Para infectar um computador com software malicioso, os criminosos virtuais precisam:

  • Convencer o usuário a abrir um arquivo infectado ou
  • Tentar se infiltrar no computador da vítima, por meio de uma vulnerabilidade do sistema operacional ou de qualquer aplicativo executado na máquina

Ao mesmo tempo, os criminosos virtuais mais profissionais também tentarão garantir que o malware se esquive de qualquer software antivírus instalado no computador da vítima.

Técnicas usadas no combate aos softwares antivírus

Para aumentar a probabilidade de atingir seus objetivos, os criminosos virtuais desenvolveram uma série de técnicas para tentar combater as atividades dos softwares antivírus, incluindo o seguinte:

Whereas, in some cases the results of a malware infection may be imperceptible to the user, in other cases the damage can have serious consequences:

  • Compactação e criptografia de códigos
    A maioria dos worms e cavalos de Troia é compactada e criptografada. Os hackers também projetam utilitários especiais para compactar e criptografar. Descobriu-se que todos os arquivos da Internet processados usando CryptExe, Exeref, PolyCrypt e alguns outros utilitários eram maliciosos.

    Para detectar worms e cavalos de Troia compactados e criptografados, o programa antivírus deve adicionar novos métodos de descompactação e decodificação ou então novas assinaturas para cada amostra de programa malicioso.
  • Mutação do código
    Os criminosos virtuais tentam mascarar seus softwares maliciosos combinando o código do cavalo de Troia com instruções de ‘spam’ – para que o código assuma uma aparência diferente, apesar de o cavalo de Troia manter sua funcionalidade original. Algumas vezes, a mutação do código acontece em tempo real em todas ou quase todas as ocasiões em que o cavalo de Troia é baixado de um site infectado. O worm de email Warezov usava essa técnica e causou epidemias sérias.
  • Técnicas de ocultação
    As tecnologias rootkit – geralmente empregadas por cavalos de Troia – podem interceptar e substituir funções do sistema de forma que o arquivo infectado fique invisível ao sistema operacional e aos programas antivírus. Algumas vezes, até mesmo as ramificações do registro – onde se encontra cavalo de Troia – e outros arquivos do sistema são ocultados. O cavalo de Troia backdoor HacDef é um exemplo de código malicioso que usa essas técnicas.
  • Bloqueio de programas antivírus e atualizações do banco de dados do antivírus
    Diversos vírus do tipo cavalo de Troia e worms de rede pesquisam ativamente programas antivírus na lista de aplicativos ativos no computador da vítima. O malware então tenta:
    • Bloquear o software antivírus
    • Corromper os bancos de dados de antivírus
    • Impedir a operação correta dos processos de atualização do software antivírus
    Para combater o malware, o programa antivírus precisa se defender controlando a integridade de seus bancos de dados e tirando seus processos da vista dos cavalos de Troia.
  • Mascarando o código em um site
    As empresas de antivírus são rápidas em obter os endereços de sites que contêm arquivos com cavalos de Troia. Assim, os analistas de vírus podem estudar o conteúdo desses sites e adicionar o novo malware a seus bancos de dados. No entanto, na tentativa de combater a verificação do antivírus, uma página da Web pode ser modificada para que, quando as solicitações forem enviadas pela empresa de antivírus, um arquivo que não seja cavalo de Troia seja baixado no lugar do cavalo de Troia.
  • Ataques por 'quantidade'
    Em um ataque por quantidade, inúmeras versões de um novo cavalo de Troia são distribuídas na Internet em curtíssimo tempo. Como resultado, as empresas de antivírus recebem enormes volumes de amostras para análise. O criminoso virtual espera que o tempo para analisar cada amostra seja suficiente para que seu código malicioso penetre nos computadores dos usuários.