content/pt-br/images/repository/isc/2017-images/39-Heurstic.jpg

A análise heurística é um método de detecção de vírus que examina se há propriedades suspeitas no código

Os métodos tradicionais de detecção de vírus envolvem a identificação de malware comparando o código de um programa com o código de tipos de vírus conhecidos que já foram encontrados, analisadose registrados em um banco de dados, o que é conhecido como detecção de assinaturas.

Embora seja útil e ainda esteja em uso, o método de detecção de assinaturas também tornou-se mais limitado com o desenvolvimento das novas ameaças que se proliferaram perto da virada do século e continuam a surgir o tempo todo.

Para conter esse problema, o modelo heurístico foi projetado especificamente para identificar características suspeitas encontradas em vírus novos desconhecidos e versões modificadas de ameaças existentes, bem como amostras de malware conhecidas.

Os criminosos virtuais estão desenvolvendo novas ameaças constantemente, e a análise heurística é um dos únicos métodos utilizados para lidar com o enorme volume dessas novas ameaças observadas diariamente.

A análise heurística também é um dos poucos métodos capazes de combater vírus polimórficos (como são chamados os códigos maliciosos que mudam e se adaptam continuamente. A análise heurística é incorporada a soluções avançadas de segurança oferecidas por empresas como a Kaspersky Labs para detectar novas ameaças antes que possam causar danos, sem a necessidade de uma assinatura específica.

Como funciona a análise heurística?

A análise heurística pode empregar várias técnicas diferentes. Um método heurístico, conhecido como análise heurística estática, envolve a descompilação de um programa suspeito e a análise de seu código fonte. Esse código é então comparado com vírus já conhecidos e que estão no banco de dados heurístico. Se uma porcentagem específica do código fonte corresponder a qualquer item no banco de dados heurístico, o código é sinalizado como uma possível ameaça.

Outro método conhecido é a heurística dinâmica. Quando os cientistas querem analisar algo suspeito sem pôr as pessoas em perigo, eles mantém a substância em um ambiente controlado, como um laboratório seguro, e realizam testes. O processo de análise heurística é semelhante, mas em um mundo virtual.

Ele isola o programa suspeito ou parte do código dentro de uma máquina virtual especializada, ou Sandbox, e dá ao programa antivírus a chance de testar o código e simular o que aconteceria se o arquivo suspeito pudesse ser executado. Ele examina cada comando à medida que é ativado e procura qualquer comportamento suspeito, como autorreplicação, substituição de arquivos e outras ações comuns aos vírus.

Possíveis problemas

A análise heurística é ideal para identificar novas ameaças, mas, para ser eficaz, deve ser ajustada cuidadosamente para fornecer a melhor detecção possível de novas ameaças, mas sem gerar falsos positivos com códigos perfeitamente inocentes.

Por esse motivo, frequentemente as ferramentas heurísticas são apenas uma arma do sofisticado arsenal antivírus. Em geral, são implantadas juntamente com outros métodos de detecção de vírus, como a análise de assinaturas e outras tecnologias proativas.

Artigos relacionados:

Produtos relacionados:

O que é análise heurística?

A análise heurística é um método de detecção de vírus que examina se há propriedades suspeitas no código. Ele foi projetado para identificar novos vírus desconhecidos e versões modificadas de ameaças existentes.
Kaspersky Logo