Um programa antivírus é uma parte essencial de uma estratégia de segurança em várias camadas. Mesmo se você for um usuário de computador inteligente, o fluxo constante de vulnerabilidades para navegadores, plug-ins e o próprio sistema operacional Windows tornam a proteção antivírus importante.
Varredura ao acessar
O software antivírus é executado em segundo plano no seu computador, verificando todos os arquivos que você abre. Isso geralmente é conhecido como varredura no acesso, varredura em segundo plano, varredura residente, proteção em tempo real ou qualquer outra coisa, dependendo do programa antivírus.
Quando você clica duas vezes em um arquivo EXE, pode parecer que o programa é iniciado imediatamente - mas não. Seu software antivírus verifica o programa primeiro, comparando-o a vírus, worms e outros tipos de malware conhecidos. Seu software antivírus também faz uma verificação "heurística", verificando os programas em busca de tipos de comportamento incorreto que possam indicar um novo vírus desconhecido.
Os programas antivírus também examinam outros tipos de arquivos que podem conter vírus. Por exemplo, um arquivo.zip pode conter vírus compactados ou um documento do Word pode conter uma macro mal-intencionada. Os arquivos são verificados sempre que são usados. Por exemplo, se você fizer o download de um arquivo EXE, ele será examinado imediatamente, antes mesmo de você abri-lo.
É possível usar um antivírus sem varredura ao acessar, mas isso geralmente não é uma boa ideia: os vírus que exploram falhas de segurança nos programas não seriam capturados pelo scanner. Depois que um vírus infectar seu sistema, é muito mais difícil removê-lo. (Também é difícil ter certeza de que o malware já foi completamente removido).
Varreduras Completas do Sistema
Devido à varredura ao acessar, normalmente não é necessário executar varreduras completas no sistema. Se você fizer o download de um vírus para o seu computador, seu programa antivírus perceberá imediatamente. Não é necessário iniciar a verificação manualmente primeiro.
As verificações de sistema completo podem ser úteis para algumas coisas, no entanto. Uma verificação completa do sistema é útil quando você acaba de instalar um programa antivírus. Isso garante que não haja vírus inativos no computador. A maioria dos programas antivírus configura varreduras completas do sistema agendadas, geralmente uma vez por semana. Isso garante que os arquivos de definição de vírus mais recentes sejam usados para verificar se há vírus latentes no sistema.
Essas verificações completas de disco também podem ser úteis ao reparar um computador. Se você deseja reparar um computador já infectado, é útil inserir seu disco rígido em outro computador e executar uma verificação completa do sistema em busca de vírus (se não estiver fazendo uma reinstalação completa do Windows). No entanto, normalmente você não precisa executar verificações completas do sistema quando um programa antivírus já está protegendo você. Ele sempre está fazendo a varredura em segundo plano e fazendo suas próprias verificações regulares e completas do sistema.
Definições de vírus
Seu software antivírus depende de definições de vírus para detectar malware. É por isso que baixa automaticamente arquivos de definição novos e atualizados, uma vez por dia ou com maior frequência. Os arquivos de definição contêm assinaturas de vírus e outros malwares encontrados na natureza. Quando um programa antivírus varre um arquivo e percebe que o arquivo corresponde a um malware conhecido, o programa antivírus interrompe a execução do arquivo, colocando-o na “quarentena”. Dependendo das configurações do programa antivírus, o programa antivírus pode excluir automaticamente o arquivo ou você pode permitir que o arquivo seja executado de qualquer maneira, se tiver certeza de que é um falso positivo.
As empresas de antivírus têm que se manter atualizadas continuamente com os últimos malwares, liberando atualizações de definições que garantem que o malware seja capturado pelos seus programas. Os laboratórios de antivírus usam uma variedade de ferramentas para desmontar vírus, executá-los em sandboxes e liberar atualizações oportunas que garantam que os usuários estejam protegidos contra o novo malware.
Heurística
Programas antivírus também empregam heurística. As heurísticas permitem que um programa antivírus identifique tipos de malware novos ou modificados, mesmo sem arquivos de definição de vírus. Por exemplo, se um programa antivírus perceber que um programa em execução no seu sistema está tentando abrir todos os arquivos EXE em seu sistema, infectando-o, gravando nele uma cópia do programa original, o programa antivírus poderá detectar esse programa como um novo, tipo desconhecido de vírus.
Nenhum programa antivírus é perfeito. As heurísticas não podem ser muito agressivas ou sinalizarão softwares legítimos como vírus.
Falso-positivo
Devido à grande quantidade de software existente, é possível que os programas antivírus ocasionalmente digam que um arquivo é um vírus quando, na verdade, é um arquivo totalmente seguro. Isso é conhecido como “falso positivo”. Ocasionalmente, as empresas de antivírus cometem erros, como identificar arquivos de sistema do Windows, programas populares de terceiros ou seus próprios arquivos de programas antivírus como vírus. Esses falsos positivos podem danificar os sistemas dos usuários - esses erros geralmente acabam nas notícias, como quando o Microsoft Security Essentials identificou o Google Chrome como um vírus, o AVG danificou as versões de 64 bits do Windows 7 ou a Sophos se identificou como malware.
A heurística também pode aumentar a taxa de falsos positivos. Um antivírus pode perceber que um programa está se comportando de maneira semelhante a um programa mal-intencionado e o identifica como um vírus.
Apesar disso, os falsos positivos são bastante raros no uso normal. Se o seu antivírus diz que um arquivo é malicioso, você deve acreditar nele. Se você não tiver certeza se um arquivo é realmente um vírus, tente enviá-lo para o VirusTotal (que agora pertence ao Google). O VirusTotal verifica o arquivo com uma variedade de produtos antivírus diferentes e informa o que cada um deles diz a respeito.
Taxas de Detecção
Diferentes programas antivírus têm taxas de detecção diferentes, nas quais tanto as definições de vírus quanto as heurísticas estão envolvidas. Algumas empresas de antivírus podem ter heurísticas mais eficazes e liberar mais definições de vírus do que suas concorrentes, resultando em uma taxa de detecção mais alta.
Algumas organizações realizam testes regulares de programas antivírus em comparação entre si, comparando suas taxas de detecção no uso no mundo real. O AV-Comparitives lança regularmente estudos que comparam o estado atual das taxas de detecção de antivírus. As taxas de detecção tendem a flutuar com o tempo - não há um produto melhor que esteja sempre no topo. Se você está realmente interessado em ver o grau de eficácia de um programa antivírus e quais são os melhores disponíveis, os estudos de taxa de detecção são o melhor lugar para procurar.
Testando um programa antivírus
Se você quiser testar se um programa antivírus está funcionando corretamente, você pode usar o arquivo de teste EICAR. O arquivo EICAR é uma maneira padrão de testar programas antivírus - na verdade, não é perigoso, mas os programas antivírus se comportam como se fossem perigosos, identificando-os como um vírus. Isso permite que você teste as respostas do programa antivírus sem usar um vírus ao vivo.
Os programas antivírus são softwares complicados, e livros grossos podem ser escritos sobre esse assunto - mas espero que este artigo tenha ajudado você a aprender o básico.
