antivirus ci protegge da sempre di più minacce . Ogni giorno emergono centinaia di nuove minacce e le aziende che sviluppano questi antivirus si dedicano a raccoglierle e a creare soluzioni per proteggerci. Tuttavia, ci sono virus più difficili da rilevare rispetto ad altri, e in alcuni casi alcuni possono passare mesi senza essere scoperti.
Virus metamorfici
Quando il virus viene rilevato per la prima volta , entra subito a far parte del database dei produttori di antivirus. Aggiungendolo al database e rendendo rilevabile il suo codice, chiunque lo abbia sul proprio computer verrà avvisato della sua presenza.
Tuttavia, cosa succede se l'antivirus è progettato per cambiare costantemente il suo codice? Questi virus, chiamati metamorfico , può tradurre, modificare e riscrivere automaticamente il proprio codice ad ogni infezione, in modo che l'antivirus non possa rilevarlo. Infatti, non cambia solo il codice stesso dell'infezione, ma cambia anche il motore della mutazione.
Per rilevare questo tipo di malware è necessario andare un passo oltre le firme utilizzate dagli attuali antivirus, e utilizzare tecniche euristiche e di analisi basate sui comportamenti. Pertanto, è possibile provare a identificare modelli per essere in grado di rilevare mutazioni future e passate.
Virus polimorfici
Sebbene con un nome e uno scopo simili, virus polimorfici sono diversi dai virus metamorfici. Mentre questi ultimi cambiano completamente il loro codice, i polimorfi cambiano solo una parte del loro codice, mantenendo invariato parte del loro codice. Per eseguire queste trasformazioni, il malware utilizza in genere tecniche di offuscamento e persino la crittografia. Grazie a questo, puoi mantenere il motore di generazione identica, ma cambiando il suo ingombro.
Vulnerabilità zero-day
Esistono altri tipi di infezioni oltre al classico malware rilevabile dagli antivirus, come ad esempio vulnerabilità zero-day . Queste vulnerabilità consistono nel trovare un difetto nel software o nell'hardware di un dispositivo che non è stato corretto. Poiché non è patchato, è possibile effettuare attacchi senza che il sistema sia in grado di rilevarlo.
Esistono alcune vulnerabilità zero-day rilevabili dall'antivirus se qualcuno tenta di utilizzarle, ma in molti casi non è così. Questi tipi di errori vengono generalmente rilevati eseguendo test come buffer overflow, saturando i programmi fino a quando non si arrestano in modo anomalo e diventa possibile iniettare codice dannoso.
Tra i codici dannosi che possono essere iniettati c'è un ransomware che crittografa tutti i contenuti del computer. Questo è stato il caso, ad esempio, di WannaCry, che, attraverso una vulnerabilità senza patch in Windows 10, ha consentito l'installazione di ransomware su un computer e infettare tutti gli altri dispositivi collegati nella stessa rete locale.
Rootkit
Le vulnerabilità del giorno zero possono portare a rootkit infezioni. Un rootkit è la cosa peggiore che possiamo soffrire su un computer. L'antivirus è in grado di rilevamento di codice dannoso in esecuzione sul sistema operativo. E se il codice fosse più vicino al livello hardware che al sistema operativo? Bene, in tal caso, l'antivirus non può rilevarlo.
Questo è un rootkit: un tipo di malware che ha accesso perpetuo a un computer , ma rimane nascosto all'utente e non ha modo di rilevarlo. Il suo obiettivo può essere modificare il firmware di un dispositivo o spiare tutto ciò che passa nella memoria del computer dell'utente.
Questi rootkit possono entrare nel kernel del sistema operativo per bypassare il rilevamento, ma possono anche raggiungere i livelli inferiori del computer, come il BIOS. In questi casi, anche la formattazione non può aiutarci a eliminare la minaccia.
Fortunatamente, ci sono sempre più meccanismi di rilevamento dei rootkit negli antivirus. A questo si aggiunge che esistono meccanismi come Secure Boot che ci permettono di proteggere l'intero segmento di avvio del computer per evitare l'esecuzione di codice dannoso.
