Gli antivirus sono software progettati per identificare, neutralizzare e rimuovere software dannoso (compresi i virus informatici sono solo una categoria). Questi possono essere basati sullo sfruttamento delle vulnerabilità di sicurezza , ma possono anche essere software che modifica o elimina i file , siano essi documenti utente memorizzati sul computer infetto, oppure i file necessari per il corretto funzionamento del computer (il più delle volte quelli del la sistema operativo ).
Il software antivirus controlla file ed e -mail , settori di avvio (per rilevare virus di avvio ), ma anche RAM del computer, supporti rimovibili (chiavi USB, CD, DVD, ecc.), Dati che passano attraverso qualsiasi rete (incluso Internet ), ecc.
Sono possibili diversi metodi:
L'antivirus può scansionare il contenuto di un disco rigido, ma anche la RAM del computer. Per i più moderni antivirus, agiscono a monte della macchina scansionando gli scambi di file con l'esterno, sia in flusso discendente (download) che upstream (upload o upload). Pertanto, vengono esaminate le e -mail , ma anche i file copiati su o da supporti rimovibili come CD-ROM , dischi floppy , connessioni di rete , chiavi USB , ecc.
Esistono diversi tipi di software antivirus a seconda di come funzionano. Il primo metodo è quello del dizionario.
Poiché i creatori di software antivirus hanno precedentemente identificato e registrato informazioni sui virus, come un dizionario , il software antivirus può quindi rilevare e localizzare la presenza di un virus.
Questo dizionario è chiamato la base di definizione virale che contiene le firme dei virus.
Quando ciò accade, l'antivirus ha tre opzioni, può:
Per massimizzare le prestazioni dell'antivirus, è essenziale eseguire frequenti aggiornamenti scaricando le versioni più recenti. Devoti utenti di Internet con buone competenze informatiche possono identificare i virus e inviare le loro informazioni ai produttori di software antivirus per mantenere aggiornato il loro database.
In genere, i programmi antivirus eseguono la scansione di ogni file mentre viene creato, aperto, chiuso o letto. In questo modo, i virus possono essere identificati immediatamente. È possibile programmare il sistema di amministrazione in modo che esamini regolarmente tutti i file nello spazio di archiviazione ( hard disk , ecc.)
Anche se il software antivirus è molto potente e aggiornato regolarmente, i creatori di virus sono altrettanto inventivi. In particolare, i virus " oligomorfi ", " polimorfici " e più recentemente " metamorfici " sono più difficili da rilevare.
Un'altra tecnica per aggirare queste definizioni di virus consiste nell'utilizzare packer / crypters, il file dannoso viene crittografato e compresso e decrittografato e decompresso durante l'esecuzione, proprio come i file zip autoestraenti. Il fatto che il file sia crittografato impedisce il rilevamento tramite firma e consente di moltiplicare i file dannosi da un singolo database cambiando packer / crypters.
Lista biancaLa " whitelist " è una tecnica sempre più utilizzata per combattere il malware. Invece di cercare software noto per essere dannoso, impedisce l'esecuzione di qualsiasi software ad eccezione di quelli considerati affidabili dall'amministratore di sistema . Adottando questo metodo di blocco per impostazione predefinita, evitiamo i problemi inerenti all'aggiornamento del file delle firme antivirali. Inoltre, aiuta a prevenire l'esecuzione di software indesiderato.
Poiché le aziende moderne dispongono di molte applicazioni considerate affidabili, l'efficacia di questa tecnica dipende dalla capacità dell'amministratore di stabilire e mantenere la whitelist. Questa attività può essere semplificata utilizzando strumenti per automatizzare i processi di inventario e manutenzione.
Un altro approccio per individuare i virus consiste nel rilevare il comportamento sospetto dei programmi. Ad esempio, se un programma tenta di scrivere dati su un programma in esecuzione, modificando / eliminando i file di sistema, l'antivirus rileverà questo comportamento sospetto e notificherà all'utente che sceglierà quale azione intraprendere.
A differenza dell'approccio precedente, il metodo del comportamento sospetto identifica i virus molto recenti che non sono ancora noti nel dizionario antivirus. Tuttavia, il fatto che gli utenti siano costantemente informati di falsi allarmi può renderli immuni a minacce reali. Se gli utenti rispondono "Accetta" a tutti questi avvisi, l'antivirus non fornirà loro alcuna protezione aggiuntiva. Questo problema è peggiorato dal 1997 , poiché diversi programmi innocui hanno modificato alcuni file eseguibili senza osservare questi falsi allarmi. Questo è il motivo per cui gli antivirus più moderni utilizzano sempre meno questo metodo. L'intelligenza artificiale dei nuovi antivirus consente loro di scegliere la decisione da prendere senza avvisare l'utente, il che rende possibile utilizzare nuovamente questo metodo. Inoltre, i filtri sono notevolmente migliorati e ci sono meno falsi positivi.
L' analisi euristica viene utilizzata da alcuni antivirus. Ad esempio, l'antivirus può scansionare l'inizio di ogni codice in tutte le nuove applicazioni prima di passare il controllo all'utente. Se il programma sembra essere un virus, l'utente riceverà una notifica. Tuttavia, questo metodo può anche portare a falsi allarmi. Il metodo euristico consente di rilevare varianti di virus e, comunicando automaticamente i risultati dell'analisi all'editore, quest'ultimo può verificarne l'accuratezza e aggiornare il proprio database di definizioni virali.
Il metodo della sandbox ( sandbox in inglese) consiste nell'emulare il sistema operativo ed eseguire il file durante questa simulazione. Al termine del programma, il software analizza il risultato della sandbox per le modifiche che potrebbero contenere virus. A causa di problemi di prestazioni, questo tipo di rilevamento si verifica in genere durante la scansione su richiesta. Questo metodo potrebbe non riuscire poiché i virus possono rivelarsi non deterministici e derivare da azioni diverse o forse addirittura nessuna azione quando vengono eseguiti. Non è possibile rilevarlo da una singola corsa.
I packer pongono problemi di efficienza per i rilevamenti delle firme. Un altro limite è stato il tempo piuttosto lungo tra il momento in cui l'editore ha aggiornato le definizioni dei virus, la disponibilità in linea e l'aggiornamento dei client antivirus. Tempo durante il quale gli utenti potrebbero essere vulnerabili.
Per ovviare a questo problema, gli editori utilizzano "Cloud Antivirus", dove sono disponibili in linea giganteschi database, rendendo possibile il controllo incrociato di determinati dati. Inoltre, questi database vengono utilizzati in tempo reale dagli antivirus e quindi consentono di eliminare il lasso di tempo tra il caricamento e il download delle definizioni dei virus.
Infine, aiuta anche ad alleggerire i client antivirus dove i database locali erano sempre più voluminosi di fronte al moltiplicarsi delle minacce e all'uso di packer / crypters .
Diverse aziende rivendicano il titolo di creatore del primo software antivirus. Il primo annuncio pubblico di una neutralizzazione di un virus per PC fu fatto dal tedesco Bernd Fix all'inizio dell'anno 1987 , sul virus Vienna. Come risultato di questo virus, sono emersi molti altri virus come Ping Pong, Lehigh e Surviv-3, noto anche come Jerusalem.
Dal 1988 si sono riunite diverse aziende con l'obiettivo di approfondire la ricerca nel campo dei software antivirus. Le prime scoperte antivirus è venuto in marzo 1988 con il rilascio di Den Zuk , creato da indonesiano Denny Yanuar Ramdhani . Den Zuk potrebbe neutralizzare il virus Brain . In aprile 1988 , il forum Virus-L è stata fondata su Usenet, e metà del 1988 ha visto la progettazione di un dispositivo di ricerca in grado di rilevare virus e trojan che erano noti al pubblico. Nell'autunno del 1988 apparve il software antivirus Dr. Solomon's Anti-Virus (in) Toolkit progettato dal britannico Alan Solomon . Alla fine di dicembre 1990 , il mercato era cresciuto fino a offrire al consumatore 19 diversi prodotti correlati all'antivirus, tra cui Norton Antivirus e McAfee VirusScan .
Peter Tippett è stato molto coinvolto nel campo emergente del rilevamento dei virus informatici. Era un medico di emergenza di professione e possedeva anche la sua società di software. Ha letto un articolo sul virus Lehigh, che è stato il primo ad essere sviluppato, ma in realtà è stato lo stesso Lehigh che Tippett ha imparato di più. Si chiedeva se ci fossero caratteristiche simili tra questi virus e quelli che attaccano gli esseri umani. Da una prospettiva epidemica, è stato in grado di determinare in che modo questi virus hanno colpito i processori all'interno del computer (il settore di avvio è stato preso di mira dal virus Brain, i file .com dal virus Lehigh, mentre il virus Jerusalem ha attaccato sia i file .com che .exe) . L'azienda di Tippett, Certus International Corp. è quindi stata coinvolta nella creazione di software antivirus. Ha venduto l'azienda nel 1992 a Symantec Corp. e Tippett si unirono a loro, implementando il software realizzato per conto di Symantec , Norton AntiVirus .
Secondo i dati di utilizzo raccolti dal fornitore di software aziendale OPSWAT, i programmi antivirus di Symantec , ESET e McAfee sono oggi i prodotti anti-malware di Windows più popolari. La società ha affermato di raccogliere i dati da oltre 30.000 sistemi aziendali e domestici in cui i clienti hanno installato le sue app gratuite.
Secondo il suo ultimo rapporto, pubblicato alla fine di ottobre, Symantec è oggi il principale fornitore di anti-malware, con una quota di mercato del 13,56%, seguito da ESET con il 12,84% e McAfee con il 12,21%. Altri primi 10 provider includono Bitdefender (10,77%), Kaspersky (7,66%), Avast (6,98%), Cylance (5,95%), Webroot (5,88%), Malwarebytes (5,8%) e Sophos (3,62%).