firewall può rilevare attività di rete sospette, i moderni antivirus possono monitorare attività sospette all'interno del sistema. Non importa quanto sia nuovo il virus è necessario eseguire l'autorun in qualche modo ogni volta che il computer si avvia. Di solito le applicazioni si aggiungono ad autorun durante l'installazione o quando chiedi loro deliberatamente di farlo. Quindi il controllo automatico è un buon modo per catturare un virus ed è improbabile che ti infastidisca con falsi positivi. Questo è solo un esempio, la sicurezza basata sul comportamento potrebbe monitorare centinaia di potenziali attività dannose. Tra gli antivirus gratuiti so che COMODO Antivirus offre questo tipo di protezione (chiamata HIPS). Anche molti altri potrebbero fare altrettanto (controllare AVG, Avast, Avira, ecc.) Anche se non ne sono sicuro. Anche se con una rilevazione più aggressiva arrivano più falsi positivi. Quindi non essere troppo entusiasta con impostazioni elevate.
Il rilevamento basato sulla firma tenta di individuare virus specifici che sono già stati rilevati e analizzati. L'analisi euristica sta cercando comandi specifici all'interno del codice dell'applicazione che potrebbero essere dannosi. Mentre il rilevamento basato sul comportamento analizza quale applicazione fa , l'analisi euristica analizza ciò che potrebbe fare .
Quando si ha un PC pulito, l'unico modo in cui un virus può infettarlo è il nuovo file scaricato e rilasciato. Se ti preoccupi molto di restare al sicuro, potresti avviare applicazioni non sicure (scaricate da Internet, ecc.) In una sandbox (ambiente isolato dal quale il virus non può sfuggire e danneggiare il tuo vero sistema operativo). Anche se si esegue un virus all'interno di sandbox, questo verrà ucciso senza lasciare traccia quando la sandbox è chiusa. Le sandbox avanzate ti permettono di "congelare" il suo stato durante la chiusura invece di cancellare semplicemente tutto, in modo da poter continuare il lavoro quando apri una sandbox la prossima volta. È ancora perfettamente al sicuro.
Anche se alcuni virus avanzati molto potrebbero sfuggire a una sandbox utilizzando un errore nel codice, non c'è motivo di preoccuparsene. Affinché questo accada, il virus dovrebbe mirare all'applicazione specifica sandbox che si sta utilizzando (e probabilmente la stessa versione) e, in primo luogo, deve essere vulnerabile. Anche la creazione di un tale virus richiederebbe conoscenze a livello di esperti e un sacco di lavoro. Non ne vale la pena. Virus come questo sono generalmente creati per obiettivi specifici (intendo per agenzie di intelligence, ecc.) E non sono diffusi in pubblico. Perché catturarlo dalle aziende antivirus distruggerebbe tutto il duro lavoro svolto per creare questo mostro.
Un esempio di sandbox gratuito è "sandboxie". Ha una schermata nag dopo la prova scaduta, ma consente comunque di usarlo per sempre. Inoltre, molte moderne soluzioni antivirus hanno sandbox integrato. Ancora una volta l'antivirus COMODO ce l'ha e molti altri probabilmente lo avranno.
P. S.
Quando vedi un processo sconosciuto con attività di rete sospette in background, non è necessariamente un virus. Potrebbe essere il servizio di aggiornamento in background, il servizio di controllo della licenza, ecc. Basta google il nome del processo e si può scoprire di cosa si tratta. Inoltre, quando si è preoccupati di file specifici, è possibile utilizzare i servizi di scansione antivirus online che verrebbero controllati da tutti gli antivirus del mondo senza dover installare nulla. Aiuterebbe anche le aziende antivirus a implementare rapidamente un aggiornamento se si trova effettivamente un nuovo virus: controllano i file caricati su tali servizi (non tutti però. Richiede la collaborazione del proprietario del servizio).
P. P. S.
Come è stato detto all'inizio, puoi solo aumentare la tua sicurezza, ma non raggiungere mai il 100%. E con più sicurezza arrivano più falsi positivi fastidiosi e più calo delle prestazioni. Ad un certo punto l'antivirus fa più male del virus che potrebbe catturare. Uno degli obiettivi per la gestione del rischio è quello di assicurarsi che il mantenimento della sicurezza non sia più oneroso di averlo violato a volte.
Leggi altre domande sui tag windows internet antivirus anti-exploitation antimalware