Como funcionam os antivírus

O artigo abaixo foi atualizado em Nov/2019 com informações adicionais a atualizadas deste vídeo publicado em 2017:

 
Nesse artigo eu abordo em detalhes como funcionam os antivírus, mostrando as várias técnicas que eles utilizam para detectar malwares: assinatura, heurística, HIPS, proteção na nuvem e Inteligência Artificial.

Assinatura

A detecção através de assinatura é a técnica mais antiga e básica, aonde o antivírus procura por trechos de código ou combinação de caracteres que já foram utilizados em outros malwares, pois se eles também estiverem ali, certamente esse programa é um malware.

A repetição de linhas de código nos vírus é relativamente comum, pois existem na internet várias ferramentas (gratuitas ou não) para criação de vírus. 

Script KiddieNa prática a imensa dos criadores de vírus não cria o seu próprio vírus: eles utilizam essas ferramentas que permitem que qualquer um possa criar um vírus novo sem ter conhecimento técnico para isso, ou então eles simplesmente baixam o código-fonte de vírus que estão disponíveis em vários sites, fazendo pequenas modificações neles.

E quem utiliza qualquer uma dessas duas opções para criar um vírus é apelidado de script kiddie, um termo que define um jovem inexperiente que se considera um hacker porque criou um vírus novo (e normalmente ele adora anunciar isso para os amiguinhos dele), quando na realidade ele usou uma ferramenta para fazer isso ou adaptou algo já existente porque ele simplesmente não tem conhecimento técnico para criar o seu próprio vírus.

Vírus: nome original e variantesAliás, quando um novo vírus é criado e depois disso aparecem outros vírus que foram baseados nele (com algumas modificações em relação ao primeiro), todos esses vírus baseados no primeiro são considerados uma variante do vírus principal, aonde o nome principal do vírus é o mesmo, mas cada variante recebe uma identificação própria.

Se os antivírus identificassem um malware somente pela análise do código-fonte dele, isso obviamente impediria a detecção de vírus que tenham um código-fonte único e desconhecido - e por isso há muitos anos os antivírus utilizam a heurística para isso.

 

Heurística

A heurística analisa as características do programa e procura por padrões internos que possam indicar que o programa é um malware. Cada vez que um padrão é encontrado, é atribuída uma pontuação para ele, e se na soma total essa pontuação for superior a um determinado valor, o antivírus considera esse programa sendo um malware desconhecido.

Tanto o método de assinatura quanto de heurística permitem analisar o programa sem que esse programa seja executado pelo usuário.

Como funcionam os antivírus | Heurística

O melhor exemplo disso acontece quando você baixa um arquivo para o seu computador, e assim que ele é baixado o seu antivírus já te avisa que ele é um malware e apaga ele.

Isso acontece pois o módulo de assinatura ou de heurística já detectaram pelo código do programa que ele é um malware, sem necessidade de executar o programa pra comprovar isso.

Só que às vezes você baixa um programa e o antivírus não fala nada, e assim que esse programa é executado, daí sim o antivírus bloqueia ele falando que é um malware.

Por que isso acontece?

Isso acontece porque quando o programa é aprovado pela verificação da assinatura e da heurística, assim que esse programa for executado pelo usuário, entra em ação o módulo de comportamento do antivírus, que também é conhecido por HIPS (Host Intrusion Prevention System ou Sistema de Prevenção de Intrusão).

Com esse módulo o antivírus monitora o que um programa está fazendo ou o que ele vai fazer em seguida, e se esse programa apresentar um comportamento suspeito, o antivírus bloqueia ele informando que ele é malicioso.

Exemplo simples: se você executa um programa e o antivírus detecta que ele está começando a criptografar os arquivos da pasta Documentos e a próxima instrução do programa (instrução essa que já está carregada na memória RAM) é para ele apagar os arquivos originais, isso indica o comportamento de um ransomware, e nesse caso o antivírus bloqueia a execução desse programa.

O mesmo acontece quando um programa é executado e o antivírus detecta que esse programa está injetando código adicional em outros programas, quando o programa altera o arquivo HOSTS, quando ele instala um driver que monitora o teclado (indicando ser um keylogger), etc.

Além dessas três proteções, os antivírus também utilizam proteção na nuvem e mais recentemente inteligência artificial, que são abordados nas próximas páginas.

Proteção na Nuvem

Há algum tempo os antivírus utilizam proteção na nuvem, garantindo que isso aumenta a taxa de detecção de novos malwares, ao mesmo tempo que fornecem uma proteção mais rápida para seus usuários. Como isso funciona?

Exemplo simples: imagine que um internauta acabou de encontrar em um site um novo ativador de Windows para ativar o Windows pirata dele, e aí ele baixa esse ativador e dá um duplo-clique nele para usá-lo. Quando o internauta executa esse arquivo, o antivírus que ele estiver utilizando vai fazer uma análise rápida desse programa para decidir se ele é um programa confiável ou não.

Essa análise que o antivírus faz é multi-layer, ou seja, ele não faz uma ÚNICA análise: ele realiza simultaneamente diversas análises, verificações e comparações.

Entre elas ele analisa se existe algum código suspeito, se o programa vai realizar alguma tarefa destrutiva (como apagar partição), se o programa tem certificado digital válido de uma empresa séria, se o código do programa está propositalmente embaralhado para tentar confundir o antivírus (técnica essa conhecida como obfuscar o código), etc.

Se depois de todas essas verificações, que no total duram menos de um décimo de segundo, o antivírus detectar que esse ativador se comporta como um malware, então ele bloqueia a execução dele e informa ao usuário que esse ativador é suspeito, que é o que a gente viu até agora.

Mas quando o antivírus tem proteção na nuvem, a próxima tarefa que ele faz é criptografar esse ativador e enviá-lo para servidores de quarentena que estão na nuvem, aonde eles fazem uma análise mais detalhada.

Como funcionam os antivírus | Proteção na Nuvem

E se for confirmado que esse ativador é realmente um malware, ele é identificado e catalogado, e em seguida as informações dele são adicionadas no arquivo de atualização de vírus que é baixado diversas vezes por dia pelos antivírus.

A partir daí, assim que algum outro internauta em qualquer lugar do mundo baixar esse mesmo ativador, o antivírus avisará imediatamente que ele é um malware, desta vez sem a necessidade do ativador ser executado, porque o antivírus criou uma assinatura para ele, e com isso ele é considerado malware já na primeira análise.

Então na prática os antivírus com proteção na nuvem realmente têm uma taxa de detecção mais alta e também permitem uma proteção mais ágil, pois a nuvem permite receber, analisar e catalogar novos malwares em pouco tempo, independentemente em qual país ele foi detectado, protegendo em pouco tempo internautas do mundo para que não sejam infectados por esse mesmo malware.

E para você ter uma ideia disso funcionando no mundo real, durante o ano de 2018, somente a Kaspersky (que é UMA dentre mais de 70 empresas de antivírus do mercado) detectou mais de 350 MIL novos arquivos maliciosos POR DIA, que resultaram em 21 milhões de novos malwares criados somente no ano passado.
 
Bem, isso é muito interessante, mas aborda apenas nuvem. E a Inteligência Artificial, aonde ela entra nisso tudo?

 

Inteligência Artificial

Como funciona a Inteligência Artificial (IA) em um antivírus?

Para você compreender isso de maneira simples, eu vou usar como exemplo o Windows Defender, que desde a versão Fall Creators de outubro 2017 utiliza Inteligência Artificial para ajudar na detecção de novos malwares - e que por causa disso eu não tenho a menor dúvida que muito em breve o Windows Defender será um dos melhores antivírus gratuitos do mercado.

O principal motivo do uso da Inteligência Artificial em um antivírus é vencer o desafio do antivírus não errar NUNCA, ou seja, ele precisa detectar 100% dos malwares e ter 0% de falso positivo (que é quando um programa comum é detectado como malware quando ele não é).

E da mesma forma que nós só ficamos experientes em algo depois de muita prática, acertando e errando, a Inteligência Artificial também precisa de muito treino, com erros e acertos. E o treino da Inteligência Artificial para identificar malwares exige que ela tenha acesso ao maior número possível de arquivos (maliciosos ou não) para ela treinar a sua detecção - e como o Windows Defender vem pré-instalado no Windows e é utilizado por centenas de milhões de usuários, ele é perfeito para isso.

Toda vez que o Windows Defender detecta um malware no computador de algum usuário, as informações desse malware (incluindo o próprio malware, os trechos suspeitos do seu código, o comportamento que ele teve, etc.) são imediatamente repassadas para servidores da Microsoft que estão na nuvem.

Como funcionam os antivírus | Inteligência Artificial

Só que esses servidores não são servidores comuns: eles são servidores de Machine Learning, que fazem apenas uma tarefa: eles analisam continuamente um volume inacreditável de informações provindas das centenas de milhões de Windows Defender que estão em uso no mundo todo, procurando por padrões de comportamento e anomalias que ajudem a identificar se um programa desconhecido é um malware ou não.

O resultado da análise dessas informações permite a criação de padrões que serão levados em consideração quando a Inteligência Artificial analisar se um arquivo é malicioso ou não:

Como funcionam os antivírus | Servidores de Machine Learning

Exemplo real: no dia 3 de fevereiro de 2018 a Microsoft informou que o módulo de Inteligência Artificial do Windows Defender de um usuário na Carolina do Norte bloqueou um novo malware.

Isso aconteceu pois em alguns milissegundos o módulo de Inteligência Artificial do Windows Defender analisou o código do malware, montou uma árvore de decisão baseada em padrões descobertos pelos servidores de Machine Learning, e concluiu que aquele programa desconhecido era um novo malware:

Como funcionam os antivírus | Padrões na Inteligência Artificial

E assim que isso aconteceu, esse malware foi imediatamente enviado para servidores de quarentena da Microsoft que “detonaram” ele, ou seja, eles recebem esse malware e executam ele como administrador em um ambiente virtual protegido, e analisaram tudo que acontece depois:

Como funcionam os antivírus | Câmara de detonação

Isso permitiu saber se esse malware estava criptografando arquivos, se ele alterou alguma linha do Registro, se ele substituiu algum arquivo importante do sistema operacional, etc. E como houveram alterações no sistema operacional depois dessa detonação, essas alterações foram analisadas e comparadas através de rede neural, que concluiu que o malware em questão é uma variante do trojan bancário Emotet.

Isso tudo aconteceu porque conforme os servidores de Machine Learning descobrem novos modelos de comportamento dos malwares, eles agrupam essas informações em PADRÕES, sendo que cada padrão pode conter milhões de combinações possíveis que são levados em consideração pelo módulo de Inteligência Artificial na detecção de um novo malware.

Esse exemplo do Emotet foi apenas UM padrão dentre mais de 30 que funcionam em paralelo no Serviço do Windows Defender, sendo que eles são constantemente atualizados de acordo com os resultados das análises dos servidores de Machine Learning.

Esse segundo exemplo real é ainda mais interessante e detalhado: dia 24 de outubro de 2017 um internauta em São Petersburgo na Rússia baixou e executou um programa FlashUtil.exe achando que era uma atualização do Flash. O Windows Defender analisou o programa, considerou ele suspeito e enviou algumas informações desse programa para os servidores da Microsoft analisarem.

O arquivo foi analisado por esses servidores, que consideraram ele suspeito, mas não o suficiente para ser considerado um malware. Por causa disso, esses servidores solicitaram ao Windows Defender daquele internauta que o arquivo FlashUtil.exe fosse enviado para eles analisarem detalhadamente.

Como funcionam os antivírus | Câmara de detonação e monitoramentoIsso foi feito, em alguns segundos a análise via Machine Learning e redes neurais concluiu que esse arquivo tinha 81,6% de chance de ser um malware - e como nesse cenário específico exigia que houvesse no mínimo 90% de chance para o arquivo ser considerado um malware, esse arquivo foi enviado para uma das câmara de detonação.

Uma câmara de detonação é uma máquina virtual criada especialmente para execução de programas desconhecidos, aonde TUDO que acontece após a execução desses programas é analisado e monitorado.

Nesse caso, ao ser executado, o programa FlashUtil.exe realizou diversas tarefas que foram consideradas suspeitas, incluindo a eliminação dos logs de Segurança do Visualizador de Eventos (assunto que eu abordei em detalhes em uma das minhas aulas), e também a reinicialização forçada do computador no final da execução das demais tarefas, fazendo com que a probabilidade dele ser um novo malware tenha superado 90%.

E assim que isso aconteceu, ele foi imediatamente considerado como um novo malware. E a partir desse momento, quando o Windows Defender de outros internautas que baixaram esse mesmo programa também considerou esse programa suspeito, e enviou as informações desse programa para os servidores da Microsoft fazerem a análise inicial, dessa vez a resposta foi direta informando que aquele programa é um malware e que não deve ser executado.

O resultado disso é que passaram apenas 14 minutos entre o momento que o Windows Defender suspeitou desse arquivo no computador do primeiro internauta (que foi o paciente zero), e o início do bloqueio desse malware pelo Windows Defender dos demais usuários de todo mundo. Nesses 14 minutos apenas 9 usuários de 4 países foram infectados, e esse malware depois ficou sendo conhecido como o ransomware Bad Rabbit.

Baboo comentaEu tenho certeza absoluta que você jamais imaginou a existência desse nível de automação e complexidade no Windows Defender, mas isso tudo é fundamental para combater os malwares modernos.

Há algum tempo apareceram no mercado empresas com produtos de segurança baseados em Machine Learning, big data (um termo que significa um volume absurdo de informações) e inteligência artificial.

Esses produtos estão evoluindo bastante, permitindo não apenas monitorar os arquivos do computador, mas também todas as conexões e transferência de dados, conseguindo com isso bloquear acesso interno e externos de aplicações maliciosas desconhecidas.

Se você tem interesse nesse assunto, eu sugiro ficar de olho na CarbonBlack, empresa americana, e na inglesa DarkTrace, duas empresas com produtos e tecnologias bem interessantes. Aliás, a DarkTrace citou um exemplo real de como esse tipo de proteção inteligente é cada dia mais necessária, principalmente com dispositivos da Internet das Coisas.

Hacker acessa rede através de termômetro de um aquário

Como funcionam os antivírus | Aquário em casino de Las Vegas foi invadido

Em 2017 eles implementaram o sistema de proteção deles em um casino nos Estados Unidos, e esse casino tinha um aquário no lobby principal com sensores conectados à internet que monitoravam a temperatura, salinidade e outras características desse aquário.

Assim que o sistema de proteção deles entrou em funcionamento e começou a monitorar a rede e os dispositivos, ele detectou transferência de dados suspeita utilizando protocolos de áudio e vídeo entre o termômetro do aquário e um servidor na Finlândia.

O que eles descobriram é que um hacker aproveitou uma vulnerabilidade que existia nesse termômetro - e como esse termômetro também estava conectado na rede do hotel, ele conseguiu se infiltrar na rede do hotel, roubando dali informações confidenciais.

Entre elas estava a lista dos grandes jogadores do casino que estava em um computador que não tinha conexão com a internet justamente par garantir a proteção dos dados - e mesmo assim essa informação foi roubada via rede local por um dispositivo que nem era um computador e que não seria possível proteger com um antivírus comum.

A seguir você tem quatro informações importantíssimas sobre antivírus.

 

Programas que "provam" que antivírus não detecta malware

Independentemente de como funcionam os antivírus, existem na internet vários programas que servem para "provar" que antivírus não detectam spyware, keylogger e outros malwares, embora esse tipo de programa só serve para enganar o internauta.

Como funcionam os antivírus | Testes de antivírus

Esse tipo programa é criado por alguma uma empresa que pretende convencer o internauta que o produto de segurança que ela vende é necessário - e para fazer isso, ela cria um programa de teste que simula uma "ação maliciosa" mostrando que o seu antivírus não detecta essa "ação maliciosa", enquanto o programa que ela vende detecta - e por isso ele deveria ser utilizado.

Isso é pura enganação, pois para um programa ser considerado malware por um antivírus, ele precisa ter comportamento de malware. Criar um programa qualquer que realize tarefas que são comumente realizadas por programas maliciosos não significa que ele tem que ser detectado como malware.

Se isso fosse remotamente válido, qualquer programa que criptografe arquivos de uma pasta deveria ser considerado ransomware, programas como TeamViewer seriam malware, e até um simples batch que apague arquivos poderia ser considerado malicioso.

Antivírus evoluíram MUITO nos últimos anos e há muito tempo eles evitam falsos-positivos como esse tipo de programa.

Antivírus falham na detecção de malware

Independentemente do nível de eficiência de um antivírus, existem diversos artigos e vídeos mostrando malwares que não são detectados pelos principais antivírus, aonde esses antivírus varrem uma pasta com 1.000, 2.000 ou 5.000 malwares ali, deixando de detectar vários deles.

A única utilidade REAL desses vídeos é comprovar o que todos já sabem: NENHUM antivírus é 100% infalível, sendo que esses vídeos JAMAIS devem ser utilizados para escolha ou não de um determinado antivírus.

Como funcionam os antivírus | Falha na detecção de malwares

Isso acontece pois se esse teste for realizado todos os dias, cada dia ele terá um resultado diferente, uma vez que o antivírus que foi o melhor ontem pode ser o pior com os malwares de amanhã, voltando a ser o melhor no dia seguinte, e por aí vai.

Inclusive se os testes forem realizados de manhã, à tarde e à noite em um mesmo dia, provavelmente cada período tará um melhor antivírus, pois a taxa de detecção deles varia continuamente, dependendo diretamente das atualizações que esses antivírus recebem durante todo o dia.

Para piorar, estes testes não têm muita representatividade diante da quantidade real de malware: enquanto eles analisam centenas ou alguns milhares de malwares, a Kaspersky informou que em 2018 ela detectou 350 mil novos malwares por dia.

Isso significa que se um teste desses analisou a eficiência de um antivírus ao varrer 5.000 malwares, essa quantidade de malwares representa apenas 0,05% dos malwares criados em apenas um mês, ignorando 99,95% deles.

Antivírus: só se for criado por uma empresa focada em segurança digital

Segurança Digital é coisa séria e por isso eu recomendo que você não utilize antivírus cuja empresa não seja focada APENAS em segurança digital.

Isso obviamente exclui todos os antivírus chineses como Baidu, Qihoo, Tencent, Rising, etc, além de produtos de segurança da IOBIT, Glary, Wise e outras empresas chinesas. Além disso, escolha preferencialmente antivírus que tenha a sua própria engine, que é o mecanismo de proteção do antivírus.

Muitos antivírus utilizam o mecanismo de proteção de antivírus concorrentes. Por exemplo: os antivírus Emsisoft, G-Data, HitmanPro, Seqrite/QuickHeal, a coreana Hauri, a inglesa BullGuard e a americana VIPRE utilizam o mesmo mecanismo de proteção da Bitdefender, enquanto a F-Secure utiliza o mecanismo de proteção da Avira.

O que acontece é que essas empresas "alugam" o mecanismo de proteção da Bitdefender para adicioná-lo nos seus produtos, pagando à Bitdefender um valor anual pelo seu uso e atualizações constantes do banco de dados de novos malwares, sendo que muitas dessas empresas adicionam funcionalidades adicionais no seu antivírus.

Isso permite que empresas pequenas ou desconhecidas que não tem nenhuma relação com segurança se lancem no mercado de antivírus para lucrar com isso, sendo que muitas vezes o antivírus é apenas um meio para isso.

A brasileira PSafe (que tem a chinesa Qihoo como sócia) é um exemplo perfeito disso: há alguns anos ela criou uma versão gratuita de um antivírus utilizando o engine da Bitdefender, sendo que o faturamento dela vinha através de anúncios no próprio antivírus. Conforme o uso dos smartphones aumentou, e o lucro da publicidade ali idem, ela deixou de investir no seu antivírus para desktop e migrou ele e aplicativos para Android. Ela inclusive mudou o nome de suas apps para dfndr.

O maior problema dessa estratégia baseada em publicidade é que como o faturamento da empresa depende APENAS da quantidade de banners clicados, e não do índice de proteção contra malwares do seu antivírus, o foco da empresa é aumentar a taxa de cliques do usuário - pois ela só existe por causa disso.

Essa dependência da publicidade é a minha principal crítica a empresas que utilizam esse modelo de negócios, uma vez que empresas que são focadas apenas na venda dos seus antivírus precisam que eles sejam eficientes, ou ninguém comprará eles e ela sairá do mercado. Se uma empresa é focada em publicidade, a eficiência do produto distribuído gratuitamente é irrelevante, pois o que interessa mesmo é que o usuário clique nos banners dali.

img_5c78433be0dca.png

Exemplo simples: imagine que eu, Baboo, resolvo lançar o BABOO Antivírus, mas eu não quero criar um mecanismo próprio de detecção de malwares por isso exigir a criação e manutenção de uma equipe altamente especializada que custa caro e demora muito.

Então eu simplesmente entro em contato com uma empresa conhecida de antivírus, como a Bitdefender, e fecho um acordo com ela permitindo que eu utilize seu mecanismo de antivírus no BABOO Antivírus mediante um pagamento anual.

E assim que eu lançar o BABOO Antivírus e ele for testado, o resultado do teste será uma excelente taxa de detecção, pois na prática esse teste foi realizado no (excelente) mecanismo de detecção de malwares da Bitdefender que está escondido ali dentro.

 

Como funcionam os antivírus | BABOO Antivírus 2019

E depois que o meu antivírus ficar ainda mais conhecido depois do sucesso dos testes (que podem ser patrocinados ou não, ou seja, a empresa que realiza os testes é paga por isso), eu aproveito isso para anunciar que o BABOO Antivírus tem uma tecnologia superior, é um "orgulho nacional", que ele é líder em segurança digital (independentemente se isso é verdade ou não), e outras frases atraentes criadas por profissionais de marketing - afinal eu preciso recuperar o dinheiro investido para utilizar o engine da Bitdefender.

E como um antivírus gratuito como o BABOO Antivírus pode lucrar? Ele pode lucrar de duas maneiras bem diferentes:

A primeira opção é criar uma versão paga do BABOO Antivírus, aonde eu lucro com a venda da licença anual dele. Essa é uma opção interessantes, mas como o produto é pago, isso exige uma série de investimentos para manter essa estrutura funcionando de maneira eficiente e legal: contratação e treinamento de dezenas de funcionários para o SAC, pesado investimento em marketing para concorrer com os demais antivírus pagos, etc.

A segunda opção é manter o BABOO Antivírus gratuito sem opção paga (como existem muitos antivírus por aí), aonde eu lucrarei com publicidade. E para a publicidade ser eficiente, eu preciso garantir que o banner mostrado ao usuário anuncie algo relacionado ao próprio usuário, ou seja, se eu souber que o usuário tem um cão, por exemplo, é muito provável que ele clique em um banner com anúncio de ração para cães.

Se o serviço é gratuito, o produto é você

E como eu faço isso? Como eu obtenho informações do usuário que possam ser utilizadas para publicidade? Simples: além do BABOO Antivírus utilizar o mecanismo de detecção da Bitdefender, eu adiciono um módulo no meu antivírus (módulo esse que eu não preciso fazer muito alarde) que monitora e rastreia tudo que o usuário faz.

Com isso, eu sei todos os sites que ele acessa, o que ele gosta de comprar, os assuntos que interessam para ele, quais grupos e fóruns ele participa, tudo que ele faz nas redes sociais, o que ele curte, com quem ele se comunica, quais assuntos são abordados nos documentos e nos e-mails, e praticamente toda vida dele - e em pouco tempo eu tenho essas valiosas informações em mãos às custas da privacidade dele - privacidade essa que ele (sem perceber) abriu mão ao clicar no botão "Eu aceito" quando ele instalou o BABOO Antivírus, me isentando de qualquer problema legal.

Além disso, o usuário não imagina que a instalação de um antivírus exige que ele aceite que esse antivírus acesse todos os arquivos existentes no computador ou smartphone. E agora que eu tenho em mãos o perfil completo de cada um dos milhões de usuários do meu antivírus, chegou a hora de eu lucrar com isso.

Se o serviço é gratuito, o produto é vocêPara fazer isso, eu fecho uma parceria com uma empresa de mídia que se torna minha "parceira" e me paga para ter acesso ao perfil e informações de todos os usuários do meu antivírus - e como essa empresa de mídia tem ferramentas poderosas para definir com precisão os hábitos de cada usuário do meu antivírus, ela escolhe quais anúncios serão mostrados para eles.

E daí em diante os milhões de usuários do BABOO Antivírus começam a ver anúncios e ofertas com produtos e serviços direcionados para ele, sendo que no final de cada mês essa empresa de mídia me paga uma pequena fortuna por eu permitir que ela lucre através do meu antivírus - e com esse dinheiro eu pago a Bitdefender e crio novas apps que lucrarão da mesma maneira.

A conclusão desse exemplo hipotético é que se o meu antivírus for gratuito, o meu foco REAL não é proteger o meu internauta contra malwares, mas sim LUCRAR com os DADOS dele, aonde o antivírus (ou uma app de "limpeza", "otimização", etc) é apenas um meio para isso, com a vantagem adicional de eu não precisar investir $$$$$ em infraestrutura e SAC dedicado, necessários para um antivírus pago.

Lembre-se que na internet muitas vezes a frase que define perfeitamente algo gratuito é:

"Se o serviço é gratuito, o produto é você"

Por outro lado, empresas que lucram vendendo antivírus e produtos de segurança PRECISAM proteger o internauta contra malwares, pois se elas não fizerem isso, elas deixam de vender seus produtos e quebram.

Por causa disso eu INSISTO que você utilize produtos de segurança criados apenas por empresas de segurança, pois o foco REAL dessas empresas é proteger o usuário com um excelente produto, pois é assim que elas continuarão a lucrar e se manter no mercado.

 
Infelizmente muitos jornalistas despreparados erram ao indicar o uso de antivírus chineses por achar que estes têm uma "parceria" com a empresa que criou o engine deles (Bitdefender, no meu exemplo acima), pois não existe parceria alguma: o que existe é apenas o ALUGUEL ANUAL do mecanismo de proteção dessa empresa em que esta não tem nenhum controle sobre os módulos adicionais incluídos no antivírus do cliente (como o módulo de obtenção de dados do BABOO Antivírus exemplificado acima).

Lamentavelmente muitas empresas que disponibilizam antivírus gratuitos se aproveitam da credibilidade de empresas conhecidas para tentar convencer o usuário a utilizar a sua solução, quando realisticamente isso é totalmente desnecessário: se o internauta pode baixar e usar os antivírus gratuitos da própria Kaspersky, Bitdefender, Trend Micro, entre outras empresas SÉRIAS e FOCADAS em segurança digital, não existe nenhum motivo para ele utilizar um antivírus desconhecido que aluga o mesmo  mecanismo dessas empresas sérias, mas inclui módulos adicionais desconhecidos para fazer sabe-se lá o quê!

Senha no antivírus

Não se esqueça que o usuário é sempre muito criativo quando quer fazer alguma besteira no computador, como instalar software pirata, e se o antivírus tentar bloquear isso, muitas vezes o usuário simplesmente desabilita o antivírus para fazer o que ele quer.

O melhor exemplo disso foi o caso da Kaspersky e NSA, aonde um funcionário da NSA baixou uma versão pirata do Office 2013 aonde o antivírus Kaspersky que ele utilizava detectou um trojan embutido ali. E o que esse funcionário fez?? Ele desabilitou o antivírus e instalou o programa!

O resultado foi que o computador dele foi invadido e um backdoor foi instalado sem o conhecimento dele, permitindo o roubo de informações confidenciais. Essa besteira monumental resultou em uma condenação de 5 anos de prisão para esse ex-funcionário.

Com isso, não esqueça de SEMPRE colocar uma senha no antivírus para evitar que ele seja desabilitado, desconfigurado ou desinstalado pelo usuário, pois isso certamente vai te poupar muita dor de cabeça :)

Gostou? Compartilhe!

[]s


Aurélio "Baboo"
www.baboo.com.br
MVP Windows 2003-2019