L'analisi euristica è un metodo di rilevazione dei virus basato sull'esame del codice per la ricerca di proprietà sospette.
Fra i metodi tradizionali di rilevamento dei virus c'è l'identificazione del malware tramite il confronto del codice di un programma con il codice di tipi di virus noti, che sono già stati individuati, analizzati e registrati in un database, procedura conosciuta come rilevamento delle firme.
Sebbene sia utile e ancora in uso, il metodo del rilevamento delle firme è oggi più limitato a causa dello sviluppo di nuove minacce che è iniziato intorno alla fine del secolo e continua tuttora.
Per contrastare il problema, il modello euristico è stato progettato in modo specifico per individuare caratteristiche sospette presenti nei virus nuovi e sconosciuti e nelle versioni modificate di minacce esistenti nonché in campioni di malware noti.
I cybercriminali sono costantemente impegnati nello sviluppo di nuove minacce e l'analisi euristica è uno dei metodi utilizzati per trattare l'enorme volume di queste nuove minacce che si vede ogni giorno.
L'analisi euristica è anche uno dei pochi metodi in grado di combattere i virus polimorfici, ovvero il codice dannoso che cambia e si adatta costantemente. L'analisi euristica è integrata in soluzioni di sicurezza avanzate offerte da aziende come Kaspersky Lab per rilevare nuove minacce prima che possano causare danni, senza la necessità di una specifica firma.
Come funziona l'analisi euristica?
L'analisi euristica può impiegare tecniche diverse. Uno dei metodi euristici, noto come analisi euristica statica, comporta la decompilazione di un programma sospetto e l'esame del suo codice sorgente. Il codice viene quindi confrontato con virus noti e presenti nel database euristico. Se una determinata percentuale del codice sorgente corrisponde a qualcosa che è presente nel database euristico, il codice viene contrassegnato come possibile minaccia.
Un altro metodo è noto come analisi euristica dinamica. Quando gli scienziati vogliono analizzare qualcosa di sospetto senza mettere a rischio le persone, contengono la sostanza in un ambiente controllato, ad esempio un laboratorio protetto, ed eseguono i loro test. Il processo dell'analisi euristica è simile a questo, ma si svolge in un mondo virtuale.
Si isola il programma o il codice sospetto all'interno di una macchina virtuale specializzata, o sandbox, e si dà al programma antivirus la possibilità di testare il codice e simulare che cosa accadrebbe se si eseguisse il file sospetto. Si esamina ogni comando quando si attiva e si cercano eventuali comportamenti sospetti, come l'auto-replicazione, la sovrascrittura di file e altre azioni che sono comuni ai virus.
Problemi potenziali
L'analisi euristica è ideale per identificare nuove minacce, ma per essere efficace deve essere configurata con cura, in modo da ottenere il miglior rilevamento possibile di nuove minacce, senza generare falsi positivi a un codice perfettamente innocuo.
Per questo motivo gli strumenti euristici sono di solito solo una delle armi che compongono un sofisticato arsenale antivirus. Tipicamente sono impiegati insieme ad altri metodi di rilevamento dei virus, come l'analisi delle firme e altre tecnologie proattive.
Articoli correlati:
- Cos'è l'adware?
- Cos'è un trojan?
- Dati concreti e domande frequenti su virus informatici e malware
- Spam e phishing
Prodotti correlati: