Antivírus

Antivírus e anti-malware. Ambos referem-se a software de cibersegurança, mas o que significam estes termos, em que diferem e de que forma estão relacionados com as ameaças digitais de hoje?

Na Malwarebytes, valorizamos a precisão, especialmente quando falamos de dois conceitos de cibersegurança que habitualmente se confundem e que são permanentemente usados de forma indistinta: antivírus e anti-malware. É certo que ambos se referem a software de cibersegurança, mas o que significam verdadeiramente estes termos, em que diferem e será que ambos continuam a ser relevantes na forma como lidamos com as ameaças digitais de hoje?

Desembrulhemos estes termos individualmente a fim de mergulharmos profundamente no mundo da semântica da cibersegurança.

Qual é a diferença entre antivírus e anti-malware?

Em grande parte, "antivírus" e "anti-malware" significam a mesma coisa. Ambos referem-se a software concebido para detetar, proteger contra e remover software malicioso. Ao contrário do que o nome poderá sugerir, o software antivírus protege contra mais do que vírus; limita-se a usar um nome algo antiquado para descrever a sua função. O software anti-malware também é concebido para proteger contra vírus. A diferença é que o anti-malware usa um nome mais moderno, que abrange todos os tipos de software malicioso, incluindo vírus. Dito isto, o anti-malware é capaz de impedir a ocorrência de uma infeção viral e remover os ficheiros infetados. No entanto, o anti-malware não está necessariamente equipado para recuperar ficheiros que foram modificados ou substituídos por um vírus. Quer o antivírus, quer o anti-malware estão incluídos no termo mais amplo "cibersegurança".

O que é a cibersegurança?

Cibersegurança, ou segurança de computadores, é um termo genérico para qualquer estratégia de proteção de um sistema contra ataques maliciosos que visem roubar dinheiro, dados pessoais, recursos do sistema (criptojacking, botnets), e toda uma série de outras coisas más. O ataque pode ocorrer no seu hardware ou software, ou através de engenharia social.

As ameaças à cibersegurança e as suas contramedidas são várias e diferenciadas nos dias de hoje, mas o mercado procura naturalmente a simplicidade na comunicação com os consumidores. E é por isso que muitas pessoas continuam a ver os "vírus" como a maior ameaça ao seu computador. Na realidade, os vírus são apenas um tipo de ciberameaça, bastante popular na altura em que os computadores atravessavam a sua infância. Atualmente, estão longe de ser a ameaça mais comum, mas o seu nome ficou. É um pouco como chamar "constipação" a qualquer doença.

"Em grande parte, "antivírus" e "anti-malware" significam a mesma coisa. Ambos referem-se a software concebido para detetar, proteger contra e remover software malicioso."

O que é um vírus informático?

Um vírus informático é um pedaço de software (habitualmente) prejudicial, definido por duas características:

  • Tem de ser ativado por um utilizador incauto. Ativar um vírus pode ser tão simples como abrir o anexo de um e-mail malicioso (malspam) ou abrir um programa infetado. A partir desse momento, o vírus procura espalhar-se a outros sistemas na rede do computador ou na lista de contactos do utilizador.
  • Tem de ser autorreplicativo. Se o software não se autorreplicar, não é um vírus. Este processo de autorreplicação pode ocorrer mediante a modificação ou a substituição completa de outros ficheiros no sistema do utilizador. Em ambos os casos, o ficheiro daí resultante tem de apresentar o mesmo comportamento que o vírus original.

Os vírus informáticos existem há décadas. Teoricamente, a origem dos "autómatos autorreprodutíveis" (isto é, vírus) remonta a um artigo publicado no fim dos anos 40 pelo matemático e polímata John von Neumann. Os primeiros vírus surgiram em plataformas anteriores aos computadores pessoais nos anos 70. No entanto, a história dos vírus modernos tem início num programa chamado Elk Cloner, que começou a infetar os sistemas Apple II em 1982. Disseminado através de disquetes infetadas, o vírus em si era inofensivo, mas espalhava-se aos discos ligados a um sistema. Espalhava-se tão rapidamente que a maioria dos especialistas em cibersegurança o considera o primeiro surto de vírus informático em larga escala de sempre.

Os primeiros vírus, como o Elk Cloner, eram frequentemente designados por partidas. Os seus criadores procuravam notoriedade e gabar-se. No entanto, no início dos anos 90, uma travessura adolescente evoluiu para intenção prejudicial. Os utilizadores de PC sofreram um ataque de vírus concebidos para destruir dados, desacelerar os recursos do sistema e registar pressionamentos de tecla (também conhecidos por keylogger). A necessidade de contramedidas levou ao desenvolvimento dos primeiros programas de software antivírus.

Os primeiros programas antivírus eram exclusivamente reativos. Apenas conseguiam detetar infeções depois de elas ocorrerem. Além disso, os primeiros programas antivírus identificavam os vírus através da técnica relativamente primitiva de procurar as suas características de assinatura. Por exemplo, podem saber da existência de um vírus com o nome de ficheiro "PCdestroy", pelo que se o programa antivírus reconhecesse esse nome, impediria a ameaça. No entanto, se o atacante alterasse o nome do ficheiro, o antivírus poderia não ser tão eficaz. Embora os primeiros softwares antivírus fossem também capazes de reconhecer padrões ou impressões digitais específicas, tais como sequências de código no tráfego de rede ou sequências de instruções prejudiciais conhecidas, assistíamos permanentemente ao jogo da apanhada.

Usando estratégias baseadas em assinatura, os primeiros antivírus conseguiam detetar facilmente vírus conhecidos, mas não eram capazes de detetar novos ataques. Em vez disso, um vírus novo tinha de ser isolado e analisado para se determinar a sua assinatura e, subsequentemente, adicionado à lista de vírus conhecidos. O utilizador do antivírus tinha de transferir regularmente um ficheiro de base de dados crescente, composto por centenas de milhares de assinaturas. Ainda assim, vírus novos que escaparam às atualizações da base de dados deixaram uma percentagem significativa de dispositivos desprotegidos. O resultado foi uma corrida constante para acompanhar o cenário de desenvolvimento de ameaças, à medida que novos vírus eram criados e lançados.

Estado atual dos vírus informáticos e dos programas antivírus

Atualmente, os vírus informáticos são mais uma antiga ameaça do que um risco permanente para os utilizadores de computadores. Existem há décadas e não sofreram alterações substanciais. Na verdade, o último vírus verdadeiramente "novo" que se autorreplicou através da interação do utilizador surgiu em 2011 ou 2012.

Então, se os vírus informáticos já não são propriamente um problema, por que motivo as pessoas continuam a chamar programa antivírus ao seu software de proteção contra ameaças?

Isso resume-se ao reconhecimento arraigado do nome. Os vírus fizeram manchetes sensacionais nos anos 90 e as empresas de fixação começaram a usá-los como forma abreviada para ciberameaças de um modo geral. Nasceu assim o termo "antivírus". Décadas mais tarde, muitas empresas de segurança continuam a usar o termo "antivírus" na comercialização dos seus produtos. Tornou-se um ciclo vicioso. Os consumidores assumem que "vírus" é sinónimo de "ciberameaças" e, por isso, as empresas chamam software "antivírus" aos seus produtos de cibersegurança, o que leva os consumidores a pensar que os vírus continuam a ser o problema.

Mas a realidade é outra: além de "vírus" e "antivírus" não serem exatamente anacronismos, as ciberameaças modernas são, frequentemente, bem piores do que os seus antecessores virais. Escondem-se de forma mais profunda nos nossos sistemas informáticos e são mais hábeis a evitar a deteção. Os vírus antiquados de outrora deram lugar a toda uma galeria nociva de ameaças avançadas, tais como spyware, rootkit, trojans, exploits e ransomware, apenas para nomear algumas.

À medida que estas novas categorias de ataques emergiram e evoluíram a partir dos primeiros vírus, as empresas de antivírus continuaram a sua missão contra estas novas ameaças. No entanto, as empresas de antivírus tinham dúvidas sobre a sua própria categorização. Deveriam continuar a comercializar os seus produtos como "antivírus", correndo estes o risco de soarem redutores? Deveriam usar outro termo "antiameaça" para a sua própria comercialização, como "anti-spyware", por exemplo? Ou seria melhor adotar uma abordagem inclusiva e combinar tudo numa única linha de produtos direcionada a todas as ameaças? As respostas a estas questões dependem da empresa de antivírus.

Na Malwarebytes, cibersegurança é a nossa categoria genérica de nível máximo. E é por isso que faz sentido reunir o nosso esforço antiameaça num único termo capaz de abranger mais do que apenas vírus. Consequentemente, o termo que usamos para cobrir grande parte do que fazemos é "anti-malware", uma forma abreviada de "software antimalicioso".

"Os consumidores assumem que "vírus" é sinónimo de "ciberameaças" e, por isso, as empresas chamam software "antivírus" aos seus produtos de cibersegurança, o que leva os consumidores a pensar que os vírus continuam a ser o problema."

Se os vírus já não são uma grande ameaça, porque necessito de cibersegurança?

Os vírus são apenas um tipo de malware. Embora os vírus continuem a existir, há outras formas de malware mais comuns nos dias de hoje. Por exemplo, aqui ficam várias ameaças comuns que a Malwarebytes consegue parar:

  • O adware é software indesejado concebido para provocar o aparecimento de anúncios no seu ecrã, a maioria dentro de um browser, mas, por vezes, também dentro de aplicações móveis. Normalmente, disfarça-se como se fosse legítimo ou apanha boleia de outro programa para enganar os utilizadores para que o instalem em PCs, tablets ou dispositivos móveis.
  • O spyware é malware que observa secretamente as atividades do utilizador do computador sem permissão e, em seguida, envia as informações ao criador do software.
  • Um vírus é malware que se fixa a outro programa e que, quando ativado, se replica modificando outros programas informáticos e infetando-os com os seus bits de código.
  • Os worms são um tipo de malware parecido com os vírus no modo como se espalham, mas não precisam da interação do utilizador para serem ativados.
  • Um trojan, ou trojan horse (cavalo de Troia), é mais um método de disseminação de infeções do que propriamente uma infeção por si mesmo. O trojan surge representado como algo útil de forma a enganar os utilizadores para que o abram. Os ataques de trojans podem assumir praticamente qualquer forma de malware, incluindo vírus, spyware e ransomware.
  • O ransomware é uma forma de malware que bloqueia o acesso ao seu dispositivo e/ou encripta os seus ficheiros e que, em seguida, lhe exige o pagamento de um resgate para a sua devolução. O ransomware foi considerado como a arma preferida dos cibercriminosos, uma vez que implica um pagamento rápido e rentável em criptomoeda, cujo rasto é difícil de seguir. O código para um ataque de ransomware é fácil de obter em mercados criminosos online, mas defendermo-nos dele é extremamente difícil.
  • Um rootkit é malware que concede ao atacante privilégios de administrador no sistema infetado, escondendo-se ativamente do utilizador normal do computador. Os rootkits escondem-se também de outros softwares no sistema, mesmo do próprio sistema operativo.
  • Um keylogger é malware que grava todos os pressionamentos de tecla do utilizador no teclado, guarda as informações recolhidas e envia-as ao atacante que procura obter informações confidenciais, tais como nomes de utilizador e palavras-passe, ou dados de cartões de crédito.
  • A criptomineração maliciosa, por vezes também chamada de mineração "drive-by" ou criptojacking, é uma forma cada vez mais frequente de malware ou ataque baseado no browser, disseminada através de múltiplos métodos de ataque, incluindo malspam, downloads "drive-by" e aplicações e extensões nocivas. Permite que outra pessoa utilize a CPU ou GPU do seu computador para minerar as criptomoedas, tais como Bitcoin ou Monero. Os criptomineiros maliciosos utilizam as capacidades do seu computador, mas enviam as moedas obtidas para as suas próprias contas e não para a sua. Resumidamente, um criptomineiro está a roubar os recursos do seu dispositivo para fazer dinheiro.
  • Os exploits são um tipo de ameaça que utiliza bugs e outras vulnerabilidades num sistema, para permitir que o seu criador dissemine malware. Entre outras ameaças, os exploits estão associados ao malvertising, um ataque que usa anúncios maliciosos em websites maioritariamente fidedignos para disseminar exploits. Não precisa sequer de clicar no anúncio para ser afetado: os exploits e o malware que os acompanham conseguem instalar-se no seu computador através de um download "drive-by". Basta visitar um bom site no dia errado.

Como funciona o anti-malware?

O velho método de deteção de ameaças baseado em assinatura é eficaz até um certo nível, mas o anti-malware moderno também deteta ameaças utilizando métodos mais recentes, que procuram comportamento malicioso. Posto de outra forma, a deteção baseada em assinatura é um pouco como procurar as impressões digitais do criminoso. É uma excelente forma de identificar uma ameaça, mas apenas se as suas impressões digitais forem conhecidas. O anti-malware moderno leva a deteção um passo adiante, para conseguir identificar ameaças que nunca viu anteriormente. É capaz de detetar atividade suspeita, analisando o comportamento e a estrutura de um programa. Mantendo a analogia, é um pouco como reparar que uma determinada pessoa frequenta sempre os mesmos locais que criminosos já conhecidos, e que tem uma gazua no bolso.    

Esta tecnologia de cibersegurança mais recente e eficaz designa-se por análise heurística. "Heurística" é um termo criado pelos investigadores para uma estratégia que deteta ameaças analisando a estrutura do programa, o seu comportamento e outros atributos.

Sempre que um programa anti-malware heurístico verifica um ficheiro executável, ele analisa a estrutura geral do programa, a lógica de programação e os dados. Durante todo esse tempo, procura coisas como instruções invulgares ou código "junk". Desta forma, avalia a probabilidade de o programa conter malware.

Além disso, uma grande vantagem da heurística é a sua capacidade de detetar malware em ficheiros e registos de arranque antes de o malware ter oportunidade de ser executado e infetar o seu computador. Por outras palavras, o anti-malware ativado por via heurística é proativo e não reativo. Alguns produtos anti-malware podem também executar o malware suspeito numa sandbox, que é um ambiente controlado no qual o software de segurança pode determinar se é ou não seguro instalar um programa. Executar o malware numa sandbox permite ao anti-malware observar o que o software faz, as ações que realiza e se tenta esconder-se ou comprometer o seu computador.

Outra forma de a análise heurística ajudar a manter os utilizadores seguros é através da análise das características da página Web, com vista a identificar sites de risco, que possam conter exploits. Se identificar algo suspeito, bloqueia o site.

Em suma, o antivírus baseado em assinatura é como o porteiro de um clube noturno, que tem consigo um livro grosso repleto de fotografias de cadastrados, e que afasta todos os que nele constam. A análise heurística é o porteiro que procura sinais de comportamento suspeito, revista as pessoas e manda para casa as que estiverem armadas.

"Heurística é um termo criado pelos investigadores para uma estratégia que deteta vírus analisando a estrutura do programa, o seu comportamento e outros atributos."

Avanços nos programas de cibersegurança

Duas formas relativamente novas de malware ajudaram a impulsionar o avanço de métodos de deteção sem assinatura: exploits e ransomware. Embora estas ameaças sejam semelhantes a outras de diferentes formas, elas podem ser muito mais difíceis de detetar. Além disso, depois de infetado, é praticamente impossível removê-las.

Os exploits têm este nome porque exploram, literalmente, as vulnerabilidades de um sistema, software ou browser, para instalar código malicioso numa diversidade de formas. Medidas anti-exploit foram desenvolvidas como proteção contra este método de ataque, protegendo contra Flash exploits e fraquezas do browser, incluindo novos exploits que não foram identificados ou vulnerabilidades para as quais ainda não foram criados patches.

O ransomware emergiu no cenário do malware, com efeitos espetaculares, em 2013. O ransomware alcançou um lugar de destaque ao sequestrar e encriptar dados informáticos, extorquindo, depois, pagamentos enquanto mantém os dados reféns e até ameaçando eliminá-los, caso um prazo seja ultrapassado sem pagamento.

Originalmente, ambas as ameaças resultaram no desenvolvimento de produtos anti-exploit e anti-ransomware específicos. Desde dezembro de 2016, a Malwarebytes desenvolveu a proteção anti-exploit e contra websites maliciosos, criando a versão premium do Malwarebytes for Windows, e, desde então, acrescentou anti-ransomware para uma proteção anti-malware ainda mais avançada.

O futuro dos programas de cibersegurança (que já está aí)

Inteligência artificial (IA) e aprendizagem automática (AA) são as últimas estrelas da tecnologia anti-malware.

A IA permite às máquinas a realização de tarefas para os quais não foram especificamente pré-programadas. A IA não executa às cegas um conjunto limitado de comandos. Em vez disso, a IA usa a "inteligência" para analisar a situação e adota medidas para atingir um determinado objetivo, como a identificação de sinais de atividade ransomware.

A AA programa a sua capacidade de reconhecer padrões em dados novos e, depois, de classificar os dados de formas que ensinam a máquina a aprender.

Dito de outra forma, a IA concentra-se na construção de máquinas inteligentes, enquanto a AA utiliza algoritmos que permitem às máquinas aprender com a experiência. Ambas as tecnologias são soluções perfeitas para a cibersegurança, particularmente porque o número e a variedade de ameaças que surgem diariamente são demasiados para os métodos baseados em assinatura ou outras medidas manuais. Quer a IA, quer a AA estão ainda em fase de desenvolvimento, mas possuem um enorme potencial.

De facto, na Malwarebytes, estamos já a usar um componente de aprendizagem automática, que deteta malware nunca antes visto no terreno, também denominado de dia zero ou hora zero. Outros componentes do nosso software realizam deteções heurísticas, baseadas no comportamento, o que significa que podem não reconhecer um código específico como malicioso, mas determinam que um ficheiro ou website está a agir de um modo incorreto. Este tecnologia baseia-se na IA/AA e está disponível para os nossos utilizadores quer com proteção em tempo real, quer com verificação a pedido.

No caso de profissionais de TI empresariais com vários terminais para proteger, a abordagem heurística é especialmente importante. Nunca sabemos qual será a próxima grande ameaça de malware. Por isso, a heurística desempenha um importante papel na Malwarebytes Endpoint Protection, assim como a IA e a AA. Juntas, criam múltiplas camadas de proteção que abordam todas as fases da cadeia de ataques, para ameaças conhecidas e desconhecidas.

Uma onça de prevenção vs. um quilo de cura

Dos computadores de secretária e portáteis aos tablets e smartphones, todos os nossos dispositivos são vulneráveis a malware. Podendo optar, quem não escolheria prevenir uma infeção em vez de lidar com as suas consequências?

Por si só, o antivírus tradicional não está à altura da tarefa, conforme mostra o fluxo regular de manchetes de jornais, que referem mais um ciberataque bem sucedido.

Então, o que deverá fazer para se manter seguro? Que tipo de software de cibersegurança, antivírus ou anti-malware, deve ser escolhido para abordar um cenário de ameaça, que consiste em vírus antigos e malware emergente?  

A verdade é que, por si só, o antivírus tradicional não está à altura da tarefa, conforme mostra o fluxo regular de manchetes de jornais, que referem mais um ciberataque bem sucedido. É inadequado contra ameaças de dia zero emergentes, permite que ransomware sequestre computadores com sucesso, e não remove completamente o malware. Torna-se necessário um programa de cibersegurança avançado, que seja suficientemente flexível e inteligente para antecipar as ameaças cada vez mais sofisticadas de hoje.

Malwarebytes for Windows satisfaz esta necessidade de cibersegurança avançada (juntamente com Malwarebytes for Mac, Malwarebytes for Android e soluções Malwarebytes para empresas). Os produtos Malwarebytes protegem contra malware, hacks, vírus, ransomware e outras ameaças em permanente evolução, ajudando a uma experiência online segura. A nossa tecnologia baseada na heurística, otimizada com IA, bloqueia ameaças que o antivírus tradicional não é suficientemente inteligente para parar.

Observadores da indústria destacaram o Malwarebytes for Windows pelo seu papel numa abordagem de proteção por camadas, assegurando uma proteção fiável sem reduzir o desempenho do sistema. Remove todos os vestígios de malware, bloqueia as ameaças mais recentes e efetua verificações rápidas.

Independentemente da cibersegurança que escolher, a sua primeira linha de defesa é a informação. Mantenha-se a par das últimas ameaças e proteção, consultando regularmente o blog Malwarebytes Labs.

Informação sobre cibersegurança sem a qual não pode passar

Quer manter-se informado sobre as mais recentes novidades em cibersegurança? Subscreva a nossa newsletter e aprenda como proteger o seu computador contra ameaças.

Selecione o seu idioma