» Use esta arma para combater a disseminação de vírus de computador

Admita amigo, ou amiga. Você recebeu um e-mail com um pinguím passando a rasteira em outro pinguím, e achou genial, né? Com certeza você repassou esse e-mail para a maioria de seus amigos e amigas, certo? Infortunadamente parte desses filmes era na verdade um vírus - no caso o W32/Manymize@MM - e você pode ter ajudado a contaminar dezenas e dezenas de pessoas.

ILoveYou, Nimda, Klez, BugBear, são apenas alguns dos mais recentes (e na maioria dos casos, destruidores vírus) que apareceram nos últimos meses. Eles causaram milhões de dólares de perda para muitas empresas, e uma infinidade de dores de cabeça nos usuários domésticos afetados, em todo o mundo moderno.

A maioria dos trojans e worms são programas executáveis, escritos em linguagem de máquina, e podem executar qualquer ação no seu micro (incluindo copiar, deletar e alterar seus arquivos). Até agora a estratégia mais segura era dizer para os usuários não abrir arquivos desconhecidos, que tenham uma extensão executável - tal como .EXE. Dificilmente esta é uma política de segurança que possamos classificar de forte.

Desde o aparecimento do vírus ILoveYou, algumas empresas estão bloqueando anexos com as extensões .EXE, .VBS em seus gateways. Enquanto esta ação seja suficientemente efetiva, até um certo ponto, isto não é um modo realístico de empresas e/ou indivíduos, que dependem do poder da Internet, de conduzir seus negócios e suas comunicações no mundo atual.

Trojans e Worms são as pragas modernas da era Internet. Os softwares Anti-Vírus, embora adequados para prevenir vírus conhecidos de fazer seus ataques, são absolutamente inadequados para enfrentar a primeira onda dos novos ataques virais. Quando um ataque novo é reportado, as empresas de Anti-vírus se esgoelam para identificar uma "assinatura" para tal atacante. Essa assinatura, na verdade uma pequena parte do código viral, deve ser identificada, pois assim os fabricantes podem colocar as "instruções certas" em seus produtos, fazendo-os capazes de identificar claramente a nova ameaça. Essas novas assinaturas precisam então ser baixadas dos sites dos vendedores, para que tornem mais eficazes seus produtos, contra a nova praga.

Como usualmente essa identificação - da assinatura do novo vírus - leva várias horas, ou mesmo alguns dias, a distribuição dos novos arquivos de assinatura levam mais tempo ainda para serem disponibilizados. E nem todos irão buscar essas novas assinaturas, no instante seguionte, o que poderá tornar o tempo um forte aliado na disseminação dos novos Worms. Esse processo, que podemos chamar de REATIVO, pois ele reage à ação de ataque do novo vírus, é claramente moroso o suficiente para deixar muitos usuários à mercê das pragas mais rápidas.

Mesmo depois de um worm ou um trojan ser identificado, não é muito difícil para um outro criador de vírus, ou para o próprio grupo que o criou, alterar de forma significativa o código que serviu para criar a "assinatura digital" dessa praga. Ferramentas para criação de novos vírus, podem ser utilizadas para alterar os já existentes, e assim criar uma nova leva de ataques. Essas ferramentas, disponíveis na Internet, permitem que hackers simplesmente cliquem em, algumas opções, que modificam de forma mais ou menos significativa o código viral, tornando essa nova variante "desconhecida" para o arquivo de asinatura de vírus que o seu fornecedor de Anti-vírus forneceu à pouco. Na verdade esse tipo de feramenta tem sido bastante utilizado pelos novos hackers, e mesmo por muitos lammers (hackers que não conhecem muito como criar novos programas virais).

A solução é utilizar cada vez mais de produtos que sejam capazes de reconhecer certas ações como "suspeitas", de forma a alertar o usuário que algo potencialmente perigoso, ou fora do normal, está começando a ser executado no sistema operacional. Novos produtos têm aparecido no mercado, tipo o SurfinGuard, da empresa Finjan, para servir de "cão-de-guarda" em nossos sistemas. Esse método, se utiliza de processos "heurísticos" para reconhecer ações potencialmente perigosas, ou que não deveriam estar ocorrendo naquele momento (tipo um programa de processamento de texto, disparar uma instrução para formatar o disco rígido).

Ao invés de se basear em um banco-de-dados de assinaturas de vírus conhecidos, que deve ser continuamente atualizado, esse processo atua pró-ativamente, impedindo que um trojan arruine seu dia, destruindo o trabalho de anos em poucos momentos.

Muitos Anti-vírus já adotaram esta técnica, que consegue fornecer uma proteção bastante adequada, mesmo contra vírus que ainda nem foram criados. Porém a rotina heurística custa muito, em termos de performance, para o processador onde esse produto é instalado. Assim, e por default, a maioria dos produtos Anti-vírus vêm com a parte heurística desativada, cabendo ao usuário conscencioso realizar sua ativação.

Então, para ter certeza de que você está efetivamente protegido contra as velhas e, melhor ainda, as novas pragas - além daquelas que ainda nem foram criadas - todo o usuário deve realizar a seguinte checagem, em seu equipamento:

1. verificar se seu produto Anti-vírus tem a capacidade de realizar uma busca heurística para vírus de computador;
2. ativar a busca heurística de seu produto, ou trocar de AV, no caso do produto não fornecer tal característica;

Se sua máquina reagir de forma negativa à essa ação - no caso tornando-se uma verdadeira "carroça" na operação normal de seus trabalhos diários - caberá a você decidir se prefere uma máquina mais veloz, mas menos protegida contra as novas pragas, ou então se aceita essa restrição.

Ou então faz-se um upgrade na máquina, e fica-se com o melhor dos dois mundos: 

• máquina muito rápida;
• sistema protegido contra novas pragas virais;
  

A decisão, como sempre, é apenas sua!