Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ir ao site VirusTotal, que faz varreduras gratuitas de arquivos com dezenas de antivírus diferentes.
Para ler esse artigo, clique no botão abaixo.
O ouvinte Yuri enviou duas perguntas. Vamos à primeira:
“Várias vezes enfrentei problemas em saber se um arquivo está infectado ou não. Neste momento estou passando por isso. O Malwarebytes diz que está infectado. O AVG diz que não está. Pra tirar a limpo, eu acessei o VirusTotal.com e subi o arquivo para fazer a verificação. Mas minha situação piorou: vários antivírus dizem que se trata de malware, outros tantos dizem que não. Gostaria de deixar a pergunta: o que fazer nessas situações inusitadas, quando não há consenso entre os antivírus? Qual a melhor decisão a tomar?”
Yuri, no artigo de 24 de setembro, intitulado Um ranking de antivírus comentei que de acordo com um estudo independente da NSS Labs existe uma discrepância muito grande entre a capacidade de detecção de malware por parte dos nove antivírus testados. Para lembrar, os três últimos colocados identificaram menos de 75% dos vírus testados, isto é, deixaram pelo menos um de cada quatro vírus “passar” pela proteção. O AVG, que você cita, está entre esses três antivírus de baixo desempenho. E é importante notar que a NSS Labs só mandou códigos maliciosos para as máquinas, e não falsos positivos. Ou seja, quem falhou, falhou em identificar ameaças reais.
Em outras palavras, a falta de consenso entre os antivírus é decorrente, como mostra o relatório da NSS, de pura e simples falta de qualidade. O antivírus que falha em identificar algo que outro antivírus diz ser malware pode (e deve) ser taxado de incompetente. Simples assim? Simples assim. Até porque descartar um resultado positivo pode trazer graves prejuízos, enquanto acatar um falso positivo não.
Você enviou o link do resultado de uma análise no site VirusTotal, que submeteu o arquivo a 41 antivírus diferentes. Observe que dos quatro antivírus mais bem colocados no relatório da NSS Labs, três deles identificaram seu arquivo como contendo código malicioso. Isso também é um indício de que os melhores antivírus conseguem identificar malware que antivírus menos competentes deixam passar.
Mas a verdade é que nessas situações de conflito de fato pode estar ocorrendo um falso positivo. Ao analisar os resultados do relatório da NSS Labs acho que não é o caso aqui, mas vá lá, suponhamos que o caso não estivesse pendendo para o lado do “é código malicioso, sim”. O que fazer nessa situação? Bem, aí o usuário vai ter que responder uma pergunta para saber que ação tomar. O que é mais importante para mim: o acesso ao programa em questão, ou a segurança do meu ambiente?
A sua segunda questão dá um pouco mais de subsídios para a tomada de decisão, vamos a ela:
“É normal que softwares antivírus identifiquem keygens e cracks como estando infectados?”
Os keygens e os cracks são programas feitos por programadores com o intuito de quebrar a proteção de aplicativos. Isso permite a utilização de um aplicativo sem que se tenha que comprar a licença de uso. Em outras palavras (e como você mesmo mencionou), são programas dedicados exclusivamente à atividade da pirataria. Não vou entrar no mérito ético dessa discussão, pois esse não é o objetivo desse site. Vamos avaliar a questão unicamente pelo lado da segurança.
Olhando a situação mais de perto podemos identificar o seguinte: os keygens e os cracks são programas que exigem um estudo longo do aplicativo que se quer piratear, de sua arquitetura e de seu código. Exigem também um bom conhecimento de programação, semanas de desenvolvimento e vários testes. Será que faz sentido o desenvolvedor em questão disponibilizar o fruto desse trabalho “de graça”, só porque ele é bonzinho? Que vantagem ele leva com isso? Será que faz isso só pelos louros de ter burlado a proteção do programa? Será que esses louros valem o risco de ser descoberto e ir para a cadeia por quebra de copyright? Isso tudo faz sentido?
Quando penso sobre esse assunto, lembro que inúmeros keygens já foram reportados como sendo cavalos de troia, ou atuando também como keyloggers. Os casos a que me refiro, não se tratam de falsos positivos, obviamente. E o que eu tiro de conclusão é o seguinte: os desenvolvedores desses keygens e cracks encontram recompensa para seu trabalho de uma forma bastante criativa: colocando códigos maliciosos em seus programas. É uma forma bastante eficaz de disseminar esses códigos maliciosos, pois muita gente procura keygens e cracks como um “jeitinho” de não precisar pagar pelo software. Basta que o hacker disfarçado de programador bonzinho coloque seu keygen ou cracker num site para downloads e inúmeras vítimas disfarçadas de espertinhos vão lá busca-lo de bom grado.
Diante desse quadro, deixo novamente a pergunta: o que é mais importante para mim: o acesso ao programa em questão (aliás, o acesso a qualquer custo ao programa em questão), ou a segurança do meu ambiente?
Ajude-nos a melhorar os artigos desse site, deixando na sessão de comentários suas dúvidas, críticas e sugestões.
Bom fim de semana e até a próxima.
“Várias vezes enfrentei problemas em saber se um arquivo está infectado ou não. Neste momento estou passando por isso. O Malwarebytes diz que está infectado. O AVG diz que não está. Pra tirar a limpo, eu acessei o VirusTotal.com e subi o arquivo para fazer a verificação. Mas minha situação piorou: vários antivírus dizem que se trata de malware, outros tantos dizem que não. Gostaria de deixar a pergunta: o que fazer nessas situações inusitadas, quando não há consenso entre os antivírus? Qual a melhor decisão a tomar?”
Yuri, no artigo de 24 de setembro, intitulado Um ranking de antivírus comentei que de acordo com um estudo independente da NSS Labs existe uma discrepância muito grande entre a capacidade de detecção de malware por parte dos nove antivírus testados. Para lembrar, os três últimos colocados identificaram menos de 75% dos vírus testados, isto é, deixaram pelo menos um de cada quatro vírus “passar” pela proteção. O AVG, que você cita, está entre esses três antivírus de baixo desempenho. E é importante notar que a NSS Labs só mandou códigos maliciosos para as máquinas, e não falsos positivos. Ou seja, quem falhou, falhou em identificar ameaças reais.
Em outras palavras, a falta de consenso entre os antivírus é decorrente, como mostra o relatório da NSS, de pura e simples falta de qualidade. O antivírus que falha em identificar algo que outro antivírus diz ser malware pode (e deve) ser taxado de incompetente. Simples assim? Simples assim. Até porque descartar um resultado positivo pode trazer graves prejuízos, enquanto acatar um falso positivo não.
Você enviou o link do resultado de uma análise no site VirusTotal, que submeteu o arquivo a 41 antivírus diferentes. Observe que dos quatro antivírus mais bem colocados no relatório da NSS Labs, três deles identificaram seu arquivo como contendo código malicioso. Isso também é um indício de que os melhores antivírus conseguem identificar malware que antivírus menos competentes deixam passar.
Mas a verdade é que nessas situações de conflito de fato pode estar ocorrendo um falso positivo. Ao analisar os resultados do relatório da NSS Labs acho que não é o caso aqui, mas vá lá, suponhamos que o caso não estivesse pendendo para o lado do “é código malicioso, sim”. O que fazer nessa situação? Bem, aí o usuário vai ter que responder uma pergunta para saber que ação tomar. O que é mais importante para mim: o acesso ao programa em questão, ou a segurança do meu ambiente?
A sua segunda questão dá um pouco mais de subsídios para a tomada de decisão, vamos a ela:
“É normal que softwares antivírus identifiquem keygens e cracks como estando infectados?”
Os keygens e os cracks são programas feitos por programadores com o intuito de quebrar a proteção de aplicativos. Isso permite a utilização de um aplicativo sem que se tenha que comprar a licença de uso. Em outras palavras (e como você mesmo mencionou), são programas dedicados exclusivamente à atividade da pirataria. Não vou entrar no mérito ético dessa discussão, pois esse não é o objetivo desse site. Vamos avaliar a questão unicamente pelo lado da segurança.
Olhando a situação mais de perto podemos identificar o seguinte: os keygens e os cracks são programas que exigem um estudo longo do aplicativo que se quer piratear, de sua arquitetura e de seu código. Exigem também um bom conhecimento de programação, semanas de desenvolvimento e vários testes. Será que faz sentido o desenvolvedor em questão disponibilizar o fruto desse trabalho “de graça”, só porque ele é bonzinho? Que vantagem ele leva com isso? Será que faz isso só pelos louros de ter burlado a proteção do programa? Será que esses louros valem o risco de ser descoberto e ir para a cadeia por quebra de copyright? Isso tudo faz sentido?
Quando penso sobre esse assunto, lembro que inúmeros keygens já foram reportados como sendo cavalos de troia, ou atuando também como keyloggers. Os casos a que me refiro, não se tratam de falsos positivos, obviamente. E o que eu tiro de conclusão é o seguinte: os desenvolvedores desses keygens e cracks encontram recompensa para seu trabalho de uma forma bastante criativa: colocando códigos maliciosos em seus programas. É uma forma bastante eficaz de disseminar esses códigos maliciosos, pois muita gente procura keygens e cracks como um “jeitinho” de não precisar pagar pelo software. Basta que o hacker disfarçado de programador bonzinho coloque seu keygen ou cracker num site para downloads e inúmeras vítimas disfarçadas de espertinhos vão lá busca-lo de bom grado.
Diante desse quadro, deixo novamente a pergunta: o que é mais importante para mim: o acesso ao programa em questão (aliás, o acesso a qualquer custo ao programa em questão), ou a segurança do meu ambiente?
Ajude-nos a melhorar os artigos desse site, deixando na sessão de comentários suas dúvidas, críticas e sugestões.
Bom fim de semana e até a próxima.
Obrigado pelo texto! Muito esclarecedor.
ResponderExcluirMinha decisão eu já tomei. De nada adianta utilizar meus softwares num ambiente inseguro. Por outro lado, de nada adianta um sistema seguro em que não posso usar os programas que eu quero e preciso usar. Devido a isso, fiz minha opção: entre a segurança do meu ambiente e acesso aos meus programas, eu fico com as duas coisas. Por isso, bloqueei com meu firewall todos os programas que porventura tenham cracks, e passei para um pen drive todos os keygens que tenho.
Assim, acredito estar mais seguro, já que tais programas crackeados não mais poderão acessar a internet e desse modo ficarão sem contato com os supostos crackers que os criaram.
Agradeço novamente pelos esclarecimentos!
Abs!
Eu que agradeço pela pergunta, Yuri!
ResponderExcluirRuy Flávio bom dia, conheci seu site através da divulgação do Ethevaldo Siqueira na CBN e muito bom saber que temos pessoas preoculpadas em ajudar, peço tambem uma ajuda para escolher um antivirus para a empresa que trabalho, onde procurar e no que me basear para a melhor escolha, tenho que obter um anti-virus que atenda a rede da empresa temos mais de 20 maquinas e tenho que me preoculpar também com o custo. Obrigado e parabéns por esse trabalho.
ResponderExcluirOlá Ruy Flávio, também conheci seu site através da divulgação do Ethevaldo Siqueira na CBN (ouço todos os comentaristas).
ResponderExcluirFiquei com duvidas sobre dois artigos seus e as referências de dois sites que testaram "suites" de fabricantes de anti-virus.
Segundo o artigo "Um ranking de antivírus" de 24/09/2009 foi indicado que o relatório da NSS Labs sobre o software Trend Micro Internet Security 2009 v. 17.1.1250 seria o mais confiável e abrangente "para navegação Web, acesso a webmail, download de arquivos e a execução de aplicativos em Java", porém no artigo "Os tais firewalls" de 24/08/2009 é citado o site www.matousec.com que diz o seguinte "Still, Trend Micro does not belong among the better products on the market available today.", praticamente dizendo que o produto de mesma versão não oferece proteção nenhuma na tabela de resultados.
Qual seria sua interpretação destas recomendações? É possível confiar em sites "independentes" e seus relatórios? Ou seria o caso de esquecer as "suites" e tentar obter separadamente de cada fabricante um ótimo anti-virus e um ótimo firewall?
Tenho o Kaspersky e devido ao fim próximo da licença da versão 2009 e a complexidade que ficou o môdulo de firewall da versão 2010 (beta) estou novamente procurando estes relatórios de sites independentes.
Abraços.