Como nossos super-cérebros trabalham por você

Como podemos localizar e destruir todos os itens maliciosos que estão escondidos nas entranhas de nosso computador?

Especialmente aqueles malwares já detectados com grande potencial de dano e que muitas vezes são patrocinados por Governos. A resposta é simples. Você não pode.

Para encontrar um gato preto malicioso em uma sala escura é necessária uma equipe de especialistas para fazer isso manualmente. E este é um grande custo. Mas, com um produto antivírus comum, você não passa nem perto de saber que algo tão sofisticado está acontecendo. Pelo menos se esse produto AV é baseado no modelo clássico de assinaturas e varredura de arquivos.

Então…Qual é a solução ?

Mais uma vez, é muito simples: é necessário apenas colocar para trabalhar alguns mega-cérebros para automatizar funções sofisticadas de Search and Destroy (Busca e Destruição) em um antivírus.

Como fazemos isso aqui na Kaspersky Lab?

Fizemos esses “super cérebros” trabalhando em um sistema de proteção que analisa sinais de dezenas de sensores da Kaspersky instalados no equipamento protegido. Esta análise sistemática e onisciente é muito mais eficaz do que qualquer previsão com base em…astrologia. Você não acha que é melhor proteção pró-ativa do que meros chutes?

Vamos falar sobre os sensores…uma característica comum a todos é que eles têm a arma especial da Kaspersky: a análise heurística.

Esta análise está no campo da virologia há cerca de 25 anos. Algumas empresas de antivírus têm eliminado ou minimizado o uso desta tecnologia, porque requer um desenvolvimento contínuo. Vamos entender melhor a importância disso.

O código malicioso pode ser identificado de duas maneiras: direta e indiretamente.

Diretamente: neste caso, é realizada por meio de assinaturas clássicas. Sabemos como é o código de um malware, desenvolvemos uma assinatura para ele e buscamos por ela quando verificamos um objeto suspeito.

Indiretamente: aqui a análise heurística entra em jogo. Descobrimos o malware com base em nosso conhecimento prévio do código de script típico (análise estática) ou por seu comportamento (análise dinâmica) .

Um exemplo de análise indireta? Um programa se inscreve na chave autorun do sistema, intercepta teclas digitadas, abre uma porta e envia algo através da Internet. Além disso, o programa grava dados no disco rígido no cilindro 0, cabeça 0, setor 1… e modifica o MBR. Convenhamos que este tipo de comportamento não tem nada a ver com um programa inocente, certo?

A principal vantagem do uso de heurística em vez do sistema tradicional é que não precisamos saber exatamente como é o malware, ou seja, não há necessidade de saber o seu código único. Em vez disso, nós descobrimos e atacamos o comportamento malicioso através da análise de seu comportamento.

Além disso, verifica-se que o número de atividades e comportamentos não é tão grande como as combinações de código malicioso. Por exemplo, com um registro heurístico podemos detectar 600 mil variações do worm WNBA. Então você pode imaginar o quanto isso agiliza a varredura, por que dispensamos 600 mil assinaturas únicas.

As heurísticas utilizadas em todos os módulos do Kaspersky AV (por exemplo anti-rootkit ou anti-phishing) . Além disso, as tecnologias de alto nível de análise como o System Watcher ou serviços de reputação na nuvem ajudam a entender o ambiente interno de equipamentos e descobrir possíveis ataques. Além disso, temo um módulo especial para a análise heurística automática chamado AVZ. Quer saber mais ?

O AVZ foi introduzido lá em 2007. Têm diferentes papéis: backup, restauração de arquivo, triturador… Esses usos dependem do produto onde está integrado. Do ponto de vista heurístico e proteção contra ameaças desconhecidas, executa duas tarefas principais: (i) permite que a equipe de suporte realize diagnósticos remotos e cure as infecções mais persistentes, (ii) fornece um conjunto de ferramentas que permite a usuários experientes e administradores de sistema identificar anomalias em computadores e redes que gerenciem.

A característica mais importante do AVZ é seu analisador heurístico (atualizado diariamente), que faz um ótimo trabalho em monitorar tudo o que acontece dentro do equipamento. Isto é metade do trabalho!O  AVZ interpreta diferentes parâmetros e localiza o “mal”, analisa o sistema e usa os resultados para criar uma área de quarentena para qualquer objeto suspeito.

A grande coisa sobre este relatório é que ele pode ser lido por um ser humano e um robô. Depois de analisados​​, a nossa equipe de suporte pode fazer um diagnóstico preciso e prescrever um tratamento. Enquanto isso, o robô pode criar uma vacina.

Outra característica dos relatórios é que ele contêm informações importantes sobre o sistema para o diagnóstico do vírus. Objetos que são “doces e inocentes” estão incluídos na lista branca para não impedir o trabalho dos especialistas e acelerar a análise.

É tudo uma questão técnica: o script de cura criado por nós é enviado para o computador infectado. O usuário só precisa copiar o texto na janela do script. A experiência mostra que esta função é a proteção insubstituível quando instalado em um sistema já infectado (incluindo ameaças desconhecidas) e para corrigir os efeitos após a infecção.

Um analisador heurístico tem suas limitações quando se trata de falsos positivos. Isto é lógico, já que a heurística trabalha com conjecturas e com base na experiência do passado, não fatos. Ainda não inventaram uma tecnologia que forneça a solução final… mas estamos trabalhando nisso. Enquanto isso, a coisa mais importante é corrigir os erros através de atualizações o mais rápido possível. No entanto, com o AVZ… este problema não existe mais!

Primeiro, o AVZ trabalha sozinho e não precisa incomodar o usuário com perguntas complicadas e alertas. Os resultados do trabalho deste módulo são visíveis apenas para especialistas de suporte que os recebem. Ah, e para o robô! Em segundo lugar, o perito e o robô são capazes de eliminar falsos positivos. Você leu certo! Cada nova análise de dados, manual ou automática, revela os falsos positivos para fazer as mudanças necessárias.

LEIA COMENTÁRIOS 2
Comentários 2 Deixe um comentário.

    Renato Rodrigues

    É por isso que a Kaspersky está na liderança qdo se fala em desempenho dos seus produtos…

    Pedro

    Muito bom. Orgulho de ser representante Kaspersky

Deixe um comentário.