Vírus e cia - Características gerais dos vírus

O que comumente chamamos de "vírus de computador" são programas que possuem algumas características em comum com os vírus biológicos:

  * são pequenos; 

  *  não funcionam por si só. Ou seja, devem infectar um arquivo executável ou arquivos que utilizam macros. Portanto, em geral o vírus fica escondido dentro da série de comandos de um programa maior; 

  * contém instruções para parasitar e criar cópias de si mesmo de forma autônoma e sem autorização específica (e, em geral, sem o conhecimento) do usuário para isso - eles são, portanto, auto-replicantes.

História

Em 1986 foi identificado o primeiro vírus de computador. Não existe uma data exata, mas janeiro de 2006 marca o aniversário de 20 anos do vírus, que foi denominado "Brain.A".

O Brain era inofensivo, ou seja, apenas se espalhava para outros sistemas, sem causar danos significativos aos computadores. Entretanto, logo os programadores criaram versões mais hostis, os chamados "vírus de boot", que se tornaram um problema para muitos usuários. 

Nessa época, pré-internet, a disseminação ocoria por meio de disquetes. Assim, passavam-se meses para que um vírus de computador se espalhasse pelo planeta.

Em 1995, quando se iniciaram as operações comerciais da Web, eram conhecidos aproximadamente 5 mil vírus. Note-se que o tempo para que essas pragas se alastrassem permitia às empresas de programas antivírus até enviar suas atualizações pelo correio comum. 

Mas, tudo mudou com a internet, pois o ambiente "online" possibilita que milhares de computadores sejam atacados em poucas horas. ADeve-se considerar que admite-se que são criados cerca de 10 novos vírus por dia, além de suas variantes, causando o mau funcionamento de máquinas, a perda de arquivos e, também, o roubo de informações. Assim, aconteceu uma explosão na criação desses programas danosos e, atualmente, já foram catalogados mais de 100 mil vírus diferentes. Note-se que os programadores começaram se aproveitando das falhas do sistema operacional Windows e criaram pragas que varreram a rede, especialmente depois da criação de versões de vírus que se espalham por correio eletrônico, o e-mail.

 O "Brain.A" está extinto, assim como muitos vírus semelhantes a ele. Entretanto, vírus mais potentes circulam pela internet e, de quando em quando, causam não apenas estragos localizados, mas conseguem reduzir a eficiência da rede em escala mundial. 

Existem diversas formas de programas danosos atualmente. Uma das mais famosas é o "verme" (ou "worm", em inglês), cujo maior objetivo é a rápida propagação na rede, mas que não causa grandes danos aos sistemas. Outra é o Cavalo de Tróia (ou "Trojan horse"), que embute um código que possibilita que um estranho acesse o computador infectado e envie dados dele para outras máquinas, sem que o proprietário saiba.

Tipos de Vírus

Vírus de Boot (Master Boot Record / Boot Sector Viruses)

Todos os discos e disquetes possuem uma área de inicialização reservada para informações relacionadas à formatação do disco, dos diretórios e dos arquivos nele armazenados (registro mestre do Sistema, o Master Boot Record - MBR dos discos rígidos ou a área de boot dos disquetes - Boot Sector).

Como essa área é executada antes de qualquer outro programa (incluindo qualquer programa Anti-Vírus), esses vírus são muito bem sucedidos. Para esse sucesso também contribui o fato da infecção poder ocorrer por meio de um ato simples do usuário:esquecer um disquete contaminado dentro do drive A.

Como todos os discos possuem também um pequeno programa de boot (que determina onde está ou não o sistema operacional e reconhece, inclusive, os periféricos instalados no computador), os vírus de boot podem se "esconder" em qualquer disco ou disquete.

A contaminação ocorre quando um boot é feito através de um disquete contaminado. O setor de boot do disquete possui o código para determinar se um disquete é "bootável" ou para mostrar a mensagem: "Disquete Sem Sistema ou Erro de Disco". É este código, gravado no setor de boot que, ao ser contaminado, assume o controle do micro. Assim que o vírus é executado ele toma conta da memória do micro e infecciona o MBR do disco rígido.

A disseminação é fácil: cada disquete não contaminado, ao ser colocado no drive e ser lido pode passar a ter uma cópia do código e, nesse caso, é contaminado e passa a ser um "vetor", ou seja um disseminador potencial do programa danoso.

Vírus de Programa (File Infecting Viruses)

Os vírus de programa infectam - normalmente - os arquivos com extensão.exe e.com (alguns contaminam arquivos com outras extensões, como os.dll, as bibliotecas compartilhadas e os.ovl). Alguns deles se replicam, contaminando outros arquivos, de maneira silenciosa, sem interferir com a execução dos programas que estão contaminados. Assim sendo, pode não haver sinais perceptíveis do que está acontecendo no micro.

Alguns dos vírus de programa vão se reproduzindo até que uma determinada data, ou conjunto de fatores, seja alcançado. Somente aí é que começa a sua ação.

A infecção se dá pela execução de um arquivo já infectado no computador. Há diversas origens possíveis para o arquivo infectado: Internet, Rede Local, BBS, disquete.

Vírus Multipartite

São uma mistura dos tipos de boot e de programa, podendo infectar ambos: arquivos de programas e setores de boot. São mais eficazes na tarefa de se espalhar, contaminando outros arquivos e/ou discos e são mais difíceis de serem detectados e removidos.

Capacidades extras

Entretanto, para tentar impedir a detecção pelos anti-vírus algumas capacidades foram dadas a qualquer um dos tipos de vírus acima. Assim, cada um desses três tipos de vírus podem ter outras características, podendo ser:

- Polimorfismo

(em que o código do vírus se altera constantemente)

Têm como principal característica o fato de estar sempre em mutação, ou seja, esse vírus muda ao criar cópias dele mesmo , alterando seu código. Mas, os clones são tão funcionais quanto seu original, ou mais. O objetivo da mudança é tentar dificultar a ação dos antivírus, criando uma mutação, algo diferente daquilo que a vacina procura.

- Invisibilidade

(Stealth, onde o código do vírus é removido da memória)

Têm a capacidade de, entre outras coisas, temporariamente se auto remover da memória, para escapar da ação dos programas anti-vírus.

- Encriptação

(onde o código do vírus é encriptado)

Nesses é muito difícil a ação da vacina.

Um caso especial: os vírus de macro

Quando se usa alguns programas, por exemplo um editor de texto, e necessita-se executar uma tarefa repetidas vezes em seqüência (por exemplo substituir todos os "eh" por "é") pode-se editar um comando único para efetuá-las. Esse comando é chamado de macro, que pode ser salvo em um modelo para ser aplicado em outros arquivos.

Além dessa opção da própria pessoa fazer um modelo os comandos básicos dos editores de texto também funcionam com modelos. Os vírus de macro atacam justamente esses arquivos comprometendo o funcionamento do programa. Os alvos principais são os próprios editores de texto (Word) e as planilhas de cálculo (Excel).

A disseminação desse tipo de vírus é muito mais acentuada pois documentos são muito móveis e passam de máquina em máquina (entre colegas de trabalho, estudantes, amigos e outras pessoas). Ao escrever, editar ou, simplesmente, ler arquivos vindos de computadores infectados a contaminação ocorre. Assim, verdadeiras "epidemias" podem acontecer em pouco tempo.

Além disso, os macrovírus constituem a primeira categoria de vírus multiplataforma, ou seja, não se limitam aos computadores de um certo tipo, podendo infectar também outras plataformas que usem o mesmo sistema operacional, como os computadores com o sistema Macintosh, por exemplo.

Um outro agravante em relação a esses vírus é a facilidade de lidar com as linguagens de macro, dispensando que o criador seja um especialista em programação. Isso acarretou no desenvolvimento de uma grande quantidade de vírus e inúmeras variantes, num período curto de tempo. (Para obter outras informações sobre proteção contra vírus de macro clique aqui).  

A infecção

Há várias manifestações visíveis da atividade dos vírus: mostrar mensagens, alterar ou deletar determinados tipos de arquivos, corromper a tabela de alocação, diminuir a performance do sistema ou até formatar o disco rígido.

Muitas vezes a ação de um vírus só se inicia a partir de eventos ou condições que seu criador pré-estipulou: atingir uma certa data, um número de vezes que um programa é rodado, um comando específico ser executado, etc.

Um vírus pode atingir um computador a partir de diferentes "vetores" todos previamente infectados: documentos, programas, disquetes, arquivos de sistema, etc.

Arquivos executáveis ( __.exe. __.bat, __.com) são particularmente perigosos e deve-se evitar enviá-los ou recebê-los.

Após infectar o computador, eles podem passar a atacar outros arquivos. Se um destes arquivos infectados for transferido para outro computador, o vírus vai junto e, quando for executado irá contaminar a segundo máquina.

Arquivos de dados, som (.wav, .mid), imagem (.bmp,.pcx, .gif, .jpg), vídeo (.avi, .mov) e os de texto que não contenham macros (.txt, .wri) podem ser abertos sem problemas.

Mas, tanto o download (cópia de programas, via http ou ftp) como o serviço de correio eletrônico (e-mail) possibilitam a entrada de arquivos no computador. Assim, a internet tornou-se um grande foco de disseminação de vírus, worms, trojans e outros programas maliciosos, por facilitar em muito o envio e recepção de arquivos (o que antes era feito basicamente por meio de disquetes).

Como um dos mais populares serviços da Internet é o correio eletrônico, o envio de programas invasores por mail é preocupante.

Como regra geral pode-se assumir que não se deve executar arquivos recebidos, especialmente os arquivos executáveis, mesmo que se conheça o remetente e que se tenha certeza que ele é cuidadoso e usa antivírus atualizado.

Mas, na quase totalidade dos casos pode-se admitir que a simples recepção e a visualização de uma mensagem não contamina o computador receptor. 

Vírus de E-mail

Até pouco tempo atrás não existiam vírus de E-mail e todos os textos que circulavam sobre isso eram Hoax (trotes).

Recentemente surgiram novos tipos de worm, que se propagam por mensagens de correio eletrônico e não necessitam que se execute qualquer programa anexado ou não a mensagens. São conhecidos alguns programas que agem desse modo: KakWorm, Romeu e Julieta, Davinia e Bubbleboy.

KakWorm 

Só ataca as versões inglesa e francesa do Outlook, aproveitando-se de um bug de programação da Microsoft. Para que a contaminação aconteça basta que uma mensagem contaminada seja exibida no "Preview pane" (painel de visualização), sem necessidade de abrir o mail.

Além de sua autopropagação, o principal efeito do KakWorm consiste no desligamento do computador. Ele se aloja no final de cada mensagem enviada como se fosse uma assinatura e todas as mensagens levarão consigo o KakWorm. Em todo  primeiro dia do mês, às17hs, é apresentada a mensagem:  "Kagou-Anti-Kro$oft says not today!". Em seguida, o computador é desligado.

Romeu e Julieta 

O Romeu e Julieta (ou BleBla, Verona, Romeo, Juliet) ataca os computadores que usam as versões 4.0, 4.01, 5.0, e 5.01 do navegador Internet Explorer em computadores que usam o Windows 95, 98, Me ou 2000. Ele se autopropaga por meio do envio de mensagens e causa instabilidades no computador contaminado.

Uma característica desse worm é que o assunto (subject) da mensagem que contém o vírus varia e é selecionado aleatoriamente entre os seguintes:  Romeo&Juliet  -  where is my juliet   -  where is my romeo ?  -  hi  -  last wish ???   -  lol :)   -  ,,,...   -  !!!   -  newborn   - merry christmas!   -  surprise !   -  Caution: NEW VIRUS !   -  scandal !   -  ^_^   -  Re:   -   Romeo&Juliet   - 
<>  :))))))  -   hello world   -   !!??!?!?   -  subject   -   ble bla, bee   -   I Love You ;)   -  sorry...   -   Hey you !   -   Matrix has you...   -   my picture from shake-beer   -

Davinia 

O Davinia também é capaz de contaminar e de autopropagar-se sem a existência de um arquivo anexado à mensagem. É danoso pois danifica todos os arquivos .html e os deixa irrecuperáveis.

Programas Antivírus

Atualmente, muitos desses programas não são apenas antivírus, mas também tem atividade antitrojan, antiworm e antibackdoors. é absolutamente necessário instalar um deles (ou mais que um) no computador e atualizá-lo freqüentemente. Felizmente existem vários programas antivírus bons e gratuitos, disponíveis na Internet. Importante é notar o uso de antivírus exige outras medidas de prevenção.

Vacinas, as ferramentas de remoção

Muitas empresas desenvolvem outros programas, pequenos, que são capazes de eliminar um ou alguns vírus apenas: são as ferramentas de remoção ou vacinas. Uma particularidade que deve ser ressaltada é que esses programas não ficam residentes na memória, ou seja, só eliminam os programas nocivos no momento em que estão sendo executados.

Para se obter uma vacina deve-se acessar o site da empresa e, nele, a página correta, copiar a ferramenta e executá-la no computador.

Symantec:

http://www.symantec.com/region/br/avcenter/toolslist.html 

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui. 

Onde obter mais informações

http://www.splitnet.com/index1.html 
http://users.sti.com.br/helpdesk/