Antivírus: Seu guarda-costas digital é a prova de falhas?

Tempo de leitura: 2 minutos

Muitos usuários ao adquirirem um antivírus pagos se sentem mais protegidos e até se arriscam em efetuar download de conteúdo duvidoso, abrir e-mails sem se preocupar muito com possíveis riscos, ou até mesmo abrir anexos recebidos no WhatsApp sem preocupação, pois “meu guarda-costas digital” está aí pra me proteger.

É verdade que de Julho de 2017 pra cá, quase todos os antivírus conhecidos do mercado passaram a ser mais criteriosos ao realizar análise de possíveis malwares (como são chamados os programas que causam algum estrago em nossos computadores ao serem executados) em arquivos executados em seu computador ou smartphone. Muitos passaram a analisar comportamento, principalmente ações de bastidores se baseiam em powershell (linguagem de script da Microsoft presente em todos os seus sistemas operacionais mais modernos), gerando alertas e bloqueios imediatos ao menor sinal de escalação de privilégios administrativos de um processo (quando um executável tenta executar funcionalidades normalmente reservadas a um administrador) ou até mesmo uma migração de processo (procedimento comum de malwares na tentativa de se misturar com processos internos do seu sistema operacional). Todavia, tenham em mente que os antivírus ainda precisam evoluir muito. Eles em sua maioria, analisam assinaturas de código, isto é, a cada descoberta de código malicioso, um hash desse vilão é gerado sintetizando o potencial causador de destruição em uma assinatura única, que rapidamente é distribuída como “persona non grata” a todos os usuários daquele antivírus. Basta que um programador com média experiencia altere uma linha de código e implemente alguma rotina de ofuscação de dados (espécie de criptografia do código malicioso) para que o antivírus não reconheça mais o código que ele outrora catalogou como ameaça e notificou a todos os usuários de um determinado produto de combate a malwares. Isto porque sua assinatura (Hash) foi modificada, e portanto, um novo vírus não catalogado.

Fiz um recente teste em meu laboratório com um código em C# para criar um shell reverso (malware que conecta-se a um atacante sempre que for executado para que ele tenha o controle do equipamento da vítima) ofuscando o código malicioso, executando em sistemas operacionais Windows 7, 8 e 10 com os mais variados antivírus de mercado, sejam eles pagos ou gratuitos. Naturalmente, ofuscações mais simples foram prontamente detectadas, mas usando um pouco de criatividade, foi possível realizar um bypass em TODOS OS ANTIVIRUS testados. vale citar que todos os antivírus foram atualizados antes da realização dessa prova de conceito.

Sendo assim, não facilite as coisas: a melhor defesa contra os potenciais vírus existentes é não executar arquivos com procedência duvidosa. Mantenha seus antivírus sempre atualizados e os patches de correção do seu sistema operacional (aquelas famosas e fatídicas atualizações do Windows) sempre up-to-date.

Não estou dizendo que devemos abandonar o uso dessas ferramentas, muito pelo contrário, mas lembrem-se que até nos filmes, por mais que o guarda-costas esteja disposto a levar um tiro por seu protegido, ele nunca será infalível!

Facebook Comments
Facebook Comments