Antivirus (AV)
O que é Antivirus (AV)?
Antivirus (AV)Software de endpoint que deteta e remove ficheiros maliciosos atraves de bases de assinaturas, varrimento de ficheiros e heuristicas basicas; e a base historica da seguranca de endpoint.
O antivirus (AV) e a categoria historica de software de seguranca de endpoint. Foi pioneiro no final da decada de 1980 com a rotina de Bernd Fix contra o virus Vienna, o VirusScan de John McAfee e o AVP de Eugene Kaspersky; o AV surgiu em resposta aos primeiros virus de PC como o Brain (1986). Varre ficheiros em disco, em memoria e em transito, comparando-os com uma base de assinaturas atualizada continuamente (historicamente hashes MD5/SHA e padroes de bytes) e aplicando heuristicas. Os agentes AV ligam-se ao sistema operativo atraves de mini-filter drivers do sistema de ficheiros, callbacks de varrimento on-access e gateways de e-mail e web, colocando em quarentena ou apagando as correspondencias.
O modelo de assinaturas e excelente contra o malware comum e massificado, mas e cego perante ameacas novas, polimorficas, packed e fileless: uma alteracao minima num binario muda o seu hash e derrota a detecao por correspondencia exata, e os atacantes testam rotineiramente os seus payloads contra os motores antes de os lancarem. Os laboratorios independentes (AV-TEST, AV-Comparatives) e as avaliacoes MITRE ATT&CK Enterprise mostram de forma consistente que motores so de assinaturas falham o comportamento dos adversarios modernos.
Seguiram-se duas respostas. Os fornecedores evoluiram o AV para antivirus de nova geracao (NGAV) e detecao e resposta em endpoint (EDR/XDR), que acrescentam classificadores de machine learning, prevencao de exploits e telemetria comportamental que rastreia arvores de processos em vez de ficheiros. No Windows, o Microsoft Defender Antivirus integra-se com a Antimalware Scan Interface (AMSI) para inspecionar o conteudo de scripts (PowerShell, VBA, JScript) em tempo de execucao, fechando a lacuna fileless. Ainda assim, o AV classico continua a ser um controlo de base exigido por frameworks como o PCI DSS e por muitas apolices de ciberseguro.
flowchart TD
F[Ficheiro escrito aberto ou descarregado] --> H[Hook on-access minifilter]
H --> SIG{Corresponde a base de assinaturas?}
SIG -->|Sim| Q[Quarentena apagar ou alertar]
SIG -->|Nao| HEU{Marca heuristica ou de ML?}
HEU -->|Sim| Q
HEU -->|Nao| ALLOW[Permitir execucao]
U[Atualizacoes de assinaturas e motor] --> SIG● Exemplos
- 01
ClamAV a analisar anexos de e-mail num gateway SMTP.
- 02
Microsoft Defender Antivirus colocando em quarentena um executavel descarregado com assinatura WannaCry.
● Perguntas frequentes
O que é Antivirus (AV)?
Software de endpoint que deteta e remove ficheiros maliciosos atraves de bases de assinaturas, varrimento de ficheiros e heuristicas basicas; e a base historica da seguranca de endpoint. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Antivirus (AV)?
Software de endpoint que deteta e remove ficheiros maliciosos atraves de bases de assinaturas, varrimento de ficheiros e heuristicas basicas; e a base historica da seguranca de endpoint.
Como se defender contra Antivirus (AV)?
As defesas contra Antivirus (AV) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Antivirus (AV)?
Nomes alternativos comuns: AV, Anti-virus, Antivirus por assinatura.