Como o Avast detecta novos malwares?

O nosso Laboratório de Ameaças da Avast está no coração da nossa capacidade de proteger as pessoas contra malwares. Entre 600.000 e 1 milhão de arquivos são enviados pelo sistema de detecção todos os dias.

Quase a metade deles são arquivos desconhecidos. Isto significa que em algum lugar do mundo alguém foi alvo de cibercriminosos. Os analistas do Laboratório de Ameaças da Avast como Michal Salat, que aparece na foto ao lado, trabalha para bloquear estes ataques.

Os sistemas automatizados da CyberCapture fazem a maior parte do trabalho de filtragem, mas quando é necessário, os analistas da Avast como Michal irão analisar um arquivo desconhecido e tomar a decisão final.

Como o Avast detecta um arquivo malicioso?

Os cibercriminosos são desenvolvedores de software que criam aplicativos para roubar as suas informações ou sequestrar os seus dados em troca de um resgate. Eles estão constantemente modificando o seu código malicioso para criar mutantes que vão passando de computador a computador. A Avast tem um enorme banco de dados chamado FileRep que contém mais de 5 BILHÕES desses arquivos.

Todos os dias, 250.000 executáveis Windows passam pelo FileRep e através de uma lista de verificação de 100 pontos para determinar se os arquivos são seguros ou não. E todos os dias, cerca de 40.000 arquivos são classificados como maliciosos e bloqueados na Quarentena para que não causem dano a você.

O que acontece quando o Avast descobre um novo tipo de malware?

Os autores de malware tentam todos os dias burlar as regras para fugir de programas antivírus como o Avast. Um destes truques é uma técnica de mudança de aparência chamada polimorfismo do servidor. Ela faz com que o código do malware seja alterado para uma forma diferente da original antes de atacar outro usuário. A máquina que produz esta mudança no código permanece no sistema, na forma de um site, e todas as suas variações são geradas lá. Os cibercriminosos gostam deste método porque é uma forma eficiente e automatizada de atacar milhões de máquinas com uma intervenção humana mínima e com um impacto enorme.

Quando um destes arquivos mutantes é apresentado ao FileRep da Avast, a CyberCapture é ativada para enviar aos nossos usuários do Nitro Update uma proteção zero-segundo contra estes ataques.

Os arquivos desconhecidos são compartilhados em tempo real com o Laboratório de Ameaças da Avast onde as camadas de código falso e as cortinas de fumaça de criptografia e obfuscação – que os autores de malwares utilizam para mascarar as suas verdadeiras intenções – são examinadas. A CyberCapture é capaz de observar os comandos a nível binário, dentro do malware, para compreender melhor as instruções ocultas e neutralizá-las. Se for necessário, um analista do Laboratório de Ameaças irá analisar manualmente o arquivo.

Rápida detecção e proteção 

Desenvolvemos a CyberCapture para diminuir o tempo entre a descoberta de um novo malware e a distribuição da informação de detecção para proteger os nossos usuários. Uma vez que a CyberCapture é executada na nuvem e não no computador do usuário, como nas versões anteriores do Avast, podemos fornecer uma resposta rápida de proteção para novas ameaças.

A CyberCapture examina todos os objetos desconhecidos e bloqueia automaticamente o código malicioso antes de que ele possa executar o seu primeiro ataque. A CyberCapture obtém continuamente dados de inteligência para detecção de novos vírus e, por isso, quanto mais ela é utilizada melhor fica o seu desempenho.

Quando um arquivo é analisado, a equipe da Avast informa ao usuário se ele foi considerado "seguro" ou "perigoso". Com este acesso direto aos experts do Laboratório de Ameças da Avast, os usuários se beneficiam de tempos de resposta menores para se protegerem de novas ameaças e podem disfrutar de um ecossistema muito mais seguro.

Fonte: blog.avast.com