Há um novo antivírus na praça. Para ser exato, novo, nem tanto: está disponível há alguns anos e já alcançou a versão 1.87. Mas na praça, sem dúvida: a ESET Software do Brasil, uma das responsáveis pelo desenvolvimento e atualização do produto (especialmente pela criação da interface em português) é daqui mesmo de Belo Horizonte.
A ESET é uma empresa internacional cuja sede tecnológica se localiza em Bratislava, capital da Eslováquia, e a administrativa em San Diego, EUA. O principal executivo da empresa é Anton Zajac, doutor em física e um dos principais desenvolvedores do produto. O restante da equipe se encontra espalhada pelo mundo. Inclusive no Brasil, como o especialista em segurança Breno Pilar, que não apenas é membro da equipe técnica como também principal executivo da ESET Software do Brasil.
Segundo Breno, as maiores vantagens do NOD32 sobre os concorrentes são sua rapidez na varredura dos discos em busca de vírus e sua capacidade de reconhecer vírus ainda não classificados (ou seja, dos quais não se identificou a “assinatura”) através de análise heurística (veja adiante).
Como qualquer outro produto antivírus, o NOD32 é capaz de fazer a varredura da máquina (setores de inicialização, memória e aplicações em tempo real) e dos discos rígidos (arquivos, incluindo compactados e anexados a mensagens de correio eletrônico). Vem configurado por padrão para verificar membros de uma lista de extensões de arquivos que potencialmente podem conter vírus, à qual podem ser acrescentadas novas extensões. Além disso, ele é capaz de realizar o rastreamento de vírus em tempo real (através da função AMON, Antivírus MONitoring), verificar arquivos recebidos via Internet (função IMON, de Internet MONitoring), incluindo corpo da mensagem, arquivos anexos e código HTTP, e analisar documentos do MS Office, que podem conter vírus de macro, através da função DMON (de Document MONitoring). Tudo isso em tempo real e automaticamente. Assim como também é automática a atualização das assinaturas de vírus.
O preço sugerido para revenda é de R$ 85,00, que dá direito ao uso do produto em uma única máquina por um ano e inclui tanto a atualização das assinaturas de vírus (veja adiante) como a de eventuais novas versões que venham a ser lançadas no período.
Instalando e Usando o NOD32
A instalação do NOD32 não é um bicho de sete cabeças, mas poderia ser bem mais simples não fosse o Breno Pilar, que a concebeu, um especialista em segurança. Ele conseguiu um jeito praticamente infalível de proteger o usuário e a empresa contra a ação de piratas, mas em compensação arrumou um bocado de trabalho para o freguês. Antes de iniciar o procedimento de instalação o usuário deve visitar o sítio da empresa, enviar seu endereço de correio eletrônico e número de série do produto e aguardar. Pouco, é verdade: quase imediatamente recebe uma mensagem naquele endereço com uma nova URL (ou “endereço Internet”) que deve visitar e onde deve fornecer uma série de dados pessoais (a meu ver, absolutamente desnecessários). E aguardar novamente. Receberá então nova mensagem com uma identidade de usuário (“username”) e uma senha. Agora sim, pode instalar. Fora esse intróito, o resto é coisa simples: basta iniciar o procedimento e seguir as instruções passo a passo, entrando quando solicitado com o “username”, senha e alguns dados sobre a configuração da máquina. No final, o programa de instalação pede para reinicializar o micro e, ao partir novamente, avisa que a base de dados de assinaturas de vírus não está atualizada e que a atualização será providenciada. O que é feito imediatamente, deixando o programa pronto para uso. Desnecessário dizer que para fazer tudo isso é preciso estar conectado à Internet, ou seja, quem não tiver conexão não pode instalar o programa. Mas quem não tem conexão não precisa de um bom programa antivírus.
Instalado, o NOD32 entra imediatamente em ação. Seus módulos AMON, IMON e DMON são ativados por padrão e permanecem à espreita, identificando qualquer tentativa de contaminação da máquina seja por programas executáveis, vírus de macro ou através da Internet. E a qualquer momento pode-se invocar o próprio NOD32 para fazer uma varredura “sob demanda” na máquina ou carregar o NOD32 Control Center, de onde uma atualização “avulsa” da base de dados pode ser solicitada e qualquer de seus módulos pode ser carregado ou configurado. A flexibilidade da configuração é enorme, mas certos ajustes exigem algum conhecimento técnico. Não obstante, os ajustes padrão são adequados para a vasta maioria dos usuários.
Instalei e botei o bicho para rastrear um pequeno disco rígido (700 Mb) que uso para testes. Em exatos dez minutos ele examinou mais de dezesseis mil arquivos e encontrou 32 vírus conhecidos (não se preocupem: todos anexados a mensagens de correio eletrônico que jamais foram abertos) além de identificar um arquivo potencialmente perigoso através da análise heurística (veja adiante).
Ao contrário de alguns concorrentes muito bem conceituados, o NOD32 é reconhecido pelo novíssimo Service Pack 2 de Windows XP, com o qual não apresenta qualquer incompatibilidade. Além disso, roda em todas as versões de Windows, nas mais importantes distribuições de Unix/Linux e no MS-DOS, além do sistema operacional de rede Novell e principais servidores de correio eletrônico, incluindo o Exchange (mas não em Macs). Em contrapartida, não traz um “firewall” próprio (o que não é problema se você usa Windows XP, especialmente com o SP2, que traz um poderoso firewall integrado). Outro ponto desfavorável é que o telefone de suporte atende exclusivamente em horário comercial, de segunda a sexta. E apenas em Belo Horizonte (um número 0800, ou pelo menos 0300 seria bem-vindo para os usuários de outros estados). Alguns analistas consideram também como falha o fato do NOD32 não verificar a presença de vírus nas mensagens de correio eletrônico enviadas, apenas nas recebidas. Mas, convenhamos, isso é excesso de zelo: se a máquina está protegida, dificilmente enviará uma mensagem contaminada.
Como detectar vírus?
Como saber se um disco rígido contém arquivos contaminados com vírus? Fazê-lo da forma tradicional dá trabalho, mas não é exatamente uma proeza tecnológica. Como todo vírus tem uma “assinatura” (um conjunto de bytes que denunciam sua presença), basta examinar cada arquivo e verificar se a assinatura está presente entre seus bytes.
É claro que a qualidade da base de dados de assinaturas é fundamental, já que deve conter as assinaturas de todos os vírus conhecidos. E como cada dia surgem vírus novos e diferentes variantes dos velhos, manter essa base de dados escrupulosamente atualizada é crucial. O ideal é não confiar em nós mesmos (sempre haverá aquela ocasião em que precisamos ligar o micro “depressinha” só para verificar se já chegou “aquela” mensagem e não queremos perder tempo acionando a atualização da base de dados) e usar um programa antivírus que o faça automaticamente (o NOD32 faz). Como se vê, dá trabalho, é complicado, mas não exige nenhum prodígio de programação.
Mas um método que se baseia na pesquisa de “assinaturas” só funciona para encontrar vírus conhecidos, aqueles que já foram flagrados pelos especialistas e cujas assinaturas foram identificadas e catalogadas na base de dados. E, como eu disse, todo dia surgem novos vírus que se disseminam em grande escala e muito rapidamente. Suponhamos que você tenha a pouca sorte de ser um dos primeiros contemplados com um desses exemplares. Será que, mesmo sem conhecer a assinatura do vírus, seu programa antivírus conseguirá classificá-lo como tal e impedir a contaminação? Isto sim seria uma proeza.
Pois há produtos capazes de realizá-la. E existem duas técnicas para isso: a da “caixa de areia” e a que emprega métodos heurísticos.
Em informática, “caixa de areia” (à semelhança das caixas de areia dos parques infantis onde as crianças brincam em segurança) é um ambiente seguro e controlado onde programas potencialmente perigosos podem ser executados sem o risco de causar danos à máquina ou ao sistema. Antivírus que usam essa técnica simplesmente rodam o programa suspeito nesse ambiente e reconhecem qualquer tentativa de executar um código mal intencionado, identificando assim um vírus mesmo que sua assinatura não tenha sido classificada.
Heurística, segundo o Houaiss, é a “arte de inventar, de fazer descoberta; ciência que tem por objetivo a descoberta dos fatos”. Como aplicá-la para descobrir novos vírus? Bem, todos os vírus têm certos comportamentos em comum, atividades suspeitas como eliminar arquivos, alterar o Registro de Windows, formatar arquivos e outras tantas gracinhas afins. Antivírus que usam a técnica heurística varrem cada arquivo suspeito em busca de código que denuncie esse comportamento. Se encontra, assinala o arquivo como potencialmente perigoso, ou seja, há uma boa chance de que ele contenha um vírus. O NOD32, da ESET, adota a técnica heurística.
Avaliando o NOD32
Como avaliar um programa antivírus, especialmente um que adota a técnica heurística? A única forma eficaz é instalá-lo em diversas máquinas rodando diferentes sistemas operacionais, todas contaminadas com alguns vírus conhecidos e desconhecidos e solicitar uma varredura. Enquanto isso, as máquinas devem ser bombardeada com mensagens contendo anexos contaminados ou código executável virulento. Se o antivírus for capaz de detectar todos os vírus, inclusive os desconhecidos, então passou bravamente no teste. Ora, isso exige um laboratório sofisticado, muito além das possibilidades deste pobre escrevinhador. Portanto a solução é percorrer a Internet em busca de avaliações do produto.
Encontrei uma única avaliação da eficácia do método heurístico empregado pelo NOD32: um artigo de Larry Seltzer publicado há cerca de dois meses na PC Magazine (veja em <www.pcmag.com/article2/0,1759,1593063,00.asp>) no qual foram comparados cinco programas que usam tanto a técnica heurística quanto a da “caixa de areia”. Dos três vírus novos inoculados na máquina testada, o NOD32 detectou apenas um. Uma marca aparentemente baixa, mas que deve ser avaliada com critério. Afinal, haver detectado um vírus demonstra que a técnica heurística usada pelo NOD32 pode não ser perfeita, mas funciona.
Quanto ao comportamento geral do programa, encontrei poucas análises desfavoráveis (como a da CNet, em <http://reviews.cnet.com/4520-6600_7-5021002-3.html?legacy=cnet> e muitas positivas, algumas até entusiásticas como a de Jeff Matthews, da KickStarnews, em <www.kickstartnews.com/reviews/utilities/nod32_antivirus.html>, a de Mary Landesman, em <http://antivirus.about.com/cs/antivirusvendors/p/eset.htm>, a de Alex Byron, em <http://antivirus.about.com/cs/antivirusvendors/p/eset.htm> (que classifica o produto como “excelente”) e a de Andrew Lee, em <http://antivirus.about.com/cs/antivirusvendors/p/eset.htm>, que declara ser o NOD32 “um (dos produtos analisados) com o melhor desempenho em termos de rapidez e taxas de detecção de vírus”.
Mas talvez a avaliação mais importante seja a do Virus Bulletin (<www.virusbtn.com/>), um sítio independente dedicado exclusivamente à análise de produtos antivírus. O sítio instituiu o prêmio “VB 100%” conferido aos programas antivírus que “detectem todos os vírus ‘in the wild’ (aqueles que estão se disseminando no momento do teste) tanto na varredura sob demanda quanto na proteção automática e que não gerem falsos positivos (arquivos apontados como contendo vírus sem de fato os conterem) durante o teste”.
Os testes “VB 100%” são realizados desde fevereiro de 1998 aproximadamente a cada dois ou três meses. Já foram realizados 31 deles. O NOD32, que participa desde o primeiro, já recebeu 28 prêmios “VB 100%” e falhou apenas três vezes, uma delas no primeiro teste (em fevereiro de 1998, rodando no DOS), outra em novembro de 2000 rodando em Windows NT (neste, dos vinte produtos testados, apenas três passaram) e a última em abril de 2002, rodando em SuSe Linux (no qual nenhum dos produtos testados passou). Ora, para mim, 28 acertos contra 3 falhas em sistemas que eu não uso está mais que bom (veja os resultados dos testes em <www.virusbtn.com/vb100/archives/products.xml?eset.xml>).
Em resumo: pesando os prós e contras, considerando que o número de avaliações positivas excede de muito o de negativas, o NOD32 me pareceu satisfatório. Tanto assim que, ao contrário dos produtos que costumo testar, vai ficar na máquina onde o instalei.
