¿Qué es el análisis heurístico en un Antivirus?

La idea es que usted mire el código del programa y adivine si parece un virus o no. En realidad, muchos virus diferentes contienen instrucciones comunes y similitudes que permiten distinguirlos de un programa que no sea un virus.

Un escáner heurístico emitirá una alarma cuando detecte una instrucción sospechosa.

Cada instrucción del archivo puede tener un valor mayor o menor. Por ejemplo, el valor de modificación de un archivo ejecutable puede tener un valor mayor que el valor de búsqueda del mismo archivo.

Al final del escaneo, el escáner suma todos los valores encontrados y emite una advertencia sobre el archivo si supera un determinado valor. Un escáner heurístico puede sospechar que un código escaneado contiene instrucciones para buscar archivos, modificarlos o incluso destruir datos en el disco.

Un archivo infectado es el resultado de un archivo limpio al que se le ha añadido el código del virus. Por lo tanto, los archivos infectados pueden tener una estructura no estándar, es decir, una división de diferentes datos y secciones, que no se parece a la estructura de un archivo compilado por un compilador estándar.

El código en cuestión nunca es ejecutado o emulado por el escáner, pero pasa por el escáner como una firma.

Aunque este método de escaneo es interesante, tiene dos grandes inconvenientes: por un lado, puede dar lugar a falsos positivos, es decir, falsos positivos para archivos que no tienen nada que ver con el virus.

Por otro lado, y este es su principal inconveniente, no puede detectar todos los virus. Una vez que un proveedor de antivirus ha lanzado un motor de escaneo heurístico, es muy fácil para un atacante aprender a eludirlo.

Mira este articulo en la web de Kaspersky para ampliar la información.

Comprobación de integridad y análisis heurístico

La comprobación de la integridad de los archivos consiste en verificar que un archivo no ha sido modificado o cambiado a lo largo del tiempo. Para comprobar la integridad de los archivos, el programa antivirus almacena un archivo central que contiene una lista de todos los archivos disponibles en el disco y que está asociada a la información que podría cambiar si el archivo fuera modificado.

La fecha y hora de la última modificación y la suma de comprobación. Cuando el programa antivirus realiza un análisis o abre un archivo mientras está en la memoria, recalcula la suma de comprobación y comprueba si otros parámetros han cambiado. Si detecta una anomalía, avisa al usuario.
Contra esta protección, los virus no cambian la fecha de modificación del archivo y no lo restauran.

El escaneo heurístico es el método más eficaz para detectar virus desconocidos. El escaneo intenta detectar la presencia de un virus analizando el código de un programa desconocido y simulando su funcionamiento. A veces hay falsos positivos, es decir, archivos inofensivos que se reportan como infectados.

El programa antivirus supervisa constantemente el comportamiento de los programas en ejecución y comprueba todos los archivos modificados y creados. La exploración heurística nunca se realiza sola, sino en combinación con otros métodos, y es esencial cuando se navega por Internet. Si el programa antivirus detecta un virus, puede repararlo, eliminarlo o ponerlo en cuarentena en una carpeta protegida del disco duro.