Como funciona o software antivírus
Os programas antivírus são poderosos softwares essenciais em computadores Windows. Se você já se perguntou como os programas antivírus detectam vírus, o que eles estão fazendo no seu computador e se você precisa realizar verificações regulares do sistema, leia.
Um programa antivírus é uma parte essencial de uma estratégia de segurança em várias camadas - mesmo que você seja um usuário de computador inteligente, o fluxo constante de vulnerabilidades para navegadores, plug-ins e o próprio sistema operacional Windows tornam a proteção antivírus importante.
Varredura ao acessar
O software antivírus é executado em segundo plano no seu computador, verificando todos os arquivos que você abre. Isso geralmente é conhecido como varredura no acesso, varredura em segundo plano, varredura residente, proteção em tempo real ou qualquer outra coisa, dependendo do seu programa antivírus..
Quando você clica duas vezes em um arquivo EXE, pode parecer que o programa é iniciado imediatamente - mas isso não acontece. Seu software antivírus verifica o programa primeiro, comparando-o a vírus, worms e outros tipos de malware conhecidos. Seu software antivírus também faz uma verificação "heurística", verificando os programas em busca de tipos de comportamento incorreto que possam indicar um novo vírus desconhecido.
Os programas antivírus também examinam outros tipos de arquivos que podem conter vírus. Por exemplo, um arquivo .zip pode conter vírus compactados ou um documento do Word pode conter uma macro mal-intencionada. Os arquivos são verificados sempre que são usados - por exemplo, se você baixar um arquivo EXE, ele será examinado imediatamente, antes mesmo de abri-lo.
É possível usar um antivírus sem varredura ao acessar, mas isso geralmente não é uma boa ideia - vírus que exploram falhas de segurança em programas não seriam capturados pelo scanner. Depois que um vírus infectou seu sistema, é muito mais difícil removê-lo. (Também é difícil ter certeza de que o malware já foi completamente removido).
Varreduras Completas do Sistema
Por causa da varredura ao acessar, geralmente não é necessário executar varreduras completas do sistema. Se você baixar um vírus em seu computador, seu programa antivírus notará imediatamente - você não precisa iniciar manualmente uma varredura primeiro.
As verificações de sistema completo podem ser úteis para algumas coisas, no entanto. Uma verificação completa do sistema é útil quando você acabou de instalar um programa antivírus - isso garante que não haja vírus inativos no computador. A maioria dos programas antivírus configura varreduras completas e agendadas do sistema, geralmente uma vez por semana. Isso garante que os arquivos de definição de vírus mais recentes sejam usados para verificar o sistema quanto a vírus inativos.
Essas verificações completas de disco também podem ser úteis ao reparar um computador. Se você deseja reparar um computador já infectado, é útil inserir seu disco rígido em outro computador e executar uma verificação completa do sistema em busca de vírus (se não estiver fazendo uma reinstalação completa do Windows). No entanto, você não precisa executar verificações completas do sistema quando um programa antivírus já está protegendo você - está sempre fazendo a varredura em segundo plano e fazendo suas próprias verificações regulares e completas do sistema..
Definições de vírus
Seu software antivírus depende de definições de vírus para detectar malware. É por isso que baixa automaticamente arquivos de definição novos e atualizados - uma vez por dia ou com maior frequência. Os arquivos de definição contêm assinaturas de vírus e outros malwares encontrados na natureza. Quando um programa antivírus varre um arquivo e percebe que o arquivo corresponde a um malware conhecido, o programa antivírus interrompe a execução do arquivo, colocando-o na “quarentena”. Dependendo das configurações do programa antivírus, o programa antivírus pode excluir automaticamente o arquivo ou você pode permitir que o arquivo seja executado de qualquer maneira, se tiver certeza de que é um falso positivo.
As empresas de antivírus têm que se manter atualizadas continuamente com os últimos malwares, liberando atualizações de definição que garantem que o malware seja capturado por seus programas. Os laboratórios de antivírus usam uma variedade de ferramentas para desmontar vírus, executá-los em sandboxes e liberar atualizações oportunas que garantam que os usuários estejam protegidos contra o novo malware.
Heurística
Programas antivírus também empregam heurística. As heurísticas permitem que um programa antivírus identifique tipos de malware novos ou modificados, mesmo sem arquivos de definição de vírus. Por exemplo, se um programa antivírus perceber que um programa em execução no seu sistema está tentando abrir todos os arquivos EXE em seu sistema, infectando-o, gravando nele uma cópia do programa original, o programa antivírus poderá detectar esse programa como um novo, tipo desconhecido de vírus.
Nenhum programa antivírus é perfeito. A heurística não pode ser muito agressiva ou eles sinalizam software legítimo como vírus.
Falso-positivo
Devido à grande quantidade de softwares disponíveis, é possível que programas antivírus ocasionalmente digam que um arquivo é um vírus quando, na verdade, é um arquivo completamente seguro. Isso é conhecido como “falso positivo”. Ocasionalmente, as empresas de antivírus cometem erros, como identificar arquivos de sistema do Windows, programas populares de terceiros ou seus próprios arquivos de programas antivírus como vírus. Esses falsos positivos podem danificar os sistemas dos usuários - esses erros geralmente acabam nas notícias, como quando o Microsoft Security Essentials identificou o Google Chrome como um vírus, o AVG danificou as versões de 64 bits do Windows 7 ou a Sophos se identificou como malware.
A heurística também pode aumentar a taxa de falsos positivos. Um antivírus pode perceber que um programa está se comportando de maneira semelhante a um programa mal-intencionado e identificá-lo como um vírus.
Apesar disso, os falsos positivos são bastante raros no uso normal. Se o seu antivírus diz que um arquivo é malicioso, você deve acreditar nele. Se você não tiver certeza se um arquivo é realmente um vírus, tente enviá-lo para o VirusTotal (que agora pertence ao Google). O VirusTotal examina o arquivo com uma variedade de produtos antivírus diferentes e informa o que cada um diz sobre ele.
Taxas de Detecção
Diferentes programas antivírus têm taxas de detecção diferentes, nas quais tanto as definições de vírus quanto as heurísticas estão envolvidas. Algumas empresas de antivírus podem ter heurísticas mais eficazes e liberar mais definições de vírus do que seus concorrentes, resultando em uma taxa de detecção mais alta..
Algumas organizações fazem testes regulares de programas antivírus em comparação entre si, comparando suas taxas de detecção no uso no mundo real. O AV-Comparitives lança regularmente estudos que comparam o estado atual das taxas de detecção de antivírus. As taxas de detecção tendem a flutuar com o tempo - não há um melhor produto que esteja sempre no topo. Se você está realmente querendo ver o quão efetivo é um programa antivírus e quais são os melhores lá fora, os estudos de taxa de detecção são o lugar para procurar.
Testando um programa antivírus
Se você quiser testar se um programa antivírus está funcionando corretamente, você pode usar o arquivo de teste EICAR. O arquivo EICAR é uma maneira padrão de testar programas antivírus - não é realmente perigoso, mas os programas antivírus se comportam como se fossem perigosos, identificando-os como um vírus. Isso permite que você teste as respostas do programa antivírus sem usar um vírus ao vivo.
Os programas antivírus são softwares complicados, e livros grossos podem ser escritos sobre esse assunto - mas espero que este artigo tenha ajudado você a aprender o básico.