C’è spesso confusione tra l’analisi euristica e ciò che è comunemente noto come un “virus euristico”. L’euristica è descritta più accuratamente come analisi euristica, il metodo in cui si trova il codice pericoloso. Il termine, virus euristico, può spesso essere fuorviante.
Mentre il termine virus euristico può essere indicato come il metodo in cui viene rilevato il codice dannoso, è più adatto per descrivere il virus specifico, Heur.Invader-un malware progettato per modificare le impostazioni di sistema.
L’analisi euristica è una difesa antivirus adattiva che scopre il codice dannoso attraverso ipotesi istruite. La necessità di una revisione manuale riduce la scalabilità di questo tipo di analisi, poiché le tecniche sono meno accurate. Inserisci apprendimento automatico nel software antivirus. Automatizzando la maggior parte dei processi e analizzando manualmente per il miglioramento continuo all’interno del resto, il software antivirus è più efficace con zero rischi di infezione da malware basata su file.
Euristica: approccio di rilevamento o virus?
Euristica sono generalmente utilizzati in software antivirus insieme a soluzioni di scansione come un modo per stimare dove codice dannoso è sul computer. Ciò che può essere definito come un “virus euristico” è il rilevamento di possibili malware, adware, trojan o altre minacce. Questo avvertimento preliminare può apparire in una scansione come “HEUR” e dovrebbe essere considerato codice sospetto per ispezionare ulteriormente.
L’analisi euristica può rilevare potenziali virus senza doverli identificare in modo specifico. Il processo è agile e migliora continuamente man mano che scopre le minacce. Più a lungo funziona, più efficiente ed efficace diventa. Sfortunatamente, l’analisi euristica è laboriosa e spesso si traduce in falsi positivi che devono essere esaminati manualmente.
Che cos’è l’analisi euristica?
L’analisi euristica si basa su diverse tecniche. Queste tecniche esplorano i codici sorgente dei file e li abbinano con le minacce precedentemente scoperte. A seconda della proporzione della corrispondenza, il sistema troverà la probabilità di una minaccia e il codice di bandiera che è probabilmente dannoso.
L’analisi euristica utilizza una serie di tecniche per analizzare i comportamenti e i livelli di minaccia, tra cui:
- Scansione dinamica: analizza il comportamento di un file in un ambiente simulato.
- Analisi dei file: analizza l’intento, la destinazione e lo scopo di un file.
- Analisi multicriteria (MCA): Analizza il peso della potenziale minaccia.
Le scansioni euristiche dei virus utilizzano queste tecniche di analisi per il rilevamento dei virus all’interno del codice.
Rilevamento euristico dei virus
Il rilevamento basato sulle firme e il sandboxing vengono utilizzati con il rilevamento euristico dei virus per il risultato più efficace.
Rilevamento basato su euristica può determinare il codice è una minaccia se il programma:
- Persiste nella memoria dopo aver eseguito il suo compito.
- Tenta di scrivere sul disco.
- Modifica i file del sistema operativo richiesti.
- Imita il malware noto.
Scansione euristica
La regolazione del livello di sensibilità all’interno delle scansioni euristiche determina il livello di tolleranza dei file sospetti. Con un maggiore livello di sensibilità, c’è un maggiore livello di protezione, ma anche un maggiore rischio di falsi positivi.
Abilitare la scansione euristica e scegliere i livelli di sensibilità con i seguenti passaggi:
- Aprire le impostazioni nella finestra principale del programma.
- Configurare le proprietà di scansione nella sezione scansione.
- Selezionare la casella di controllo per abilitare la scansione nella sezione Euristica.
- Per modificare il livello di sensibilità, aprire impostazioni e selezionare uno dei tre livelli.
Come si fa a sbarazzarsi di un virus euristico?
Un server remoto controlla l’Heur.Virus invasore. Quando si rimuove l’Heur.Virus invasore, utilizzare il software antivirus per eseguire una scansione completa in modalità provvisoria. Rimuovere la minaccia dal computer una volta rilevato.
Questa minaccia critica può disabilitare il software antivirus, installare programmi dannosi, raccogliere informazioni sensibili e modificare le impostazioni di sicurezza. Quando si rimuove l’Heur.Virus invasore, avviare sempre il computer in modalità provvisoria. In questo modo si avvia il computer solo con i driver e servizi necessari e non caricare il virus—che può disattivare il software antivirus.
- Avviare il computer in modalità provvisoria.
- Eseguire la scansione completa del software antivirus come normale.
- Una volta che la scansione denota codice dannoso, ispezionare manualmente l’elemento per i falsi positivi.
- Rimuovere il codice dannoso.
In sintesi, l’analisi euristica rileva incongruenze in un’applicazione e può essere trovata nella maggior parte dei programmi software antivirus. Lo svantaggio del rilevamento euristico, tuttavia, è la necessità di una revisione manuale a causa di frequenti falsi positivi. Accoppia questo metodo di rilevamento con l’automazione e altri strumenti di rilevamento per ottenere risultati più accurati.