Falamos e falamos (e falamos) sobre como se comportar – ou sobreviver – no mundo digital. Repetimos tanto, pois acreditamos que não é em vão. Esperamos que nossos leitores aprendam e depois ensinem a amigos e parentes. É realmente importante.
Às vezes não damos importância ao conhecimento de termos e expressões específicas. Então, voltaremos ao básico e falaremos de três termos fundamentais do antivírus.
1. Assinaturas
Bases de dados antivírus contém as chamadas assinaturas. Na verdade, assinaturas clássicas não são usadas há mais de 20 anos. No começo dos anos 80, esse conceito não estava claramente definido. Mesmo agora, elas não possuem uma página na Wikipédia, e a dedicada a Malware usa o termo sem defini-lo, como se fosse parte do senso comum.Então, vamos definir! Assinatura de um vírus é uma sequência contínua de bytes comum em uma certa amostra de malware. Isso quer dizer que essa assinatura está contida dentro do malware ou dos arquivos infectados.
Hoje, assinaturas estão longe de serem suficientes na hora de detectar arquivos maliciosos. Malwares podem esconder seus rastros. Por isso, os antivírus atuais devem usar métodos de detecção mais avançados. Bases de dados de antivírus devem conter assinaturas (elas representam mais da metade dos itens), mas precisam incluir ferramentas mais sofisticadas.
Como hábito, todo mundo ainda pode chamar esses itens de “assinaturas”. Não tem problema, desde que lembremos que o termo não representa todas as armas de um arsenal bem mais robusto.
Idealmente, pararíamos de usar esse termo para qualquer item da base de dados, mas isso é tão comum, e como um termo mais acurado ainda não existe, a prática persiste.
Uma base de dados antivírus é isso: um item. A tecnologia por trás dela pode ser uma simples assinatura clássica ou algo super sofisticado, inovador, usando o que há de mais avançado em detecção de malware.
O que há de verdade no chamado machine learning? | Blog Oficial de Eugene Kaspersky https://t.co/KJ1p0PzPUz #cibersecurity pic.twitter.com/UJBQCwhnQq
— Kaspersky Brasil (@Kasperskybrasil) October 13, 2016
2. Vírus
Como você deve ter notado, nossos analistas evitam usar o termo vírus e preferem malware, ameaça e por aí vai. A razão para isso é que vírus são um tipo de malware com comportamento específico: infectar arquivos limpos. Analistas se referem a vírus como infectors – que possuem status único no laboratório. Primeiro, são difíceis de detectar – a primeira vista o arquivo infectado parece limpo. Segundo, um infector requer tratamento especial: quase todos precisam de procedimentos de detecção e desinfecção específicas. Por isso que infectors são responsabilidade de profissionais especializados nesse campo.
Para evitar confusão ao falar sobre ameaças em geral, analistas usam termos como “programa malicioso”‘e “malware”.
Aí vão algumas classificações que podem ser úteis. Um worm é um malware que pode se replicar e sair do dispositivo que infectou inicialmente para outros. Tecnicamente falando, adware (softwares de propaganda intrusivos) e riskware (softwares legítimos que se instalados por agentes maliciosos podem infligir danos ao sistema) não são malware.
3.Desinfecção
Encontro com muita frequência o que espero não ser um erro comum: antivírus são capazes apenas de detectar malware e não de removê-los. Para isso seria necessário um software separado. É verdade que existem ferramentas especiais para certos tipos de malware; por exemplo, os decryptors para arquivos atingidos por ransomware. Mas antivírus podem lidar com o problema por si, e certas vezes são a melhor opção, por terem acesso aos drivers do sistema e outras tecnologias que não cabem em uma ferramenta.
Como a remoção de malware funciona? Em uma pequena porcentagem dos casos, uma máquina detecta um infector (tipicamente antes do antivírus ser instalado, pois infectors raramente conseguem se esgueirar pelas defesas do AV). O antivírus analisa diversos arquivos e purifica qualquer um infectado, restaurando-o para sua forma original. O mesmo produto é implementado quando você precisa desencriptar arquivos bloqueados por um ransomware, detectados como Trojan-Ransom.
De resto, a grande maioria, talvez 99,9% dos casos – os malware são pegos antes de infectarem qualquer arquivo. Se nenhum for atingido, não há necessidade de restaurar qualquer coisa.
Uma exceção aqui: se o malware já estiver ativo no sistema (infectando arquivos ou executando outras atividades maliciosas), o antivírus entra em modo de desinfecção para ter certeza de que a ameaça foi de fato embora e não voltará. Você pode aprender mais sobre o processo aqui.
A exceção normalmente ocorre por uma dessas duas razões:
- O antivírus foi instalado em um computador já infectado. O velho hábito de só fazer algo após ser atingido por um malware…
- O antivírus etiqueta algo como suspeito em vez de malicioso e começa a monitorar as atividades do elemento. No momento em que o malware se torna claramente malicioso, o AV impedirá todas as atividades (registradas no monitoramento). Por exemplo, o antivírus poderia restaurar arquivos criptografados instantaneamente do backup se o PC tiver sido atacado por um ransomware ou infector.
Conclusão
Isso é tudo por hoje. Espero que agora você:
- Saiba que atualmente as “assinaturas” representam, de forma geral, qualquer elemento em bases de dados de antivírus, até os mais avançados.
- Esteja mais familiar com os tipos de malware
- Entenda que o processo de desinfecção de um computador ou dispositivo faz parte das competências de um antivírus e por isso é importante manter o System Watcher de seu programa de antivírus ativo de modo a analisar o comportamento de arquivos suspeitos.