Mimo wszystko należy pamiętać, że pobrana próbka kodu jest statycznym obrazem malware'u. Ma to kolosalne znaczenie w dobie bardzo zmiennego kodu, niejednokrotnie rekompilowanego co kilka minut. Dzisiejsze zagrożenia w ponad 50% docierają do stacji roboczej właśnie przez Internet, proces infekcji składa się z kilku etapów, przy czym pierwszy (a czasami także drugi) nie powoduje jeszcze instalacji samego malware'u. Producenci oprogramowania do ochrony stacji roboczych znaleźli sprytną metodę wykrywania złośliwego oprogramowania, opierającą się na reputacji obiektów. Obiektami mogą być pliki lub hiperłącza, przy czym proces analizy odbywa się z użyciem cloud computing, realizowanej przez dostawcę oprogramowania antywirusowego. Aby przetestować takie oprogramowanie, należy podsunąć mu odpowiedni zestaw linków, przy czym niektóre z nich powinny być jeszcze nieznane danej usłudze. Pionierem w dziedzinie stosowania cloud computing na masową skalę w oprogramowaniu antywirusowym był Trend Micro.

Stary test nie pasuje do nowych antywirusów

Test związany z wykrywaniem malware dostarczanego w formie próbek na zewnętrznych nośnikach, dobrze odzwierciedla pracę antywirusa, który opiera zasadę działania na sygnaturach i mechanizmach behawioralnych. Jest to dobry test, oddający rzeczywiste zachowania stacji roboczej, z której nie przegląda się Internetu albo połączenie jest chronione za pomocą innych mechanizmów.

W takim modelu test odporności na nieznane zagrożenia wykonuje się dość prosto, aktualizując antywirusa do określonego stanu i sprawdzając jego reakcję na próbki z późniejszego okresu. Niestety taka próba nie ma sensu przy nowoczesnych pakietach, korzystających z usług w modelu cloud computing. Antywirusy, które korzystają z infrastruktury cloud, muszą być połączone z serwerami usługowymi dostawcy i z definicji są stale aktualne. Z połączenia z usługą wynika także to, że opisany, tradycyjny test odporności na nieznane zagrożenia nie może być tutaj zrealizowany.

Zagrożenie "z powietrza"

Pewna część zagrożeń pochodzi z linków publikowanych w różnych portalach społecznościowych, takich jak Facebook czy blogi, bardzo wiele z nich znajduje się w spamie, a pewna część obiektów na przejętych przez włamywaczy serwerach. Sama ilość wykrywanych obiektów jest wyzwaniem - mechanizmy randomizacji kodu umożliwiają bardzo szybkie budowanie nowych składników oraz ich sprawną dystrybucję na przejętych serwerach WWW. Systemy wykrywania typowego złośliwego kodu rejestrują codziennie od 15 do 50 tys. nowych próbek malware'u - podaje F-Secure. Według ESET, liczba nowych źródeł infekcji przekracza sto tysięcy dziennie.

Jeśli policzyć wszystkie pliki (a niektóre z nich, zwłaszcza z pierwszych etapów infekcji, są często generowane), liczba wykrytych próbek malware'u przez niektóre skanery dochodzi do prawie 100 mln miesięcznie, co odpowiada średnio 3,2 mln dziennie (dane pochodzą z serwisu Virus Map dostarczanego przez Trend Micro). Przy takiej skali zagrożenia, porównanie opierające się na statycznych plikach przestaje mieć sens, gdyż antywirus, który korzysta jedynie z sygnatur i prostej heurystyki jest bezbronny wobec zmasowanego ataku coraz sprytniejszych infektorów.