Os Antivírus Funcionam?

Por Mariano Sumrell.

Diariamente surgem mais de 40 mil novas ameaças na Internet. E esse número cresce constantemente. Essa enorme produção é fruto de uma atividade profissional muito bem organizada, o Cibercrime. Estima-se que o cibercrime movimente globalmente tanto dinheiro quanto o narcotráfico. É claro que a produção de malwares é apenas uma das atividades do cibercrime que engloba espionagem industrial, sabotagem, aluguel de botnets, envio de SPAMs, venda de produtos e muitos outros.

Mas o fato é que a produção de malwares cresce em quantidade e sofisticação. E os fabricantes de antivírus e outros produtos de segurança precisam acompanhar esse ritmo para proteger os seus usuários. Nesse artigo vamos entender como os antivírus estão sendo capazes de oferecer proteção contra as atuais ameças.

Existem diferentes tipos de programas maliciosos ou malwares (MALicious softWARE): vírus, worms, cavalos de tróia ou trojans e outros. Neste artigo, vamos usar o termo vírus como é entendido informalmente, ou seja, como uma designação genérica de ameaças ou malware.

Detecção por Assinatura

A maneira tradicional dos softwares identificarem um vírus é a detecção por assinatura. Consiste em identificar uma sequência de bytes que caracterizam um malware. Essa assinatura é obtida depois que um vírus é identificado. Para isso os fabricantes de antivírus tem pontos de coleta espalhados em todo o mundo e contam ainda com colaboradores em diversos países. No Brasil, a Winco envia diariamente para o AVG amostras que recebemos de diferentes fontes, inclusive de uma colaboração com o CSIRT (Computer Security Incident Response Team) do Banco do Brasil.

Além da quantidade enorme de amostras que tem de ser analisadas e de assinaturas geradas, é necessário lidar com os vírus polimórficos. Vírus polimórficos se automodificam para dificultar a sua detecção. Essa modificação normalmente é feita empacotando o código malicioso usando técnicas de criptografia. Os antivírus tem de ser capazes de encontrar a assinatura em todas as variantes.

A detecção por assinatura de vírus conhecidos é muito eficiente e por isso continua sendo utilizado por todos os fabricantes de antivírus. Mas esse método tem um grande problema: a janela de tempo entre o surgimento do vírus e a atualização do arquivo de assinaturas na máquina do usuário. Por isso, são necessários outras camadas de proteção, com novas técnicas de detecção. No restante deste artigo, descreverei essas novas técnicas que estão sendo usadas na guerra contra o cibercrime.

Detecção Heurística

Há duas formas de heurística: estática e dinâmica.

Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de no operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.

Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, o código é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

Análise Comportamental

A análise comportamental monitora o que os programas em execução na máquina estão fazendo. Verifica como um programa está interagindo com outros programas e que tipo de acesso está fazendo aos recursos do computador. Assim, pelo comportamento do programa pode-se identificar malwares ainda não conhecidos. Por exemplo, um programa que intercepta o teclado de outra aplicação e começa a acessar a internet é considerado suspeito.

Proteção no Acesso a Sites

Há alguns anos a navegação em sites tem sido um dos principais vetores de propagação de malwares. Os cibercriminosos estão invadindo sites idôneos e contaminando-os com software malicioso. Muitas vezes, a simples visita a um site invadido pode contaminar o computador do internauta. É o chamado drive-by download. Para infectar uma máquina, são exploradas falhas de segurança do navegador ou do sistema operacional ou o usuário é induzido a fazer download do software malicioso.

As páginas ficam contaminadas por muito pouco tempo. Às vezes por poucas horas, raramente por mais de um dia. Quem tiver curiosidade de testar algum site, faça uma visita ao AVG Threat Labs.

Essa volatilidade implica que uma proteção adequada a esse tipo de ataque tem de ser feito em tempo real, analisando o conteúdo das páginas. Proteção baseada em bancos de dados estáticos de URLs comprometidas tem pouca utilidade nesse caso.

Firewall

Apesar do firewall não ser considerado um produto antivírus, ele tem um papel muito importante no bloqueio de ameaças que vem pela rede, explorando falhas de segurança no sistema operacional ou mesmo na camada aplicação de um servidor. Por isso ele está presente nos suítes mais completos de antivírus.

Conclusão

Os antivírus tiveram que incorporar novas tecnologias e métodos de proteção para enfrentar a crescente variedade e sofisticação dos softwares maliciosos. Todos os elementos apontados acima estão presentes, por exemplo, num dos softwares mais populares de antivírus do mundo e do Brasil, o AVG.

Com essas novas tecnologias, um bom antivírus consegue oferecer um alto grau de proteção. Mas nenhuma proteção é 100% garantida. Mas aliando um bom antivírus com boas práticas de segurança (vide o artigo de Bruno Salgado Cartilha de Segurança da Informação para usuários não-técnicos) navego, acesso o meu banco, faço muitas compras pela internet e me sinto bastante seguro. Posso dizer que o risco que corro ao usar o meu cartão de crédito na internet é equivalente ao risco dele ser clonado no mundo real, num restaurante, posto de gasolina ou outro estabelecimento. Aliás, recentemente tive o meu cartão clonado no mundo real e nunca tive problemas no mundo virtual. Mas, nada é 100% garantido.