Como os programas antivírus funcionam?

Como os programas antivírus funcionam?

Um programa(software) de software antivírus é um programa de computador que pode ser usado para verificar os arquivos, identificar e eliminar os vírus do computador e outros softwares maliciosos (malware).

Os softwares antivírus normalmente usam duas técnicas diferentes para fazer isso:

1) Dicionário de vírus, também conhecido como base de dados de vírus, assinaturas de vírus:
Nessa abordagem conhecida como dicionário de vírus, quando o software antivírus examina um arquivo, ele se refere a um dicionário de vírus conhecidos que foram identificadas pelo fabricante do programa. Se um pedaço de código no arquivo corresponde a qualquer vírus identificado no dicionário, o software antivírus pode então excluir o arquivo, colocar na quarentena para que o arquivo fique inacessível para outros programas e seus vírus não se disseminem, ou tentar reparar o arquivo removendo o vírus.

Embora essa abordagem seja considerada eficaz, autores de vírus têm tentado ficar um passo à frente desse tipo de software, escrevendo “vírus polimórficos”, que criptografam partes de si mesmos ou modificam-se como um método de disfarce, de modo a não coincidir com a assinatura do vírus no dicionário.

2) Comportamentos suspeitos:
Na abordagem do ‘comportamento suspeito’, ao contrário do anterior, o antivírus não tenta identificar os vírus conhecidos, e sim monitora o comportamento de todos os programas. Se um programa tenta gravar dados em um programa executável, por exemplo, esta característica é conhecida como um comportamento suspeito e o usuário é alertado para isso, e perguntado sobre o que fazer. Ao contrário da abordagem do dicionário, o método do comportamento suspeito, oferece proteção contra vírus totalmente novos que ainda não foram identificados e não existem em nenhum dicionário de vírus. No entanto, também reconhecem um grande número de falsos positivos, e os usuários, provavelmente podem tornar-se insensíveis a todos os avisos.

3) Outras formas de detectar vírus
Alguns softwares antivírus tentam emular o início do código de cada novo arquivo executável que está sendo executado antes de transferir o controle para o executável. Se o programa parece estar usando algum código para se auto-modificar ou mesmo que tenta encontrar outros executáveis, por exemplo, pode-se supor que o executável é um vírus. No entanto, esse método resulta em uma grande quantidade de falsos positivos. Parte desse método de detecção se chama caixa de areia (sandbox). Uma “caixa de areia” emula o sistema operacional e executa o arquivo executável nesta simulação. Depois que o programa terminou, a caixa de proteção é analisada por mudanças que possam indicar um vírus. Devido a problemas de desempenho deste tipo de detecção é normalmente realizada somente durante as varreduras sob demanda.

A educação do usuário é tão importante quanto o software antivírus, os usuários simplesmente devem ser treinamento em práticas seguras de utilização de um computador, tais como não fazer o download e execução de programas desconhecidos através da Internet, ou clicar em links desconhecidos ou óbvios. Dessa forma se dificulta a infecção por vírus.

Existem vários métodos de codificação e ocultação de software malicioso que irá fazer mesmo vírus conhecidos indetectáveis por programas de antivírus. Detectar estes vírus camuflados requer um motor de descompactação poderosa, que pode descriptografar os arquivos antes de examiná-los. Infelizmente, muitos programas populares antivírus não tem essa e, portanto, são frequentemente incapazes de detectar vírus criptografado.
Tipos de vírus e definições:

Worm: Um worm de computador é um programa auto-replicante, semelhante a um vírus de computador. Um vírus se liga e torna-se parte de outro programa executável, um worm é auto-suficiente e não precisa fazer parte de outro programa para se propagar.
Keylogger: De acordo com especialistas, keyloggers apresentam mais riscos aos usuários de PC do que qualquer outra ferramenta utilizada para cometer crimes de computador. São pequenos programas ou dispositivos de hardware que monitoram cada tecla que você digitar no teclado de um computador específico, incluindo erros de digitação, texto apagado e redigitação.
Rootkit: Um rootkit é um conjunto de utilidades que podem ser executados escondidos em um sistema de computador, muitas vezes com a intenção de proporcionar o acesso escondido e controlar o sistema operacional do computador. Geralmente, hackers, vírus, worms e outras entidades mal-intencionadas usam rootkits para ocultar sua presença nos sistemas infectados.
Trojan: Trojans(cavalos de tróia), são programas, que – como os vírus – podem estar ativos em seu computador sem seu conhecimento. Em geral, Trojans não se reproduzem. Trojans são perigosos, pois podem transmitir informações secretas, como senhas, informações de cartão de crédito, os segredos da empresa, informações confidenciais, cartas pessoais, etc trojans podem apagar arquivos, e através de portas abertas manter contato secretamente com servidores e computadores externos.
Malware (uma contração de “software malicioso”): refere-se a software desenvolvido com a finalidade de causar danos. Malwares pode ser classificados com base em como eles são executadas, como se espalham, e / ou o que eles fazem. O spyware é um exemplo de malware.
Spyware: O spyware é um dos tipos mais comuns de malware em circulação. Como o próprio nome sugere, este tipo de programa é projetado para espionar a atividade dos usuários, especialmente quando eles estão conectados à Internet. Como qualquer tipo de spyware, ele compromete a confidencialidade dos dados armazenados em um computador, e é considerado uma ameaça potencial que coleta e enviar informações sobre os sites mais visitados pelos usuários, o tempo de conexão, etc . Da mesma forma, eles podem capturar dados sobre o computador no qual estão instalados: sistema operacional, processador, memória, etc. Há até mesmo os programas de espionagem que detectam e relatam se o software instalado em um PC é original ou não.

Atualmente os criadores de vírus estão buscando vantagens financeiras e com isso o termo malware se popularizou. O termo vírus de computador foi de certa forma associado a programas irritantes, ou que causam pequenos danos e contra-tempos. Por isso um bom antivírus, deve ser também antimalware.

Just a regular computer user. I write for regular users like me. When we grow up we are taught basic security tips like how to cross the street. But we are not taught how to take care of ourselves online.