Ainda sobre este assunto, uma opinião de alguém que "afirma" que os antivírus, pelo menos da forma como os conhecemos, terão o dias contados... utilizei o Google Tradutor mas a página original está
aqui
.
"Tanto quanto eu estou preocupado, sistemas anti-vírus são tão bons como morto. Ou, se eles não são ainda, eles estão certamente indo dessa forma.
Análise baseada em assinaturas, tanto estática (por exemplo hash SHA1) e heurística (por exemplo, correspondência de padrões) é inútil contra malware polimórfico, que está se tornando uma grande preocupação quando você considera o quão fácil é para escrever geradores de código esses dias. No momento em que um padrão de identificação encontra-se em um mecanismo de morphing particular, os bandidos já escreveu um novo. Quando você considera que mesmo a maioria das linguagens de script do navegador são Turing completa, torna-se evidente que o mesmo comportamento malware é quase infinitamente re-gravável, com pouco esforço por parte do desenvolvedor. Análise comportamental pode fornecer um método de detecção de baixa taxa de sucesso, mas é um indicador fraco de malintent na melhor das hipóteses.
Também vimos um grande aumento nos ataques que se encaixam a ameaça persistente avançada (APT) modelo nos últimos anos. Essas ameaças têm um alvo específico e objetivo, em vez de atacar alvos aleatoriamente para pegar o fruto de baixo pendurado. Ataques no modelo APT pode envolver engenharia social, malware personalizado, exploits personalizados / cargas úteis e não divulgadas vulnerabilidades 0-day - exatamente as ameaças que as soluções anti-malware têm dificuldade de manuseio.
O próximo problema é o malware residente na memória. É muito difícil (isto é computacionalmente caro) para software antivírus para monitorar o conteúdo da memória de programa, muito menos fornecer detecção precisa de exploits em memória em um sistema vivo. Se o malware nunca toca o disco, software AV nunca mais vai pegá-lo. Em seu " HTML5 - um novo ataque Vector inteiro "falar em BSidesLondon, Robert McArdle falou sobre botnets e outros malwares, escrito em HTML5, que residem dentro de uma aba do navegador. Agora, supondo que o navegador não armazena em cache esta no disco (normalmente você pode impor isso com cabeçalhos HTTP) você tem uma ameaça de malware residente na memória que não precisa de exploits de navegador, é fácil de ofuscar, e tem capacidades de rede completa . Por outro lado das coisas, a execução de código arbitrário explora dentro de navegadores podem ser aproveitados para carregar módulos executáveis na memória do processo. Seria relativamente simples escrever malware que permanece residente no processo de browser, ou infecta outros processos de longa duração no sistema. Também é geralmente possível para evitar a troca de páginas de memória, assim você pode garantir que o malware nunca toca o disco. É um pesadelo para o software de AV, e um pesadelo para os analistas forenses.
Embora os aspectos técnicos desses ataques é um adversário difícil para sistemas anti-vírus, o aspecto econômico é o prego no caixão. De acordo com PayScale , um desenvolvedor de software na Índia média recebe cerca de INR 320 mil por ano, o que equivale a cerca de 5.700 USD. Compare isso com o preço de um analista de malware ou analista de sistemas de segurança, que é de 60.000 USD antes de os custos com benefícios de seguros, previdência e outros estão anexados. Isso significa que para cada analista que uma empresa contrata AV, os bandidos podem contratar 10 desenvolvedores. Isso é facilmente o suficiente para trabalhar em 3 ou 4 projetos de malware em paralelo. Não há competição aqui - os bandidos têm mais pessoas a trabalhar para eles, por menos dinheiro, e eles não precisam aderir aos padrões de emprego ou práticas de trabalho éticas. Eles podem produzir e atualizar o malware significativamente mais rapidamente (e rentável) do que os rapazes AV pode analisar e defender-se contra ele.
Agora, não me interpretem mal, AV ainda tem seu lugar no mundo da segurança - sem ele, administradores teriam que lidar com uma enxurrada de malware comum usada por script kiddies. No entanto, ele não é mais muito mais do que um filtro para os ataques mais básicos."