Nueva tecnología de “genotipos” simplifica actualización de antivirus

22 May 2005 en Seguridad

Se trata de un desarrollo de Sophos Inc, compañía de soluciones antivirus y antispam, con sede en Lynnfield, Massachussets. Con esta tecnología, se puede reducir el tiempo necesario para la actualización de perfiles de virus.
La tecnología de genotipos identifica variantes de una familia determinada de malware. Por ejemplo, cuando se ha actualizado el genotipo de Mydoom o Mytop, ese update sirve para proteger contra las siguientes miríadas de variantes del gusano o virus original. La genotipificación busca ciertas características genéticas de una familia, analizando la forma en que interactúa con el sistema operativo; si se copia a sí mismo en una determinada carpeta; si abre puertas traseras; si infecta a otros archivos de la máquina… Una vez que esa clase de características son detectadas, la tecnología las buscará en todas las variantes que puedan suceder a un malware original, permitiendo que el software de protección contra una nueva variante sin que se haya realizado el update del antivirus.
Las variantes de los virus son las más problemáticas, ya que los desarrolladores de herramientas defensivas tienen que ir al laboratorio y encontrar protecciones contra ellas. Eso puede tardar desde minutos, a horas o días y es por eso que el genotipo agrega una nueva capa de protección.
Otras compañías han trabajado en software antivirus capaz de detectar comportamientos, aunque el resultado ha sido muchas veces desalentador debido a la alta tasa de detecciones falsas. El producto de Sophos analiza cada característica constitutiva de un modo diferente.
Mydoom, por ejemplo, tuvo más de 50 variantes y con genotipos se detectó un 77% de las mismas con un solo update del software. Eso ahorra mucho tiempo a los administradores de seguridad.
Paul Stamp, analista de Forrester Research, destaca que algunas compañías de antivirus tomaron el camino de las comparaciones directas, mientras que otras intentan detectar comportamientos generales. Muy pocos, por no decir ninguno, de esos esfuerzos han funcionado.
Pero el modelo de Sophos es diferente, según este analista. “Abstrae la capa compleja del proceso de update y esta tecnología no es igual a las demás. Cuanto menos frecuente la realización de updates, menos complicada es.”
Sophos también utiliza genotipos contra el spam, que generalmente utiliza encabezados de email, palabras y frases que siguen patrones.
Pero Andrew Jaquith, de Yankee Group, no es muy optimista respecto a la efectividad de estos adelantos. “Cuando se escala en la defensa, los chicos malos escalan en su capacidad de ataque. Es un juego que nunca termina.”
Hasta el momento, los usuarios piloto de la solución Sophos coinciden en que se ha simplificado la tarea de actualización y ha mejorado la satisfacción de los usuarios, algo que muchos administradores consideran un logro más que deseable.