Come fa un software antivirus a riconoscere una minaccia informatica e come funziona

L’antivirus è uno degli strumenti principali per proteggere i nostri dispositivi elettronici dagli attacchi informatici e rilevare eventuali malware come worm, trojan e spyware. Questa tipologia di software si occupa di scansionare il computer alla ricerca di eventuali file dannosi, che potrebbero danneggiare il sistema. Un antivirus si basa principalmente su tre meccanismi fondamentali per identificare il malware: il rilevamento basato su firme, il rilevamento euristico e quello comportamentale.  Analizziamoli nel dettaglio, così da capire come fa un antivirus a riconoscere una minaccia informatica.

Come funziona l’antivirus: tre modi per rilevare le minacce informatiche

Il rilevamento basato sulle firme è uno dei metodi più antichi usati nell’ambito della cybersecurity e consiste nel confrontare i file del dispositivo con un database di virus già conosciuti. Ogni programma dannoso ha una “firma” unica, ovvero un insieme di caratteristiche identificabili nel suo codice. Quando il software antivirus trova una corrispondenza, segnala il file come dannoso. Per quanto possa essere efficace, questo metodo ha i suoi limiti, visto che funziona solo con minacce già note e non può identificare software malevoli nuovi, che non sono ancora stati aggiunti al database dell’antivirus.

Per superare questo limite, molti antivirus utilizzano il rilevamento euristico, che non va a cercare corrispondenze esatte, bensì si cercano possibili criticità che destano un certo sospetto nel software analizzato. Questa tecnica di rilevamento può avvenire in diversi modi. In alcuni casi, viene analizzato il codice sorgente del software e messo a confronto con virus noti: se viene trovata una certa corrispondenza con virus noti presenti nel database euristico, il codice viene contrassegnato come potenziale minaccia. Questo approccio consente di rilevare nuove varianti di virus informatici che potrebbero sfuggire al rilevamento basato sulle firme. Questo, tuttavia, può portare anche a un maggiore rischio di incappare in falsi positivi, ossia segnalazioni errate di file innocui come minacce. Emblematico, a questo riguardo, quanto accaduto nel 2011 con il browser Google Chrome, che venne erroneamente classificato come pericoloso dall’antivirus Windows Defender (conosciuto anche come Microsoft Defender Antivirus eSecurity Essentials).

Un altro metodo utilizzato dai software antivirus è il rilevamento basato sul comportamento, che osserva l’attività di un programma mentre viene effettivamente eseguito. Se il programma mostra azioni sospette, come tentativi di infettare altri file o connettersi a server remoti, l’antivirus può segnalarlo come pericoloso.

Come avviene la scansione antivirus

Il processo di scansione di un antivirus inizia solitamente con una scansione completa del sistema, che analizza ogni file per identificare potenziali minacce. Successivamente, la maggior parte dei software antivirus esegue scansioni automatiche regolari a intervalli programmati o scansioni manuali, che l’utente può attivare seduta stante, quando più preferisce. La scansione può essere rapida (avviene in un tempo massimo di 30 minuti), concentrandosi solo su aree critiche come la memoria del computer, la directory del sistema operativo e i file temporanei, oppure può essere più approfondita (come quella che avviene al primo utilizzo dell’antivirus), nella quale ogni singolo file (inclusi quelli presenti in chiavette USB e altri supporti esterni) viene attentamente vagliato.

Oltre a eseguire regolarmente delle scansioni, è importante attivare gli ggiornamenti automatici delle definizioni dei virus. Questi update sono essenziali per garantire che l’antivirus possa riconoscere anche le minacce più recenti.

Nel momento in cui un antivirus dovesse rilevare una minaccia, proverà a rimuoverla dal sistema. Qualora non dovesse riuscirci, potrebbe adottare alcune misure di sicurezza ad hoc. Tra queste c’è la cosiddetta quarantena che, come facilmente intuibile dal suo nome, consiste nell’isolare i file sospetti in un’area sicura del sistema, così da evitare che questo venga danneggiato.

’uso degli antivirus non basta per proteggerci dai malware

Nonostante l’efficacia degli antivirus, è importante sottolineare che nessun software può garantire una protezione totale contro tutte le minacce informatiche. Questo perché queste sono in continua evoluzione e sono sempre più diffuse: secondo alcune stime dal 2009 al 2019 le infezioni da malware sono passate da 12 milioni a oltre 812 milioni, con un incremento del 6.500%.

Ecco perché, oltre ad affidarvi a un buon antivirus, vi suggeriamo di adottare una strategia di sicurezza a più livelli, che includa pratiche come l’uso di password robuste, l’aggiornamento regolare dei software e l’adozione di strumenti come le VPN per proteggere le informazioni sensibili quando si è online.