Una de las técnicas más usadas en los antivirus es la detección a través de firmas, con la que se identifican virus y malware conocido mediante la identificación de partes de su código. Esto permite una buena tasa de detección y un ratio discreto de falsos positivos.
A cambio, con esta técnica no es posible identificar malware desconocido, por lo que los fabricantes de antivirus tienen que darse prisa en actualizar sus bases de datos cuando sale algún especimen nuevo, y los usuarios tienen que estar actualizando constantemente para estar al día y no sufrir problemas.
Aunque esto no suele ser difícil hoy en día, con el auge de la banda ancha y las conexiones ubicuas, que permiten recibir las actualizaciones enseguida, sigue estando el problema del malware que las empresas de antivirus todavía no han recibido y analizado.
Complementando a esta técnica hay muchas otras, una de las cuales es conocida como HIPS (Host-based Intrusion Prevention System), que se basa en el análisis de las acciones de los ejecutables en el sistema para determinar si estas son malignas.
Por ejemplo, si un troyano se acomoda en nuestro sistema e intenta descargar otro fichero para instalarlo y que se inicie automáticamente, el HIPS debería detectar esta acción e impedirla o, al menos, preguntar al usuario si la autoriza.
F-Secure dispone de esa tecnología en sus productos que incorporan DeepGuard, el conjunto de técnicas que permiten descubrir malware y virus no existentes en su base de datos, y la acaba de actualizar con DeepGuard 2.0.
La idea de Gemini 2.0 es resultar más preciso y dar menos falsos positivos. Para ello se ha reentrenado al sistema de detección, de forma que se aumenta el número de malware que es detectado y bloqueado automáticamente. En pruebas con todo el malware aparecido en octubre se ha conseguido aumentar el nivel de detección del 20% al 50%.
También se ha reducido el porcentaje de software benigno del que se pide permiso al usuario para realizar sus tareas. Muchos programas legítimos realizan acciones que son similares a las de malware. Imaginemos un unstalador de un programa en el que solamente nos bajamos un pequeño archivo de varios KB y que, posteriormente, se encarga de descargar el resto de la aplicación e instalarla. Gemini 2.0 es capaz de distinguir mejor entre un programa de este tipo y el malware.
Más información | F-Secure.