Você está na página 1de 6

Vrus Clssicos Os vrus de computador podem ser classificados de acordo com seu ambiente e mtodo de infeco.

O ambiente de aplicao o sistema operacional ou aplicativo que qualquer vrus necessita para infectar arquivos dentro destes sistemas. Os mtodos de infeco so tcnicas utilizadas para injetar cdigo do vrus em um arquivo. Ambiente A maioria dos vrus pode ser encontrada em algum dos seguintes ambientes: Sistemas de Arquivos Setores de inicializao Ambientes de macro Script de host Os vrus de arquivo utilizam o sistema de um determinado sistema operacional ( ou mais de um) para propagar -se. Os vrus podem dividir -se nas seguintes categorias: - Vrus que infectam arquivos executveis (este o grupo maior de vrus de arquivo); - Vrus que criam duplicao de arquivos (vrus acompanhantes ou companheiros); - Vrus que criam cpias de s mesmo em vrios diretrios; - Vrus que utilizam caractersticas dos sistemas de arquivos (vrus de vnculo ou ligao). Os vrus do setor de inicializao propriamente so escritos ou no setor de boot ou MBR, ou substitui o setor de inicializao ativo. Esses vrus foram difundidos na dcada de 1990, mas quase desapareceram, desde a introduo de processadores de 32 bits como padro e a reduo de discos flexivis (disquetes). Embora seja tecnicamente possvel escrever vrus de setor de inicializao para CD e USB, flash ROM, contudo no h deteco de tais vrus. Muitos processadores de texto, aplicaes contbeis, de edies e projetos tem scripts de macros incorporados que automatizam sequncias utilizadas com frequencia. Estas linguagens de macro so muitas vezes complexas e incluem uma variedade de instrues. Os vrus de macro so escritos em linguagens macro e infectam aplicaes com macros incorporadas. Os vrus de macro se propagam aproveitando as propriedades da linguagem macro, a fim de transferir -se de um arquivo infectado para outro arquivo. Mtodos de infeco Grupos de vrus listados acima podem ser divididos de acordo com a tcnica utilizada para infectar objetos.

Virus de arquivo Os virus de arquivos utilizan os siguintes mtodos de infeco:


Sobreescrita (substitues) Parasitrio Acompanhante (companheiro) Vnculos (ligaes) Mdulos de objeto (OBJ, sigla em ingls de mdulos de objeto) Bibliotecas de Compilao (LIB) Cdigo fonte da aplicaco

Sobreescrita Este o mtodo mais simples de infeco: O cdigo do vrus substitui o arquivo infectado com o seu prprio, excluindo o cdigo original. O arquivo se torna inutilizvel e no pode ser restaurado. Estes vrus so facilmente detectados porque o sistema operacional e os aplicativos afetados deixaro de funcionar pouco depois da infeco. Parasitrio Vrus parasitas modificam o cdigo do arquivo infectado. O arquivo infectado permanece parcialmente ou totalmente funcional. Vrus parasitas so agrupados de acordo com a seo do arquivo, de onde se escreveu seu cdigo: Anexado no incio: o cdigo malicioso escrito no incio do arquivo Anexado no final: o cdigo malicioso escrito no final do arquivo Insero: o cdigo malicioso inserido no meio do arquivo Vrus anexados no incio Os vrus anexados no incio escrevem seu cdigo para apontar os arquivos de duas formas. No primeiro cenrio, o vrus move o cdigo no comeo (incio) do arquivo utilizado para o final e escreve seu prprio cdigo neste espao. No segundo cenrio, o vrus adiciona o cdigo do arquivo utilizado a seu prprio cdigo. Em ambos os casos, cada vez que o arquivo infectado executado, o cdigo do vrus se executa primeiro. A fim de manter a integridade da aplicao, pode ser que o vrus limpe o arquivo infectado, e volte a executar, espera -se que o arquivo se execute e uma vez que se termine este processo, o vrus copiar a s mesmo novamente para o incio do arquivo. Alguns vrus utilizam arquivos temporrios para armazenar verses limpas de arquivos infectados. Alguns virus restauram o cdigo da aplicao na memria e

reinicializam os endereos necessrios do corpo, duplicando, deste modo o trabalho do sistema operacional. Vrus anexados no final A maioria dos vrus enquadram nesta categoria. Os vrus anexados no final so escritos no final dos arquivos infectados. No entanto, esses vrus costumam modificar arquivos (mudar o ponto de entrada no cabealho do arquivo) para garantir que as instrues contidas no cdigo do vrus a sejam executado antes das instrues de objetos infectados. Vrus de Insero Os criadores de vrus utilizam uma variedade de mtodos para inserir vrus no meio de um arquivo. Os mtodos mais simples seria mover parte do cdigo do arquivo para o final do arquivo movendo o cdigo original para um lado para criar um espao para o vrus. Os vrus de insero incluem os chamados vrus de cavidade, estes escrevem o seu cdigo nas sees dos arquivos que se encontram vasias. Por exemplo, os vrus de cavidade podem copiar -se em partes no utilizadas de cabealhos de arquivos .exe, nos espaos vasios que se encontram entre sees de arquivos .exe ou em reas de texto de compiladores conhecidos. Alguns vrus de cavidade s infectar arquivos, onde um determinado bloco contenha certo byte, o bloco escolhido ser sobreescrito com o cdigo do vrus. Por ltimo, alguns virus de insero estaro mal escritos e simplesmente sobreescrevem sees de cdigos que so essenciais para que o arquivo infectado funcione. Isto causa que o arquivo seja corrompido de forma irrevocvel. Vrus que ocultam seu ponto de entrada ( Entry point obscuring EPOs) Existe um pequeno grupo de vrus parasitrios que incluem tanto virus de anexos de incio e final que no altera o endereo do ponto de entrada dos cabealhos dos arquivos executveis. Os vrus EPO escrevem o ponto de rotina no corpo do vrus, e no meio do arquivo infectado. O cdigo do vrus executado apenas e somente, se for chamado a rotina que contm o virus executvel. Se esta rotina utilizada rara vez, (ex. uma notificao de erro pouco comun) um vrus EPO pode permanecer inativo por muito tempo. Os desenvolvedores de vrus necessitam escolher o ponto de entrada com cuidado: um ponto de entrada mal escolhido pode corromper o arquivo de host ou fazer com que o vrus permanea inativo o tempo suficiente para excluso. Os criadores de vrus usam mtodos diferentes para encontrar pontos de entrada teis:

Estruturas de busca e sobreescrever com o ponto de inicio infectado

Desmontar o cdigo do arquivo host Ou alterar os endereos das funes de importao

Vrus acompanhantes Os vrus de companhia no modificam o arquivo host. Em vez disso, crie um arquivo duplicado contendo o vrus. Quando o arquivo infectado executado, a cpia que contm o vrus executado primeiro. Esta categoria inclui vrus que mudam o nome do arquivo host, gravar o novo nome para futura referncia e, em seguida substituir o arquivo original. Por exemplo, um vrus poderia mudar o nome para notepad.exe e notepad.exd e escrever seu prprio cdigo para o arquivo com o nome original. Cada vez que o usurio da mquina vtima executar notepad.exe, se executar o cdigo do vrus, executando -se posteriormente o arquivo original Notepad, notepad.exd. Existem outros tipos de vrus de companhia que utilizam tcnicas de infeco originais e exploram vulnerabilidades em sistemas operacionais especficos. Por exemplo, os vrus de companhia de rotas colocam suas cpias no diretrio do sistema Windows, explorando o fato de que este diretrio o primeiro da lista de rotas, o sistema comear neste diretrio quando Windows. Muitos worms e trojans contemporneos utilizam, tais tcnicas de auto execuo. Outras tcnicas de infeco Alguns vrus no usam arquivos executveis para infectar um computador, mas simplesmente copiam -se para uma srie de pastas, na esperana de que, mais cedo ou mais tarde, seja executado pelo usurio. Alguns criadores de vrus nomeam seu vrus como install.exe ou Winstart.bat para persuadir o usurio a executar o arquivo contendo o vrus. Outros vrus copiam-se em arquivos como ARJ, ZIP e RAR, enquanto outros escrevem a instruo para executar um arquivo infectado em um arquivo BAT. Os vrus de ligao no modificam os arquivos hosts. No entanto, obriga o sistema operacional executar o cdigo do vrus, modificando os campos apropriados no sistema de arquivos. Vrus de inicializao Os vrus de inicializao so conhecidos por infectar o setor de boot dos disquetes e setor mestre de inicializao (MBR, sigla em Ingls, Master Boot Record) do disco rgido. Os vrus de inicializao atua com base em algoritmos utilizados para iniciar o sistema operacional quando o computador ligado ou reiniciado. Uma vez que verificao de memria, discos, etc foi concluda, o programa de inicializao do

sistema l ou encontra o primeiro setor fsico do disco de boot (A:, C: o CD-ROM, dependendo dos parmetros configurados ou instalados na configuraco da BIOS e passa a controlar este setor) Ao infectar um disco, os virus de inicializao substituir o cdigo por um programa que possibilita controle quando se inicia o sistema. A fim, de infectar o sistema o vrus obrigar o sistema a ler a memria e entregar o controle, no o programa de incio original, mas o cdigo do vrus. Os disquetes somente podem ser infectados de uma forma. O vrus escreve seu cdigo no lugar do cdigo original do setor de inicializao do disco. Os discos rgidos podem ser infectados de trs formas: o vrus escreve seu cdigo no lugar do cdigo MBR, o cdigo do setor de inicializao do disco de boot modifica o diretorio do setor da tabela de partio do disco, e na MBR do disco rgido. Na grande maioria dos casos, ao infectar um disco, o vrus mover o setor de inicializao original (MBR) para um outro setor de disco, em muitas das vezes para o primeiro que encontra -se vazio. Se o vrus mais longo do que o setor, ento o setor infectado conter a primeira parte do cdigo do vrus e o resto do cdigo ser colocado em outros setores, normalmente nos trs primeiros. Vrus de macro Os vrus de macro mais difundidos so para as aplicaes de Microsoft Office (Word, Excel e PowerPoint) que armazenam informaes em formato OLE2 (Enlace e incorporao de objetos, en ingls Object Linking and Embedding). Os vrus para outras aplicaes so relativamente pouco comun. A localizao real de um vrus com um arquivo de MS Office depende do formato de arquivo, o que no caso dos produtos da Microsoft extremamente complexo. Todos os documentos do Word, Office 97 ou tabela Excel consistem de uma seqncia de blocos de dados (cada qual tem seu prprio formato) que esto conectados ou ligados por servios de dados. Devido complexidade dos arquivos de Word, Excel e Office 97, mais fcil usar um diagrama para mostrar a localizao de um vrus de macro, nestes tipos de arquivos:

Arquivo de documento tabela sem infeco Arquivo de documento tabela com infeco Cabealho do arquivo Dados de servios (diretorios, FAT) Texto Fontes Macros (se for o caso) Outros dados Cabealho do arquivo Dados de servios (diretorios, FAT) Texto Fontes Macros (se for o caso) Macros de virus

Outros dados

Ao trabalhar com documentos e tabelas, MS Office realiza -se vrias aes diferentes: a aplicao abre o documento, salva, imprime, fecha-o, etc. MS Word encontrar e executar ou inicializar as macros incorporadas apropriadas. Por exemplo, utilizando a instruo Arquivo / Salvar chamar a macro Arquivo / Salvar, a instruo Arquivo / SalvarComo chamar a macro Arquivo / SalvarComo, e assim sucessivamente, sempre assumindo que tais macros esto definidas e configuradas. H tambm macros automticas, que sero chamadas automaticamente em determinadas situaes. Por exemplo, quando um documento aberto, o MS Word verificar a presena da macro AutoAbrir do documento. Se encontrar a macro, o Word ir executar. Quando um documento for fechado, o Word executa a macro de fechamento automtico. Quando o Word iniciado, o aplicativo ir executar a macro AutoEjec, etc Essas macros so executadas automaticamente, sem qualquer ao por parte do usurio, assim como as macros ou funes que esto associados com uma chave particular, ou com um tempo de fechamento especfico. Como regra geral, os vrus de macro que infectam arquivos do MS Office utiliza uma das tcnicas antes descritas. O vrus conter uma auto macro ( funo automtica), uma das normas do sistema de macros (associado a um item de menu) sero redefinidas, ou, o vrus de macro ser chamado de forma automtica, quando uma determinada tecla ou combinao de teclas forem apertadas. Uma vez que o vrus de macro tenha adquirido o controle, transferir o seu cdigo para arquivos de outros, geralmente os que esto sendo editados no momento. Em algumas ocasies os vrus buscaro nos discos e outros arquivos. Vrus de Script Os vrus de script so um subconjunto de vrus de arquivos, escritos em uma variedade de linguagens de script (VBS, JavaScript, BAT, PHP, etc.) Eles infectam outros scripts, por exemplo, de instruo e servios de arquivos do Windows ou Linux, ou fazem parte de multi-componente do vrus. O vrus script pode infectar outros formatos de arquivos, como HTML, se o formato de arquivo permite a execuo de scripts.