Antivírus: diferenças entre revisões

Esta página ou se(c)ção precisa ser formatada para o padrão wiki. Por favor ajude a formatar esta página de acordo com as diretrizes estabelecidas. (Maio de 2015)

Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar vírus de computadores.

Existe uma grande variedade de produtos com esse intuito no mercado, sendo recomendado utilizar apenas um antivírus gratuito ou apenas um pago.^[1] A diferença está nas camadas a mais de proteção que a versão paga oferece, além do suporte técnico realizado pela equipe especializada.

Entre os antivírus gratuitos mais conhecidos estão: AVG, Avast, Avira e Microsoft Security Essentials.

Antivírus ou software antivírus (muitas vezes abreviado como AV), também conhecido como software anti-malware, é um software de computador usado para prevenir, detectar e remover software malicioso.

O software antivírus foi originalmente desenvolvido para detectar e remover vírus de computadores, daí o nome. No entanto, com a proliferação de outros tipos de malware, software antivírus começaram a fornecer proteção contra ameaças virtuais. Em particular, moderno software antivírus pode proteger contra: Objetos maliciosos Browser Helper (BHOs), sequestradores de navegador, ransomware, keyloggers, backdoors, rootkits, cavalos de tróia, worms, PEL maliciosos, dialers, fraudtools, adware e spyware. Também incluem proteção contra ameaças virtuais, tais como URLs infectadas e maliciosos, spam, fraude e ataques de phishing, identidade on-line (privacidade), ataques bancários on-line, técnicas de engenharia social, ameaças persistentes avançadas (APT), botnets, ataques DDoS.

História

Período 1949 – 1980 (dias pré-antivirus) Embora podemos datar a primeira ideia de um vírus de computador em 1949, quando o cientista húngaro John von Neumann publicou a "Teoria da auto reprodução autômatos" , o primeiro vírus de computador conhecido apareceu em 1971 e foi apelidado de "vírus Creeper ". O vírus de computador infectado (DEC) PDP-10 computadores mainframe da Digital Equipment Corporation executam o sistema operacional TENEX.

O vírus Creeper acabou sendo excluído por um programa criado por Ray Tomlinson e conhecido como "The Reaper". Algumas pessoas consideram "The Reaper", o primeiro software antivírus já escrito. Pode ser o caso, mas é importante notar que o Reaper foi realmente um vírus próprio projetado especialmente para remover o virus Creeper.

O vírus Creeper foi seguido por vários outros vírus. O primeiro conhecido que apareceu "in the wild" era "Elk Cloner", em 1981, que infectou computadores Apple II.

Em 1983, o termo "vírus de computador" foi cunhado por Fred Cohen, em um dos primeiros trabalhos acadêmicos já publicados sobre vírus de computador  Cohen usou o termo "vírus de computador" para descrever um programa que:. "Afeta outros programas de computador por modificá-los de tal forma a incluir um (possivelmente evoluiu) cópia de si mesmo " (note que a mais recente, e precisa, definição de vírus de computador foi dado pelo pesquisador húngaro Péter segurança Szor:" um código recursiva que replica uma cópia possivelmente evoluiu de si mesma ").

O primeiro IBM PC compatíveis "in the wild" vírus de computador, e uma das primeiras infecções generalizadas reais, foi "Brain" em 1986. A partir de então, o número de vírus tem crescido exponencialmente.  A maior parte dos vírus de computador escritos no início e em meados da década de 1980 foram limitados a auto reprodução e não tinha rotina ou dano específico embutido no código. Isso mudou quando mais e mais programadores tornou-se familiarizado com a programação de vírus de computador e criou os vírus que manipulavam ou mesmo destruídas dados em computadores infectados.

Antes de conectividade com a Internet foi generalizada, os vírus de computador foram tipicamente espalhar por disquetes infectados. O software antivírus entrou em uso, mas foi atualizado com pouca frequência. Durante este tempo, verificadores de vírus essencialmente tinham que verificar arquivos executáveis e os setores de inicialização de disquetes e discos rígidos. No entanto, com o uso da Internet tornaram-se comuns, assim os vírus começaram a se espalhar online.

Período 1980-1990 (primeiros dias)

Há alegações de concorrentes para o inovador do primeiro produto antivírus. Possivelmente, a primeira remoção publicamente documentado de um "in the wild" vírus de computador (ou seja, o "vírus Vienna") foi realizada por Bernd Fix em 1987.

Em 1987, Andreas Lüning e Kai Figge fundada G Data Software e lançou seu primeiro produto antivírus para a plataforma Atari ST. Mais tarde, no mesmo ano, também o vírus final Killer (UVK) 2000 antivírus foi lançado.  

Em 1987, nos EUA, John McAfee fundou a empresa McAfee (agora parte da Intel Segurança), no final daquele ano, ele lançou a primeira versão do VirusScan. Enquanto isso, na Eslováquia, Peter Paško e Miroslav Trnka criou a primeira versão do antivírus NOD32 (embora eles estabeleceram ESET apenas em 1992).

Em 1987, Fred Cohen escreveu que não há nenhum algoritmo que pode perfeitamente detectar todos os vírus de computador possíveis.

As primeiras assinaturas de antivírus foram simplesmente hashes de todo os arquivos ou seqüências de bytes que representam o malware particular.

Finalmente, no final de 1987, os dois primeiros heurísticos antivírus utilitários foram liberados:. FluShot Plus, Ross Greenberg  e Anti4us por Erwin Lanting. No entanto, o tipo de heurística que estavam usando era totalmente diferente do que é utilizado hoje por muitos produtos antivírus. O primeiro produto antivírus com um motor heurístico que lembra os usados hoje em dia era F-PROT, em 1991. Os motores heurísticos iniciais foram baseadas na divisão do binário em diferentes seções: seção de dados, seção de código (em binário legítimo que geralmente começa sempre do mesmo local). Na verdade, os vírus iniciais reorganizam a disposição das seções, ou substituir a porção inicial da seção, a fim de saltar para o fim do arquivo onde o código malicioso foi localizado e em seguida, voltar para retomar a execução do código original. Este foi um padrão muito específico, não usado no momento por qualquer software legítimo, que inicialmente, representou uma muito agradável heurística para pegar algo em que era suspeito ou não. Mais tarde no tempo outro tipo de heurísticas mais avançadas foram adicionadas, tais como: nome suspeito seções, tamanho do cabeçalho incorreto, wildcards e expressões regulares e padrão parcial metching em mermory.

Em 1988, o crescimento das empresas de antivírus continuou. Na Alemanha, Tjark Auerbach fundada Avira (H + BEDV na época) e lançou a primeira versão do AntiVir (chamado "Luke Filewalker" na época). Na Bulgária, o Dr. Vesselin Bontchev lançou seu primeiro programa de antivírus gratuito (que mais tarde se juntou FRISK Software). Também Frans Veldman lançou a primeira versão de ThunderByte Antivirus, também conhecido como TBAV (ele vendeu sua empresa de Norman Safeground em 1998). Na República Checa, Pavel Baudis e Eduard Kučera começou avast! (na época ALWIL Software) e lançou seu primeiro versão do antivírus avast. Em Junho de 1988, na Coréia do Sul, Dr. Ahn Cheol-Soo lançou seu primeiro software antivírus, chamado V1 (ele fundou AhnLab mais tarde, em 1995). Finalmente, no Outono de 1988, no Reino Unido, Alan Solomon fundada S & S Internacional e criou o seu Antivírus Toolkit do Dr. Salomão (embora ele lançou comercialmente apenas em 1991 - em 1998, a companhia de Dr. Salomão foi adquirida pela McAfee). No final do ano, nos EUA, Ross M. Greenberg lançou seu segundo programa antivírus, chamado VirexPC.

Também em 1988, uma lista de discussão chamada VIRUS-L  foi iniciado na BITNET / GANHAR rede onde foram discutidos novos vírus e as possibilidades de detectar e eliminar vírus. Alguns membros desta lista foram: Alan Solomon, Eugene Kaspersky (Kaspersky Lab), Friðrik Skúlason (FRISK Software), John McAfee (McAfee), Rui Lopes (Panda Security), Mikko Hyppönen (F-Secure), Péter Szor, Tjark Auerbach (Avira) e Dr. Vesselin Bontchev (FRISK Software).

Em 1989, na Islândia, Friðrik Skúlason criou a primeira versão do F-Prot Anti-Virus em 1989 (ele fundou FRISK Software apenas em 1993). Enquanto isso, nos EUA, a Symantec (fundada por Gary Hendrix em 1982) lançou seu primeiro antivírus da Symantec para Macintosh (SAM). SAM 2.0, lançado em março de 1990, a tecnologia incorporada, permitindo aos usuários facilmente atualizar SAM para interceptar e eliminar novos vírus, incluindo muitas que não existia na época do lançamento do programa.

No final da década de 1980, no Reino Unido, Jan Hruska e Peter Lammer fundou a empresa de segurança Sophos e começou a produzir seus primeiros antivírus e criptografia produtos. No mesmo período, na Hungria, também VirusBuster foi fundada (que foi recentemente incorporada pelos Sophos).

1990-2000 período (crescimento de indústria de antivírus)

Em 1990, na Espanha, Mikel Urizarbarrena foi fundada Panda Security (Software Panda na época). Na Hungria, o pesquisador de segurança Péter Szor lançou a primeira versão de antivírus Pasteur. Na Itália, Gianfranco Tonello criou a primeira versão do VirIT eXplorer antivírus (que fundou TG suave um ano mais tarde). Finalmente, no final do ano, a Trend Micro lançou seu primeiro software antivírus, chamado PC-Cillin.

Em 1990, a Organização de Pesquisa Antivírus Computador (CARO) foi fundada. Em 1991, CARO lançou o "Virus Naming Scheme", originalmente escrito por Friðrik Skúlason e Vesselin Bontchev. Embora este esquema de nomenclatura é agora ultrapassada, continua a ser o único padrão existente que a maioria das empresas de segurança de computadores e pesquisadores já tentaram adotar. Membros CARO inclui: Alan Salomão, Costin Raiu, Dmitry Gryaznov, Eugene Kaspersky, Friðrik Skúlason, Igor Muttik, Mikko Hypponen, Morton nadador, Nick FitzGerald, Padgett Peterson, Peter Ferrie, Righard Zwienenberg e Dr. Vesselin Bontchev.

Em 1991, nos EUA, a Symantec lançou a primeira versão do Norton Anti-Virus. No mesmo ano, na Tchecoslováquia, Jan Gritzbach e Tomáš Hofer fundada Grisoft AVG Technologies (na época), embora eles lançassem a primeira versão do seu Antivírus Guard (AVG) somente em 1992. Por outro lado, na Finlândia, F-Secure (fundada em 1988 por Petri Allas e Risto Siilasmaa - com o nome de Data Fellows) lançou a primeira versão de seu produto antivírus. Reivindicações da F-Secure para ser a primeira empresa de antivírus para estabelecer uma presença na World Wide Web (WWW).

Em 1991, o Instituto Europeu para Pesquisa de Antivírus de Computador (EICAR) foi fundada para promover a pesquisa de antivírus e melhorar o desenvolvimento de software antivírus.

Em 1992, na Rússia, Igor Danilov lançou a primeira versão de teia de aranha, que mais tarde tornou-se o Dr. Web.

Em 1994, a AV-TEST relatou que havia 28.613 amostras de malware únicos (com base em MD5) em seu banco de dados.  

Com o tempo, outras empresas foram sendo fundadas. Em 1996, na Romênia, Bitdefender foi fundada e lançou a primeira versão do Anti-Virus eXpert (AVX). Em 1997, na Rússia, Eugene Kaspersky e empresa de segurança Kaspersky Natalia foi co-fundador da Kaspersky Lab.

Em 1996, também foi o primeiro "in the wild" vírus Linux, conhecida como "Staog".

Em 1999, a AV-TEST relatou que havia 98.428 amostras de malware únicos (com base em MD5) em seu banco de dados.

Período 2000-2005

Em 2000, Rainer Link e Howard Fuhs começou o primeiro motor antivírus fonte aberta, chamado OpenAntiVirus projeto.

Em 2001, Tomasz Kojm lançou a primeira versão do ClamAV, o primeiro motor aberto fonte antivírus para ser comercializado. Em 2007, ClamAV foi comprada pela Sourcefire, que por sua vez foi adquirida pela Cisco Systems em 2013.  

Em 2002, no Reino Unido, Morten Lund e Theis Søndergaard co-fundador da empresa de antivírus BullGuard.

Em 2005, a AV-TEST relatou que havia 333.425 amostras de malware únicos (com base em MD5) em seu banco de dados.  

2005 para apresentar

Como sempre-em conexões de banda larga tornou-se a norma, e mais e mais vírus foram liberados, tornou-se essencial para atualizar os antivírus mais e mais frequentemente. Mesmo assim, um novo dia zero ou malware de próxima geração pode se tornar generalizada antes que as empresas de antivírus lançou uma atualização para proteger contra ela.

Em 2007, a AV-TEST relatou um número de 5.490.960 novas amostras de malware únicos (com base em MD5) só para esse ano. Em 2012 e 2013, as empresas de antivírus informou há novas amostras de malware vão de 300.000 a mais de 500.000 por dia.

Lentamente, a fim de apanhar com as produções de malware, as empresas de antivírus se mudaram para mais e mais complexos algoritmos.

Ao longo dos anos tornou-se necessário para o software antivírus para usar vários algoritmos de estratégias diferentes (por exemplo, e-mail e rede de proteção específica ou baixo nível de módulos) e detecções, bem como para verificar uma crescente variedade de arquivos, em vez de apenas executáveis, por várias razões :

Macros poderosos usados em aplicações de processador de texto, como Microsoft Word, apresentaram um risco. Os criadores de vírus podem usar as macros para escrever vírus embutidos dentro de documentos. Isto significava que os computadores poderiam agora estar também em risco de infecção por abrir documentos com macros anexadas escondidos.

A possibilidade de incorporação de objetos executáveis dentro de formatos de arquivo de outra forma não-executáveis podem fazer abrir esses arquivos um risco.

Programas de e-mail mais tarde, em particular, Outlook Express e Outlook, da Microsoft, são vulneráveis ao vírus embutidos no próprio corpo do e-mail. O computador de um usuário pode ser infectado apenas abrindo ou visualização de uma mensagem.

Em 2005, a F-Secure foi a primeira empresa de segurança que desenvolveu uma tecnologia Anti-Rootkit, chamado BlackLight.

Dada à consideração de que a maioria das pessoas hoje em dia está conectado à Internet round-the-clock, em 2008, Jon Oberheide propôs pela primeira vez um projeto de antivírus baseados em Cloud.

Em novembro de 2009, a Panda Security lançou sua primeira tecnologia antivírus baseado em nuvem, o primeiro CloudAV comercial já lançado. Um ano depois, também Sophos, acrescentou ao seu host-based antivírus produto a um baseado em nuvem. Nos anos seguintes, muitas outras empresas de antivírus têm adicionado um CloudAV para seus produtos de segurança (ver Comparação de software antivírus para uma visão completa).

Métodos de identificação

Um dos poucos resultados teóricos sólidos no estudo de vírus de computador é 1987 demonstração de Frederick B. Cohen que não existe algoritmo que pode perfeitamente detectar todos os vírus possíveis.  No entanto, usando camada diferente de defesa, uma boa taxa de detecção pode ser conseguida.

Existem vários métodos que mecanismo antivírus pode usar para identificar malware:

Detecção baseada em assinaturas: é o método mais comum. Para identificar vírus e outros malwares, o mecanismo antivírus compara o conteúdo de um arquivo para o seu banco de dados de assinaturas de malware conhecidos.

Detecção baseada em heurística: é geralmente utilizado em conjunto com a detecção baseada em assinatura. Ele detecta o malware com base nas características tipicamente usados em código conhecido malware.

Baseada em Behavioural detecção: é semelhante a detecção baseada em heurística e também utilizado na Intrusion Detection System. A principal diferença é que, em vez das características presentes no código de malware em si, que é baseado no comportamento da impressão digital malwares em tempo de execução. Claramente, esta técnica é capaz de detectar (conhecido ou desconhecido) malwares só depois de terem começando a fazer suas ações maliciosas.

Detecção Sandbox: é um particular técnicas de detecção baseadas em Comportamental que, em vez de detectar a impressão digital de comportamento em tempo de execução, ele executa os programas em um ambiente virtual, registrando as ações que o programa realiza. Dependendo das ações conectado, o motor de antivírus pode determinar se o programa é malicioso ou não. Se não, então, o programa é executado no ambiente real. Ainda que esta técnica tem se mostrado bastante eficaz, dado o seu peso e lentidão, raramente é utilizado em soluções de antivírus do usuário final.

Técnicas de mineração de dados: são uma das últimas abordagem aplicada na detecção de malware. Algoritmos de mineração de dados e aprendizado de máquina são usados para tentar classificar o comportamento de um arquivo (como malicioso ou benigno) dada uma série de características de arquivos, que são extraídos do arquivo em si.

Detecção baseada em assinaturas.

Tradicionalmente, o software antivírus fortemente invocada assinaturas para identificar malware.

Substancialmente, quando um malware chega às mãos de uma empresa de antivírus, ele é analisado por pesquisadores de malware ou por sistemas de análise dinâmica. Então, uma vez que é certo que é na verdade um malware, uma assinatura adequada do arquivo é extraído e adicionado ao banco de dados de assinaturas do software antivírus. Quando um arquivo em particular tem de ser digitalizado, o mecanismo antivírus compara o conteúdo do arquivo com todas as assinaturas de malware no banco de dados de assinaturas. Se o arquivo corresponde a uma assinatura, o motor é capaz de saber o que o malware que é e qual o procedimento tem de ser realizada, a fim de limpar a infecção. 

Técnica de detecção baseada em assinaturas pode ser muito eficaz, mas, claramente, não pode se defender contra malware, a menos que algumas de suas amostras já foram obtidos, um assinaturas próprias geradas e o produto antivírus atualizado. Sistema de detecção baseada em assinaturas confiar na consideração de que, em geral, o mais infectante um malware é o mais rápido chega as mãos dos pesquisadores de segurança. Assim, mesmo que isso não garante a perfeição, que garante a proteção contra as ameaças mais comuns. No entanto, esta abordagem não é realmente eficaz contra zero-day ou malware de próxima geração, ou seja, o malware que ainda não foi encontrado / analisados.

Como novos malwares estão sendo criados a cada dia, a abordagem de detecção baseada em assinaturas requer atualizações frequentes do banco de dados de assinaturas. Para ajudar as empresas de antivírus, o software pode carregar automaticamente novos malwares para a empresa ou permitir que o usuário fazê-lo manualmente, permitindo que as empresas de antivírus para reduzir drasticamente a vida útil dessas ameaças. Alguns produtos antivírus também inclui avançado software para detectar zero-day ou de próxima geração malware.

Embora a abordagem baseada em assinaturas pode conter efetivamente os surtos de malware, os autores de malware tentou ficar um passo à frente de tal software escrevendo "oligomorphic", "polimórfico" e, mais recentemente, os vírus "metamórficas", que criptografam partes de si mesmos ou de outra forma modificar-se como um método de disfarce, de modo a não corresponder assinaturas de vírus no dicionário.

Heurística

Alguns mais sofisticado software antivírus utiliza análise heurística para identificar novos malwares ou variantes do malware conhecido.  

Muitos vírus começar como uma única infecção e através de mutação ou refinamentos por outros atacantes, pode se transformar em dezenas de ligeiramente diferentes cepas, denominadas variantes. Detecção genérica refere-se à detecção e remoção de ameaças múltiplas, utilizando uma definição de vírus single. [75]

Por exemplo, o trojan Vundo tem vários membros da família, de acordo com a classificação do fornecedor de antivírus. Symantec classifica os membros da família Vundo em duas categorias distintas, Trojan.Vundo e Trojan.Vundo.B. 

Embora possa ser vantajosa para identificar um vírus específico, ele pode ser mais rápido de detectar uma família de vírus através de uma assinatura genérica ou através de um jogo pouco precisas para uma assinatura existente. Os pesquisadores de vírus encontrar áreas comuns que todos os vírus em uma parte da família única e pode, assim, criar uma única assinatura genérica. Essas assinaturas geralmente contêm código não contígua, usando caracteres curinga onde as diferenças se encontram. Estes wildcards permitem que o scanner detectar vírus, mesmo que sejam preenchidos com código extra, sem sentido. [78] A detecção que utiliza este método está a ser dito "detecção heurística".

Detecção de rootkit

Ver artigo principal: Rootkit

O software antivírus pode tentar verificar rootkits; Um rootkit é um tipo de malware que é projetado para obter o controle de nível administrativo ao longo de um sistema de computador sem ser detectado. Rootkits podem mudar a forma como as funções do sistema operacional e, em alguns casos, pode mexer com o programa antivírus e torná-la ineficaz. Rootkits também são difíceis de remover, em alguns casos que exigem uma remontagem completa do sistema operacional.

Proteção em tempo real

Proteção em tempo real, varredura no acesso, guarda de fundo, proteção residente, autoprotegidos, e outros sinônimos se refere à proteção automática prevista pela maioria dos antivírus, anti-spyware e outros programas anti-malware. Este monitora sistemas de computadores para atividades suspeitas, como vírus, spyware, adware e outros objetos maliciosos em 'tempo real', em outras palavras, enquanto os dados carregados na memória ativa do computador: ao inserir um CD, abrir um e-mail ou navegação a web, ou quando um arquivo já existente no computador é aberto ou executado. [80]

Questões de interesse

Custos de renovação inesperados  

Alguns acordos comerciais de licença de usuário final de software antivírus incluir uma cláusula que a assinatura será automaticamente renovada, e um cartão de crédito do comprador cobrado automaticamente, no momento de renovação sem a aprovação explícita. Por exemplo, a McAfee requer que os usuários de cancelar a assinatura de pelo menos 60 dias antes do termo do presente subscrição, enquanto o BitDefender envia notificações para cancelar a inscrição 30 dias antes da renovação. Norton AntiVirus também renova as assinaturas automaticamente por padrão.  

Aplicativos de segurança desonestos.

Ver artigo principal: software de segurança invasor

Alguns programas antivírus aparentes são realmente de malware mascarado como software legítimo, como WinFixer, MS Antivirus e Mac Defender.

Problemas causados por falsos positivos

A "falso positivo" ou "falso alarme" é quando o software antivírus identifica um arquivo não-malicioso como malware. Quando isso acontece, pode causar sérios problemas. Por exemplo, se um programa antivírus está configurado para excluir imediatamente ou colocar em quarentena os arquivos infectados, como é comum em aplicativos antivírus Microsoft Windows, um falso positivo em um arquivo essencial pode tornar o sistema operacional Windows ou algumas aplicações inutilizáveis. Recuperando-se de tal dano à infraestrutura de software crítico incorre em custos de suporte técnico e as empresas podem ser obrigadas a fechar, enquanto a ação corretiva é realizada. Arquivos essenciais do sistema operacional, por exemplo, maio 2007 a assinatura de vírus defeituoso emitido pela Symantec removidos por engano, deixando milhares de PCs incapaz de arrancar.

Também em maio de 2007, o arquivo executável requerido pela Pegasus Mail no Windows foi falsamente detectados pelo Norton AntiVirus como sendo um cavalo de Tróia e ele foi removido automaticamente, evitando que Pegasus Mail de execução. Norton AntiVirus falsamente identificados três versões do Pegasus Mail como malware, e gostaria de excluir o arquivo instalador Pegasus Mail quando isso aconteceu [89] Em resposta a esta Pegasus Mail afirmou.:

"Com base em que Norton / Symantec fez isso para cada um dos últimos três lançamentos de Pegasus Mail, só podemos condenar este produto como também falho de usar e recomendar nos termos mais fortes que nossos usuários deixam de usá-lo em favor de , pacotes de alternativas menos de buggy anti-vírus . "

Em abril de 2010, a McAfee VirusScan detectou svchost.exe, um binário normal do Windows, como um vírus nas máquinas que executam o Windows  XP com Service Pack 3, causando um loop de reinicialização e perda de todo o acesso à rede.  

Em dezembro de 2010, uma atualização defeituosa na suíte AVG antivírus danificado versões do Windows 7 de 64 bits, tornando-o incapaz de arrancar, devido a um loop de boot infinito criado.

Em outubro de 2011, o Microsoft Security Essentials (MSE) removeu o navegador Google Chrome, rival da Microsoft próprio Internet Explorer. MSE sinalizado Chrome como um trojan bancário Zbot.  

Em setembro de 2012, suíte de antivírus Sophos identificou vários mecanismos de atualização-, incluindo a sua própria, como malware. Se ele foi configurado para apagar automaticamente os arquivos detectados, Sophos Antivirus poderia tornar-se incapaz de atualizar, a intervenção manual necessária para corrigir o problema.  

Problemas de interoperabilidade relacionados sistema.

Correr (a proteção em tempo real de) vários programas antivírus simultaneamente pode prejudicar o desempenho e criar conflitos. No entanto, usando um conceito chamado multiscanning, várias empresas (incluindo G Data e Microsoft [98]) aplicações que criaram pode executar vários motores simultaneamente.

Às vezes, é necessário desativar temporariamente a proteção contra vírus ao instalar atualizações importantes, como Service Packs do Windows ou drivers da placa de atualização gráfica. [99] ativa a proteção antivírus pode parcialmente ou completamente impedir a instalação de uma grande atualização. O software antivírus pode causar problemas durante a instalação de uma atualização do sistema operacional, por exemplo, quando a atualização para uma versão mais recente do Windows "no lugar" - sem apagar a versão anterior do Windows. A Microsoft recomenda que o software antivírus ser desativado para evitar conflitos com o processo de instalação da atualização.

A funcionalidade de alguns programas de computador pode ser prejudicada por software antivírus ativo. Por exemplo TrueCrypt, um programa de criptografia de disco, afirma em sua página na solução de problemas que os programas antivírus podem entrar em conflito com o TrueCrypt e causar mau funcionamento ou operar de forma muito lenta. O software anti-vírus pode prejudicar o desempenho e estabilidade de jogos que funcionam no a plataforma Steam.

Questões de suporte, também existem em torno de interoperabilidade de aplicativos antivírus com soluções comuns, como acesso remoto SSL VPN e rede de produtos de controle de acesso. Estas soluções de tecnologia, muitas vezes têm aplicações de avaliação de políticas que exigem que um atualizados antivírus está instalado e funcionando. Se o aplicativo de antivírus não é reconhecido pela avaliação da política, seja porque o aplicativo antivírus foi atualizado ou porque não é parte da biblioteca de avaliação política, o usuário não será capaz de se conectar.

Eficácia

Estudos em dezembro de 2007 mostrou que a eficácia do software antivírus tinha diminuído em relação ao ano anterior, principalmente contra ataques de dia desconhecidos ou zero. A revista c't computador descobriram que as taxas de detecção para estas ameaças caiu de 40-50% em 2006 para 20-30% em 2007. Naquela época, a única exceção foi o antivírus NOD32, que conseguiu uma taxa de detecção de 68 por cento . [106] Segundo o site rastreador do ZeuS a taxa de detecção média para todas as variantes do trojan ZeuS bem conhecido é tão baixo quanto 40%.

O problema é ampliado pela intenção mudando de autores de vírus. Alguns anos atrás, era óbvio quando uma infecção por vírus estava presente. Os vírus do dia, escritos por amadores, exibiu comportamento destrutivo ou pop-ups. Vírus modernos são muitas vezes escritos por profissionais, financiados por organizações criminosas.

Em 2008, Eva Chen, CEO da Trend Micro, disse que a indústria de antivírus tem mais sensacionalistas como eficaz seus produtos são - e assim tem sido enganosa a clientes Por anos

Testes independentes em todos os principais programas antivírus mostra consistentemente que nenhum fornecer detecção de vírus 100%. Os melhores fornecida tão alto quanto a detecção de 99,9% para situações do mundo real simulados, enquanto a mais baixa desde 91,1% em testes realizados em agosto de 2013. Muitos scanners de vírus produzir falsos resultados positivos, bem como, a identificação de arquivos benignos como malware. 

Embora as metodologias podem ser diferentes, algumas agências independentes de testes de qualidade notáveis incluem AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST e outros membros da Testing Standards Organization Anti-Malware.

Novos vírus

Os programas antivírus nem sempre são eficazes contra novos vírus, mesmo aqueles que usam métodos não-baseado em assinatura que deve detectar novos vírus. A razão para isso é que os designers de vírus testar seus novos vírus sobre os principais aplicativos antivírus para se certificar de que eles não são detectados antes de liberá-los para a vida selvagem.

Alguns novos vírus, particularmente ransomware, use o código polimórfico para evitar a detecção por programas antivírus. Jerome Segura, analista de segurança com ParetoLogic, explicou:

"É algo que eles perdem uma grande parte do tempo, porque este tipo de [vírus ransomware] vem de sites que usam um polimorfismo, o que significa que basicamente aleatório o arquivo que você enviar e torna-se por produtos antivírus bem conhecidos com muita facilidade. Eu tenho visto pessoas em primeira mão ficar infectado, tendo todos os pop-ups e ainda assim eles têm software antivírus em execução e não está detectando nada. Na verdade, pode ser muito difícil de se livrar, também, e você nunca está realmente certo se ele realmente se foi. Quando vemos algo assim normalmente aconselha-se reinstalar o sistema operacional ou reinstalar backups. "

A prova de vírus conceito usou Processing Unit (GPU) de gráficos para evitar a detecção de software antivírus. O sucesso potencial deste envolve ignorando a CPU, a fim de torná-lo muito mais difícil para os pesquisadores de segurança para analisar o funcionamento interno de tal malware.

Rootkits 

Detectar rootkits é um grande desafio para os programas de antivírus. Rootkits ter acesso administrativo completo para o computador e são invisíveis para os usuários e escondido da lista de processos em execução no gerenciador de tarefas. Rootkits podem modificar o funcionamento interno do sistema operacional e mexer com programas antivírus.

Arquivos danificados

Os arquivos que foram danificados por vírus de computador, por exemplo, por ransomware, pode estar danificado além de recuperação. O software anti-virus remove o código de vírus do arquivo durante a desinfecção, mas isso nem sempre restaurar o arquivo ao seu estado sem danos. Em tais circunstâncias, arquivos danificados só podem ser restaurados a partir de cópias de segurança existentes ou cópias de sombra; software instalado que está danificado requer reinstalação (no entanto, consulte o System File Checker).

Problemas de firmware 

Software antivírus ativo pode interferir com um processo de atualização do firmware. Qualquer firmware gravável no computador pode ser infectado por um código malicioso. Essa é uma grande preocupação, como uma BIOS infectados poderia exigir o chip real BIOS para ser substituídos para garantir o código malicioso é completamente removido.  o software antivírus não é eficaz na proteção firmware e BIOS da placa-mãe da infecção. Em 2014, pesquisadores de segurança descobriram que os dispositivos USB conter firmware gravável que pode ser modificado com código malicioso (apelidado de "BadUSB"), que o software antivírus não consegue detectar ou prevenir. O código malicioso pode ser executado sem serem detectados no computador e até poderia infectar o sistema operacional antes de ele arrancar.

Performances e outros inconvenientes

O software antivírus tem alguns inconvenientes, primeiro dos quais que podem afetar o desempenho do computador.  

Além disso, os usuários inexperientes pode ser embalado em uma falsa sensação de segurança ao usar o computador, considerando-se a ser invulnerável, e pode ter problemas para entender as instruções e decisões que o software antivírus apresenta-los com. Uma decisão errada pode levar a uma violação de segurança. Se o software antivírus emprega detecção heurística, que deve ser aperfeiçoado para minimizar misidentifying software inofensivo como malicioso (falsos positivos).  

O software antivírus em si geralmente é executado no nível do kernel altamente confiável do sistema operacional para permitir o acesso a todo o potencial processo malicioso e arquivos, criando uma avenida potencial de ataque.

Soluções alternativas

Instalada soluções antivírus, rodando em um computador individual, embora o mais utilizado, é apenas um método de proteção contra malware. Outras soluções alternativas também são utilizadas, tais como: Gestão (UTM), hardware e rede firewalls, antivírus baseados em nuvem Unified Threat e scanners on-line.

Hardware e rede Firewall 

Os firewalls de rede impedir que programas desconhecidos e processos de acesso ao sistema. No entanto, eles não são sistemas antivírus e não faz nenhuma tentativa de identificar ou remover nada. Eles podem proteger contra a infecção de fora do computador ou rede é protegido, e limitar a atividade de qualquer software mal-intencionado que está presente, bloqueando as solicitações de entrada ou de saída em determinadas portas TCP / IP. Um firewall é projetado para lidar com ameaças sistema mais amplo que vêm de conexões de rede no sistema e não é uma alternativa a um sistema de proteção contra vírus.

Cloud Antivirus

Cloud Antivirus é uma tecnologia que utiliza software agente leve no computador protegido, enquanto o descarregamento da maioria da análise de dados de infraestrutura do provedor.

Uma abordagem para a implementação de antivírus em nuvem envolve a busca de arquivos suspeitos usando vários mecanismos antivírus. Esta abordagem foi proposta por uma rápida implementação do conceito de antivírus em nuvem chamado CloudAV. CloudAV foi projetado para enviar programas ou documentos a uma nuvem de rede onde vários programas antivírus e de detecção de comportamento são usados simultaneamente, a fim de melhorar as taxas de detecção. Varredura paralela de arquivos usando potencialmente incompatíveis scanners antivírus é atingido por desova uma máquina virtual por mecanismo de detecção e, portanto, eliminando possíveis problemas. CloudAV também pode executar "detecção retrospectiva", em que o mecanismo de detecção de nuvem varrerá novamente todos os arquivos em sua história o acesso ao arquivo quando uma nova ameaça é identificada, assim, melhorar a nova velocidade de detecção de ameaças. Finalmente, CloudAV é uma solução eficaz para a verificação de vírus em dispositivos que não possuem o poder de computação para realizar as próprias verificações.

Alguns exemplos de nuvem produtos anti-vírus são Panda Cloud Antivirus e Immunet.

Varredura on-line

Alguns fornecedores de antivírus mantêm sites com capacidade livre on-line verificação de todo o computador, apenas áreas críticas, discos locais, pastas ou arquivos. Análise online periódica é uma boa ideia para aqueles que executar aplicativos antivírus em seus computadores porque esses aplicativos são frequentemente lento para pegar ameaças. Uma das primeiras coisas que o software malicioso faz em um ataque é desativar qualquer software antivírus existente e, por vezes, a única maneira de saber de um ataque é recorrendo a um recurso online que não está instalado no computador infectado.

Ferramentas especializadas

Ferramentas de remoção de vírus estão disponíveis para ajudar a remover as infecções persistentes ou certos tipos de infecção. Exemplos incluem da Trend Micro Rootkit Buster, [131] e rkhunter para a detecção de rootkits, Ferramenta de Remoção do Avira AntiVir, PCTools Ferramenta de Remoção de ameaças, e Anti-Virus do AVG Free 2011.

Um disco de recuperação que é inicializável, como um CD ou dispositivo USB de armazenamento, pode ser usado para executar um software antivírus fora do sistema operacional instalado, a fim de remover infecções enquanto estão dormentes. Um disco de inicialização antivírus pode ser útil quando, por exemplo, o sistema operacional instalado já não arranca ou tem malware que está resistindo a todas as tentativas de ser removidos pelo software antivírus instalado. Exemplos de alguns desses discos inicializáveis incluem o AntiVir Rescue System Avira, PCTools Alternate Operacional System Scanner, e AVG Rescue CD. O software AVG Rescue CD também pode ser instalado em um dispositivo de armazenamento USB, que é inicializável em computadores mais novos.

De acordo com uma pesquisa do FBI, as grandes empresas perdem 12 milhões dólares lidar anualmente com incidentes de vírus. Uma pesquisa realizada pela Symantec em 2009 descobriu que um terço das pequenas e média empresa não usar a proteção antivírus naquele tempo, ao passo que mais de 80% de usuários domésticos tinham algum tipo de antivírus instalado. De acordo com uma pesquisa sociológica realizada pela G Data Software, em 2010, 49% das mulheres não usam qualquer programa antivírus em tudo.

Métodos de identificação

• 'Escaneamento de vírus conhecidos' - quando um novo vírus é descoberto seu código é desmontado e é separado um grupo de caracteres (uma string) que não é encontrado em outros softwares não maliciosos. Tal string passa a identificar esse vírus, e o antivírus a utiliza para ler cada arquivo do sistema (da mesma forma que o sistema operacional), de forma que quando a encontrar em algum arquivo, emite uma mensagem ao usuário ou deleta o arquivo automaticamente.
• 'Sensoreamento heurístico' - o segundo passo é a análise do código de cada programa em execução quando usuário solicita um escaneamento. Cada programa é varrido em busca de instruções que não são executadas por programas usuais, como a modificação de arquivos executáveis. É um método complexo e sujeito a erros, pois algumas vezes um executável precisa gravar sobre ele mesmo, ou sobre outro arquivo, dentro de um processo de reconfiguração, ou atualização, por exemplo. Portanto, nem sempre o aviso de detecção é confiável.
• 'Busca algorítmica' - expressamente, a busca algorítmica é aquela que utiliza algoritmos para selecionar os resultados. Essa classificação em "busca algorítmica", do Inglês "algorithmic search", é de caráter publicitário ou vulgo já que qualquer mecanismo de busca utiliza um algoritmo. Esta denominação foi criada para se diferenciar das "Buscas Patrocinadas" em que o pagamento (patrocínio) dos mecanismos de busca faz com que os resultados patrocinados tenham prioridade. Por exemplo: para buscar strings (cadeias de texto) que detectariam um vírus de computador.
• 'Checagem de integridade' - checagem de integridade cria um banco de dados, com o registro dos dígitos verificadores de cada arquivo existente no disco, para comparações posteriores. Quando for novamente feita esta checagem, o banco de dados é usado para certificar que nenhuma alteração seja encontrada nesses dígitos verificadores. Caso seja encontrado algum desses dígitos diferentes dos gravados anteriormente, é dado o alarme da possível existência de um arquivo contaminado.

Cabe ao usuário verificar se a alteração foi devido a uma atividade suspeita, ou se foi causada simplesmente por uma nova configuração, efetuada recentemente.

Os antivírus são programas que procuram por outros programas (os vírus) e/ou os barram, por isso, nenhum antivírus é totalmente seguro o tempo todo, e existe a necessidade de sua manutenção (atualização) e, antes de tudo, fazer sempre uso do backup para proteger-se realmente contra perda de dados importantes.

Ver também

• Vírus informáticos
• Lista de programas antivírus
• EICAR - Instituto Europeu para Pesquisa de Antivírus de Computador

Referências

Ligações externas

• EICAR - Instituto Europeu para Pesquisa de Antivírus de Computador (em francês e em alemão). en.
• «Centro de coordenação do Carnegie Mellon CERT». (em inglês)