Kaspersky Internet Security 2012

Analizador Heurístico (o simplemente, heurístico) es una tecnología de detección de virus, el cual no puede ser detectado por la base de datos del Anti-virus. Esto permite detectar objetos, los cuales son sospechosos de estar infectados por desconocimiento o por modificación de virus conocidos. Esto permite detectar sobre el 92% de nuevas amenazas. Este mecanismo es efectivo y tiene muy pocos falsos positivos. Archivos los cuales fueron encontrados por el analizador heurístico son considerados como sospechosos.

Un analizador usualmente empieza analizando el código en busca de atributos sospechosos (comandos) características de programas maliciosos. Este método es llamado análisis estático. Por ejemplo, muchos programas maliciosos rastrean programas ejecutables, abrir los archivos encontrados y modificar los mismos. Un heurístico examina el código de una aplicación e incrementa “contador de sospechosos” para que la aplicación  si es encontrada algún comando sospechosos. Si el valor del contador después de examinar el código entero de la aplicación excede los parámetros predefinidos, el objeto es considerado como sospechoso.

La ventajas de este método incluye la fácil implementación y alto rendimiento.Sin embargo, la detección para nuevos códigos es baja, mientras el ratio de falsos positivos es alto.

Hoy en día, en los programas los análisis estáticos son utilizados en combinación con los análisis dinámicos. La idea detrás de está combinación se aproxima a emular la ejecución de una aplicación en un entorno virtual seguro (el cual es llamado buffer de emulación o “sandbox”) antes de que el usuario lo utilice en su ordenador. En marketing, vendedores también utilizan otros términos - “emulación virtual PC”.

Un analizador heurístico copia parte de un código de aplicación dentro del buffer de emulación en el programa antivirus y utiliza “trucos” para emular esta ejecución. Si cualquier acción sospechosa es detectada durante este “quasi-ejecución”, el objeto es considerado malicioso y la ejecución en el ordenador es bloqueada.

El método dinámico necesita más recursos significativamente que el método estático, porque el análisis basado en este método lo envuelve utilizando un entorno virtual protegido, con la ejecución de las aplicaciones en el ordenador esta se retrasara acorde al tiempo necesario para completar el análisis. Al mismo tiempo, el método dinámico ofrece mucho mayor detección de malware que el método estático, con mucho menor ratio de falsos positivos.

En Kaspersky Internet Security 2012 los siguientes componentes incluyen el Analizador Heurístico:

• Anti-Virus de archivos
  
• Anti-Virus de correo
  
• Anti-Virus de internet
  
• Anti-Virus para chat
  
• Defensa Proactiva
• Control de Aplicaciones
• System Watcher
• Anti-Banner
• Anti-Spam
• Control Parental
• Análisis de vulnerabilidades