Site icon Panda Security Mediacenter

Cos’è un virus euristico?

cose-un-virus-euristico

cose-un-virus-euristico

Parliamo di virus euristico quando l’antivirus trova un potenziale virus tramite l’analisi euristica. Scopri di più!

Questo termine crea confusione da tempo e online circolano definizioni sbagliate che preoccupano migliaia di persone, per cui facciamo subito chiarezza: non esiste un tipo di virus euristico che si adatta al computer della vittima (come sostengono alcune versioni online). L’aggettivo euristico si riferisce sempre al metodo di analisi dei file e significa che questa analisi è preliminare, ovvero esamina i file per cercare potenziali minacce in base a regole e dati osservati in precedenza, ma senza avere la certezza che si tratti effettivamente di un virus.

Tuttavia, esistono virus adattivi e ne parleremo in questo post insieme all’analisi euristica e a come funzionano gli antivirus moderni. Buona lettura!

La confusione sui virus euristici

La confusione sul significato di questo termine potrebbe essere nata dalla nomenclatura dei virus generici utilizzata dagli antivirus (ad esempio HEUR:Trojan.Win32.Invader o HEUR:Virus.[Platform].Generic).

Secondo un’altra versione dei fatti, il termine virus euristico si è creato per un’incomprensione nei risultati delle scansioni antivirus, che a volte producono un risultato positivo che viene definito appunto euristico, a indicare che non è una minaccia nota, ma che potrebbe essere un virus e viene trattato come tale sulla base di test e dati preesistenti.

Quindi, ricapitolando, non esistono virus euristici, ma solo risultati di analisi euristiche, che a breve vedremo come funzionano.


Non esistono i cosiddetti virus euristici, che secondo alcune versioni sarebbero dei virus che si adattano continuamente al computer e alle difese di cybersecurity.


L’analisi euristica antivirus

In ambito scientifico, euristico descrive qualsiasi processo preliminare o approssimativo che viene utilizzato per ottenere un risultato altamente probabile ma non sicuro, e che dovrà poi essere sottoposto a controlli più rigorosi.

Nel campo degli antivirus, l’analisi euristica è un insieme di tecniche che hanno come obiettivo rilevare potenziali virus che non corrispondono necessariamente a quelli conosciuti e archiviati nei database, ma che si comportano in un modo che fa presumere appunto che si tratti di un virus.

Come funziona l’analisi euristica

La caratteristica fondamentale delle tecniche euristiche è trovare comportamenti anomali che facciano pensare a un virus per isolare la minaccia prima che causi danni irreparabili. Si tratta di un approccio proattivo e moderno all’analisi di cybersicurezza e non tutti i programmi antivirus la utilizzano per impostazione predefinita, perché ha anche i suoi svantaggi, come vedremo a breve.

Intanto, questi sono i 4 pilastri dell’analisi euristica:

  1. Simulazione del comportamento in una sandbox

    L’analisi euristica spesso utilizza un ambiente virtuale detto sandbox (letteralmente cassetta di sabbia) per eseguire e osservare il comportamento di un programma senza rischiare di infettare il sistema reale. In questo ambiente controllato, il software esamina le azioni del programma, come modifiche ai file o tentativi di connessione a server remoti.

  2. Analisi del codice

    Al di là dell’esecuzione in una sandbox, alcuni sistemi euristici disassemblano il codice di un programma, esaminando la sua struttura a un livello più profondo, ad esempio come salva i dati nella memoria e come interagisce con il sistema operativo.

  3. Rilevamento di pattern sospetti

    L’analisi euristica cerca modelli di comportamento che sono tipici dei software dannosi. Questo include la replicazione automatica, l’occultamento, la crittografia di file importanti (come nel caso dei ransomware) o tentativi di scaricare ulteriori payload dalla rete.

  4. Valutazione e decisione

    Basandosi sull’analisi del comportamento e del codice, il software antivirus assegna un punteggio di rischio al file analizzato. Se il punteggio supera una certa soglia, il file viene considerato sospetto o direttamente dannoso, l’utente viene avvisato e il file viene bloccato o messo in quarantena.

Per questi motivi, l’analisi euristica ha 2 grandi vantaggi: è una protezione proattiva molto efficace, che consente di rilevare potenziali minacce prima che causino danni, e si adatta nel tempo, per cui in un certo senso protegge gli utenti anche dalle minacce future e dalle nuove versioni di virus e malware.

Purtroppo, questi due grandi vantaggi sono accompagnati da 2 svantaggi: per sua natura, l’analisi euristica restituisce più falsi positivi rispetto all’analisi tradizionale, che compara un file con i virus archiviati in un database. Questa ipersensibilità rende l’analisi euristica poco efficiente in alcuni sistemi informatici, in cui molti comportamenti potrebbero superare la soglia di accettabilità dell’antivirus.

In secondo luogo, l’analisi euristica consuma molte risorse di sistema, a partire dalla potenza di calcolo, per cui non è adatta per i sistemi più vecchi e meno potenti, o quantomeno per essere eseguita continuamente in background.

LEGGI ANCHE: 10 modi per personalizzare il telefono

La nuova generazione di antivirus

Gli antivirus moderni come Panda Dome utilizzano continuamente l’analisi euristica per controllare il sistema in tempo reale e offrire un certo grado di protezione da minacce zero-day. Tuttavia, la maggior parte degli antivirus per utenti privati o piccole aziende configura la propria analisi euristica in modo da trovare un giusto equilibrio tra capacità di rilevamento e prestazioni del computer.

In pratica, Panda Dome continua a perfezionare i propri algoritmi di analisi euristica in modo da non appesantire il computer o lo smartphone su cui è operativo e limitare il numero di falsi positivi.

In particolare, in Panda abbiamo risolto il problema del sovraccarico del sistema separando i controlli delle singole funzioni dell’antivirus, che puoi attivare o disattivare in modo autonomo, come e quando vuoi:

Di seguito, ti mostriamo la sezione della Protezione antivirus delle impostazioni di Panda Dome, in cui sono selezionate solo alcune funzionalità per impostazione predefinita.

Screenshot dell’interfaccia di Panda Dome

In conclusione, l’analisi euristica è una parte importantissima dell’arsenale di cybersicurezza degli antivirus contemporanei, ma deve essere bilanciata per non sovraccaricare il sistema operativo e non rovinare l’esperienza di utilizzo dell’utente finale.


L’analisi euristica è proattiva e potente, ma bisogna bilanciarla con cura per non sovraccaricare il sistema informatico e ottenere troppi falsi positivi.


Come proteggersi dai virus nel 2024

Per finire questo post, vogliamo condividere una serie di consigli pratici per prevenire l’infezione di virus:

Seguendo questi consigli, il tuo dispositivo sarà più protetto dai virus noti e anche dalle minacce ancora sconosciute. Se a queste norme di comportamento unisci la forza dell’analisi euristica, i risultato è un altissimo livello di protezione che ti consente di navigare senza doverti preoccupare di nulla.

CONTINUA A LEGGERE: Truffe romantiche con deepfake, il cocktail esplosivo degli Yahoo Boys

Buona navigazione e buon utilizzo dell’analisi euris

Exit mobile version