Os Antivírus Funcionam?

AntivírusDiariamente surgem mais de 40 mil novas ameaças na Internet. E esse número cresce constantemente. Essa enorme   produção é fruto de uma atividade profissional muito bem organizada, o Cibercrime. Estima-se que o cibercrime   movimente globalmente tanto dinheiro quanto o narcotráfico. É claro que a produção de malwares é apenas uma das   atividades do cibercrime que engloba espionagem industrial, sabotagem, aluguel de botnets, envio de SPAMs, venda   de produtos e muitos outros.

Mas o fato é que a produção de malwares cresce em quantidade e sofisticação. E os fabricantes de antivírus e outros   produtos de segurança precisam acompanhar esse ritmo para proteger os seus usuários. Nesse artigo vamos entender como os antivírus estão sendo capazes de oferecer proteção contra as atuais ameças.

Existem diferentes tipos de programas maliciosos ou malwares (MALicious softWARE): vírus, worms, cavalos de tróia ou trojans e outros. Neste artigo, vamos usar o termo vírus como é entendido informalmente, ou seja, como uma designação genérica de ameaças ou malware.

Detecção por Assinatura
A maneira tradicional dos softwares identificarem um vírus é a detecção por assinatura. Consiste em identificar uma sequência de bytes que caracterizam um malware. Essa assinatura é obtida depois que um vírus é identificado. Para isso os fabricantes de antivírus tem pontos de coleta espalhados em todo o mundo e contam ainda com colaboradores em diversos países. No Brasil, a Winco envia diariamente para o AVG amostras que recebemos de diferentes fontes, inclusive de uma colaboração com oCSIRT (Computer Security Incident Response Team) do Banco do Brasil.

Além da quantidade enorme de amostras que tem de ser analisadas e de assinaturas geradas, é necessário lidar com os vírus polimórficos. Vírus polimórficos se automodificam para dificultar a sua detecção. Essa modificação normalmente é feita empacotando o código malicioso usando técnicas de criptografia. Os antivírus tem de ser capazes de encontrar a assinatura em todas as variantes.

A detecção por assinatura de vírus conhecidos é muito eficiente e por isso continua sendo utilizado por todos os fabricantes de antivírus. Mas esse método tem um grande problema: a janela de tempo entre o surgimento do vírus e a atualização do arquivo de assinaturas na máquina do usuário. Por isso, são necessários outras camadas de proteção, com novas técnicas de detecção. No restante deste artigo, descreverei essas novas técnicas que estão sendo usadas na guerra contra o cibercrime.

Detecção Heurística
Há duas formas de heurística: estática e dinâmica.

Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de no operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.

Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, o código é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

Análise Comportamental
A análise comportamental monitora o que os programas em execução na máquina estão fazendo. Verifica como um programa está interagindo com outros programas e que tipo de acesso está fazendo aos recursos do computador. Assim, pelo comportamento do programa pode-se identificar malwares ainda não conhecidos. Por exemplo, um programa que intercepta o teclado de outra aplicação e começa a acessar a internet é considerado suspeito.

Proteção no Acesso a Sites
Há alguns anos a navegação em sites tem sido um dos principais vetores de propagação de malwares. Os cibercriminosos estão invadindo sites idôneos e contaminando-os com software malicioso. Muitas vezes, a simples visita a um site invadido pode contaminar o computador do internauta. É o chamado drive-by download. Para infectar uma máquina, são exploradas falhas de segurança do navegador ou do sistema operacional ou o usuário é induzido a fazer download do software malicioso.

As páginas ficam contaminadas por muito pouco tempo. Às vezes por poucas horas, raramente por mais de um dia. Quem tiver curiosidade de testar algum site, faça uma visita ao AVG Threat Labs.

Essa volatilidade implica que uma proteção adequada a esse tipo de ataque tem de ser feito em tempo real, analisando o conteúdo das páginas. Proteção baseada em bancos de dados estáticos de URLs comprometidas tem pouca utilidade nesse caso.

Firewall
Apesar do firewall não ser considerado um produto antivírus, ele tem um papel muito importante no bloqueio de ameaças que vem pela rede, explorando falhas de segurança no sistema operacional ou mesmo na camada aplicação de um servidor. Por isso ele está presente nos suítes mais completos de antivírus.

Conclusão
Os antivírus tiveram que incorporar novas tecnologias e métodos de proteção para enfrentar a crescente variedade e sofisticação dos softwares maliciosos. Todos os elementos apontados acima estão presentes, por exemplo, num dos softwares mais populares de antivírus do mundo e do Brasil, o AVG.

Fonte: Mariano Sumrell Miranda

Tags:,

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: