Em uma postagem, do dia 25 de janeiro, eu comentei que o MAV tem seis tecnologias diferentes para detecção de vírus, mas disse que entraria em mais detalhes num futuro próximo. Como estamos em uma época de muitos novos ataques, acho que é a hora de falar um pouco mais dessas tecnologias. A ativação das seis tecnologias cria uma camada de tolerância zero com os vírus que chegam por e-mail: independente de quão novo eles sejam, nenhum passa.
A primeira camada é a MAV BL. Quando um cliente do MAV Mail Suite recebe um vírus, a MAV BL é avisada, e o IP infectado é bloqueado. Em alguns minutos, todos os clientes são avisados da infecção e já não aceitam mais mensagens vindas do usuário infectado. Como a eliminação ocorre ainda na negociação do protocolo SMTP, existe uma grande economia de banda de Internet e de recursos do servidor, já que a mensagem não é nem recebida e nem analisada. Em dias de grandes infestações de vírus na Internet, essa barreira evita que o servidor do cliente tenha que processar uma quantidade de mensagens além da sua capacidade, mantendo o serviço sempre funcional, mesmo quando outros servidores da internet estão fora do ar.
A segunda camada é a engine de vírus da empresa Norman.
O MAV Mail Suíte e MAV Web Suite têm o software da Norman embutido em seu código. Essa é a principal camada de proteção, e começa a agir cerca de quatro horas após o início dos ataques (esse é o tempo médio necessário para que o vírus seja analisado e tenha sua vacina publicada).
A terceira camada é uma segunda tecnologia da Norman, chamada Norman SandBox. A Norman SandBox é uma máquina virtual que executa todos os softwares recebidos por e-mail em um ambiente seguro para analisar o seu comportamento. Com isso, o MAV detecta cerca de 50% dos vírus novos sem a necessidade de uma vacina ser liberada. Nesses casos, a ação da SandBox é imediata e o usuário não recebe o vírus: vírus detectados pela SandBox recebem o nome temporário de SANDBOX:(tipo do virus).
A quarta camada é a MAV Engine, uma engine de detecção de vírus por vacinas, desenvolvida pela Mais Informática. Que eu saiba, ela é a única engine de vírus brasileira no mercado. A vantagem da MAV Engine é que, no caso de um grande ataque acontecer apenas no Brasil, a Mais Informática tem como liberar uma vacina mais rapidamente. Vírus que enviam mensagens em português normalmente atacam mais no Brasil do que nos países em que se localizam os grandes laboratórios internacionais de vacinas de antivírus.
A quinta camada (eu já comentei aqui no blog) é a Assinatura Dinâmica de Virus. Este sistema detecta, dinamicamente, que um arquivo executável específico está sendo enviado de um número grande de computadores para uma quantidade grande de e-mails diferentes. Assim que o vírus é detectado, uma assinatura para ele é criada dinamicamente e propagada para os clientes. Essa camada de proteção começa a agir, em média, uma hora após o início do ataque do vírus. Vírus detectados pela Assinatura Dinâmica de Vírus recebem o nome temporário de UnknowVirus.AAAMMDDII.
A última camada fica no MAV Gerente. Cerca de 99,9% dos vírus que chegam por e-mail são arquivos executáveis. Porém, eles nem sempre têm a extensão de um arquivo executável (.exe, .sys, .com, etc...). Para bloquear esse tipo de camuflagem, o MAV Gerente consegue detectar um arquivo executável analisando o seu conteúdo. Essa analise é feita mesmo que o arquivo esteja compactado dentro de um .zip ou .cab. Ativando essa opção, você garante que nenhum vírus chegue aos seus usuários.
Embora seja extremamente incomum, alguns clientes precisam receber arquivos executáveis por e-mail de vez em quando. Nestes casos, para não perder a proteção que o bloqueio fornece, o recomendado é liberar cada mensagem autêntica da quarentena do MAV Gerente ou adicionar o remetente que envia esses executáveis como 'Remetente Confiável' no MAV Gerente. Com certeza absoluta, o trabalho que o administrador terá com pouquíssimas mensagens autênticas bloqueadas será muito menor do que limpar um ataque de vírus lançado no minuto anterior.
Tirando a MAV BL e a detecção de arquivos pelo conteúdo no MAV Gerente, todas as outras camadas estão constantemente ativas no MAV Mail Suíte, e sempre irão detectar os vírus que chegam por e-mail lançados há mais de uma hora (em média). Para evitar vírus muito novos (menos de uma hora) é recomendado sempre ativar a detecção de arquivos executáveis do MAV Gerente. E, para evitar que o seu servidor de e-mail pare de funcionar no dia de um ataque realmente grande na internet, eu recomendo deixar a MAV BL sempre ativada.
Um abraço e tenham um bom dia.
