O que é a deteção de vulnerabilidades de dia zero?
A deteção de ameaças «zero-day» é o processo de identificação de ficheiros maliciosos antes de existir uma assinatura correspondente nas bases de dados dos antivírus. As ferramentas antivírus tradicionais são, por natureza, reativas: só conseguem bloquear ameaças que o seu fornecedor já tenha catalogado. O intervalo entre o primeiro aparecimento de uma ameaça e o momento em que os fornecedores de antivírus criam um padrão de deteção é a janela de oportunidade de que os atacantes se aproveitam.
Resumo / Pontos principais
- De acordo com a análise de deteção de vulnerabilidades «zero-day» de 2026 OPSWAT, que abrangeu mais de um milhão de deteções de ficheiros, os motores antivírus tradicionais ficaram atrás na deteção de vulnerabilidades «zero-day» por uma média de 3,0 dias, com a exposição no pior dos casos a atingir os 26,7 dias
- Apenas 3,7% das ameaças de dia zero foram detetadas pelos motores antivírus tradicionais nas 24 horas seguintes ao seu primeiro aparecimento
- Os tipos de ficheiros de scripts e documentos apresentam consistentemente os períodos de exposição mais longos, com os documentos do Office a registarem, em média, um atraso de 6,9 dias na deteção
- Aproximadamente 20,8 % das vulnerabilidades de dia zero no conjunto de dados acabaram por ser detetadas pelos motores antivírus tradicionais; uma parte significativa apresentava tempos de resposta tão longos que, na prática, não representavam qualquer proteção
- MetaDefender fornece um único veredicto, com classificação de confiança, por ficheiro, utilizando um fluxo de deteção de quatro camadas que não se baseia na correspondência de padrões
Os antivírus tradicionais têm um problema de sincronização
As ferramentas antivírus tradicionais detetam ameaças comparando os ficheiros com uma base de dados de assinaturas de malware conhecidas. Um ficheiro que não corresponda a nenhum padrão existente pode passar sem ser bloqueado. Essa dependência estrutural do conhecimento prévio cria um atraso mensurável e passível de ser explorado entre o momento em que uma ameaça surge e o momento em que o antivírus a consegue impedir.
De acordo com a nossa análise de deteção de ameaças «zero-day» de 2026, que abrangeu mais de um milhão de deteções de ficheiros, os motores antivírus tradicionais demoraram, em média, 3,0 dias a detetar essas ameaças, com uma mediana de 2,0 dias. A exposição no pior dos casos atingiu 26,7 dias. Apenas 3,7% das ameaças de dia zero no conjunto de dados foram detetadas pelos motores antivírus tradicionais no prazo de 24 horas. Aproximadamente 3% demoraram mais de uma semana a receber qualquer resposta de deteção.
Nota sobre a metodologia: A média de 3,0 dias exclui ficheiros com tempos de resposta do antivírus muito longos e ficheiros sem qualquer histórico de correspondência de padrões. O conjunto de dados completo reflete uma gama mais ampla de resultados. Existe também uma taxa de falsos positivos baixa, mas diferente de zero, nos dados subjacentes.
Os dados começam com momentos como este. No momento da análise, nenhum dos 20 motores antivírus que utilizámos sinalizou o ficheiro, e nenhum serviço de reputação o tinha registado. A ameaça já estava confirmada.
A maioria das vulnerabilidades de dia zero nunca corresponde a um padrão conhecido
O problema de detecção agrava-se quando os motores antivírus nunca produzem uma correspondência de assinatura para uma ameaça. Na nossa análise, aproximadamente 20,8% dos ficheiros de dia zero acabaram por ser detetados pelos motores antivírus tradicionais. Cerca de 17,9% não apresentavam qualquer histórico de correspondência de padrões, o que os coloca totalmente fora do catálogo de qualquer motor antivírus analisado. Estima-se que 54% apresentaram tempos de resposta antivírus tão prolongados que, na prática, representam efetivamente nenhuma proteção. Deve-se notar que este valor, tal como os outros, apresenta uma taxa de falsos positivos baixa, mas diferente de zero, e deve ser tratado como indicativo.
Quando os motores antivírus acabam por detectar o problema, a cobertura continua a ser limitada. Numa nova verificação realizada mais tarde, apenas três desses 20 motores antivírus tinham detetado uma correspondência para o mesmo ficheiro. A maioria continuava sem detetar nada.
A deteção baseada em padrões exige que o fornecedor observe, analise e catalogue uma ameaça antes de ser possível garantir a proteção. No caso de malware novo ou deliberadamente ofuscado, essa sequência pode nunca chegar a ser concluída ou pode ser concluída demasiado tarde para ter qualquer efeito.
Onde a deteção tradicional por antivírus fica mais aquém
Nem todos os tipos de ficheiros apresentam o mesmo risco quando a deteção antivírus demora a ocorrer. Os ficheiros baseados em scripts e em documentos revelam, de forma consistente, os períodos de exposição mais longos na nossa análise, e estes são tipos de ficheiros que aparecem em praticamente todos os fluxos de trabalho empresariais.
Tipo de ficheiro | Média de dias até à deteção de ameaças por antivírus tradicionais |
Documentos do Office | ~6,9 dias |
PowerShell | ~6,3 dias |
Scripts VBS | ~4,9 dias |
HTA | ~3,5 dias |
PE (Executáveis) | ~3,1 dias |
Os documentos de escritório e os formatos de script estão no topo da lista precisamente porque a sua complexidade dificulta a geração de assinaturas. As macros, os objetos incorporados e a lógica de execução em várias etapas oferecem aos atacantes mais pontos de entrada para explorar e obrigam os fornecedores de antivírus a cobrir mais terreno antes de poderem criar um padrão fiável.
Os ficheiros PE (Portable Executable) ocupam os últimos lugares na tabela de atrasos, mas mesmo assim registaram, em média, mais de três dias de exposição não detetada. No caso de executáveis que entram em ambientes de infraestruturas críticas, processos de aplicação de correções ou fluxos de ficheiros regulamentados, três dias não constituem um intervalo de tempo aceitável.
Por que razão os métodos tradicionais de deteção ficam para trás
A deteção baseada em padrões funciona comparando um ficheiro com uma biblioteca de assinaturas de malware conhecidas. Quando é encontrada uma correspondência, o ficheiro é bloqueado. Quando não existe correspondência, o ficheiro é autorizado. O modelo depende inteiramente da exposição prévia: uma ameaça tem de ser observada, analisada e catalogada antes de ser possível qualquer proteção. No caso de um ficheiro novo, essa sequência ainda não foi executada.
Essa limitação estrutural sempre existiu. O que mudou foi a velocidade a que os atacantes conseguem gerar novas variantes. Os adversários recorrem agora à IA e à aprendizagem automática para produzir malware ofuscado e evasivo em grande escala, criando ficheiros especificamente concebidos para evitar corresponder a qualquer assinatura existente. Cada variante gerada é tecnicamente nova para as bases de dados antivírus, mesmo quando a lógica de ataque subjacente não o é.
As técnicas de evasão agravam ainda mais o problema. Os autores de malware criam habitualmente ficheiros para evitar que sejam identificados como ameaças conhecidas no ponto de entrada, recorrendo a técnicas como:
- Compactação e encriptação para ocultar o conteúdo dos ficheiros
- Polimorfismo para gerar variantes estruturalmente únicas
- Entrega em várias etapas para adiar comportamentos maliciosos até após a entrada
- Verificações das condições de execução que suspendem a atividade até que seja atingido um ponto final real
As ferramentas baseadas em assinaturas não dispõem de qualquer mecanismo para antecipar qualquer uma destas sequências. O resultado é um modelo de deteção que se torna cada vez menos eficaz à medida que as ferramentas dos atacantes se tornam mais sofisticadas. O intervalo entre o primeiro aparecimento e a primeira deteção não se reduz rapidamente por si só. Pelo contrário, aumenta.
Como detetamos ameaças antes de existir uma correspondência de padrões
MetaDefender é uma solução unificada de deteção de ameaças de dia zero, concebida para identificar ficheiros maliciosos que não podem ser detetados apenas através da comparação de assinaturas. Em vez de verificar se um ficheiro corresponde a um padrão conhecido, MetaDefender faz quatro perguntas cada vez mais aprofundadas sobre cada ficheiro que passa pelo sistema, combinando as respostas num único veredicto com uma pontuação de confiança.
Camada 1: Reputação de ameaças (48,7% de eficácia)
Todos os ficheiros que entram no pipeline são avaliados com base nas bases de dados OPSWAT de inteligência sobre ameaças OPSWAT . Os ficheiros maliciosos conhecidos são bloqueados imediatamente. Os ficheiros confiáveis são processados em via rápida. De acordo com a nossa análise, esta camada, por si só, resolveu 48,7% das ameaças, preservando a capacidade do pipeline e evitando o processamento desnecessário de ficheiros que não requerem uma inspeção mais aprofundada.
Camada 2: Adaptive através de emulação ao nível da instrução (eficácia cumulativa de 83,4 %)
Os ficheiros que passam pela camada de reputação entram na sandbox adaptativa MetaDefender . Em vez de utilizar máquinas virtuais, a sandbox emula ao nível das instruções da CPU e do sistema operativo em mais de 120 tipos de ficheiros. Esta abordagem obriga os ficheiros a executarem todo o seu código, independentemente de detetarem ou não um ambiente virtualizado. O malware sensível a máquinas virtuais, que de outra forma permaneceria inativo, não consegue suprimir o seu comportamento sob emulação ao nível das instruções. Os IOCs (indicadores de comprometimento) recém-descobertos nesta camada são reenviados para a Camada 1, reforçando a base de dados de reputação a cada ciclo de análise.
Um motor de assinaturas deteta um script ofuscado e não encontra nada que corresponda. A emulação faz com que o ficheiro seja executado na mesma. No momento em que descodifica a sua carga útil oculta e a carrega na memória, a intenção torna-se visível.
Camada 3: Classificação de ameaças baseada em ML (eficácia acumulada de 99,3 %)
Vários motores de aprendizagem automática analisam sinais comportamentais, padrões de anomalias e IOCs extraídos da camada de sandbox. Cada ficheiro recebe uma pontuação de risco estruturada e ponderada pela confiança. A telemetria bruta é transformada num sinal de decisão claro, reduzindo os falsos positivos e minimizando a carga de trabalho de análise que os resultados fragmentados das ferramentas costumam gerar.
Analise os seus ficheiros gratuitamente utilizando os nossos motores de deteção em filescan.io/scan.
Camada 4: Pesquisa de semelhanças com tecnologia de IA (eficácia cumulativa de 99,9 %)
A camada final compara a «impressão digital» comportamental de cada ficheiro com uma base de dados de mais de 100 milhões de amostras de malware analisadas. Os ficheiros são automaticamente atribuídos a famílias de ameaças, campanhas e conjuntos de ferramentas de ataque conhecidos, sempre que existam correspondências. Os ficheiros sem correspondência prévia são convertidos em novos dados de inteligência, enriquecendo os modelos de deteção tanto globais como locais. Esta camada eleva a eficácia cumulativa da deteção para 99,9%.
MetaDefender vs. abordagens tradicionais Sandbox antivírus
As sandboxes tradicionais baseadas em AV e em VM abordam, cada uma, uma parte do problema da deteção de ameaças de dia zero, mas nenhuma delas apresenta um veredicto unificado que integre reputação, comportamento, pontuação e pesquisa de semelhanças. A tabela abaixo compara o desempenho de cada abordagem nas capacidades mais importantes no perímetro.
Capacidade | Motores audiovisuais tradicionais | Sandbox baseada em VM | MetaDefender |
Abordagem de deteção | Baseado em padrões | Comportamental (isolado) | Pipeline unificado de quatro camadas |
Resistência à evasão | Baixa | Médio (detetável por VM) | Alto (emulação ao nível de instrução) |
Hora do veredicto | Atraso de 0 a mais de 26 dias | Variável | Quase em tempo real |
Integração SIEM/SOAR | Limitada | Correlação manual | Estruturado, nativo |
Eficiência na utilização dos recursos | Baixa | Alta capacidade de computação | 100x em comparação com uma sandbox baseada em VM |
Tipo de veredicto | Corresponde/não corresponde | Relatório por ferramenta | Veredicto único com pontuação de confiança |
As sandboxes baseadas em máquinas virtuais melhoram a deteção por assinatura ao observar o comportamento dos ficheiros em tempo de execução. A limitação reside no facto de os autores de malware estarem cientes disso. As verificações do ambiente, os atrasos de tempo e a identificação de máquinas virtuais permitem que ameaças sofisticadas detetem as condições da sandbox e adiem o comportamento malicioso até chegarem a um terminal real. A emulação ao nível das instruções elimina completamente essa possibilidade de evasão.
A diferença em termos de recursos é também significativa à escala do perímetro. A análise em ambiente isolado baseada em máquinas virtuais requer uma capacidade de computação significativa por ficheiro. MetaDefender oferece uma eficiência de recursos 100 vezes superior à das abordagens baseadas em máquinas virtuais, combinando a emulação ao nível das instruções com um pipeline em camadas que encaminha apenas os ficheiros que requerem uma análise mais aprofundada.
Leia mais sobre as principais diferenças entre sandboxes tradicionais e adaptativas aqui.
Quando utilizar a deteção de vulnerabilidades de dia zero em vez da tecnologia Deep CDR™ ou em conjunto com ela
A tecnologia Deep CDR™ e MetaDefender resolvem problemas diferentes. Compreender esta distinção é importante para os arquitetos de segurança que concebem fluxos de trabalho de inspeção de ficheiros, especialmente em ambientes sujeitos a regulamentação ou em infraestruturas críticas.
A tecnologia Deep CDR™ neutraliza proativamente as ameaças baseadas em ficheiros, removendo conteúdos potencialmente maliciosos — incluindo macros, scripts e objetos incorporados — de mais de 200 tipos de ficheiros e regenerando uma versão limpa e totalmente utilizável. Esta tecnologia não depende da deteção. Um ficheiro é higienizado independentemente de a ameaça vir a ser confirmada ou não. Para fluxos de trabalho baseados em documentos, nos quais os ficheiros podem ser reconstruídos com segurança, a tecnologia Deep CDR™ remove a ameaça antes que esta tenha qualquer oportunidade de ser executada.
Leia aqui o nosso artigo anterior para saber mais detalhes sobre como funciona.
MetaDefender é a ferramenta ideal quando os ficheiros não podem ser alterados. Executáveis, ficheiros de correção, firmware, instaladores e scripts têm de permanecer intactos, byte a byte, para funcionarem. A sua limpeza não é uma opção. Os documentos sujeitos a regulamentação nos setores da saúde, jurídico e financeiro podem também estar sujeitos a requisitos legais ou de conformidade que proíbem a modificação. Para estes tipos de ficheiros, a análise dinâmica é a única via de inspeção viável.
Estas duas tecnologias não representam uma escolha de «ou isto ou aquilo». Na prática, a maioria dos ambientes empresariais e de infraestruturas críticas lida com tipos de ficheiros alteráveis e inalteráveis nos mesmos fluxos de trabalho. A tecnologia Deep CDR™ trata de documentos e formatos de escritório que podem ser reconstruídos com segurança. MetaDefender trata dos ficheiros que não podem ser modificados. Em conjunto, garantem a cobertura de toda a gama de tipos de ficheiros que entram num ambiente.
As ameaças de dia zero não esperam que exista uma assinatura, e as suas defesas também não devem esperar.
Perguntas mais frequentes
Qual é a diferença entre a deteção de ameaças de dia zero e os antivírus tradicionais?
Os antivírus tradicionais detetam ameaças comparando os ficheiros com uma biblioteca de assinaturas de malware conhecidas. A deteção de ameaças de dia zero identifica ameaças para as quais não existe uma assinatura, analisando o comportamento, a reputação e as características estruturais dos ficheiros. MetaDefender combina quatro camadas de análise para emitir um veredicto sobre os ficheiros com uma eficácia de 99,9%, que as ferramentas antivírus tradicionais deixariam passar sem os sinalizar.
Quanto tempo demoram os motores antivírus tradicionais a detetar uma ameaça de dia zero?
De acordo com a análise de deteção de vulnerabilidades zero-day de 2026 OPSWAT, que abrangeu mais de um milhão de deteções de ficheiros, os motores antivírus tradicionais demoraram, em média, 3,0 dias a detetar essas vulnerabilidades, com uma mediana de 2,0 dias. A exposição no pior dos casos atingiu 26,7 dias. Apenas 3,7% das ameaças de dia zero receberam uma resposta de deteção antivírus no prazo de 24 horas. A média de 3,0 dias exclui ficheiros com tempos de resposta muito longos e ficheiros sem histórico de correspondência de padrões, pelo que o intervalo total de exposição é mais amplo do que este valor por si só sugere.
Que tipos de ficheiros são os mais difíceis de detetar pelos antivírus?
Os tipos de ficheiros baseados em scripts e em documentos apresentam consistentemente o maior atraso na deteção por antivírus. Na análise de 2026 OPSWAT, os documentos do Office registaram, em média, um atraso de 6,9 dias na deteção, os ficheiros PowerShell, de 6,3 dias, e os scripts VBS, de 4,9 dias. Estes tipos de ficheiros estão presentes em praticamente todos os fluxos de trabalho empresariais, tornando a janela de exposição operacionalmente significativa.
De que forma a emulação ao nível da instrução consegue neutralizar o malware que deteta máquinas virtuais?
O malware sensível à virtualização recorre a verificações do ambiente, atrasos temporais e identificação de digital de virtualização para detetar quando está a ser executado dentro de uma sandbox e suprimir o seu comportamento malicioso. A emulação ao nível das instruções contorna estas técnicas ao emular ao nível da CPU e do sistema operativo, em vez de executar uma máquina virtual completa. O ficheiro não dispõe de nenhuma forma fiável de distinguir o ambiente emulado de um terminal real, tornando significativamente mais difícil suprimir a execução e expondo comportamentos que, de outra forma, permaneceriam ocultos.
O MetaDefender substitui uma sandbox?
MetaDefender inclui o sandboxing adaptativo como uma das suas quatro camadas de deteção, mas não é um produto de sandbox autónomo. Combina a reputação de ameaças, a emulação ao nível das instruções, a pontuação de ameaças baseada em ML e a pesquisa de semelhanças impulsionada por IA num único fluxo de trabalho que fornece um veredicto com pontuação de confiança por ficheiro. As organizações que substituem uma sandbox autónoma baseada em VM pelo MetaDefender ganham resistência à evasão, uma cobertura de deteção mais ampla e uma redução significativa da sobrecarga de recursos.
