Un motor de detección de malware es la parte de su software antivirus que realmente identifica los programas maliciosos.
Los primeros virus fueron experimentos creados por investigadores y aficionados, algunos de los cuales también crearon programas antivirus específicos diseñados para buscar un virus específico y eliminarlo si lo encontraban.
Las primeras herramientas de detección de virus de amplio espectro surgieron en 1987 (creadas respectivamente por G Data, John McAfee y los fundadores de Set) buscaban cadenas de código únicas asociadas con virus particulares. También intentarían «inmunizar» una computadora modificando archivos específicos para dar a los virus la impresión de que el sistema ya estaba infectado.
El número de virus creció rápidamente en complejidad, y muchos introdujeron contramedidas diseñadas para deshabilitar las herramientas antivirus. El motor de detección de malware comenzó a buscar archivos criptográficos firmas hash en lugar de cadenas específicas de código.
Si cada archivo binario tiene un hash único, es posible detectar un archivo malicioso, independientemente de cómo se llame, siempre que contenga los mismos datos que utilizó para crear el hash. En la práctica, especialmente con los algoritmos hash más antiguos, puede obtener el mismo hash de dos archivos completamente diferentes por pura coincidencia, lo que lleva a que los archivos se identifiquen incorrectamente como virus; a esto lo llamamos «falso positivo».
Para contrarrestar esto, surgieron virus polimórficos diseñados para mutar su código cuando se copiaban a sí mismos, mientras conservaban su carga maliciosa. Los motores de detección agregaron capacidades de «escaneo heurístico» que, en lugar de una firma de archivo general, descompilan binarios y buscan código conocido de malware existente y comportamiento malicioso conocido, lo que hace que sea más probable que se detecten nuevas variantes de malware.
La «protección en tiempo real», en lugar del análisis bajo demanda, se convirtió en la norma, con herramientas antivirus en Windows, en particular, diseñadas para analizar automáticamente nuevos archivos, instalaciones, almacenamiento conectado y más. Como la mayoría de las PC ahora están constantemente conectadas a Internet, la detección de malware en tiempo real se ha vuelto mucho más importante.
Los programas antivirus envían archivos potencialmente maliciosos a casa para su posterior análisis, lo que contribuye a la precisión de las bases de datos proporcionadas a sus usuarios: cuantos más usuarios, más muestras. Esta es una de las razones de la espectacular mejora en la precisión de Microsoft Defender en la era de Windows 10.
El «antivirus en la nube» ahora está emergiendo gracias a la prevalencia de las conexiones a Internet de alta velocidad y la potencia masiva del servidor en línea. El análisis de malware se lleva a cabo de forma remota, lo que reduce la carga en dispositivos individuales, aunque encontrará algunas definiciones diferentes dando vueltas sobre qué constituye exactamente un «antivirus en la nube», dependiendo de quién intente venderle qué.
En este momento, el verdadero AV en la nube, con análisis en tiempo real de archivos sospechosos llevado a cabo de forma remota, es más comúnmente una función de protección comercial de punto final para empresas, pero Virus Total, propiedad de Google, proporciona escaneo bajo demanda basado en la nube a través de muchos diferentes. motores de detección, disponibles a través de sus dos sitio web y sus complementos de navegador, diseñados para complementar la configuración antivirus habitual de su computadora.
