Come funziona il software antivirus
I programmi antivirus sono potenti software che sono essenziali sui computer Windows. Se ti sei mai chiesto come i programmi antivirus rilevano i virus, cosa stanno facendo sul tuo computer e se hai bisogno di eseguire regolarmente scansioni di sistema, leggi su.
Un programma antivirus è una parte essenziale di una strategia di sicurezza a più livelli - anche se sei un utente smart computer, il flusso costante di vulnerabilità per browser, plug-in e il sistema operativo Windows stesso rendono la protezione antivirus importante.
Scansione all'accesso
Il software antivirus viene eseguito in background sul tuo computer, controllando ogni file che apri. Questo è generalmente noto come scansione in accesso, scansione in background, scansione residente, protezione in tempo reale o qualcos'altro, a seconda del programma antivirus.
Quando fai doppio clic su un file EXE, potrebbe sembrare che il programma si avvii immediatamente, ma non è così. Il tuo software antivirus controlla prima il programma, confrontandolo con virus noti, worm e altri tipi di malware. Il tuo software antivirus esegue anche il controllo "euristico", controllando i programmi per tipi di comportamenti errati che potrebbero indicare un nuovo virus sconosciuto.
I programmi antivirus eseguono anche la scansione di altri tipi di file che possono contenere virus. Ad esempio, un file di archivio .zip può contenere virus compressi o un documento di Word può contenere una macro dannosa. I file vengono scansionati ogni volta che vengono utilizzati, ad esempio, se scarichi un file EXE, verrà scansionato immediatamente, prima ancora di aprirlo.
È possibile utilizzare un antivirus senza scansione in accesso, ma in genere non è una buona idea: i virus che sfruttano falle nella sicurezza dei programmi non verrebbero rilevati dallo scanner. Dopo che un virus ha infettato il tuo sistema, è molto più difficile da rimuovere. (È anche difficile essere sicuri che il malware sia stato rimosso completamente.)
Scansioni complete del sistema
A causa della scansione in accesso, di solito non è necessario eseguire scansioni complete del sistema. Se si scarica un virus sul computer, il programma antivirus si noterà immediatamente: non è necessario avviare manualmente una scansione.
Le scansioni dell'intero sistema possono tuttavia essere utili per alcune cose. Una scansione completa del sistema è utile quando hai appena installato un programma antivirus, in modo che non ci siano virus in sospeso sul tuo computer. La maggior parte dei programmi antivirus imposta scansioni programmate dell'intero sistema, spesso una volta alla settimana. Ciò garantisce che i file di definizione dei virus più recenti vengano utilizzati per eseguire la scansione del sistema per virus dormienti.
Queste scansioni complete del disco possono anche essere utili durante la riparazione di un computer. Se si desidera riparare un computer già infetto, è utile inserire il proprio disco rigido in un altro computer ed eseguire una scansione completa del sistema alla ricerca di virus (se non si esegue una reinstallazione completa di Windows). Tuttavia, di solito non è necessario eseguire scansioni complete del sistema da soli quando un programma antivirus ti sta già proteggendo: esegue sempre la scansione in background e esegue scansioni regolari e complete del sistema.
Definizioni dei virus
Il tuo software antivirus si basa sulle definizioni dei virus per rilevare il malware. Ecco perché scarica automaticamente i nuovi file di definizione aggiornati, una volta al giorno o anche più spesso. I file di definizione contengono firme per virus e altri malware incontrati in natura. Quando un programma antivirus esegue la scansione di un file e nota che il file corrisponde a un malware noto, il programma antivirus arresta il file, mettendolo in "quarantena". A seconda delle impostazioni del programma antivirus, il programma antivirus può eliminare automaticamente il file oppure potresti consentire al file di funzionare comunque, se sei sicuro che sia un falso positivo.
Le aziende antivirus devono continuamente aggiornarsi con gli ultimi malware, rilasciando aggiornamenti delle definizioni che garantiscono che il malware sia catturato dai loro programmi. I laboratori antivirus utilizzano una varietà di strumenti per disassemblare i virus, eseguirli in sandbox e rilasciare aggiornamenti tempestivi che garantiscono che gli utenti siano protetti dal nuovo malware.
Euristico
I programmi antivirus utilizzano anche l'euristica. L'euristica consente a un programma antivirus di identificare tipi di malware nuovi o modificati, anche senza i file di definizione dei virus. Ad esempio, se un programma antivirus rileva che un programma in esecuzione sul sistema sta tentando di aprire tutti i file EXE sul sistema, infettandolo scrivendo una copia del programma originale, il programma antivirus può rilevare questo programma come nuovo, tipo sconosciuto di virus.
Nessun programma antivirus è perfetto. L'euristica non può essere troppo aggressiva o contrassegnerà i software legittimi come virus.
Falsi positivi
A causa della grande quantità di software in circolazione, è possibile che i programmi antivirus possano occasionalmente affermare che un file è un virus quando in realtà è un file completamente sicuro. Questo è noto come "falso positivo". Occasionalmente, le società di antivirus possono persino commettere errori come l'identificazione di file di sistema di Windows, programmi popolari di terze parti o i propri file di programmi antivirus come virus. Questi falsi positivi possono danneggiare i sistemi degli utenti - tali errori in genere finiscono nelle notizie, come quando Microsoft Security Essentials identificava Google Chrome come virus, AVG ha danneggiato le versioni a 64 bit di Windows 7 o Sophos si è identificato come malware.
L'euristica può anche aumentare il tasso di falsi positivi. Un antivirus può notare che un programma si comporta in modo simile a un programma dannoso e lo identifica come virus.
Nonostante questo, i falsi positivi sono abbastanza rari nell'uso normale. Se il tuo antivirus dice che un file è dannoso, dovresti generalmente crederlo. Se non sei sicuro che un file sia effettivamente un virus, puoi provare a caricarlo su VirusTotal (che ora è di proprietà di Google). VirusTotal analizza il file con una varietà di diversi prodotti antivirus e ti dice cosa ne dice ciascuno di essi.
Tassi di rilevamento
Diversi programmi antivirus hanno tassi di rilevamento diversi, in cui sono coinvolte sia le definizioni dei virus che l'euristica. Alcune società antivirus potrebbero avere un'euristica più efficace e rilasciare più definizioni dei virus rispetto ai loro concorrenti, con un conseguente aumento del tasso di rilevamento.
Alcune organizzazioni eseguono regolarmente test dei programmi antivirus confrontandoli tra loro, confrontando i loro tassi di rilevamento nell'uso reale. AV-Comparitives pubblica periodicamente studi che confrontano lo stato corrente dei tassi di rilevamento antivirus. I tassi di rilevamento tendono a fluttuare nel tempo - non esiste un prodotto migliore che sia sempre al top. Se stai davvero cercando di vedere quanto sia efficace un programma antivirus e quali sono i migliori là fuori, gli studi sui tassi di rilevamento sono il posto dove guardare.
Test di un programma antivirus
Se si desidera verificare se un programma antivirus funziona correttamente, è possibile utilizzare il file di test EICAR. Il file EICAR è un modo standard per testare i programmi antivirus: non è in realtà pericoloso, ma i programmi antivirus si comportano come se fossero pericolosi, identificandolo come un virus. Ciò consente di testare le risposte del programma antivirus senza utilizzare un virus attivo.
I programmi antivirus sono complicati software, e su questo argomento potrebbero essere scritti libri spessi, ma si spera che questo articolo ti abbia portato a conoscenza delle basi.