|
|
|
|
Início dos vírus- Histórico
Nos anos 80, um
doutorando de engenharia elétrica, Fred Cohen, fez uma pesquisa teórica
extensa, além de reunir e executar experiências práticas, relativas à
programas viróticos. Sua dissertação foi apresentada em 1986 como parte do
seu doutorado na Universidade da Califórnia do Sul, continuando suas
pesquisas nessa área após isso.
A fundação de uma área séria de estudos no campo dos “vírus de
computadores” é creditada ao do Dr. Cohen que, ainda no ano de 1983, deu
uma definição formal do termo “vírus de computador”. Segundo sua definição,
“vírus de computador” é um programa que “infecta” outro programa
modificando-o para incluir-se. Uma das mais importantes implicações teóricas
de seu trabalho acadêmico é em relação a universalidade de risco e as
limitações da proteção. Dr. Cohen demonstrou que não se pode implementar
um programa capaz de verificar um arquivo e decidir, com 100% certeza, se é
um vírus ou não. Também inseriu programas viróticos em sistemas,
descobrindo que se propagavam mais rapidamente do que se esperava. Cohen se
tornou professor da Universidade de Lehigh, onde curiosamente, um vírus que
viria a ser famoso, o Lehigh foi lançado no campus em 1987.
Em 1987, começaram a surgir disquetes de 360K que estranhamente tinham o
label alterado para “(c) Brain”. Quando um PC é inicializado a partir de
um disquete contaminado, o Brain se torna residente em memória, passando a
instalar uma cópia de si mesmo no setor de boot dos disquetes acessados em
qualquer drive. O pequeno programa se autocopiava - era um vírus. O Brain,
considerado um dos mais antigo dos vírus de DOS, normalmente nada mais faz além
de se autocopiar e colocar um label próprio nos disquetes contaminados. Como
retorna o setor de boot original sempre que este é solicitado, consideram-no
como o primeiro vírus furtivo (“stealth”). O Brain se tornou uma família
e têm várias versões. A versão “Ashar” é a menos sofisticada e contêm
um texto que indica o Paquistão como território de origem, além de possui
também um “copyright” datado de 1986 e uma aparente “versão” de número
9.0. Nas versões mais comuns do Brain, é possível encontrar o texto, não
encriptado, fornecendo o nome, endereço e telefone da “Brain Computer
Services” no Paquistão. De fato, é provável que sua origem seja do ano de
1986 e seus que seus autores sejam paquistaneses (existem referências que
citam “Basit e Amjad”).
O outono de 1987 trouxe o nome da Universidade de Lehigh para o universo das
pesquisas de vírus de computador. O vírus, escrito por Ken Van Wyk, ficou
conhecido como Lehigh, mas não obteve grande sucesso na disseminação, se
limitando ao campus da universidade. O Lehigh é um vírus de arquivo que
contamina o COMMAND.COM e é residente em memória. Acessos a outro disco,
através de comandos do DOS como TYPE, COPY, DIR, por exemplo, contaminam o
arquivo COMMAND.COM (e apenas ele). Após quatro replicações, o vírus
sobregrava as áreas de boot e FAT do disco. Como o vírus se auto-destrui após
quatro replicações o seu campo de disseminação é limitado, o que explica
seu fracasso - uma das regras dos vírus bem sucedidos é não danificar
rapidamente o seu hospedeiro, garantindo a 'própria sobrevivência para a
disseminação. Além disso, infectar apenas o arquivo COMMAND.COM tornou o
Lehigh limitado. Porém, como Lehigh adquiriu muita publicidade, Ken Van Wyk
produziu o “Vírus-L newsgroup” em Usenet.
Outro personagem notório na área de vírus dessa época é o programador
Ralf Burger. Em 1986 ele produziu uma demonstração chamada de VIRDEM que se
agregava à arquivos *.COM e criava cópias dele mesmo agregadas a outros
arquivos *.COM. Divulgou suas pesquisas durante uma conferência da “Caos
Computer Club” e posteriormente escreveu um livro sobre o assunto. Mas como
não cita os vírus de boot, provavelmente desconhecia o Brain e essa
categoria de vírus.
O livro de Burger forneceu ao público os códigos de um vírus descoberto no
ano de 1987, em Viena, disseminado através de em um programa denominado
Charlie (de onde vem uma de suas denominações, mas esse vírus passou a ser
mais conhecido como Vienna). Burger tinha obtido uma cópia desse vírus e a
fornecido a Berdt Fix, que a desmontou (“debugou”), provavelmente foi a
primeira vez em que alguém desmontava um vírus. O payload normal do Vienna
é fazer com que um arquivo em oito executados provoque a reinicialização do
computador. No código fornecidos no livro, Burger substituiu a parte
referente ao payload por espaços. O vírus montado a partir desse código
alterado não reinicializa repentinamente o computador, mas provoca o seu
travamento, o que não chega a ser realmente uma melhoria. Além disso, a
publicação e acesso irrestrito à códigos do Vienna permitiram que
variantes e versões de vírus baseados em tais códigos surgissem
abundantemente nos períodos seguintes.
Ainda nesse período, na Universidade de Wellington, Nova Zelândia, um
estudante descobriu um modo muito simples para criar um vírus bastante
eficaz. Seu vírus exibe a mensagem “Your PC is now Stoned” uma vez a cada
oito, durante o boot através de um disquete infectado. Devido à sua forma de
se autorestringir e capacidade de replicação a partir de sua residência em
memória, o Stoned chegou a se tornar o tipo de vírus mais difundido no mundo
- estima-se em mais de um quarto dos surtos, até o advento dos vírus de
macro.
Em Tel Aviv, Israel (outros afirmam Itália), um programador fez uma série de
experiências. O primeiro vírus dele chamou-se Suriv-01 (vírus soletrado
para trás), um vírus residente em memória, mas que infecta qualquer arquivo
com extensão *.COM, ao contrário do Lehigh, que infecta apenas o arquivo
COMMAND.COM. O segundo vírus dele foi chamado Suriv-02, que infecta apenas
arquivos de extensão *.EXE (os arquivos *.COM possuem uma estrutura menos
sofisticada e são mais simples de infectar, os arquivos .EXE são
consideravelmente longos e possuem códigos mais complexos). O Suriv-02 foi o
primeiro vírus conhecido a infectar arquivos *.EXE no mundo. A terceira
experiência dele foi chamada Suriv-03, capaz de atingir tanto arquivos .COM
como arquivos .EXE. O Suriv-03 foi desenvolvido como uma união das duas versões
anteriores - basicamente, as duas primeiras versões trabalhando juntas.
Acredita-se que a quarta experiência desse programador seja o Jerusalém, o vírus
de arquivo executável mais bem sucedido da história. Toda sexta-feira 13, ao
invés de infectar arquivos quando são executados, ele os apaga. Mas como
sextas-feiras 13 não são comuns, o vírus permanece imperceptível na maior
parte do tempo. Por causa da publicidade que ocorreu em torno do Lehigh, o
Jerusalém evita infectar a COMMAND.COM. Imagina-se que o Jerusalém tenha
“vazado” para o mundo, pois existem indícios na versão mais antiga de
que não estava pronto para “lançamento”. Aparentemente existe uma alteração
incompleta que visava consertar um bug que leva a reinfecção dos arquivos .EXE
continuamente a cada execução. Além disso, existem códigos redundantes
originários do Suriv que podem ser vistos desmontando-se ("debugando-se")
o vírus. Ele foi descoberto na Universidade Hebraica de Jerusalém (daí o se
nome mais famoso) por Yisrael Radai no início de 1988 e deu origem a uma das
mais extensas famílias de variantes.
Uma das primeiras infecções do Jerusalém foi encontrada em um escritório
pertencente as Forças Armadas de Israel e por isso um dos alias (nome
alternativo) do vírus é I.D.F. (Israeli Defence Forces). Como havia uma
forte desconfiança de que ele já estava em circulação em 1987,
perguntava-se porque o seu payload não fora detonado na sexta feira 13 de
Novembro de 1987. Curiosamente o vírus é programado para excluir o payload
no ano de 1987. A data de payload subseqüente era a sexta feira de 13 de maio
de 1988, criando a sensação de que era um terrorismo político, pois o último
dia em que a Palestina existira como nação fora 13 de Maio de 1948. Contudo,
estudos posteriores da estrutura interna do vírus e a sua ligação com os
Suriv levaram à conclusão de que qualquer correspondência política era
mera coincidência.
Na Itália, na Universidade de Turim, um programador produziu outro vírus de
boot. Caso o disco fosse acessado exatamente no período de meia hora em um
computador contaminado, uma bola saltando apareceria no monitor. Ficou
conhecido como Italian, Ping Pong ou Bouncing Ball. Contudo, este vírus tinha
um grande defeito - não podia atuar em computadores que não fossem baseados
na arquitetura 8088 ou 8086, pois utiliza instruções que não rodam em chips
mais avançados (80286, 80386, 80486). Assim, a versão original deste vírus
praticamente desapareceu (como ocorreu com o Brain, que infectava apenas
disquetes de 360 Kb e que anunciava totalmente sua presença pelo label).
Ainda em 1987, um programador alemão produziu um vírus muito eficaz, o
Cascade, assim chamado por causa do efeito de letras caindo no monitor. O
Cascade utilizou uma idéia nova - a maior parte do vírus foi encriptado,
deixando que apenas uma pequena parte de seu código fique aparente e decifre
o resto do vírus. A razão para isto não estava clara, mas fez isto
certamente para criar maior dificuldade no reparo de arquivos infectados, além
de restringir a escolha de strings de detecção ao primeiro par de uma dúzia
de bytes. Esta idéia posteriormente foi estendida por Mark Washburn quando
ele produziu o primeiro vírus polimórfico, o 1260 (Chameleon). Washburn fez
o Chamaleon baseado em um vírus que ele achou em um livro - o Vienna,
publicado por Burger.
Como os vírus podem ser ativados?
Para ativar um vírus, é preciso executar o programa infectado.
Quando você executa o código do programa infectado, o código do vírus também é executado e tentará infectar outros programas no mesmo computador e em outros computadores conectados a ele por rede.
Que tipos de arquivo podem espalhar vírus?
Todo o arquivo que contém códigos executáveis podem espalhar vírus (.exe, .sys, .dat, .doc, .xls etc.). Os vírus podem infectar qualquer tipo de código executável. Por exemplo: alguns vírus infectam códigos executáveis no setor de boot de disquetes ou na área de sistema dos discos rígidos.
Outros tipos de vírus, conhecidos como "vírus de macro", podem infectar documentos que usam macros, como o processador de textos Word e a planilha de cálculos Excel. Macros são códigos utilizados para automatizar tarefas repetitivas dentro de um programa.
Arquivos de dados puros estão seguros. Isso inclui arquivos gráficos, como .bmp, .gif e .jpg, bem como textos em formato .txt. Portanto, apenas olhar arquivos de imagens não provocará a infecção do computador com um vírus.
como agem os vírus e os principais tipos:
Basicamente um vírus é, em sua essência, um programa que necessita de um código executável tanto para existir como para se disseminar. No caso ele é executado, porque outro programa é executado. Por analogia podemos compará-lo a um míssil com duas partes distintas VETOR e CARGA.
Vetor: Seriam as instruções que cuidam do transporte da carga. Seu objetivo é operar a alocação de memória, a tomada de controle do sistema, a monitoração das entradas e saídas, a execução do contágio e a ativação da carga.
Carga: contém apenas o critério de disparo e as instruções a executar.
Normalmente os vírus utilizam-se de um dos dois meios conhecidos, quais sejam, de ficarem inseridos em um outro programa ou apenas ligados ao programa. Exemplos:
Vírus de Macro (Macro Viruses): Este tipo de vírus age através de macros embutidas num documento do Word, ou mais recentemente numa planilha do Excel. A simples abertura do documento pode ativar tal vírus. Quando a macro é ativada (em geral é a macro AutoOpen - tipo de Autoexec das macros) os comandos nela existente se autocópia, além que qualquer outra macro que o vírus necessite, em geral para a memória e em muitas vezes para o MODELO global do Word, o arquivo NORMAL.DOT, donde o vírus contaminará qualquer novo documento que for criado, ou qualquer documento que for aberto. À partir deste momento os vírus de Macro tentam se disseminar para outros documentos, seja através da troca de disquetes, seja pela Rede Local, ou mais recentemente pelas mensagens de E-mail da Internet. Documentos são muito móveis, muito mais que arquivos executáveis, passando de mão-em-mão (e portanto de máquina em máquina) entre colegas de trabalho, amigos e outras pessoas, que ao escreverem, editarem, ou simplesmente lerem tais arquivos se contaminarão pelo vírus de Macro. Tal característica causa uma verdadeira epidemia - em pouquíssimas horas - dentro de pequenas ou grandes empresas. Atualmente pelo menos 60% dos novos vírus descobertos no mundo são do tipo Vírus de Macro. Além de tudo são mais fáceis de escrever que os demais tipos de vírus.
* falaremos sobre vírus de macro detalhadamente mais na frente.
Vírus de Boot (Master Boot Record / Boot Sector Viruses): Este tipo de vírus infecta o registro mestre do Sistema (o Master Boot Record - MBR) dos discos rígidos e/ou a área de boot (Boot Sector) dos disquetes, e devido a tais áreas sempre serem executadas antes de qualquer outro software (incluindo qualquer programa Anti-Vírus), tais vírus são os mais comuns, e os mais bem sucedidos do mundo. Em geral tais tipos de vírus respondem por mais de 65% (a McAfee diz serem mais de 80%) das ocorrências de ataque de vírus. A única maneira de um computador se contaminar com tal tipo de vírus é na tentativa de dar boot através de um disquete contaminado. O setor de boot de um disquete possui o código para determinar se um disquete é "bootável", ou para mostrar a mensagem: "Disquete Sem-Sistema ou Erro de Disco". É este código, gravado no setor de boot, que ao ser contaminado por um vírus de Boot assume o controle do micro. E assim que a mensagem acima é mostrada na tela já será muito tarde, seu computador já estará infectado. Assim que o vírus é executado ele toma conta da memória do micro, e infecciona o MBR do disco rígido. A cada vez que um disquete não contaminado é colocado no drive, e se faz uma simples leitura do diretório, pronto: um novo disquete contaminado está pronto para rodar o mundo, espalhando a infecção. Enquanto tais vírus ficam residentes em memória é quase impossível se descobrir o código do vírus, pois mesmo que se usem programas utilitários (tais como o Norton Editor) o vírus intercepta qualquer chamada do sistema que se dirija à MBR e redireciona tal chamada para um setor em que o vírus gravou o MBR original (e não infectado) do disco. Para dificultar ainda mais a detecção alguns vírus não tentam contaminar todo o disquete que encontrar no drive, e alguns nem sempre ficam residentes em memória no primeiro boot. Tais técnicas tornam ainda mais problemático o processo de se detectarem tais vírus. A maioria dos vírus de Boot causam danos, seja diretamente como resultado do seu ataque, ou indiretamente ao gravar a área original do MBR ou do Boot Sector em outro setor, que pode estar ocupado, sendo portanto sobrescrito.
Vírus de Programa (File Infecting Viruses): Os vírus de Programa são os vírus que mais danos causam, eles atacam os arquivos executáveis, muitas vezes sobrescrevendo o código original, causando danos - quase sempre - irreparáveis. A única maneira de ser infectado por este tipo de vírus é rodando um arquivo já infectado no seu computador. Várias fontes podem ter sido a origem do arquivo infectado: Internet, Rede Local, BBS, um disquete. Não importa, após você rodar o arquivo infectado o vírus se ativa, em geral se torna residente em memória, e passa a contaminar outros executáveis, seja os que são executados após o vírus ser ativado, ou mesmo os arquivos que estão no diretório atual, ou ainda nos novos disquetes que você inserir à partir daí nos seus drives. Alguns vírus de programa geram "arquivos companheiros" (do inglês Companion Files), isto é, para um certo arquivo XPTO.EXE eles criam um companheiro de mesmo nome mas com a extensão .COM (que o DOS sempre executa primeiro. A partir do aumento da eficácia dos programas anti-vírus, que foram aparecendo ao longo do tempo, os criadores de vírus foram utilizando diversas técnicas para camuflar seus pequenos rebentos, entre as quais podemos citar: · o POLIMORFISMO (onde o código do vírus se altera constantemente); · a ENCRIPTAÇÃO (onde o código do vírus é encriptado); · a INVISIBILIDADE (técnica de STEALTH, onde o código do vírus é removido da memória).
Ultimamente, temos recebido vírus cada vez mais potentes, inteligentes e co um alto poder destrutivo, porém eles não são invencíveis. Basta tomarmos algumas pequenas providências, para que nossa chance de sobreviver seja maior e criamos algumas dificuldades, para coibir a ação dos vândalos e inconseqüentes criadores destes bichinhos indesejáveis.
Muita gente desconhece a origem e o funcionamento dos vírus e temo que ter uma grande preocupação com os seus possíveis efeitos e causas. Para enfrentá-los, temos que usar armas eficientes e em certas medidas de segurança e os programas antivírus.
Vírus
é um pequeno programa que se auto-reproduz, podendo fazer alterações em
outros arquivos e programas, geralmente sem o seu conhecimento . Eles podem se
manifestar nas mais diversas formas, como mostrar mensagens, alterar
determinados tipos de arquivos, diminuir a performance do sistema, deletar
arquivos, utilizar o seu catálogo de endereços e enviar e-mail ,corromper a
tabela de alocação ou mesmo apagar todo o disco rígido.
Um vírus é basicamente um conjunto de instruções com dois objetivos básico
-Se pegar a um arquivo para posteriormente se disseminar de um para outro,
sem a permissão ou comando do usuário nesse sentido ("auto-replicância").
-Além disso, os vírus contêm instruções objetivas no sentido de concretizar
uma intenção do seu criador (mostrar mensagens, apagar o disco, corromper
programas, etc.).
Eles costumam se multiplicar a partir de um arquivo, e-mail ou disquete
infectado.
Um vírus benigno é um vírus que foi projetado para não provocar danos ao seu
computador. Por exemplo, um vírus que se oculta até uma data ou hora
predeterminada e, em seguida, não faz nada mais do que exibir algum tipo de
mensagem é considerado benigno e até interessante. Um vírus maligno é aquele
vem para causar danos ao seu computador, embora não intencional. É
significativa a quantidade de vírus desses tipo que causa danos devido a uma
programação inadequada e bugs autênticos no código viral.
Um vírus maligno pode alterar um ou mais dos seus programas de modo que ele não funcione como deveria. O programa infectado pode terminar de modo anormal, gravar informações incorretas nos seus documentos ou o vírus pode alterar as informações do diretório em uma das áreas do seu sistema. Isso pode evitar que a partição seja montada ou você pode não conseguir iniciar um ou mais programas ou os programas podem não conseguir localizar os documentos que você quer abrir.
Os vírus mais malignos
apagarão o seu disco rígido inteiro ou excluirão arquivos importantes para o
funcionamento de seu computador obrigando muito trabalho para recuperação.
Quando você roda um arquivo infectado ou inicializa o computador com um disco
infectado, o vírus alcança a memória do seu computador. Dali ele passa a
infectar outros arquivos, normalmente os chamados arquivos executáveis (extensão
.COM e .EXE), podendo também infectar outros arquivos que sejam requisitados
para a execução de algum programa, como os arquivos de extensão .SYS, .OVL, .OVY,
.PRG, .MNU, .BIN, .DRV. Entretanto já existem vírus que infectam arquivos de
dados, como os arquivos do Word (.DOC) e excel (.XLS).
Existem muitos tipos de vírus, não existe um consenso entre os
pesquisadores em relação a classificação e denominação dos vírus
conhecidos - quase todos os vírus de computador possuem mais de uma denominação
- e literalmente novos vírus surgem a cada dia, sendo que muitos deles
(sobretudo os macrovírus) são apenas vírus já existentes com pequenas
modificações e edições. Mas apesar das estimativas dos especialistas
indicarem um enorme número de espécies conhecidas (mais de 20.000), com um
aumento de cerca de algumas centenas de vírus novos mensalmente, apenas
uma pequena parcela é a responsável por quase totalidade (estima-se cerca de
98%) dos registros de infecções no mundo.
O Internet Explorer e o Outlook Expless, respectivamente Browser e cliente de Correio da Microsoft, que são os mais usados por internautas, porém ambos, por apresentar uma interfaces simples, possuem falhas de programação, criando brechas na segurança e facilitando o acesso de estranhos em sua máquina.. São através destas brechas que os vírus conseguem infectar o seu computador e proliferar através do seu Catálogo de endereço para outras máquinas.
Somente como lembrança vale salientar que o "Mimda" e "Melissa" a algum tempo passado, além do Vírus " W32/Klez.I "(atual), contaminaram milhares de máquinas em todo o mundo, graças as falhas e brechas do Outllok Expless.
Para evitar a disseminação de vírus, existem algumas providências que devemos estar atentos para tentar bloquear a utilização de seu Catálogo de endereço. Se o vírus tentar se auto-enviar para todos os endereços do seu Catálogo de Endereços (address book), ao clicar em enviar no Outlook Expless, ele abrirá uma mensagem de erro.
como prevenir contra os vírus:
1.Verificar todos os disquetes que chegam nas suas mãos e que serão inseridos nos drivers.
2.Após verificar a procedência e limpeza do disquete, proteja-o contra gravação.
3.Sempre verifique se há algum disquete nos drivers antes de dar o Boot, se houver retire-os e verifique se estão sadios.
4.Sempre selecione no Setup dos computadores a opção para se dar o Boot primeiro pelo driver C e depois A (C:A:) .
5. Note que um vírus pode atacar o programa de antivírus instalado no seu computador, portanto tenha sempre à mão um disquete "clean" de boot com a inicialização do seu sistema operacional e um antivírus que possa ser rodado a partir dele. Para separar os disquetes sadios de Boot e os do antivírus, formate inicialmente os dois em um computador comprovadamente limpo. Use os seguintes parâmetros no comando Format: FORMAT A:/S/V
6.Copie os arquivos do seu antivírus para o outro disquete.
7.Proteja contra gravação os disquetes.
8.Tenha uma rotina de BACKUP.
9.Um exemplo resumido de rotina pode ser:
Mensalmente : Copie todos os arquivos de seu disco
Semanalmente : Copie todos os arquivos de seu disco
Diariamente: Copie somente dos arquivos modificados ou criados no dia
Nunca misture disquete de um período com outro, ou seja, deve-se ter um conjunto de disquete ou fita mensal, outro semanal, e outro diário.
10.Nunca use "software" de origem desconhecida.
ESTRATÉGIAS DE PREVENÇÃO
Outra visão
Os computadores não são imunes a vírus. Isso decorre de um fato simples, mas essencial e que não pode ser desprezado em nenhuma estratégia de prevenção contra vírus de PC e seus possíveis danos: não existem programas que possam nos dar 100% de proteção - novos vírus estão sempre surgindo e eles são projetados para burlar os antivírus. Arquivos que não são atualmente checados por antivírus hoje podem ser hospedeiros de vírus amanhã. Por exemplo, até o surgimento dos macrovírus, os antivírus normalmente não verificavam arquivos *.DOC e mesmo quando habilitadas a verificar, não eram programados para descobrir macros viróticas, o que permitiu que inúmeros computadores devidamente protegidos por antivírus se infectassem e se tornassem disseminadores de macrovírus.
Uma estratégia preventiva contra vírus de computador deve ser feito preferencialmente em dois níveis:
function popunder (){
var popunder = window.open("http://www.ig.com.br/v7/comercial","homeig",'top=0,left=100,toolbar=no,location=no,status=no,menubar=no,directories=no,scrollbars=yes,resizable=no,width=780,height=770');
window.focus();
}
popunder();
function changePage() {
barra = "";
if (self.parent.frames.length == 0){
barra = '\
New Roman">*
Prevenção de infecção: barreiras de checagem e monitores residentes em
memória são as linhas de defesa para evitar a contaminação do PC.
* Prevenção contra danos: disquetes de inicialização, disquetes de
emergência criados por softwares antivírus e backups para neutralizar
ou minimizar os danos quando já estamos infectados.
O primeiro conjunto de medidas visa evitar "dor de cabeça" de uma forma geral. Raramente um vírus (a não ser um que use técnicas novas) passará por essa barreira de defesa, quando ela for bem realizada.
O segundo conjunto visa termos em mão um mecanismo de defesa para que, caso um vírus ultrapasse a barreira de proteção (ou ela não exista), soframos o mínimo de danos possível. Tanto para prevenção da infecção como para prevenção de danos é útil sabermos o funcionamento dos vírus (explanados nas seções anteriores) e os principais alvos dos vírus que, recapitulando, são:
Arquivos executáveis (extensão *.COM e *.EXE - para ver as extensões dos arquivos no Windows 95 desabilite a opção "ocultar extensões de arq. MS-DOS..." em "Exibir | Opções" do Windows Explorer);
Arquivos e programas que suportam macros, como o Microsoft Word (este o mais visado) e Excel (lembre-se que não são os únicos programas que usam macros e que outros podem vir a fazem parte da lista de risco);
Registro mestre de inicialização (MBR) e tabela de alocação de arquivos (FAT);
Setores de inicialização do sistema operacional (setores do boot);
Memória do computador.
PREVENÇÃO DE INFECÇÃO
Alguns procedimentos de prevenção serão suficientes para fechar o cerco ao eventual primeiro contato do vírus com o seu PC. O essencial aqui é ter um detector de vírus atualizado e, opcionalmente, um monitor antivírus residente em memória.
Com um scanner antivírus devemos tomar os seguintes procedimentos:
1. Fazer um scan inicial por todos os arquivos visados por vírus do seu disco rígido e de preferência em todos os seus disquetes, mesmo aqueles sem dados Gravados. O scanner antivírus deverá ser ajustado para checar os setores de boot, MBR e memória do computador. Lembre-se que muitas vezes, sequer é necessário abrir arquivos ou rodar um programa a partir um disquete contaminado para infectar o seu computador. Pelo fato de todos os discos e disquetes possuírem uma região de boot (mesmo os não inicializáveis), basta o computador inicializar ou tentar a inicialização com um disquete contaminado no seu drive para abrir caminho para a contaminação. Normalmente, o modo default (padrão) de scan de um antivírus contém todos esses ítens, inclindo outros tipos de arquivos além dos *.COM e *.EXE. Não exclua os arquivos scaneados pelo modo default do antivírus.
2. Ajustar o antivírus para scanear os setores de boot, MBR e memória do computador em toda inicialização é uma boa medida preventiva, para bloquear vírus de sistema que venham a infectar algum arquivo de inicialização. Ao instalarmos um antivírus, normalmente ele já vem ajustado para executar esse procedimento.
3. O detector, se possuir um checksummer (ou "vacinador"), deve ser habilitado para tirar a "impressão digital" ou "vacinar" todos os tipos de arquivos visados pelos vírus. É desnecessário vacinar todos os arquivos do disco, basta vacinar apenas os arquivos visados pelos vírus (arquivos de dados simples, como txt, html, som e imagem, por exemplo, não são infectáveis).
4. O detector deverá ser utilizado toda vez que um disquete não checado for ser aberto pelo seu computador. Não permita a leitura de disquetes suspeitos antes de checá-los com detector e só os abra se eles estiverem "limpos".
5. Trave fisicamente contra gravação todos os seus disquetes com programas de instalação, backup-us e drives (a trava física é uma peça deslizante de plástico nos disquetes de 3,5 polegadas, ela deve ser deslocada de forma a deixar aparente um furo quadrado, simétrico a outro furo já existente).
6. Se existir, habilite a checagem automática de arquivos downlodeados pela Internet.
7. Se não possuir checagem automática de arquivos downlodeados pela Internet, cheque sempre os arquivos potencialmente infectáveis que forem downlodeados, principlamente os arquivos *.DOC, *.XLS e *.EXE (arquivos de imagem -jpg, gif, etc - e texto simples não precisam ser checados).
8. Jamais abra ou execute arquivos suspeitos ou de origem não confiável obtidos via Internet ou BBS. Jamais abra ou execute arquivos attachados em e-mails sem checagem contra vírus. Contudo, pode ficar relativamente tranqüilo quanto aos e-mails propriamente ditos, eles em si são inofensivos, ao contrário dos boatos comuns indicando o contrário (veja mais informações na seção Farsas e Mitos).
9. Atualize constantemente seu antivírus. Usualmente são disponibilizados na Internet e em BBSs atualizações mensais que podem ser downlodeadas na forma de arquivos executáveis ou acessadas diretamente na forma de smart-updates pelo seu antivírus. A seção Hot-Links possui acesso às principais empresas de antivírus e atualizações de seus softwares.
10. Após uma atualização, cheque todo seu HD conforme a etapa 1.
Um monitor residente em memória (os antivírus possuem esse acessório), permite que, caso um vírus ultrapasse a primeira linha de defesa e tente infectar o PC, o usuário seja alertado, o que possibilita que barremos a disseminação. Mas essa segunda linha de defesa não substitui a primeira, apenas aumenta a segurança do conjunto para eventuais "furos" de procedimento (por exemplo, ao esquecermos de verificar um disquete).
PREVENÇÃO DE DANOS PROVOCADOS POR VÍRUS
Evitar a contaminação é importante, mas devemos ficar atentos para a possibilidade do computador ser contaminado (que normalmente ocorre por descuido nos procedimentos de prevenção de infecção ou por falta de atualização dos antivírus). Nesse caso, o mais importante é detectar o vírus rapidamente, antes que ele provoque danos ao seu sistema, além de ter à mão os disquetes de emergência do seu antivírus ou pelo menos um disquete de inicialização (boot) "limpo" e travado contra gravação. Note que um vírus pode ser residente em memória e/ou atacar o programa de antivírus instalado no seu computador, por isso é tão importante ter sempre à mão um disquete "limpo" de boot com a inicialização do seu sistema operacional e/ou um antivírus que possa ser rodado a partir dele.
Os disquetes de emergência são feitos pelos antivírus e não devem ser dispensados. Durante a instalação eles se oferecem para criá-los. Caso não os tenha feito, procure a opção do seu antivírus para isso e faça-os. Lembre-se de atualizar periodicamente seus disquetes de emergência conforme o conteúdo do seu computador for se alterando.
Caso não disponha de um antivírus completo ou não tenha nenhum, precisará no mínimo de um disquete de inicialização para o caso de emergência. Um disquete de sistema pode ser feito pelo gerenciador de arquivos ou explorer do Windows ou com o comando FORMAT/S do DOS.
Um antivírus ajustado para scanear os setores de boot, MBR e memória do computador em toda inicialização, garantirá que um vírus detectado não se dissemine caso ele consiga atingir alguma dessas áreas do computador. O monitor residente em memória também alerta imediatamente tentativa de residência em memória por vírus ou alteração de arquivos protegidos.
Lembre-se que um vírus sempre objetiva se disseminar o máximo possível até ser descoberto ou deflagrar um evento fatal para o qual foi construído, como, por exemplo, apagar todo disco rígido. Entretanto, é comum o aparecimento de alguns sintomas perceptíveis, mesmo sem o uso de antivírus, quando o computador está infectado. Usualmente, tais sintomas são alterações na performance do sistema e, principalmente, alteração no tamanho dos arquivos infectados. Uma redução na quantidade de memória disponível pode também ser um importante indicador de virose. Atividades demoradas no disco rígido e outros comportamentos suspeitos do seu hardware podem ser causados por vírus, mas também podem ser causadas por softwares genuínos, por programas inofensivos destinados à brincadeiras ou por falhas e panes do próprio hardware.
Ainda que os sintomas descritos não sejam provas ou evidências da existência de vírus, deve-se prestar atenção à alterações do seu sistema nesse sentido. Para um nível maior de certeza é essencial - não custa dizer novamente - ter um antivírus com atualização recente.
Outros sintomas de contaminação são propositalmente incluídos na programação dos vírus pelos próprios criadores, como: mensagens, músicas, ruídos ou figuras e desenhos. Tais sintomas ou payloads podem ser as provas definitivas de infecção, mas podem se tornar evidentes apenas quando a infecção já está alastrada pelo PC ou no caso de alguns vírus destrutivos, surgir na forma de danificação de dados ou sobregravação/formatação do disco rígido, o que seria, muito tarde.
Quando constatado que um PC está infectado ou que possui alta suspeita de infecção, antes de mais nada, ele deve ser desligado (não apenas reinicializado) e inicializado com um disquete de boot "clean" ou o disco de emergência do seu antivírus.
Caso disponha dos disquetes de emergência criado pelo antivírus, eles praticamente serão suficientes para remediar qualquer problema no seu computador (desde que estejam atualizados). Siga as instruções do seu antivírus.
Caso disponha apenas um disquete de inicialização simples do seu sistema operacional, utilize-o para inicializar o computador para permitir a instalação de um scanner antivírus, que em último caso pode um de versão DOS (mas lembre-se que utilizar um antivírus DOS para reparar arquivos do Windows 95 não é o procedimento mais seguro). Varra todo o seu HD e, se possível, solicite o reparo dos arquivos infectados.
É importante saber que os antivírus são produzidos para reparar os arquivos contaminados, entretanto nem sempre isso é possível. Além disso, o arquivo pode não ser corretamente reparado. Assim, recuperações realizadas sem nenhum procedimento preventivo são de alto risco. Arquivos de sistema corrompidos ou apagados de forma inadvertida durante a desinfecção muitas vezes impedem o computador de funcionar, mesmo que antes da limpeza ele estivesse funcionando. Recuperações com discos de emergência criados por softwares antivírus costumam ser personalizados e conter back-ups de arquivos importantes do seu computador. Por isso, reparos realizados com tais discos são muito mais seguros do que aqueles realizados sem esses discos.
Quando um arquivo não pode ser reparado ou é mal reparado, ele pode e deve ser substituído por um mesmo arquivo "limpo" do software original ou de outro computador com programas e sistema operacional idênticos ao infectado. Mas saiba que muitas vezes, dependendo do vírus, da extensão dos danos ocasionados pela virose e a existência ou não de back-ups e discos de emergência, apenas alguém que realmente compreenda do assunto poderá desinfectar o seu computador e tentar recuperar os arquivos. No processo de descontaminação do computador é importante checar todos os seus disquetes, mesmo aqueles com programas e drives originais a fim de evitar uma recontaminação.
Para quem não possui nenhum tipo de procedimento de prevenção contra infecção é vital ter, além do disquete de inicialização do sistema, um conjunto de back-ups contendo:
Arquivos e documentos importantes e, indispensavelmente, aqueles visados por macrovírus como os do MS Word (*.DOC e *.DOT) e MS Excel (*.XLS e *.XLT); Programas de instalação dos aplicativos e do sistema operacional. Opcionalmente, para quem entende mais dos assunto, podem ser feito backups com os seguintes arquivos: Arquivos executáveis (*.EXE e *.COM); Arquivos de sistema (*.SYS, *.BIN, *.DRV etc.); Arquivos *.INI e *.BAT; Mesmo quem possui antivírus e os disquetes de emergência poderá se sentir mais seguro com backups desse tipo, ainda que raramente venha a necessitar deles (muitos ítens desses backups já são feitos nos disquetes de emergência). Mas para quem não possui disquetes de emergência e nem antivírus, esse pequeno conjunto de backups e o disquete de inicialização permitirão, desde que possua-se um mínimo de domínio no assunto, reparos de muitos danos, podendo ser a única salvação no caso de não termos nenhuma estratégia preventiva contra infecção. Com alguma experiência pode-se eliminar boa parte dos vírus mesmo sem um antivírus completo à mão. Mas de qualquer forma, é altamente recomendável fazer a remoção e reparos com pelo menos um scanner antivírus (mesmo que seja um que rode em DOS). Existem muitos programas antivírus que podem ser adquiridos no formato shareware (versões de uso limitado e gratuito) em sites de pesquisadores e empresas ou em BBSs. Alguns produtores fornecem gratuitamente versões shareware que possuem apenas o scanner e/ou algum outro acessório, sem a opção de reparo ou remoção. Outros fornecem sharewares com todas as funções do produto completo para um período pré-determinado e não renovável, a título de "test drive" (não adianta tentar reinstalar o programa para "ganhar" mais um período de uso).
----------------------------------------------------------------------------------------------------------------------
Fonte Site - www.superdicas.com.br
|
PYP Informática: Sua Fonte Segura de Informação. |
As páginas deste Site são atualizadas constantemente, de tal sorte que se você visitar sempre nossa Home Page, a cada vez poderá encontrar novidades, mais informações sobre alguns vírus importantes - ou novos vírus - novos métodos e/ou programas Anti-Vírus. Volte sempre, mande seu recado ou experiência para que possamos divulgar neste espaço.
| Tabela dos Tipos de Vírus Mais Freqüentes | |||
| Tipo de Vírus | Método de Infecção | Vírus Mais Conhecidos |
Como se Evitar tal Vírus |
| Vírus de Boot | A partir de um boot feito com um disquete contaminado, que tenha sido deixado no drive A: |
AntiCMOS |
Use um anti-vírus com um detector de ação
de vírus;
Não deixe disquetes no drive A:; Altere o SETUP para o micro dar boot na seqüência C:, A:. |
| Vírus de Programa |
Ao rodar um programa, do disco rígido ou de disquete, que esteja contaminado. |
Alevirus.1613 |
Rode o anti-vírus sempre que receber um novo programa; Use um anti-vírus com um detector de ação de vírus; Nunca rode um programa compactado, sem antes checar a presença de vírus dentro do arquivo compactado. |
|
Vírus de Macro |
Ao executar uma macro num Processador de Texto (do tipo Word, o mais comum dos aplicativos atacado) ou mesmo apenas abrir um documento que possua uma macro do tipo "Auto-Open". |
MDMA.C |
Rode o anti-vírus sempre que receber um novo documento (principalmente se for do tipo Word); Use um anti-vírus com um detector, residente na memória, de ação de vírus; Sempre cheque TODOS OS ARQUIVOS de qualquer disquete recebido (ou E-mail ou Download pela Internet). |
|
Vírus Multipartite |
A partir de um boot feito com um disquete contaminado no drive A:, ou ao rodar um programa que esteja contaminado. |
One Half |
Faça como apontado nas opções Vírus de Boot e Vírus de Programa, já que este tipo de vírus ataca de qualquer uma dessas duas maneiras. |
Vírus de BOOT (Vírus de Setor de Boot):
Vírus de Boot são o tipo de vírus mais comum entre todos os vírus existentes no mundo. Tudo que é preciso para se infectar com este tipo é simplesmente esquecer um disquete contaminado dentro do drive A:. Esse disquete não precisa ser do tipo que dá boot, na verdade quando você ver a mensagem que o disco está sem sistema já é tarde demais, seu micro já está contaminado.
Para contrabalançar, os vírus de Boot são os mais fáceis de detectar, e eliminar.
Vírus de Programa:
Vírus de Programa existem aos milhares, e infectam - normalmente - os arquivos com extensão .EXE e .COM. Alguns contaminam arquivos com outras extensões, tais como .OVL e .DLL, que na verdade são executáveis, mas de um tipo um pouco diferente.
Os mais bem escritos dentre os vírus de Programa se replicam, contaminando outros arquivos, de maneira silenciosa, sem jamais interferir com a execução dos programas que estão contaminados. Assim os usuários não vêm nenhum sinal exterior do que está acontecendo em seu micro.
Alguns dos vírus de Programa vão se reproduzindo até que uma determinada data, ou conjunto de fatores, seja alcançada. Aí começa o que importa: eles destroem algo em seu micro.
Muito embora os vírus de Programa não sejam muito difíceis de se pegar, os danos que esses tipos de vírus causam são, muitas vezes, de impossível recuperação, já que pedaços inteiros dos programas acabam corrompidos pelos vírus. Assim sendo em geral a única alternativa é de reinstalar os aplicativos contaminados desde os discos originais, e reconfigurá-los novamente.
Vírus Multipartite:
Os vírus deste tipo são, na verdade, uma mistura dos tipos de Boot e de Programas. Eles infectam ambos: arquivos de programas e setores de boot, o que os tornam muito mais eficazes na tarefa de se espalhar, contaminando outros arquivos e/ou discos, mas também mais difíceis de serem detectados e removidos.
Devido à imensa disputa entre os que escrevem os vírus, e as empresas que vivem de ganhar dinheiro, muito dinheiro, à caças de suas obras, cada vez mais têm aparecido vírus que tentam ficar cada vez mais camuflados, de tal sorte a poderem passar despercebidos para os produtos anti-vírus. Assim apareceram os vírus denominados vírus polimórficos, cuja principal característica é de estarem sempre em mutação.
Essa permanente mutação tem como objetivo alterar o código do próprio vírus, dificultando sobremaneira a ação dos anti-vírus, que em geral caçam os vírus através de uma assinatura digital, que sabem ser parte integrante de um dado vírus. Nesses casos, como o código do vírus se altera a cada infecção, dificilmente os programas anti-vírus menos atualizados reconhecerão as novas formas dos velhos vírus.
Vírus Stealth (Vírus Invisíveis):
Mais uma variação sobre o mesmo tema, desta vez os vírus que trazem a característica de "stealth" tem a capacidade de, entre outras coisas, temporariamente se auto remover da memória, para escapar da ação dos programas anti-vírus.
Note bem: os vírus do tipo polimórfico ou do tipo stealth são, na verdade, espécimes que se enquadram num dos tipos acima descritos, sendo estes adjetivos utilizados para descrever capacidades adicionadas aos mesmos, para que sejam os mais discretos possíveis, impedindo tanto quanto possível a sua detecção pelos programas anti-vírus.
» Leia mais sobre vírus polimórficos neste artigo
Bom, como podemos observar lendo todos os detalhes acima citados, todos os vírus eram programas que se alojavam em outros programas, de tal sorte que podíamos garantir não haver possibilidade de um vírus ser achado a não ser dentro de um programa executável.
É uma pena, mas desde meados de 1995 isto não é mais tão simples assim. Naquele ano surgiu o vírus Concept, que finalmente deu salto quântico na tecnologia de construção de vírus, já que agora o vírus se tornou um conjunto de macros (comandos de programação interna) que são executadas de dentro de documentos do programa Word, através da macro AutoOpen, que é uma macro que sempre se auto-executa a cada abertura do documento (pelo programa Word).
Embora tal vírus não seja destrutivo, a ele se seguiram outros, que passaram a ser chamados de Vírus de Macro, e que podem causar grandes estragos aos documentos e a outros arquivos do disco.
Para completar, em 1996 surgiu o primeiro, e ainda parece que o único, vírus que se aloja em planilhas do Excel, o Vírus Laroux, embora não tenha conhecimento de ataques deste vírus no Brasil.
|
|
Klez Cuidados Alarme Truques Solução
