Como funciona o software antivírus

imagem

Os programas antivírus são poderosos softwares essenciais em computadores Windows. Se você já se perguntou como os programas antivírus detectam vírus, o que eles estão fazendo no seu computador e se você mesmo precisa executar verificações regulares do sistema, continue lendo.

Um programa antivírus é uma parte essencial de uma estratégia de segurança em várias camadas – mesmo se você for um usuário de computador inteligente, o fluxo constante de vulnerabilidades para navegadores, plug-ins e o próprio sistema operacional Windows tornam a proteção antivírus importante.

Varredura ao acessar

O software antivírus é executado em segundo plano no seu computador, verificando todos os arquivos que você abre. Isso geralmente é conhecido como varredura ao acessar, varredura em segundo plano, varredura residente, proteção em tempo real ou outra coisa, dependendo do seu programa antivírus.

Quando você clica duas vezes em um arquivo EXE, pode parecer que o programa é iniciado imediatamente – mas não é. Seu software antivírus verifica o programa primeiro, comparando-o a vírus, worms e outros tipos de malware conhecidos. Seu software antivírus também faz verificação “heurística”, verificando programas em busca de tipos de mau comportamento que possam indicar um vírus novo e desconhecido.

Os programas antivírus também verificam outros tipos de arquivos que podem conter vírus. Por exemplo, um arquivo compactado .zip pode conter vírus compactados ou um documento do Word pode conter uma macro maliciosa. Os arquivos são verificados sempre que são usados ​​- por exemplo, se você baixar um arquivo EXE, ele será verificado imediatamente, antes mesmo de abri-lo.

É possível usar um antivírus sem a varredura ao acessar, mas geralmente não é uma boa ideia – vírus que exploram brechas de segurança em programas não seriam detectados pelo mecanismo de varredura. Depois que um vírus infecta seu sistema, é muito mais difícil removê-lo. (Também é difícil ter certeza de que o malware já foi completamente removido.)

Recomendado:  Como definir limites de tempo de tela para crianças em um Xbox One

imagem

Verificações de sistema completo

Por causa da varredura ao acessar, geralmente não é necessário executar varreduras de todo o sistema. Se você baixar um vírus para o seu computador, o programa antivírus notará imediatamente – você não precisa iniciar manualmente uma verificação primeiro.

No entanto, as varreduras de sistema completo podem ser úteis para algumas coisas. Uma verificação completa do sistema é útil quando você acaba de instalar um programa antivírus – ela garante que não haja vírus latentes em seu computador. A maioria dos programas antivírus configura verificações programadas de todo o sistema, geralmente uma vez por semana. Isso garante que os arquivos de definição de vírus mais recentes sejam usados ​​para varrer seu sistema em busca de vírus inativos.

Essas verificações de disco inteiro também podem ser úteis ao reparar um computador. Se você deseja reparar um computador já infectado, inserir seu disco rígido em outro computador e executar uma verificação completa do sistema em busca de vírus (se não for uma reinstalação completa do Windows) é útil. No entanto, normalmente você não precisa executar verificações completas do sistema sozinho quando um programa antivírus já está protegendo você – ele está sempre verificando em segundo plano e fazendo suas próprias verificações regulares de todo o sistema.

imagem

Definições de vírus

Seu software antivírus depende de definições de vírus para detectar malware. É por isso que ele baixa automaticamente arquivos de definição novos e atualizados – uma vez por dia ou com mais frequência. Os arquivos de definição contêm assinaturas de vírus e outros malwares encontrados à solta. Quando um programa antivírus verifica um arquivo e percebe que ele corresponde a um malware conhecido, o programa antivírus interrompe a execução do arquivo, colocando-o em “quarentena”. Dependendo das configurações do programa antivírus, o programa antivírus pode excluir automaticamente o arquivo ou você pode permitir que o arquivo seja executado de qualquer maneira, se tiver certeza de que é um falso positivo.

Recomendado:  Como adicionar argumentos de linha de comando ao Steam, GoG e Epic Games Store

As empresas de antivírus precisam se manter continuamente atualizadas com as peças mais recentes de malware, lançando atualizações de definição que garantem que o malware seja detectado por seus programas. Os laboratórios de antivírus usam uma variedade de ferramentas para desmontar vírus, executá-los em sandboxes e lançar atualizações oportunas que garantem que os usuários fiquem protegidos contra o novo malware.

imagem

Heurísticas

Os programas antivírus também empregam heurísticas. A heurística permite que um programa antivírus identifique tipos novos ou modificados de malware, mesmo sem arquivos de definição de vírus. Por exemplo, se um programa antivírus perceber que um programa em execução em seu sistema está tentando abrir todos os arquivos EXE em seu sistema, infectando-o ao gravar uma cópia do programa original nele, o programa antivírus pode detectar esse programa como um novo, tipo desconhecido de vírus.

Nenhum programa antivírus é perfeito. A heurística não pode ser muito agressiva ou sinalizará software legítimo como vírus.

Falso-positivo

Devido à grande quantidade de software disponível, é possível que os programas antivírus possam ocasionalmente dizer que um arquivo é um vírus quando, na verdade, é um arquivo totalmente seguro. Isso é conhecido como “falso positivo”. Ocasionalmente, as empresas de antivírus cometem erros, como identificar arquivos de sistema do Windows, programas populares de terceiros ou seus próprios arquivos de programa antivírus como vírus. Esses falsos positivos podem danificar os sistemas dos usuários – tais erros geralmente acabam no noticiário, como quando o Microsoft Security Essentials identificou o Google Chrome como um vírus, o AVG danificou versões de 64 bits do Windows 7 ou o Sophos se identificou como malware.

Recomendado:  Análise do Logitech MX Master 3S: o companheiro perfeito

As heurísticas também podem aumentar a taxa de falsos positivos. Um antivírus pode perceber que um programa está se comportando de forma semelhante a um programa malicioso e identificá-lo como um vírus.

Apesar disso, falsos positivos são bastante raros em uso normal. Se o seu antivírus diz que um arquivo é malicioso, geralmente você deve acreditar. Se você não tiver certeza se um arquivo é realmente um vírus, pode tentar enviá-lo para o VirusTotal (que agora é propriedade do Google). O VirusTotal verifica o arquivo com uma variedade de produtos antivírus diferentes e informa o que cada um diz sobre ele.

Taxas de detecção

Diferentes programas antivírus têm diferentes taxas de detecção, nas quais as definições de vírus e heurísticas estão envolvidas. Algumas empresas de antivírus podem ter heurísticas mais eficazes e lançar mais definições de vírus do que seus concorrentes, resultando em uma taxa de detecção mais alta.

Algumas organizações fazem testes regulares de programas antivírus em comparação uns com os outros, comparando suas taxas de detecção em uso no mundo real. AV-Comparitives lança regularmente estudos que comparam o estado atual das taxas de detecção de antivírus. As taxas de detecção tendem a flutuar com o tempo – não há um produto melhor que esteja consistentemente no topo. Se você está realmente procurando ver a eficácia de um programa antivírus e quais são os melhores que existem, os estudos de taxa de detecção são o lugar certo.

gráfico de taxas de detecção av-comparatives

Testando um programa antivírus

Se você quiser testar se um programa antivírus está funcionando corretamente, pode usar o arquivo de teste EICAR . O arquivo EICAR é uma forma padrão de testar programas antivírus – não é realmente perigoso, mas os programas antivírus se comportam como se fosse perigoso, identificando-o como um vírus. Isso permite que você teste as respostas do programa antivírus sem usar um vírus ativo.

imagem


Os programas antivírus são peças de software complicadas e livros grossos podem ser escritos sobre esse assunto – mas espero que este artigo o tenha atualizado com o básico.