Para infectar um computador com software malicioso, os criminosos virtuais precisam:

  • Induzir o usuário a abrir o arquivo infectado ou
  • Tentar invadir o computador da vítima, seja por uma vulnerabilidade no sistema operacional ou um software executado na máquina

Ao mesmo tempo, os criminosos virtuais mais profissionais tentam fazer com que seus programas de malware burlem qualquer software antivírus em execução no computador da vítima.

Técnicas usadas no combate ao software antivírus

Para aumentar a probabilidade de atingir seus objetivos, os criminosos virtuais desenvolveram diversas técnicas para tentar combater as atividades do software antivírus:

  • Compactação e criptografia do código
    A maioria dos worms e cavalos de Troia é compactada e criptografada. Os hackers também criam utilitários especiais de compactação e criptografia. Todos os arquivos na Internet processados pelo CryptExe, Exeref, PolyCrypt e outros utilitários foram considerados maliciosos.

    Para detectar worms e cavalos de Troia compactados e criptografados, o programa antivírus deve adicionar novos métodos de descompactação e decodificação ou incluir novas assinaturas para cada amostra de programa malicioso.
  • Mutação do código
    Os criminosos virtuais tentam disfarçar o software malicioso associando um código de cavalo de Troia com instruções de "spam" para que o código assuma uma aparência diferente, mesmo que o cavalo de Troia retenha sua funcionalidade original. Às vezes, a mutação do código acontece em tempo real; sempre ou quase sempre que o cavalo de Troia é baixado de um site infectado. O worm de e-mail Warezov usava essa técnica e chegou a causar epidemias graves.
  • Técnicas de invisibilidade
    As tecnologias de rootkit, geralmente empregadas por cavalos de Troia, podem interceptar e substituir funções do sistema para tornar o arquivo infectado invisível ao sistema operacional e aos programas antivírus. Às vezes, até as ramificações do Registro que incluem o cavalo de Troia e outros arquivos do sistema ficam ocultos. O cavalo de Troia backdoor HacDef é um exemplo de código malicioso que usa essas técnicas.
  • Bloqueio de programas antivírus e atualizações dos bancos de dados de antivírus
    Muitos cavalos de Troia e worms de rede procuram ativamente programas antivírus na lista de aplicativos ativos no computador da vítima. O malware então tenta:
    • Bloquear o software antivírus
    • Danificar os bancos de dados de antivírus
    • Impedir a operação correta dos processos de atualização do software antivírus

Para combater o malware, o programa antivírus precisa se defender, controlando a integridade de seus bancos de dados e ocultando seus processos dos cavalos de Troia.

  • Mascaramento do código em um site
    As empresas de antivírus logo ficam sabendo dos endereços de sites que contêm arquivos de cavalos de Troia. Seus analistas então estudam o conteúdo desses sites e adicionam o novo malware a seus bancos de dados. Entretanto, para tentar burlar a verificação antivírus, a página da Web pode ser modificada. Assim, quando uma empresa de antivírus envia solicitações, é baixado um arquivo sem cavalo de Troia no lugar do cavalo de Troia.

Ataques de "quantidade"

Em um ataque de quantidade, inúmeras novas versões do cavalo de Troia são distribuídas por toda a Internet em um curto intervalo de tempo. Com isso, as empresas de antivírus recebem quantidades enormes de novas amostras para análise. O criminoso virtual espera que o tempo que se leva para analisar cada amostra seja suficiente para que o código malicioso invada os computadores dos usuários.

Outros artigos e links relacionados a malware e soluções antivírus