Detección basada en la firma: Este es el método más tradicional. El programa mantiene una base de datos de "firmas" de malware conocidas:fragmentos de código únicos o patrones característicos de muestras de malware específicas. Si un archivo o proceso coincide con una firma conocida, se marcó como malicioso. Esto es efectivo contra el malware conocido pero inútil contra las nuevas amenazas invisibles anteriormente.
Análisis heurístico (detección conductual): Este método observa el * comportamiento * de un programa en lugar de solo su código. Actividades sospechosas, como:
* Acceso no autorizado a archivos o recursos del sistema: Intentando leer archivos confidenciales, modificar la configuración del sistema o acceder a la red sin permiso.
* Actividad de red inusual: Conectarse a servidores de comando y controles conocidos, enviando grandes cantidades de datos o estableciendo conexiones inusuales.
* auto-replicación o propagación: Creación de copias de sí misma, extendiéndose a otros archivos o sistemas.
* intenta deshabilitar el software de seguridad: Tratando de detener el antivirus, los firewalls u otras herramientas de seguridad.
* Manipulación de memoria: Modificación de la memoria del sistema crucial de manera que sugieren intención maliciosa.
* Comportamiento polimórfico o metamórfico: Cambiar su propio código para evadir la detección basada en la firma.
Sandboxing: Esta técnica ejecuta archivos sospechosos en un entorno aislado controlado (un "sandbox") para observar su comportamiento sin arriesgar daños al sistema principal. Esto permite un análisis más completo de código potencialmente malicioso.
Aprendizaje automático (ML) e inteligencia artificial (AI): Estas técnicas avanzadas analizan grandes cantidades de datos (código, tráfico de red, comportamiento) para identificar patrones y anomalías indicativas de malware. Los modelos ML pueden aprender a reconocer amenazas de malware nuevas y en evolución que los métodos basados en la firma podrían perderse. A menudo buscan irregularidades estadísticas o indicadores sutiles de que un analista humano podría pasar por alto.
Análisis estático: Examinar el código de un programa * sin * ejecutarlo realmente. Esto implica buscar patrones de código sospechosos, llamadas de funciones o uso de API que a menudo se asocian con actividad maliciosa.
Otros indicadores:
* Ofuscación de código: Si bien no es inherentemente malicioso, el código demasiado complejo u ofuscado puede ser una bandera roja, lo que sugiere un intento de ocultar la funcionalidad maliciosa.
* Embalaje/compresión: El malware a menudo está comprimido o embalado para que sea más pequeño y más difícil de analizar. Esto en sí mismo no es malicioso, pero puede ser un indicador sospechoso.
* firmas digitales (o falta de ellas): El software legítimo a menudo tiene una firma digital que verifica su autenticidad. La ausencia de una firma puede ser una señal de advertencia.
Es importante tener en cuenta que la detección de malware es una carrera armamentista continua. Los desarrolladores de malware intentan constantemente evadir la detección, lo que lleva a una evolución continua de las técnicas de detección. Un programa integral de detección de malware generalmente utilizará una combinación de estos métodos para maximizar la efectividad.