Como funcionam os antivírus
O artigo abaixo foi atualizado em 2019 com informações adicionais a atualizadas deste vídeo publicado em 2017:
Nesse artigo eu abordo em detalhes como funcionam os antivírus, mostrando as várias técnicas que eles utilizam para detectar malwares: assinatura, heurística, HIPS, proteção na nuvem e Inteligência Artificial.
Há algum tempo os antivírus utilizam proteção na nuvem, garantindo que isso aumenta a taxa de detecção de novos malwares, ao mesmo tempo que fornecem uma proteção mais rápida para seus usuários. Como isso funciona?
Exemplo simples: imagine que um internauta acabou de encontrar em um site um novo ativador de Windows para ativar o Windows pirata dele, e aí ele baixa esse ativador e dá um duplo-clique nele para usá-lo. Quando o internauta executa esse arquivo, o antivírus que ele estiver utilizando vai fazer uma análise rápida desse programa para decidir se ele é um programa confiável ou não.
Essa análise que o antivírus faz é multi-layer, ou seja, ele não faz uma ÚNICA análise: ele realiza simultaneamente diversas análises, verificações e comparações.
Entre elas ele analisa se existe algum código suspeito, se o programa vai realizar alguma tarefa destrutiva (como apagar partição), se o programa tem certificado digital válido de uma empresa séria, se o código do programa está propositalmente embaralhado para tentar confundir o antivírus (técnica essa conhecida como obfuscar o código), etc.
Se depois de todas essas verificações, que no total duram menos de um décimo de segundo, o antivírus detectar que esse ativador se comporta como um malware, então ele bloqueia a execução dele e informa ao usuário que esse ativador é suspeito, que é o que a gente viu até agora.
Mas quando o antivírus tem proteção na nuvem, a próxima tarefa que ele faz é criptografar esse ativador e enviá-lo para servidores de quarentena que estão na nuvem, aonde eles fazem uma análise mais detalhada.
E se for confirmado que esse ativador é realmente um malware, ele é identificado e catalogado, e em seguida as informações dele são adicionadas no arquivo de atualização de vírus que é baixado diversas vezes por dia pelos antivírus.
A partir daí, assim que algum outro internauta em qualquer lugar do mundo baixar esse mesmo ativador, o antivírus avisará imediatamente que ele é um malware, desta vez sem a necessidade do ativador ser executado, porque o antivírus criou uma assinatura para ele, e com isso ele é considerado malware já na primeira análise.
Então na prática os antivírus com proteção na nuvem realmente têm uma taxa de detecção mais alta e também permitem uma proteção mais ágil, pois a nuvem permite receber, analisar e catalogar novos malwares em pouco tempo, independentemente em qual país ele foi detectado, protegendo em pouco tempo internautas do mundo para que não sejam infectados por esse mesmo malware.
Bem, isso é muito interessante, mas aborda apenas nuvem. E a Inteligência Artificial, aonde ela entra nisso tudo?