Los investigadores buscan la informática en la nube para luchar contra el malware

Un servicio de red que atrapa más software malicioso que un solo programa antivirus puede atrapar por sí mismo podría ser la próxima arma utilizada para combatir las amenazas de Internet.

Investigadores de la Universidad de Michigan, que desarrollaron el servicio CloudAV sostienen que el antivirus los programas no detectan un porcentaje sustancial de malware. Además, dicen que hay un desfase entre el momento en que aparece una amenaza y el momento en que el programa antivirus se actualiza para detectarlo.

Los expertos en seguridad advierten que las personas deberían usar productos antivirus, pero también la efectividad de los programas disminuye lentamente. Aumento creciente del software malicioso.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El método de los investigadores usa el concepto de "computación en la nube", donde el procesamiento de una tarea se realiza en un servidor remoto y el resultado se devuelve a una PC o dispositivo móvil.

CloudAV utiliza un enfoque muscular, que combina 10 motores antivirus y dos de detección del comportamiento en un solo servicio. Los investigadores siguieron el ejemplo de "N-versión programming", un método en el que se utilizan diferentes implementaciones de software para garantizar la fiabilidad de los servicios, como los sistemas de archivos.

"Los motores antivirus tienen capacidades de detección complementarias y una combinación de muchos los motores pueden mejorar la identificación general de software malicioso y no deseado ", según CloudAV. "Este modelo permite la identificación de software malicioso y no deseado por varios motores de detección heterogéneos en paralelo, una técnica que llamamos protección de versión N".

Para usar CloudAV, se instala un agente de host en una PC que ejecuta Windows, Linux o los sistemas operativos FreeBSD. El agente también se puede instalar en un dispositivo móvil.

El agente supervisa los nuevos archivos y programas que se escriben en el disco. Se crea una memoria caché de archivos analizados previamente para reducir la carga en la red. Los nuevos archivos no reconocidos en la memoria caché local se envían a la red. CloudAV puede compararlo con su caché o ejecutar un análisis, que demora alrededor de 1,3 segundos.

Durante los seis meses de prueba, CloudAV detectó que el 98 por ciento de los 7.220 investigadores de muestras de malware corrieron en su contra. Un motor de detección solo obtiene el 83 por ciento, escribieron los investigadores.

Los motores antivirus utilizados por CloudAV son Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec y Trend Micro. además de dos motores de detección de comportamiento, Sandbox de Norman Solutions y CWSandbox de Sunbelt Software.

Los investigadores advierten que los servicios de red como CloudAV no reemplazarán el antivirus o el software de detección de intrusos, pero podrían usarse en combinación para crear una mejor defensa contra malware.

El artículo de investigación fue escrito por Jon Oberheide, Evan Cooke y Farnam Jahanian del Departamento de Ingeniería Eléctrica y Ciencias de la Computación de la Universidad de Michigan.