Introducción a la detección de malware usando YARA
¿Alguna vez te has preguntado cómo se detecta el malware? ¿Cómo funcionan los escáneres de malware? ¿Cómo sabe Gmail que el archivo adjunto sospechoso que recibiste fue “peligroso”?
Después de todo, el malware viene en todas las formas y tamaños. Por ello, no hay una característica única que te indique si un archivo puede causar daño o no.
¿Cómo se detecta el malware?
La detección de malware a menudo se realiza mediante la identificación de ciertas características de archivos maliciosos conocidos.
Una forma de detectar malware es calcular un hash del archivo sospechoso y compararlo con los hashes de malware conocido.
A veces, el software antivirus busca una cadena particular en un archivo que identifica tipos particulares o familias enteras de malware. El software antivirus también puede buscar una secuencia de bytes que sea típica de un virus o troyano específico.
La herramienta de la que vamos a hablar hoy, YARA, adopta este último enfoque. ¡Veamos cómo YARA detecta los archivos de malware, cómo puedes instalar y usar YARA! También cómo crear tus propias reglas de YARA para la detección personalizada de malware.
