Como funciona um Antivirus?

[andrelino]

Como funciona um Antivírus - Parte 1

Como o software antivírus sabe que determinado arquivo é um vírus? Existem várias maneiras de determinar que um software é um arquivo malicioso, também conhecido como malware ou, mais popularmente, vírus (ou cavalos de troia, worm, diallers, jokers etc.); vamos começar pelo mais antigo dos métodos: a detecção por assinatura.

A detecção de vírus por assinatura usa um método muito simples de ser compreendido por leigos. Após receber uma cópia do arquivo e verificar o que ele faz no computador (suas ações, APIs que executam, processos que iniciam) e encontrar indícios, um laboratório de análise de vírus determina que aquele artefato é malicioso.
Então, o laboratório de vírus tira um hash do arquivo, uma identificação única do mesmo (como uma assinatura eletrônica) e adiciona esse hash à lista de definições da aplicação antivírus. Uma vez assinado, podemos alterar o nome do arquivo e sua extensão, mas o hash será sempre o mesmo. Um hash usando o MD5, por exemplo, tem a seguinte forma:

B1A8997C82880EC6BCE98F3E8A144E67.EXE

BA43AB1FE371AE1DE4E60676FB840458.EXE

BC960035FB37F8FC07C45036DC78B67F.EXE

BC960035FB37F8FC07C45036DC78B67F.COM

BC960035FB37F8FC07C45036DC78B67F.JPG

Note que o arquivo BC960035FB37F8FC07C45036DC78B67F tem várias extensões e a mesma assinatura MD5. Portanto, é o mesmo arquivo com várias extensões diferentes; apesar disso, para o antivírus não importa. Se for classificado como malware, será detectado independentemente da extensão, pois o que vale é a sua assinatura. Para efeitos didáticos, usei o MD5, mas ele não é eficiente para ser usado em um antivírus.

As empresas usam algoritmos próprios que aceleram a detecção de potenciais arquivos maliciosos. Além disso, é feita uma otimização do processo de varredura de arquivos; em milissegundos, o sistema de detecção deve comparar o hash dos arquivos em um diretório com milhões de assinaturas conhecidas. Algoritmos próprios evitam o mais terrível dos problemas: falsos positivos.

Quando uma empresa detecta "por engano" um arquivo válido, situações muito ruins podem acontecer. Imagine detectar o "explorer.exe" como vírus? O computador nem vai entrar em operação, devido à remoção do arquivo. Pense em um administrador de rede com 5.000 máquinas com o "explorer.exe" indo para a quarentena devido a um erro. Chega a ser mais problemático do que o vírus em si.

Há um método que simplesmente funciona bem e ocupa menos memória/processador que os outros métodos. Certa empresa tem uma parceria com diversos bancos brasileiros e são enviados, diariamente, cerca de 60 novos artefatos para detecção por assinatura nos laboratórios de vírus da AVG.
A AVG também tem um laboratório no Brasil, em parceria com o CTI-Cenpra de Campinas, onde dezenas de arquivos são analisados diariamente. Somente no Brasil, 60 artefatos são enviados para detecção por dia. Imagine quantos não são detectados aqui e no mundo?
Para isso, teríamos de fazer as análises heurísticas e análises de comportamento, a nova fronteira de análise de arquivos maliciosos - assuntos que serão tratados em artigos posteriores. Se há uma dica possível, ela é simples. Mantenha o antivírus atualizado e passe verificações regulares no disco de seu computador. Saiba que tem muita gente trabalhando para que você fique protegido, mas o trabalho nunca acabará.

[Somente usuários registrados podem ver os links. Clica aqui para se registrar...] [Somente usuários registrados podem ver os links. Clica aqui para se registrar...]
Leandro Mantovam, formado em Direito em 1998, trabalha na área de segurança em TI há 15 anos. Desde 1999 é sócio diretor da Winco Sistemas Ltda, escritório associado da AVG Technologies no Brasil