E o que é que pode-se fazer para prevenir? Ligar firewalls e isso? E o que é que acontece quando uma pessoa saca um ficheiro qualquer que contem um virus pensando que não tem virus nehum, a prevenção neste caso é não sacar nada de nada? Que eu saiba para se prevenir é preciso é ter um AV de jeito que detecte primeiro de modo a prevenir que o sistema fique infectado, o AV não detecta só quando o sistema já está infectado pode muito bem averiguar se o ficheiro contem algum virus ou parecido antes de ser executado. Claro que há AV que detectam e não eliminam, mas um AV digno desse nome 1º detecta, depois elimina prevenindo assim que o sistema fique infectado.
Anti-virus digno do nome? Kaspersky, BitDefender, Avira, NOD32, etc? Ficarias espantado com a quantidade de pessoas que pedem ajuda para limpar o sistema infectado, usando esses dignos anti-virus. E se detectam e limpam, tudo bem, mas isso não é prevenir. Prevenir é evitar ter que detectar uma infecção.
Não quero que penses/pensem que estou a dizer mal destes antivirus. Muito pelo contrário. Aliás, de momento até estou a usar o Eset NOD32 (já que ganhei uma licença no site oficial da Eset). E só tenho a dizer bem dele, e de todos os outros bem conhecidos.
Mas quando falamos de antivirus, falamos de detecção e não prevenção.
Falando de prevenção, posso dizer que há 3 formas possíveis de prevenção. Até sou da opinião que se pode fazer interagir essas 3 formas de prevenção.
Quais são elas? HIPS (Host Intrusion Prevention System), Análise Comportamental (Behavior Blockers) e Virtualização (não máquinas virtuais como VMWare, etc).
Hoje em dia, quase todas as firewalls, oferecem a componente HIPS. É o caso da firewall Comodo. Mas para tal é necessária a instalação do Defense+, aquando da instalação da firewall. Ou então activar o Defense+ mais tarde, mesmo que não tenham seleccionado este componente durante a instalação. Para uma protecção mais eficaz do Defense+ há que o colocar em Safe Mode ou então Paranoid Mode. Pessoalmente uso em Safe Mode. Inicialmente terão que responder aos avisos do Defense+, mas poderão adicionar as aplicação que vocês considerem seguras como aplicações de confiança, à medida que as forem usando e o Defense+ pedir uma acção.
Este tipo de prevenção que o Defense+ oferece tem as suas vantagens e desvantagens. Por um lado dá-nos a conhecer o que se passa no sistema (pelo menos a grande maioria das acções que ocorrem). Por outro lado, pode ter um impacto negativo, caso a pessoa em causa não avalie bem qual o processo para o qual o Defense+ está a pedir uma acção.
Mas é possível saber mais sobre o processo em causa clicando sobre o nome do mesmo. Mesmo assim isso não é suficiente, e como tal há que fazer uma pesquisa na net sobre o que é esse processo.
Como é óbvio não se vai estar a perder muito tempo de uma só vez para ver que processo é aquele. Então o que fazer. Pois bem, há que ver em 1º lugar se é um processo do sistema operativo. Existem vários sítios da internet que contêm uma base de dados dos processos que fazem parte do sistema operativo. O que eu uso quando não sei, eventualmente, se deverei ou não permitir algo (muito raro, mas acontece) é
www.processlibrary.com. Se verificar que este tal processo não é um processo importante do sistema, então simplesmente bloqueio, escolhendo a opção "Do not remember answer".
Depois posso procurar com mais tempo informações sobre esse tal processo.
É chato... mas compensatório.
Como referi acima, este tipo de HIPS pode, em vez de proteger, desproteger. Como? Se um utilizador fizer uma má escolha, poderá estar a permitir a propagação de malware, que poderá estar a enviar informações a terceiros, entre outras coisas.
Então o que fazer? Não usar este tipo de prevenção. Não, muito pelo contrário, devem usar. Como também devem usar um outro tipo de prevenção - Behavior Blockers (prevenção baseada em análise comportamental).
Existem várias aplicações do género. Algumas pagas, outras gratuitas e que oferecem uma boa prevenção. Entre muitas destaco estas: Norton antibot (pago e possui análise comportamental e protecção antibot), ThreatFire (versão paga e gratuita e possui análise comportamental e verificação de malware), Emsisoft Mamutu (pago e possui análise comportamental apenas). Já testei os 3 e prefiro o Emsisoft Mamutu.
Também existem outras opções de HIPS: DefenseWall (acredito que também há versão gratuita), Blink Personal (HIPS com firewall (não firewall com HIPS, como é a Comodo)), System Safety Monitor (versão paga e gratuita). Ainda não testei nenhum, mas pelo que vejo o System Safety Monitor é o melhor, mas também para utilizadores que gostem de saber o que se passa no sistema.
Prosseguindo, e juntando ao HIPS + Behavior Blocker, então adicionaria Virtualização. Que virtualização? Do sistema. Tudo o que acontece, acontece dentro deste sistema virtualizado (navegação internet, instalação de aplicação (útil quando pretendem testar algo), etc). Assim que desligarem a virtualização é como se nada tivesse acontecido. Este tipo de protecção é útil, por exemplo, para os tais downloads.
E se calhar irão perguntar: Mas então a virtualização não chega?
Não, não chega, pelo simples facto de existir malware capaz de ultrapassar essa virtualização. Pelo que existe a necessidade de HIPS + Behavior Blocker + Virtualização + Antivirus + Antispyware (caso o antivirus não possua).
Existe uma aplicação gratuita (que ainda não testei, mas que irei) e que só vejo a falar bem, que é o SafeSpace da Artificial Dynamics. Temos também o Returnil, Sandboxie, entre outros.
A empresa que desenvolve a firewall Comodo, tem em fase beta uma aplicação do género, mas que ao contrário destas faz uso de todo o espaço disponível do disco para virtualização.