なぜ一部のウイルス対策プログラムは他の人が見逃した感染を見つけるのですか?
Windows 7 PCにアバストフリーアンチウイルスをインストールしています。昨日、ウイルスを発見したBit Defenderクイックスキャンアドオンを使用しました。アバストに再確認したところ、うまくいきませんでした。
ESET Online Scannerでシステムをスキャンしてもウイルスは表示されませんが、ClamWinでスキャンすると検出されます(ただし、名前は異なります)
なぜ結果が異なるのですか?
アンチウイルスは、既知のウイルスのハッシュをファイルのハッシュと比較します。ハッシュが一致すると、ボックスが爆破され、それが通知されます。これらの企業は、既知のマルウェアハッシュ用に独自のデータベースを運用しています。したがって、ある会社ではハッシュが特定されているが、別の会社ではそうではない場合があります。
多くのマルウェアが攻撃サイトによって即座に生成されます。つまり、ポリモーフィックなペイロードエンコーダーを使用して(コードの動作方法を変更せずに)ウイルスコードを操作し、ウイルス対策会社にはない新しいハッシュを作成します。本質的にすべての被害者は、企業が持っていないハッシュを取得します。現在、企業はこれらのハッシュを1つずつ確認しており、そのため、ある会社が新しいハッシュを取得し、他の会社は取得しない場合があります。
ウイルスは自分自身をそのように識別しません。実際、彼らはしばしば自分を偽装して、発見を困難にしようとします。ウイルススキャンソフトウェアは、プログラムが既知のウイルスのように見えるかどうかを判断するためにさまざまな異なる手法を使用しますが、それらが使用する正確な方法とそれらが探すものはプログラムによって異なります。これらのウイルス定義は異なるため、ルールが存在しないか、別のウイルススキャナーが検出する特定のEdgeケースを検出しない場合があります。
一部のウイルススキャナーは他のウイルススキャナーよりも優れていますが、一般に、それらは単純に異なります。最高のウイルススキャナー(最高のウイルスを決定できる場合)でも、最悪のウイルスが拾う可能性のあるウイルスを検出できません。
最も簡単な答えは、各ウイルス対策ソリューションのコーディングが異なるためです。それらは異なるソフトウェアです。 MS Office、OpenOffice、Star Officeの違いを期待するのと同じように、違いがあるはずです。
さらに拡張すると、一部のアンチウイルスはウイルスデータベースを使用します。これは、簡単に言えば、既知のウイルスに関する情報を保持しています。これらは、ウイルスをDBに追加する前にウイルスについて知る必要があるという点で、悪者の背後にある常に1つのステップです。このタイプのテクノロジーを使用するほとんどのウイルス対策製品は最新の状態を維持するのに優れていますが、1つのAV製品が他の製品の結果を台無しにする可能性は確かにあります。
他の形式のアンチウイルスは、ヒューリスティック(ソフトウェアの動作を分析)を使用してマルウェアを検出しようとします。これらは、従来のAVソフトウェアが見逃す可能性のあるマルウェアを検出し、他のタイプのアンチウイルスが検出できるマルウェアを見落とす可能性があります。
基本的に:署名はまだデータベースにありません。
Virustotal を見てください。最近のマルウェアの中には、いくつかのエンジンでのみ検出されるものがあります。その後、エンジンはそれぞれの会社によって更新され、検出率が上昇します。
これは、ウイルス署名がまだDBにないことを意味します。検出率が最も高いアンチウイルスを探すことをお勧めします。