Antivírus

Antivírus e antimalware. Ambos são software de segurança cibernética, mas o que esses termos significam, qual é a diferença e que relação têm com as atuais ameaças digitais?

Na Malwarebytes, valorizamos a precisão! Principalmente quando se trata de dois conceitos de segurança cibernética que muitos confundem e usam como se fossem sinônimos: o antivírus e o antimalware. Sabemos que ambos são software de segurança cibernética, mas o que esses termos significam, qual é a diferença e será que ainda são relevantes contra as atuais ameaças digitais?

Vamos desmitificar esses termos de uma vez por todas e mergulhar fundo no universo semântico da segurança cibernética.

Qual é a diferença entre antivírus e software antimalware?

Na maior parte do tempo, “antivírus” e “antimalware” significam a mesma coisa. Os dois são softwares feitos para detectar, proteger contra e remover softwares maliciosos. Ao contrário do que o nome sugere, um software antivírus não protege apenas contra vírus, é apenas um nome antiquado para descrever o que ele realmente faz. O antimalware também é um software feito para proteger contra vírus. A diferença é que o antimalware usa um nome mais moderno, que abrange todos os tipos de softwares maliciosos, incluindo o vírus. Dito isso, o antimalware pode evitar uma infecção causada por vírus e remover arquivos infectadas. No entanto, nem sempre o antimalware é capaz de restaurar arquivos que foram modificados ou substituídos por um vírus. Tanto o antivírus quanto antimalware se encaixam em uma categoria mais abrangente denominada como segurança cibernética.

O que é segurança cibernética?

A segurança cibernética, ou segurança de computação, é um termo abrangente para qualquer estratégia usada para proteger sistemas contra ataques maliciosos, cujos objetivos são roubar dinheiro, informações pessoais, recursos de sistemas (cryptojacking, botnets) e outras coisas ruins. O ataque pode ocorrer no seu hardware ou software, ou através de engenharia social.

Hoje, as ameaças de segurança cibernética e suas medidas preventivas são inúmeras, mas o mercado sempre opta pela simplicidade quando vai se comunicar com seus clientes. É por isso que muitas pessoas ainda acham que o “vírus” é a maior ameaça aos seus computadores. Quando, na verdade, o vírus é apenas um dos tipos de ameaças cibernéticas que se popularizou quando a computação ainda dava seus primeiros passos. Embora nem o vírus seja mais a ameaça mais comum hoje em dia, o nome ficou. É igual chamar qualquer doença de resfriado.

“Na maior parte do tempo, antivírus e antimalware significam a mesma coisa. Os dois são softwares feitos para detectar, proteger contra e remover softwares maliciosos.”

O que é um vírus de computador?

Um vírus de computador ou PC é um software (geralmente) malicioso definido por duas características:

  • Deve ser iniciado sem levantar suspeitas do usuário. Ativar um vírus pode ser tão simples quanto abrir o anexo malicioso de um e-mail (malspam) ou abrir um programa infectado. Uma vez que isso acontece, o vírus se espalha por outros sistemas na rede do computador ou pela lista de contatos do usuário.
  • Deve ser capaz de se autorreplicar. Se o software não é capaz de se autorreplicar, não é um vírus. O processo de autorreplicação pode ocorrer através da modificação ou substituição de outros arquivos no sistema do usuário. De qualquer forma, o resultado deve apresentar o mesmo comportamento do vírus original.

Os vírus de computador já existem há décadas. Em tese, a origem da “máquina autorreplicadora” (também conhecida como vírus) data do final da década de 1940, em um artigo publicado pelo matemático e polímata John von Neumann. Os primeiros vírus apareceram em plataforma de computação na década de 1970 que antecedem os computadores pessoais. Contudo, o histórico de vírus modernos começa com um programa chamado Elk Cloner, o qual começou infectando os sistemas Apple II em 1982. Disseminado por disquetes infectados, o vírus em si era inofensivo, mas se espalhava para todos os discos conectados a um sistema. Ele se espalhou de forma tão rápida, que a maioria dos experts em segurança cibernética considerara que esse foi o primeiro ataque de vírus de computador em grande escala da história.

A maioria dos vírus antigos, como o Elk Cloner, foram criados apenas como pegadinhas. Seus criadores desejavam alcançar a fama e se vangloriar do feito. No entanto, no início da década de 1990, a brincadeira adolescente evolui para intenção criminosa. Os usuários de PCs viveram um ataque em massa de vírus projetados para destruir dados, reduzir a velocidade dos recursos de sistemas e pressionamento de tecla em registro (conhecido como keylogger). A necessidade de medidas de prevenção levou ao desenvolvimento de programas de software antivírus.

Os primeiros programas de software antivírus eram exclusivamente reativos. Ou seja, só poderiam detectar infecções depois que o item estivesse infectado. Além disso, os primeiros programas antivírus identificavam vírus usando técnicas relativamente primitivas, procurando por assinaturas características. Por exemplo, sabiam que havia um vírus com um arquivo chamado “PCdestroy”, então o antivírus iria reconhecer o nome e parar a ameaça. Porém, se o programador do vírus mudasse o nome do arquivo, o antivírus não seria tão eficaz. Embora os softwares antivírus mais antigos fossem capazes de reconhecer impressões digitais ou padrões específicos, como os códigos sequenciais no tráfego de rede ou sequências de instruções maliciosas, estavam sempre em uma corrida sem fim.

Os antivírus mais antigos usando estratégias baseadas em assinaturas que podem detectar vírus facilmente, mas não eram capazes de detectar novos ataques. Então o novo vírus precisa ser isolado e analisado para determinar sua assinatura e, consequentemente, adicioná-lo à lista de vírus conhecidos. O usuário de antivírus precisava fazer regularmente o download de um enorme arquivo de banco de dados com milhares de assinaturas e que estava sempre aumentando. Tanto que novos vírus começavam a circular antes do lançamento das atualizações dos bancos de dados, deixando uma parte significativa dos dispositivos sem proteção. O resultado era uma corrida incessante para se manter atualizado com um cenário de ameaças em rápida evolução, já que novos vírus são criados e soltos no mundo constantemente.

O status atual dos programas antivírus e vírus

Hoje em dia, os vírus de computador se assemelham mais a ameaças de legado do que um risco iminente aos usuários de computador. Eles estão ativos há décadas e não mudaram substancialmente. Na verdade, o último vírus realmente inédito que se replicava através da interação do usuário apareceu entre 2011 e 2012.

Mas se vírus de computador não é o mais uma grande ameaça, por que as pessoas ainda chamam seu software de proteção contra ameaça de antivírus?

É tudo uma questão de familiaridade com o termo. Os vírus ganharam visibilidade em manchetes sensacionalistas dos anos 90 e as empresas de segurança começaram a usar o termo como uma abreviação para ameaças cibernéticas em geral. Então foi assim que nasceu o termo “antivírus”. Décadas se passaram, mas as empresas de segurança continuam usando o termo “antivírus” para definir seus produtos. Virou um círculo vicioso: o consumidor acredita que vírus é sinônimo de ameaça cibernética, então as empresas chamam seus produtos de segurança cibernética de software “antivírus”, o que, por sua vez, leva o consumidor a acreditar que o vírus ainda é o grande vilão da história.

Mas aí que surge o problema. Embora “vírus” e “antivírus” não cheguem a ser termos anacrônicos, as ameaças cibernéticas modernas costumam ser muito piores que seus antepassados virais. Eles ficam melhor escondidos nos sistemas dos nossos computadores e são muito mais eficientes em não serem detectados. Os obsoletos vírus do passado foram a porta de entrada para todo um esquadrão de ameaças avançadas, como, por exemplo, spyware, rootkits, trojans, exploits e ransomware, entre outros.

Conforme surgiam essas novas ameaças, que logo ultrapassaram a tecnologia do vírus, as empresas de antivírus continuaram em sua missão de combater essas novas ameaças. No entanto, as empresas de antivírus já não sabiam mais em que categoria deveriam se encaixar. Deveriam continuar a divulgar seus produtos como “antivírus” e correr o risco de soar reducionista? Ou deveriam adotar outro termo antiameaça, como, por exemplo, “antispyware”? Ou seria melhor uma abordagem mais inclusiva e juntar tudo em uma única linha de produtos que combateria todas as ameaças? A resposta varia de acordo com a empresa de antivírus em questão.

Na Malwarebytes, a segurança cibernética é nossa categoria mais abrangente. Achamos que faz mais sentido combinar todos os nossos esforços em combater ameaças em um único termo que abrange mais do que só vírus. Portanto, o termo que usamos para explicar nosso trabalho é “antimalware,” que significa “anti-software-malicioso.”

“O consumidor acredita que vírus é sinônimo de ameaça cibernética, então as empresas chamam seus produtos de segurança cibernética de software “antivírus”, o que, por sua vez, leva o consumidor a acreditar que o vírus ainda é o grande vilão da história.”

Se o vírus não é mais uma grande ameaça, por que eu preciso de segurança cibernética?

Vírus é só mais um tipo de malware. Embora vírus ainda exista, outras formas de malware são mais comuns hoje em dia. Por exemplo, aqui estão alguns exemplos de ameaças que a Malwarebytes pode combater:

  • Adware é um software indesejado que foi projetado para encher sua tela com propagandas, geralmente afeta navegadores, mas também pode afetar aplicativos para dispositivos móveis. Normalmente, o adware se disfarça como um programa legítimo ou se camufla em outro programa e engana o usuário, que acaba instalando em seu computador, tablet ou dispositivos móveis.
  • Spyware é o malware que secretamente observa as atividades do usuário do computador sem permissão e passa informações ao autor do software.
  • Vírus é um malware que se anexa a outro programa e, quando executado, geralmente inadvertidamente pelo usuário, ele se reproduz modificando outros programas de computador e infectando-os com seu próprio código.
  • Worms são um tipo de malware similar ao comportamento do vírus ao se espalhar, no entanto, não é necessária a interação do usuário para ativá-los.
  • Trojan, ou cavalo de Troia, é melhor definido como um método de entrega de infecções do que uma infecção de fato. Geralmente o trojan se apresenta como algo útil para enganar os usuários e convencê-los a abrir o arquivo. Os ataques de trojan podem conter qualquer tipo de malware, incluindo vírus, spyware e ransomware.
  • Ransomware é uma forma de malware que bloqueia seu dispositivo e/ou que criptografa seus arquivos, depois força você a pagar um resgate para recuperá-los. Ransomware foi chamado de a arma favorita dos criminosos cibernéticos pois exige um pagamento rápido e lucrativo em uma criptomoeda difícil de ser rastreada. O código por trás do ransomware é fácil de se obter através de marketplaces ilegais online, porém, defender-se dele é muito difícil.
  • Rootkit é uma forma de malware que oferece ao invasor privilégios de administrador no sistema infectado e fica oculto aos olhos de um usuário típico de computador. Os rootkits também se escondem de outros softwares no sistema, até mesmo do sistema operacional.
  • A keylogger é um malware que registra todo pressionamento de tecla do usuário, geralmente armazenando as informações obtidas e enviando-as ao invasor, que está procurando por informações confidenciais, como nomes de usuário, senhas ou detalhes de cartões de crédito.
  • A mineração maliciosa de criptomoeda, também chamada de mineração do tipo drive-by ou cryptojacking, é um tipo de malware ou ataque a navegadores que está se tornando cada mais comum, essa ameaça é entregue através de múltiplos métodos de ataque, por exemplo, malspam, downloads do tipo drive-by e extensões ou aplicativos mal-intencionados. Ela permite que outra pessoa use sua CPU ou GPU para minerar criptomoedas como Bitcoin ou Monero. Portanto, em vez de permitir que você aproveite a potência de seu computador, os criptomineradores enviam as moedas coletadas para suas próprias contas e não para a sua. Essencialmente, um criptominerador malicioso está roubando os recursos da sua máquina para ganhar dinheiro.
  • Exploits são um tipo de malware que se aproveita de bugs e vulnerabilidades em um sistema fim de permitir que o criador do exploit assuma o controle. Assim como outras ameaças, os exploits estão ligados às propagandas maliciosas, um ataque que usa essas propagandas maliciosas, geralmente em sites legítimos, para entregar exploits. Você nem precisa clicar no anúncio para ser afetado, os exploits e seus malwares acompanhantes se instalam sozinhos em seu computador através de um download do tipo drive-by. Basta você visitar um site bom em um dia ruim.

Como um antimalware funciona?

O bom e velho método de detecção da ameaça baseada em assinatura pode ser eficiente até certo ponto, mas os programas antimalware modernos podem detectar ameaças com métodos que buscam por comportamento nocivos. Em outras palavras, a detecção baseada em assinatura está procurando por impressões digitais dos criminosos. É uma ótima forma para identificar a ameaça, se você já souber como é a impressão digital do culpado. Já os programas antimalware modernos estão um passo à frente e podem identificar ameaças ainda desconhecidas. É possível detectar uma atividade suspeita analisando a estrutura e o comportamento do programa. Para manter a analogia, é como observar que uma pessoa está sempre em locais frequentados por outros criminosos e ainda anda com um kit para abrir fechaduras no bolso.    

Essa tecnologia mais nova e eficaz de segurança cibernética se chama análise heurística. “Heurística” é um termo que pesquisadores deram à estratégia de detectar ameaça analisando a estrutura, o comportamento e outros atributos do programa.

Cada vez que um programa antimalware heurística verifica um arquivo executável, ele analisa sua estrutura geral, a lógica de programação e outros dados. Além de procurar por qualquer junk code ou instruções suspeitas. Dessa forma, é avaliada a probabilidade de haver malware no programa.

Outra vantagem do método heurístico é sua capacidade de detectar malware em arquivos e iniciar os registros antes que o malware tenha a chance de rodar e infectar seu computador. Ou seja, o seu antimalware heurístico é proativo em vez de reativo. Alguns produtos antimalware também podem executar o malware suspeito em uma sandbox, que é um ambiente controlado onde o software de segurança determina se o programa é seguro para ser instalado ou não. Executar o malware em uma sandbox permite que o antimalware o que o software faz, que ações ele executa, se ele tenta se esconder ou comprometer o seu computador.

Além disso, a análise heurística ajuda na segurança dos usuários verificando as características da página de internet para identificar sites duvidosos que possam conter exploits. Se reconhecer algum padrão suspeito, o site será bloqueado.

Resumindo, o antivírus baseado em assinaturas é como o segurança de bar que fica pesquisando as fotos de criminosos em seu livro gigante e vendo se alguém ali se encaixa na descrição. Já a análise heurística é um segurança que analisa comportamentos suspeitos, confere se não estão armados e manda embora quem de fato estiver armado.

“Heurística” é um termo que pesquisadores deram à estratégia de detectar ameaça analisando a estrutura, o comportamento e outros atributos do programa."

Avanços nos programas de segurança cibernética

Duas formas relativamente novas de malware contribuíram para o avanço dos métodos de detecção sem assinatura: exploits e ransomware. Embora essas ameaças sejam similares às outras de muitas formas, também são muito mais difíceis para detectar. Além disso, uma vez que seu computador está infectado, pode ser quase impossível remover o problema.

Os exploits receberam esse nome porque exploram as vulnerabilidades do sistema, software ou navegador para instalar códigos maliciosos de diversas formas. As medidas antiexploit foram desenvolvidas para protegê-lo desse método de ataque, seja contra flash exploits ou vulnerabilidades do navegador, incluindo os novos exploits que não foram identificados ou vulnerabilidades que ainda não têm patches.

O ransomware teve uma estreia espetacular na cena em 2013. O ransomware ganhou fama ao sequestrar e criptografar dados do computador e depois, mantinha seus dados como refém para extorquir pagamentos. Ameaçavam até apagar os dados caso o prazo do pagamento não fosse cumprido.

Originalmente, ambas as ameaças resultaram no desenvolvimento de produtos dedicados a combater o exploit e o ransomware. Em dezembro de 2016, a Malwarebytes lançou a versão premium do Malwarebytes for Windows que visava combater exploits e sites maliciosos. Depois, adicionamos antiransomware para uma proteção antimalware mais avançada.

O futuro dos programas de segurança cibernética (que já chegou)

Inteligência artificial (IA) e machine learning (ML) são as mais novas estrelas da tecnologia antimalware.

A inteligência artificial permite que máquinas executem tarefas que não foram especificamente pré-programadas. A IA não executa uma sequência limitada de comandos de forma automática. Como o nome sugere, a IA usa a “inteligência” para analisar a situação e agir de acordo com o objetivo em questão, por exemplo, identificar a atividade de um ransomware.

Machine learning é uma programação capaz de reconhecer padrões em dados novos e depois, classificar os dados de forma que ela ensina a máquina a aprender.

Resumindo, a IA foca na criação de máquinas inteligentes, enquanto o ML usa algoritmos que permitem que as máquinas aprendam com suas experiências. Essas duas tecnologias são perfeitas para a segurança cibernética, principalmente depois que a quantidade e a variedade de ameaças que surgindo diariamente se tornou excessiva para a capacidade dos métodos baseados em assinaturas. Tanto a IA quanto o ML ainda estão em fase de desenvolvimento, mas são uma grande promessa no setor.

Na Malwarebytes, nós já usamos componentes de machine learning para detectar malwares ainda desconhecidos, também conhecidos como dia zero ou zero-hora. Existem outros componentes em nossos softwares que executam a detecção heurística baseada em comportamento, ou seja, ela não precisa reconhecer um código malicioso em particular, no entanto, é capaz de determinar que um site ou arquivo está agindo de forma suspeita. Essa tecnologia é baseada em IA/ML e já está disponível para nossos usuários tanto como proteção em tempo real e verificação sob demanda.

No caso de profissionais de TI com múltiplos endpoints para proteger, a abordagem heurística é particularmente importante. Nunca se sabe qual será a grande ameaça de malware amanhã. Portanto, a heurística tem um papel importante no Malwarebytes Endpoint Protection, assim como a inteligência artificial e o machine learning. Juntos, eles criam múltiplas camadas de proteção que cobrem todas as etapas da cadeia de ataque tanto para ameaças conhecidas e desconhecidas.

Um grama de prevenção X um quilo de remédio

De desktops e notebooks a tablets e smartphones, qualquer dispositivo está sujeito a ataques de malware. Já que é possível escolher, não melhor prevenir uma infecção do que remediá-la?

Um antivírus tradicional sozinho não dá conta do recado, como provam as constantes manchetes de jornais anunciando mais ciberataques bem-sucedidos.

Então como você pode se proteger? Qual tipo de software de segurança cibernética (antivírus ou antimalware) deve ser escolhido para enfrentar um cenário de ameaças que constituem em vírus de legado e malwares emergentes?  

O fato é que um antivírus tradicional sozinho não dá conta do recado, como provam as constantes manchetes de jornais anunciando mais ciberataques bem-sucedidos. Não foi feito para proteger contra ameaças dia zero, permite que ransomware sequestram computadores e não removem malwares por completo. Um programa de segurança cibernética avançado precisa ser flexível e inteligente o suficiente para prever as atuais ameaças que estão cada vez mais sofisticadas.

O Malwarebytes for Windows preenche todos os requisitos de um programa de segurança cibernética (assim como o Malwarebytes for Mac, o Malwarebytes for Android e o Malwarebytes business solutions). Os produtos Malwarebytes protegem contra malware, hacks, vírus, ransomware e outras ameaças que estão surgindo para ajudá-lo a ter uma experiência virtual mais segura. Nossa tecnologia heurística e aprimorada com inteligência artificial bloqueia ameaças que os antivírus tradicional não consegue.

Analistas do setor já citaram o Malwarebytes for Windows pelo seu papel na abordagem de proteção em camadas, fornecendo uma proteção confiável sem comprometer o desempenho do sistema. Ele remove qualquer traço de malware, bloqueia as ameaças mais recentes e faz verificações rápidas.

Independentemente do método de segurança cibernética que você escolher, o primeiro passo é se educar sobre o assunto. Acesse o blog da Malwarebytes Labs frequentemente para ficar por dentro de quais são as mais recentes ameaças e como se proteger.

Informações de cibersegurança que você não pode ficar sem saber

Quer ficar informado das últimas notícias sobre cibersegurança? Assine nossa newsletter e aprenda como proteger seu computador de ameaças.

Selecione seu idioma