Em Maio de 2000, o vírus LoveLetter (ou I love You) tornou-se um dos vírus mais bem sucedidos da História, infectando milhões de PCs em todo o mundo através de uma mensagem de email que dizia ser uma carta de amor. O “attachment” da mensagem era na realidade uma versão actualizada do inteligentemente escrito vírus Melissa, que se enviava a si próprio automaticamente para toda a gente que constasse no livro de endereços do utilizador infectado, desgraçando um número incontável de utilizadores de computadores e empresas, que ficavam com os sistemas de email a abarrotar de cópias do LoveLetter.
Em tempos, os vírus passavam de uns PCs para os outros através das trocas de disquetes entre os utilizadores, mas actualmente eles dão a volta ao planeta numa questão de horas, através do email e das redes empresariais.

Felizmente, é possível prevenir as infecções dos PCs: uma combinação de senso comum e um programa antivírus pode manter o seu PC saudável (ver “O que fazer com os vírus” na página 54). Desde o nosso último comparativo entre programas antivírus (na nossa edição de Março

do ano passado, mas veja ainda a nossa edição de Janeiro deste ano), verificaram-se evoluções significativas no mundo dos antivírus. Todos os programas que testados sofreram grandes revisões, e têm novas funcionalidades concebidas para detectar os últimos vírus. Foram ainda testados quatro dos principais utilitários antivírus para utilização em computadores domésticos e em PCs de pequenas empresas.

Para avaliar a eficácia destas aplicações, pedimos ao perito Joe Wells, fundador da organização de voluntários WildList Organization International (www.wildlist.org), que testasse a capacidade de cada programa em encontrar vírus, destrui-los, e reparar os estragos

por eles causados. Para criarmos um teste realista com os tipos de ameaças que estes programas irão enfrentar, expusemo-los a todos os vírus constantes na versão de Março da WildList - uma lista amplamente reconhecida de programas malignos.

A lista, actualizada mensalmente, identifica cerca de 200 vírus que infectam os PCs correntemente.

Para saber mais sobre os métodos do nosso teste, veja em “Como testámos”.

Avaliámos também a facilidade com que uma pessoa não perita conseguiria instalar e correr os programas, configurá-los, pré-programar rastreios, e actualizar a lista de assinaturas de vírus (as partes exclusivas de cada vírus que um programa antivírus utiliza para os identificar). Finalmente, analisámos o que acontece quando um utilitário detecta um vírus e a solução que ele oferece.

Conheça o inimigo

Um utilitário antivírus procura e tenta erradicar três tipos de código maligno: vírus, “worms”, e cavalos de Tróia; destes, os vírus são os mais conhecidos. Quando um vírus de computador infecta um ficheiro ou programa, ele consegue rapidamente disseminar-se de uma máquina para toda uma rede de PCs.
E alguns vírus deixam ficar uma carga útil (“payload”): um programa secundário que poderá ser inofensivo ou lançar o caos. Tal como um filme de grande sucesso, um vírus bem sucedido muitas vezes acaba por ter uma continuação - variações do original.
Os “worms” transmitem-se originalmente de umas máquinas para as outras explorando bugs do sistema operativo, mas os actuais worms copiam-se a si próprios através do email. O vírus BubbleBoy, por exemplo, utiliza as ferramentas de “programação” incorporadas no Microsoft Outlook. Logo que alguém recebe uma mensagem de email infectada, o vírus envia-se a si próprio para todas as pessoas que constem no livro de endereços do Outlook desse utilizador.

Os cavalos de Tróia vêm disfarçados como sendo outros programas, mas, quais gregos dentro do mítico cavalo de madeira, estes programas escondidos podem dar aos seus criadores acesso ao sistema visado.

A bem conhecida ferramenta de “hacking” BackOrifice, por exemplo, é normalmente enviada escondida dentro de outro programa (um jogo, por exemplo) que a vítima executa.

Os utilitários antivírus normalmente apanham os vírus, fazendo um rastreio aos ficheiros no seu PC e comparando-os com uma biblioteca de assinaturas (“signatures”) de vírus, cada uma das quais identifica um determinado vírus. Infelizmente, isto significa que alguém tem de ser o primeiro a sofrer uma infecção, para que a assinatura do vírus possa ser analisada.

Para que o rastreio seja eficaz, o utilizador tem de actualizar regularmente a base de dados de assinaturas de vírus, caso contrário o programa não terá assinaturas para os novos vírus.

Para apanhar vírus que as empresas antivírus ainda não tenham analisado, os utilitários antivírus utilizam um método chamado heurística; ou seja, os programas procuram, não uma determinada assinatura, mas certos tipos de comportamento. Mas esta técnica pode conduzir a problemas, quando o utilitário confunde um ficheiro inocente com um vírus (um resultado conhecido como falso positivo). Outros programas

antivírus são também fontes comuns de positivos falsos: instalando um programa destes sobre um outro, o novo programa poderá assumir

que as assinaturas de vírus do programa original são vírus.

O utilizador pode fazer um rastreio a pedido, dizendo ao programa para procurar vírus em cada ficheiro num disco (ou num determinado directório), ou durante o acesso, configurando o programa para procurar código maligno automaticamente, cada vez que um ficheiro é aberto ou uma aplicação é instalada. O rastreio a pedido é bom para quando se instala um utilitário antivírus, para confirmar que o PC se encontra limpo, ou quando se recebe documentos numa disquete ou num disco CD-RW.

Desempenho dos programas

Vírus conhecidos: Iniciámos os nossos testes fazendo o download das actualizações de assinaturas de vírus mais recentes no dia 20 de Abril de 2001, e efectuando rastreios a pedido a um disco rígido flagelado com 225 vírus da WildList de Março de 2001. Apenas um produto – o Panda Antivirus Platinum – detectou todos os vírus na lista. Dois outros - McAfee VirusScan e Trend Micro PC-cillin2000 - deixaram cada um escapar um invasor. O Norton AntiVirus 2001 falhou o ficheiro MSIE-A.EXE – um “payload” perigoso do sobejamente conhecido vírus /Unicle.A-mm.

O PC-cillin não detectou uma variante menos conhecida do vírus LoveLetter, chamada VBS/NewLove.A-mm.

Testámos o desempenho de cada programa no rastreio durante o acesso, copiando os vírus para um novo local no disco rígido.

Rapidez: Assistimos a uma variação do desempenho ainda maior no tempo que cada programa demorou a correr no nosso sistema Pentium III-550 do teste. O Norton foi o campeão da velocidade: a sua média para três rastreios foi de apenas 3 minutos e 47 segundos. O McAfee levou mais do dobro do tempo. A rapidez não é essencial no rastreio antivírus – o rigor é o que importa. No entanto, quanto mais rápido for um produto, mais provável será que o utilizador faça uso dele regularmente. Provavelmente poderá pré-programar o Norton para fazer um rastreio durante a sua pausa para o café.

Com outros, será melhor guardar a tarefa para a hora do almoço.

Vírus desconhecidos: com os novos vírus a espalharem-se mais rápido que os boatos, você poderá não ter a sorte de ter feito o download da assinatura de um novo vírus antes de o apanhar.

Testámos a eficácia dos programas contra vírus desconhecidos, munindo-os com ficheiros de assinaturas, correndo-os depois num disco rígido com 63 variantes de 33 vírus, que foram acrescentados às edições de Abril e Maio da WildList guardada no disco. É importante salientar que esta técnica não testou apenas a heurística: os nossos ficheiros de assinaturas de 20 de Abril poderiam já conter assinaturas para os novos vírus ou outras variantes dos vírus, que poderiam ser usadas para os apanhar. O Panda foi o único utilitário que apanhou todos os novos vírus neste teste. O McAfee e o Norton falharam dois e três vírus, respectivamente; e o PC-cillin deixou escapar dez.

O McAfee VirusScan e o Panda AntiVirus Platinum foram os únicos produtos que encontraram o vírus Homepage, que foi descoberto em Maio e não teria sido incluído em nenhum dos ficheiros de assinaturas de 20 de Abril.

O “Look and Feel”

Rastreios durante um acesso: existe uma diferença muito pequena entre os programas, na maneira como eles se comportam durante um rastreio durante um acesso. Todos eles são lançados automaticamente durante o arranque do computador, e indicam a sua presença através de um ícone no canto inferior direito do ecrã.
Os quatro produtos apanharam também vírus que estavam anexados a uma mensagem de email. Para este truque, os utilitários criam um “proxy” local - um programa que faz o rastreio a uma mensagem de email antes de a enviar para a caixa de correio do destinatário. Quando os programas detectavam um vírus, ele podia ser apagado antes de infectar o sistema.

Contrastando com o rastreio automático durante os acessos, o rastreio a pedido requer que seja o utilizador a iniciar o processo.

O Panda Antivirus Platinum tem um interface muito navegável que o torna muito fácil de usar, mas que ao mesmo tempo permite um elevado nível de controlo na configuração dos rastreios. Pode-se fazer um rastreio a determinados ficheiros ou tipos de ficheiro, e pré-programar

os rastreios para que sejam feitos automaticamente. E, além disso, é o único que está em Português.

A maioria dos produtos têm interfaces do utilizador coerentes e fáceis de navegar. O Norton e o McAfee apresentam alguns problemas de consistência. Os painéis de controlo principais têm um aspecto translúcido, ao estilo do Mac, mas outros componentes conservam um aspecto tristonho, em caixas, que parece ter ficado das versões anteriores.

Por outro lado, os componentes do McAfee VirusScan têm uma fraca integração. O ícone no canto inferior direito do ecrã, por exemplo, tem um menu espontâneo que aparece para lhe permitir alterar definições do programa, mas essas definições permanecem apenas para uma sessão. Assim, se você fechar e voltar a abrir o programa de email - para dar apenas um exemplo - irá constatar que o scanner de email se encontra desactivado, mesmo que tenha indicado ao programa, através do ícone, para manter o scanner de email sempre activado.

Para tornar as alterações permanentes, é necessário abrir uma parte separada do programa, a partir do menu Iniciar.

Mantenha-se actualizado

Um “scanner” antivírus será mais eficaz se tiver os ficheiros com assinaturas de vírus mais recentes. Recomendamos que actualize as suas assinaturas de vírus semanalmente, para garantir que o seu programa antivírus poderá enfrentar todas as ameaças mais recentes.

Tendo isso em conta, prestámos especial atenção à facilidade de actualização. Três programas -Norton AntiVirus 2001, Panda Antivirus Platinum, e Trend Micro PC-cillin - automatizam o processo: cada vez que se estabelece uma ligação à Internet, cada programa vai ao Web site do respectivo fabricante procurar novas assinaturas de vírus ou actualizações

de produtos, fazendo depois o respectivo “download” e instalação.

Esta função é instalada por predefinição no Norton e no PC-cilin, mas os utilitários do Panda requerem que esta função seja activada.

O McAfee é o que tem uma automatização menos automatizada, sendo necessário visitar os Web sites dos respectivos fabricantes, ou iniciar manualmente uma actualização a partir do programa. Contudo, o McAfee fornece lembretes de actualização pré-programados, e todos os programas incluem um ano de subscrição das actualizações.

Não entre em pânico

Encontrar um vírus, ou uma suspeita de vírus num computador pode ser inquietante. Felizmente, nenhum destes utilitários irá aumentar a sua ansiedade, alertando-o com sirenes ou luzes intermitentes. Mas os alertas do PC-cilin, embora subtis no design, provavelmente irão causar o maior stress injustificado, porque por vezes aparecem quando não está a acontecer nada de errado. Nos nossos testes,

o PC-cilin identificou erradamente três bocados de código benigno como sendo maligno. Nenhum dos outros programas deu falsas positivas nos nossos testes.

Se o seu software antivírus detectar um vírus verdadeiro, provavelmente você irá dispor de várias opções para lidar com ele. Da mesma maneira que um cirurgião remove um tumor, os utilitários antivírus reparam um ficheiro danificado extraindo o código viral, “cosendo” depois o ficheiro para voltar a formar um todo.

Todos os programas conseguiram remover uma variedade de vírus e repararam ficheiros previamente infectados de diferentes tipos suficientemente bem de forma a que pudéssemos voltar a ler os dados nesses ficheiros.

Pode também ver opções para ignorar o alerta, apagar o ficheiro infectado, ou colocá-lo em quarentena - uma secção do disco rígido onde você não poderá executar ou abrir o ficheiro acidentalmente. Colocar um ficheiro em quarentena permite-lhe também isolar um novo vírus e enviá-lo para o fabricante do seu software antivírus para análise.

Estes produtos antivírus diferem na maneira como explicam as suas opções quando é detectado um vírus.

O McAfee, o Norton, e o PC-cillin fornecem boas informações sobre qual o vírus que foi detectado, e o que tencionam fazer. Todos os fabricantes publicam nos respectivos Web sites descrições detalhadas de todos os vírus que os seus programas analisam.

O Norton AntiVirus fornece a melhor documentação em disco, incluindo quatro vídeos com instruções.

Instalação/desinstalação

Não tivemos dificuldade na instalação de qualquer dos programas, embora o Norton AntiVirus da Symantec tenha sido o utilitário mais difícil de instalar: era necessário reiniciar o computador a meio do processo, e depois novamente para instalar as actualizações.

Houve um ligeiro senão durante a instalação do Panda Antivirus: embora o programa tenha um utilitário de registo incorporado, a Panda

deixou de o suportar. Em vez disso, a empresa pretende que o utilizador se registe através do seu Web site.

A cópia do programa que testámos não continha quaisquer informações sobre a alteração, mas a Panda entretanto incluiu uma nota em todos os pacotes, informando os utilizadores sobre o novo procedimento, e fornecendo instruções passo-a-passo.

O registo através da Web, embora menos cómodo, correu bem. Embora se possa correr o programa sem o registar, o registo permite fazer

o download das actualizações das assinaturas.

O Norton AntiVirus foi difícil de remover dos nossos computadores no teste, porque o respectivo programa desinstalador deixou vestígios

do programa no disco rígido.

O que pode ser um problema: alguns programas antivírus recusarão instalar-se, se houver o mais

leve vestígio da presença de outro programa antivírus no computador.