Windows Defender: o antivírus nativo do Windows 8

O Windows 8 é diretamente baseado no 7, que por sua vez foi baseado no Vista. Como consequência, alguns conceitos de segurança introduzidos no Windows Vista estão presentes no 7 e 8, como o UAC (User Account Control, Controle de Conta de Usuário). Além deste recurso de segurança o Windows 8 traz embutido o Windows Defender, um antivírus completo que detecta e remove quase todas as pragas conhecidas.

Um pouco sobre o UAC

Em 2007 escrevi sobre ele aqui: Entendendo o UAC do Windows Vista. Esse recurso de proteção foi aprimorado no Windows 7, mas a ideia inicial segue a mesma: visando oferecer maior segurança, todas as contas locais rodam com permissões de usuário limitado por padrão, mesmo as contas de administradores. Para executar algum programa com direitos administrativos de fato é necessário autorizar isso explicitamente, clicando num botão “Sim” numa janela aberta num ambiente isolado do desktop:

UAC no Windows Vista, versão que introduziu tal recurso

Essa janela aparece ao solicitar a execução de algum programa com direitos administrativos, como por exemplo, clicando num ícone com o botão direito e escolhendo “Executar como administrador”. Isso pode ser feito em praticamente todos os locais onde o Windows exibe ícones de programas: janelas de pastas, menu ou tela Iniciar, barra de tarefas (segure SHIFT ao clicar com o direito nas versões atuais), etc.

Alguns programas que precisam de direitos administrativos podem incluir uma configuração diretamente no arquivo (manifest ou resource), configuração essa feita por seu desenvolvedor. Ao serem abertos a janela do UAC é exibida automaticamente. Normalmente são ferramentas administrativas e instaladores de programas diversos.

O lado bom do UAC é que a maioria dos programas não consegue gravar alterações em locais vitais do sistema, especialmente pastas de outros programas ou configurações globais, válidas para todos os usuários. Diversos programas maliciosos simples feitos para versões antigas do Windows já são barrados logo de cara por aí, ou têm suas funcionalidades reduzidas. Na época da implantação muita coisa apresentou problema por isso, mas hoje em dia todo programa que se preze suporta o UAC, rodando com direitos limitados por padrão e exigindo acesso administrativo somente quando necessário.

O maior problema do UAC está na falta de conhecimento do usuário, que não deveria permitir a execução de programas suspeitos ou desconhecidos. É verdade que podem existir eventuais falhas no sistema, onde um processo limitado consegue elevação de privilégios sem exibir nada na tela. Mas boa parte dos malwares que vemos por aí são instalados por vacilos dos usuários.

Do lado do usuário é muito comum autorizar aplicativos sem saber o que eles realmente fazem. A coisa fica mais feia ainda com instaladores, especialmente instaladores de porcarias como os que colocam barras de ferramentas não solicitadas no navegador, mudam o buscador padrão, etc. Muita gente instala programas maliciosos junto com outros aplicativos que o usuário realmente quer (como um conversor multimídia ou o famigerado e problemático Java ultimamente, que até pode ser considerado um programa malicioso por si só, dado seu grande histórico de vulnerabilidades :P).

Antivírus: alguns conceitos

Além do UAC o Windows tem algumas outras ferramentas de proteção, como permissões diferenciadas para arquivos do sistema, tornando mais difícil para um programa alterar arquivos do Windows sem autorização explícita. Porém há brechas e ninguém está lá tão seguro: uma vez que um programa é baixado e executado (duplo clique num arquivo numa pasta qualquer, ou chamado por outro programa…) ele pode fazer virtualmente qualquer coisa no Windows.

Por essas e outras quase todo mundo recomenda o uso de um antivírus. Para usuários não tão experientes, ou onde outras pessoas também usam o computador (crianças, irmãos, pais, amigos, primos, familiares…), um antivírus atualizado é uma das melhores formas de impedir a execução dos aplicativos maliciosos conhecidos.

Há dezenas de antivírus no mercado. Há vários fabricantes, muitos pacotes de software, alguns gratuitos e outros comerciais. Escolher um deles não será o tema deste artigo, mas sim a recomendação de um básico, que funciona bem e atende a maioria dos casos: o antivírus gratuito da própria Microsoft.

Pessoalmente nunca fui de usar um antivírus, mas recomendo aos usuários mais leigos ou que preferem ter essa sensação de segurança. Basicamente um antivírus atua de três formas:

• Ele identifica automaticamente vírus e programas maliciosos já conhecidos (já detectados anteriormente em outros computadores). Normalmente a detecção ocorre logo que um arquivo é baixado ou copiado para o disco local, ou assim que o usuário ou um outro programa tentar abri-lo. O programa é impedido de rodar e é movido para uma área morta, normalmente chamada quarentena. Depois o usuário decide se quer mesmo rodá-lo ou prefere simplesmente eliminá-lo (o mais seguro).

• Alguns antivírus usam características heurísticas para determinar se um programa é malicioso ou não sem conhecê-lo antes, baseando-se em estimativas dependendo do comportamento do programa e do que ele tenta fazer no sistema, além de trechos de chamadas de funções comumente usadas por outros malwares no passado.

• Quase todos os antivírus permitem fazer uma varredura no sistema sempre que você quiser, vasculhando todas as pastas ou discos, pendrives, CD/DVDs, que possam conter arquivos com malwares.

Nos dois primeiros casos o antivírus fica residente no computador, rodando o tempo todo: todos os processos (programas) são verificados continuamente, conforme as pessoas navegam na internet, abrem ou baixam arquivos, etc. Em computadores antigos isso normalmente tornava a experiência de uso pior, deixando tudo bem mais lento. Nos computadores atuais a lentidão não é tão perceptível, dada a maior velocidade dos processadores e também o uso de vários núcleos neles.

No terceiro caso o antivírus pode não ficar ativo o tempo todo, sendo usado apenas para verificar um sistema de vez em quando.

Um bom exemplo é o ClamAV, que roda como liveCD numa distro Linux e permite verificar e remover vírus na partição do Windows, mesmo com o Windows desligado: http://www.clamav.net/.

Antivírus residentes para Windows quase sempre oferecem esta função: eles podem ter a proteção em tempo real desativada, deixando o processador livre na maior parte do tempo, sem assim deixar o computador lento. O usuário pode fazer verificações quando quiser nas pastas, partições e mídias em geral. Um exemplo que opera exclusivamente nesta categoria é o Safety Scanner, gratuito, também da Microsoft.