Primeira Geração: Antivírus
The A primeira geração de produtos antivírus assentava puramente na detecção de assinaturas.
Esta geração tecnológica ocupou a maior parte da década de 1990 e incluiu motores polimórficos, para além das regras básicas assentes no MS-DOS, no Win32, em Macros e, mais tarde, na heurística de scripts. Este período também foi marcado pelo surgimento dos primeiros Trojans win32 de uso massivo, tais como o NetBus e o BackOrifice
Segunda Geração: Anti-malware
A partir de 2000, começaram a surgir novos tipos de malware, com worms de rede e spyware sem ficheiros a dominarem, causando epidemias massivas e bem visíveis.
Os motores antivírus básicos evoluíram, passando a integrar firewalls que conseguiam identificar e parar worms de rede baseados em assinaturas de pacotes, bem como produtos de limpeza de sistemas para restaurar as definições modificadas dos Sistemas Operativos, tais como entradas do registo, ficheiros HOST, Objectos da Ajuda do Browser, etc. Foi nesta segunda geração de tecnologias que a Panda Software integrou a função SmartClean no motor anti-malware, a qual foi concebida para desinfectar e restaurar o Sistema Operativo após uma infecção por spyware ou backdoor de Trojan.
Terceira Geração: Tecnologias proactivas
TruPrevent
Em 2004, a Panda lançou as tecnologias comportamentais TruPrevent, após mais de três anos de investigação e desenvolvimento intensivos.
Desde então, a tecnologia TruPrevent evoluiu, transformando-se num conjunto de tecnologias comportamentais que são substancialmente mais eficazes no bloqueio de malware zeroday, dependendo menos de assinaturas virais do que qualquer outra solução anterior deste tipo. O TruPrevent é constantemente adaptado às novas técnicas e explorações de malware. O TruPrevent foi construído sobre o motor anti-malware. Actualmente, são mais de 5 milhões os computadores que utilizam o TruPrevent. Todos estes computadores também funcionam como nós de "pote de mel" que enviam para o PandaLab amostras de qualquer novo malware assinalado pelo TruPrevent como suspeito e que não é detectado pelas assinaturas antivírus normais.
Do ponto de vista técnico, o TruPrevent é constituído por 2 tecnologias principais: Análise comportamental (ligação) e bloqueio comportamental (ligação), também denominados endurecimento de sistemas e aplicações.
Análise comportamental
A análise comportamental funciona como uma última barreira contra novo malware executado na máquina que tenha conseguido contornar as protecções de assinaturas, de heurística e comportamental. O Proteus intercepta, durante o funcionamento, as operações e as chamadas API realizadas por cada programa e correlaciona-as antes de permitir a execução do processo completo. A correlação em tempo real resulta na permissão ou proibição de execução dos processos com base apenas nos seus comportamentos.
Ao contrário das outras tecnologias comportamentais, este processo é autónomo e não coloca dificuldades técnicas ao utilizador final ("Pretende permitir que o processo xyz injecte um thread no explorer.exe ou no endereço de memória abc?"). Esta tecnologia não requer actualizações de assinaturas, uma vez que se baseia exclusivamente no comportamento das aplicações. Um bot não seria um bot se não se comportasse como tal, mas como se comporta como um, será detectado por esta tecnologia, independentemente da sua forma ou nome.
Bloqueio comportamental
O Bloqueio Comportamental do TruPrevent é o segundo componente principal. Os hackers e o malware abusam dos privilégios de aplicações legítimas para atacar os sistemas, injectando código. Para evitar estes tipos de ataques, uma solução económica consiste em usar uma tecnologia de bloqueio baseada em assinaturas que pode restringir as acções que as aplicações autorizadas podem executar no sistema.
O KRE é formado por uma série de políticas definidas por um conjunto de regras que descrevem as acções permitidas e negadas para uma aplicação ou grupo de aplicações específico. As regras podem ser definidas para controlar o acesso da aplicação aos ficheiros, às contas dos utilizadores, ao registo, aos objectos COM, aos serviços do Windows e aos recursos da rede.
Motor Heurístico Genético
As tecnologias "genéticas" inspiram-se no campo da genética da Biologia e na sua utilidade para compreender como os organismos são identificados de forma individual e associados a outros organismos. Estas tecnologias baseiam-se no processamento e na interpretação de "genes digitais", que, no nosso caso, são representados por várias centenas de características de cada ficheiro analisado.
O Motor Heurístico Genético foi lançado em 2005. O seu objectivo é correlacionar os traços genéticos dos ficheiros, utilizando um algoritmo proprietário. Os traços genéticos digitais definem o potencial que o software tem para realizar acções maliciosas ou inofensivas quando executado num computador. O GHE é capaz de determinar se um ficheiro é inócuo ou se se trata de um worm, spyware, Trojan, vírus, etc.
Inteligência Colectiva. A Próxima Geração.
Actualmente, a quantidade de malware distribuída é mais de 10 vezes superior à que era distribuída há dois anos atrás. A conclusão óbvia é que uma solução de segurança tem de detectar 10 vezes mais malware para proporcionar uma protecção adequada aos utilizadores. Apesar de uma solução HIPS completa melhorar substancialmente a segurança, detectando e bloqueando a maior parte destas tecnologias proactivas, as suas defesas continuam a poder ser atravessadas por malware desconhecido.
A abordagem de Inteligência Colectiva foi lançada no final de 2006, em projectos piloto limitados, com o objectivo de conseguir detectar de forma fiável “10 vezes mais ameaças do que estamos a detectar actualmente com um esforço 10 vezes menor”.
Os pilares deste novo sistema são:
Recolha de dados a partir da comunidade. O sistema recolhe e armazena centralmente os padrões comportamentais dos programas, sinais de ficheiros, amostras de novo malware, etc. Estes dados vêm dos utilizadores do Panda, bem como de outros colaboradores e empresas. Esta grande capacidade de recolha de informações proporciona uma maior visibilidade das ameaças que existem na Internet.
Processamento automatizado dos dados. O sistema analisa e classifica automaticamente as milhares de amostras novas recebidas todos os dias. Para tal, um sistema especializado correlaciona os dados recebidos da comunidade com a extensa base de dados de conhecimento sobre malware do PandaLabs. O sistema devolve automaticamente veredictos (malware ou goodware) para os novos ficheiros recebidos da comunidade, diminuindo ao mínimo as tarefas que o PandaLabs tem de executar manualmente.
Publicação do conhecimento adquirido. Este conhecimento adquirido é distribuído aos utilizadores sob a forma de serviços Web ou de actualizações dos ficheiros de assinatura de vírus.
Já desenvolvemos e implementámos vários serviços que funcionam exclusivamente com base na plataforma de Inteligência Colectiva. Estes serviços online são concebidos para efectuar verificações profundas das máquinas e detectar malware que não esteja a ser detectado pela solução de segurança instalada.
Para os consumidores e computadores autónomos, desenvolvemos o NanoScan, que verifica se o software em execução num PC tem malware, e o TotalScan que efectua uma verificação completa do computador, incluindo o disco rígido, a memória, as bases de dados de e-mail, etc.
No contexto empresarial, os requisitos de execução de verificações profundas de malware são mais exigentes. Por isso, criámos um serviço gerido específico denominado Malware Radar. Graças a este serviço, as empresas podem executar rapidamente verificações completas dos pontos finais das suas redes, para verificarem o seu nível de segurança, identificar fontes de infecção não detectadas ou descobrir máquinas executivas que tenham sido alvo de ataques direccionados.