Escolar Documentos
Profissional Documentos
Cultura Documentos
vírus e eliminá-lo.
Vírus: Programa desenvolvido com intenção nociva, que inserido em um computador, pode causar
queda da sua performance, destruição de arquivos e disco rígido, ocupar espaço livre de memória,
entre outros danos. As formas mais comuns de contaminação são os disquetes e arquivos
enviados por correio eletrônico. Ex. Melissa.
Já transcorreram mais de 10 anos do aparecimento do primeiro vírus e nada nos leva a crer que
este tipo de praga irá deixar de nos preocupar. Por mais que as empresas tentem criar uma
espécie de acina, digamos eficaz para sempre, ou seja, que não haja necessidade de aualizar-se,
os esforços não chegam ao seu intento.
O QUE SÃO VÍRUS ?
...Vírus de computador são programas ou comandos escritos para gerarem problemas em outros
programas no computador. Com a existência de vários tipos de vírus torna difícil a eficiência na
proteção. As formas de nos depararmos com vírus são muitas, mas são poucas as maneiras de
contaminação. Um vírus só entra em ação quando é executado.
Um disco de boot está contaminado (disquetes de segurança feitos para serem utilizados
quando o sistema trava).
Leia mais >>
...Pela própria característica dos vírus (ou worms, trojans, etc), e a necessidade de se automatizar
processos, ou mesmo fazer com que o micro faça cada vez mais com menos "cliques", os vírus em
geral estarão conosco por muito tempo.
TOP 20 DO VÍRUS
1. JS_EXCEPTION.GEN
2. WORM_KLEZ.G »
3. PE_FUNLOVE.4099
4. PE_NIMDA.A
5. PE_ELKERN.D
6. PE_MAGISTR.B
7. TROJ_SIRCAM.A
8. PE_NIMDA.A-O
9. PE_NIMDA.E
10. PE_MAGISTR.B
11. VBS/VBSWG.X@mm
12. W32.Magister@mm
13. VBS.Mawanella.A
14. W32.Funlove
15. W32.Hybris
16. W32.BadTrans.A@MM
17. VBS.LoveLetter Family
18. W95.MTX
19. VBS.Kakworm
20. VBS.HapTime@MM
Nunca é demais esclarecer de que a lista é criada de acordo
com os relatórios e reportes de incidentes relativos aos
mesmos vindos de diversas fontes.
Subir
LINKS SOBRE VÍRUS E OUTROS FABRICANTES
TREND MICRO
NORTON ANTIVÍRUS
NAI
PANDA SOFTWARE
McAFEE
COMMAND ANTIVIRUS
SECURITY PORTAL
LINKS DE SITE SOBRE HACKERS
Lista Anti - Hackers
Anti - Hackers
Subir
OBSERVAÇÕES
O uso de anti-vírus ( de qualquer fabricante ) pode tornar o computador mais lento, devido
aos testes e monitoramento on-line que o mesmo fica processando.
O anti-vírus deve ser ATUALIZADO regulamente, para que esteja preparado para os novos
vírus que aparecem. Esta atualização geralmente é feita pela Internet.
Para uma verificação GRATUITA e ON-LINE pela Internet se existe algum vírus alojado em
seu computador, clique abaixo: http://housecall.antivirus.com
Subir
ATUALIZE O PC-CILLIN
Para atualizar seu PC-Cillin proceda da seguinte maneira:
Clique duas vezes com o botão esquerdo do mouse sobre o raio azul, localizado na barra
de tarefas
Um falso alerta de vírus, muito parecido com o boato do "vírus" Sulfnbk.exe, está circulando por e-
mail em português. A mensagem avisa sobre um novo vírus de computador, não-detectado pelo
Norton, que deve ser localizado procurando-se o arquivo JDBGMGR.exe. Claro, o internauta deve
apagar o arquivo e avisar a todos os seus amigos. Parece familiar? Pois é o mais novo boato a
correr pela rede.
Se você já apagou o arquivo, não se desespere: há remédio. O arquivo jdbgmgr.exe pode ser
restaurado a partir do disco de instalação do sistema operacional.
No Windows 98:
1- O jdbgmgr.exe está dentro do Win98_44.cab, um arquivo comprimido em um formato especial
para instalação de programas da Microsoft. É necessário um programa como o WinZip para ter
acesso ao conteúdo.
2- Você deve entrar neste arquivo (Win98_44.cab)e copiar o jdbgmgr.exe.
3- Depois, cole o arquivo na pasta C:\WINDOWS\system ou C:\WINNT\system.
No Windows Millenium:
1- Você pode utilizar o recurso System Restore (recuperação do sistema
2- Vá em Programas/acessórios/ferramentas de sistema
3- Use o System Restore (recuperação de sistema) para voltar seu computador a um estado
anterior, quando você ainda não tinha deletado o arquivo jdbgmgr.exe.
http://www.via.com.br/antivirus/
Vc comecou a ter problemas com acentuacao no seu teclado? tudo q vc escreve sai assim ~~`` Ja
trocou de teclado e continua a mesma coisa? ja tentou mudar o layout/idioma do teclado e ainda nao
consegue acentuar? sua impressora fica imprimindo sem parar? Provavelmente é coisa do virus
BugBear q se propagou mais q o famoso Klez...
Este worm se propaga atravez de unidades compatilhadas em uma rede ou Email's infectados, ele desabilita os anti-virus
mais conhecidos impedindo sua remocao, o bugbear tb abre portas em seu pc criando um server q permite conexoes remotas
no qual o usuario remoto pode pegar suas senhas e sugar arquivos, ter total acesso a suas unidades de disco...
Se vc nao instalou o patch de atualizacao do bug de IFRAME no Internet explorer 5.0 ou 5.5 o virus é executado
automaticamente qdo vc le o email
Obs: eu falo desse patch no tutorial sobre o virus I-Worm/Nimda
http://www.infohelp.org/article.php?sid=39
Alem de zoar seu teclado ele tb acumula trabalhos no spool de sua impressora, ou seja.. sua impressora fica imprimindo
folhas em branco ou caracteres estranhos sem vc dar comando algum.. é mto comum isto em redes locais infectadas pelo
BugBear, varias pessoas relataram isto no #Manutencao, e andei pesquisando e o sintoma é real.
Remoçao manual
Primeiramente identifique o EXEcutavel principal do Bugbear.. ele esta carregado em sua memoria, para identificar abra o
windows task manager(ctrl+alt+del) na listagem dos programas localize o programa com nome estranho, e feche depois
apague do HD este programa, no windows9x/ME nao aparece na listagem de programas, vc precisa de um proccess viwer
para localizar, já no winXP e win2000 da pra vc listar o processos, localize la o programa estranho e feche e apague.
Obs: da pra vc ter certeza se realmente vai apagar o arquivo certo.. pois o virus fica no Windows/System e tem 50688bytes e
seu nome geralmente é algo assim zxcsdw.exe ele tb usa uma DLL pra Keylogging responsavel por gravar tudo q vc escreve..
q pode ser acessada pelo usuario remoto.. apagando o executavel do virus esta dll nao funcioma mais.. mas apaguea tb :) a
dll tem 5632bytes e tem um nome parecido com o do virus hhbxhss.dll
Apague tambem a chave de auto-inicalizacao do virus q fica no registro do windows em:
HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunOnce
Como identificar este programa? se vc for um usuario q vive fuçando em seu pc e conhece todos programas q rodam, pelo
nome estranho do programa vc vai identificar.. caso nao consiga identificar baixe algum dos anti-virus abaixo.
Atualizar
Começo
Os comentários são propriedade de quem os escreveu. Nós não somos responsáveis por seu conteúdo.
http://www.infohelp.org/article.php?sid=95
A
pós a publicação da matéria "Preocupe-se com a segurança de seu computador", de minha autoria,
publicada aqui no Superdownloads, recebi quase uma centena de e-mails, e já respondi à maioria.
Aos poucos, pois meu tempo é curto, não deixarei ninguém sem resposta. Muitos escreveram para
esclarecer dúvidas extremamente básicas, e achei por bem escrever uma matéria esclusiva sobre
vírus e anti-vírus. Como o assunto é extenso, dividi a matéria em duas.
Começando por definições, vírus são programas altamente sofisticados que têm por objetivo causar
algum dano no computador. Têm esse nome devido à sua grande semelhança com os vírus
biológicos: presisam de algum hospedeiro pois, do contrário, não têm função, possuem a
capacidade de se reproduzir e têm claras noções de auto-defesa, podendo sofrer mutações para
enganar os anti-vírus, assim como os biológicos passam por mutações para driblar as defesas
naturais dos organismos e as vacinas desenvolvidas. Atualmente, os vírus já estão em um estágio
de evolução bastante complexo, aprimorado durante o decorrer das gerações.
A primeira geração apareceu por volta de 1987. Seus representantes são vírus bem simples,
capazes de infectar arquivos de sistema, geralmente de extensão *.exe, *.com, *.sys e similares,
que lhes servem de moradia e transporte. Na prática, seu código é inserido em um arquivo com
qualquer uma dessas extenções, de forma que, ao executar um arquivo contaminado, o vírus
executa outras tarefas, como a infecção de outros arquivos e, depois, ativa o verdadeiro programa.
A quarta geração, de 1991, começa a demonstrar preocupação com os anti-vírus, pois possui
código criptografado, capaz de polimorfia ou mutação. Ou seja, a cada vez que infecta um arquivo,
o vírus altera seu próprio código fonte, gerando uma variante diferente. Teoricamente, se uma
única variante escapar da detecção do anti-vírus, ainda assim o sistema estaria indefeso. É um
conceito complexo, e bastante interessante.
Em 1992, a geração seguinte demonstrava clara preocupação com os anti-vírus, pois sua primeira
ação é neutraliza-los, de maneira que suas demais ações, como infecção, replicação e destruição
ficavam em um nível secundário. Com as defesas desativadas, o hospedeiro ficava à mercê de
quaisquer outros vírus com que tivesse contato. Parece que a AIDS andou inspirando alguns
programadores...
A
partir daí, não saberia classificar outras gerações, mas é certo que outras vieram, aprimorando
cada vez mais seus representantes. Vieram os vírus de macro, capazes de infectar arquivos do
Word, Excel, Powerpoint, Access, Corel, e etc, tão ou mais poderosos que os convencionais. Com a
popularização da Web, foram desenvolvidos vírus em HTML, Java, e scripts, como VBScript. Se
antes era necessário abrir um arquivo infectado para se contaminar, hoje é possível a
contaminação simplesmente acessando uma Home Page ou lendo uma mensagem de e-mail, sem
clicar em anexo algum. Como no mundo dos vírus tudo é festa, surgiram ou difundiram-se outras
categorias, como trojans e worms.
Trojans são programas que abrem serviços em sua máquina sem que você fique sabendo,
permitindo que qualquer pessoa conectada à Internet possa ter acesso aos seus arquivos e fazer o
que quiser com eles: ler, modificar, inserir ou deletar. Já fiz descrições completas em outras
matérias aqui no Superdownloads, portanto não irei me repetir.
Existem ainda outros programas que tecnicamente não são vírus, mas a grande maioria dos anti-
vírus são capazes de detectar, como os keystroke recorders, que armazenam em um arquivo texto
tudo o que for digitado no teclado, ou os dial-up rippers, que conseguem acesso à senhas do
sistema, armazenadas em um arquivo de extensão *.pwl, na raíz do Windows. No entanto, há
controvérsias, pois são programas que podem ser usados para o mal, e realmente o são mas, por
outro lado, podem salvar aquele usuário que esqueceu alguma senha, podem ajudar um
administrador de rede, um patrão ou um pai a descobrir como usuários, empregados ou filhos
utilizam os recursos da rede corporativa e acesso à Internet... Enfim, têm sua razão de ser e
podem ser facilmente encontrados em sites de downloads populares, como é o caso do
Superdownloads.
Muitos anti-vírus detectam, também, outros programas que não têm nenhuma ligação com os
citados acima. São programas "hackers" que têm como função a realização de alguma maldade.
Isso inclui nukes, geradores de números de cartão de crédito, site scans (programas que procuram
vulnerabilidades em Web Sites para abrir caminho a invasões), clientes de trojans, e etc. Esta ação
tem como objetivo desencorajar novatos a utilizar tais programas que, definitivamente, não se
tratam de vírus nem possuem ações destruidoras ou malignas a quem os utiliza.
Devido à condição leiga de um número alto de usuários, a Internet é um excelente local para
proliferação de informações falsas. Um simples boato já foi capaz de derrubar as ações de algumas
empresas norte-americanas, e o FBI está cuidando do caso mas, de modo geral, é muito difícil
chegar aos autores de algo assim. O ICQ, então, é o melhor lugar para disseminar todo o tipo de
inverdades. Quantas vezes você recebeu mensagens sobre uma menininha doente que iria receber
10 centavos de dolar por cada mensagem que fosse passada adiante? Ou alguma mensagem
dizendo que tal UIN (Universal Internet Number, ou o número de registro no ICQ) é de um "hacker
mau" que está passando vírus? Isso simplesmente não existe e, se você passou essa mensagem
adiante, agiu de boa fé, porém transmitindo informações inverídicas e fantasiosas. Não faça mais
isso!
Quando o comunicado está diretamente ligado a vírus, a isso se dá o nome de hoax. Se receber
algum e-mail, mensagem no ICQ, ou sei la o que, dizendo que um novo super vírus híper potente é
capaz de identificar o IP de sua torradeira e, consequentemente, botar fogo na casa (coisas do
IPv6...), simplesmente esqueça... Na dúvida, dê uma passada em algum site de anti-vírus, é quase
certo encontrar o desmentido. Outra opção é acessar portais, que sempre avisam quando um novo
vírus realmente perigoso está em circulação. Mas, melhor ainda, é assinar a newsletter que a
maioria dos sites de anti-vírus oferece. Trata-se de um boletim via e-mail com as últimas notícias
sobre vírus, de hoaxes a novas infecções e como se defender delas. Em alguns casos, os
produtores de anti-vírus chegam a liberar patches emergenciais, até que um novo DAT de
atualização seja lançado. Existem também diversos fóruns (locais de discussão) especializados no
assunto. Vale a pena frequentar, para conhecer um pouco mais sobre vírus, saber as novidades, e
etc.
Há, ainda, a possibilidade da falsa detecção, que é rara, mas pode ocorrer. Pra dizer a verdade, só vi
esse caso duas vezes. Uma recentemente, relatada no fórum da Info Exame, em que as estações
de trabalho de uma determinada rede estavam detectando um vírus, mas nada de anormal estava
acontecendo. Outra, no programa IP Subnet Calculator. Em ambos os casos, o Norton ou o McAfee
reportaram a presença de falsos vírus, problema que foi corrigido quando o DAT foi atualizado.
Voltando aos vírus, o que eles são capazes de fazer? Quais os sintomas? Obviamente isso varia de
vírus para vírus. Podem tornar seu sistema mais lento, apagar seus arquivos, modificar o tamanho
e atributos dos arquivos, indicar falsos bad clusters (setores defeituosos) no HD, exibir animações
ou mensagens engraçadinhas ou de cunho político, renomear arquivos, inclusive com caracteres
irreconhecíveis ao DOS e ao Windows, e muito, muito mais que isso! Realmente, um vírus pode ser
capaz de trazer muitas dores de cabeça!
Também é evidente que todas as versões de Windows são bem propícias ao desenvolvimento de
vírus, e que 95% dos vírus desenvolvidos são para esses sistemas. Mas Linux, MacOS e outros
sistemas também não tem muito a comemorar. Embora raros, vírus e trojans também fazem suas
festas em outras plataformas. No Linux, só resta saber se o usuário que entrou em contato com o
vírus detêm poderes o suficiente para poder fazer o que o vírus faria. Normalmente, o vírus só seria
perigoso ao linux se da a sorte de ser executado pelo root (administrador, o "pode tudo"). Aí, a
segurança do pingüim vai pro saco... Sem dúvida é um sistema mais seguro, mas também é
exagero dizer que não existem vírus para Linux, ou que o sistema é imune a vírus.
Anti-vírus - Parte I
Por Doom
Publicado em 13.02.2001
M
uitos usuários até têm a preocupação de ter um anti-vírus em seus computadores. Mas a falta de
conhecimento às vezes é muito triste. Já cheguei a encontrar uma usuária que utilizava um anti-
vírus de 1992 que veio de brinde em um livro que ela comprou. Outros não chegam a tanto, mas
continuam a utilizar anti-vírus antigos, de três ou quatro anos atrás. Por fim, há sempre aquele
usuário que adquire o mais recente anti-vírus. Porém, nunca o atualiza.
Ter o anti-vírus sempre em sua última versão é muito importante. Não é raro, por exemplo,
encontrar usuários do McAfee utilizando a versão 4.02, 4.03 ou 4.5. Excelente, mas o conceito de
detecção de vírus muda constantemente e, a cada vez que isso acontece, a McAfee lança uma nova
versão. Usuários de versões anteriores, mesmo com os DATs de atualização mais recentes, estão
protegidos, mas apenas em termos, pois alguns vírus somente são detectados através dos novos
métodos implantados nas versões mais novas, especialmente no que se refere às detecções
heurísticas. Esse tipo de detecção baseia-se em identificar vírus desconhecidos através de
características comuns. Se um arquivo está agindo de modo suspeito, o anti-vírus o coloca de
quarentena e passa a observar seus passos, neutralizando qualquer ação malvada que ele tente
fazer.
Mais importante que ter a última versão é atualiza-la semanalmente com os DATs de atualização
disponibilizados gratuitamente via Internet pelos desenvolvedores de anti-vírus. Isso garante um
sistema imune a 99.9% dos vírus. Há, é claro, sempre a possibilidade de você se deparar com um
vírus novo que consiga driblar as detecções heurísticas, mas ainda assim é uma possibilidade bem
pequena.
No McAffe, fazer essa atualização é moleza. Vá no menu "Iniciar", escolha "Programas", e localize a
pasta que ele criou. Na última versão, essa pasta se chama "McAfee Office". Localize um ícone
chamado "McAfee Virus Scan Central", e clique nele. Uma janela se abrirá, clique no botão
"Update". Outra janela se abrirá e aí é utilizada a maravilhosa tecnologia NNNF (next next next
finish), implantada pela Microsoft. Caso tenha problemas, baixe os arquivos de atualização aqui no
Superdownloads. Existem 5 tipos diferentes, escolha o que melhor se aplica ao seu caso. Em
primeiro lugar, saiba se seu micro é Intel ou Decalpha. Se não souber, tenha em mente que Intel é
a produtora de todos os chips Pentium, Pentium II, Pentium III, Xeon, Celeron, entre outros. Se,
ainda assim, a dúvida persistir, escolha Intel: quem usa Decalpha geralmente sabe que está num
Decalpha, pois é uma plataforma muito específica, utilizada geralmente em ambientes corporativos.
As atualizações são praticamente semanais e, repito, são muito importantes. Recebi o seguinte e-
mail após ter escrito a matéria sobre segurança:
De quanto em quanto tempo é necessário atualizar os "DAT Files", os arquivos que vêm com os
updates da proteção contra virus? Eu percebi que os "DATs" do InoculateIT têm atualizações
semanalmente. Eu acho meio "exagerado" ficar baixando sempre os mesmos 600kb que cada DAT
tem. As mudanças de tamanho dos arquivos são de apenas 1 ou 2 kb. Ou seja, eu acabo baixando
toda a proteção anti-vírus que já possuo instalada no meu PC, e apenas 2 kb de "atualizações
reais". Vc acha que eu deveria continuar fazendo o download semanalmente, ou eu deveria
aguardar por um período maior, como por exemplo 15 dias ou 1 mês?
A resposta: "É por muita gente pensar como você que as falhas acontecem. Não adianta quase
nada ter anti-vírus desatualizado, mesmo que seja por apenas uma ou duas semanas. Vírus velhos
não assustam, o problema são justamente os novos (...)". Realmente, manter o anti-vírus
atualizado dá trabalho. De conexão dial-up (conexão normal, feita com modem, via telefone),
então, é um inferno, eu sei. Mas o que prefere? Perder todas as músicas que baixou no Napster?
Descobrir que desconhecidos (ou não) andaram lendo todas as conversas que teve em seu ICQ?
Perder suas senhas, inclusive as bancárias, para um "hacker"? Não, caro leitor, essa é uma situação
delicada, onde a preguiça não pode ter vez!
M
uita gente possui computadores mais antigos, como 486 ou os primeiros micros da série Pentium,
com clock até 166, e costumam justificar a não utilização de anti-vírus pois torna a máquina muito
lenta. Segurança da Informação é algo que não tem preço. Apesar de ser obviamente possível
conectar à Internet com micros antigos, não posso recomendar essa prática. Sei que muitos
suaram para ter o que tem, e dificilmente teriam condições de um upgrade para algo melhor. Mas
que essas pessoas saibam que trocam a velocidade pela insegurança, e que sempre serão as
primeiras a reclamar de vírus, invasões, e etc.
Se, no entanto, você tomou todas as precauções e, mesmo assim, conseguiu a "sorte" de encontrar
um vírus novo, indetectável ao seu anti-vírus, esqueça qualquer tentativa de salvar seus dados:
formate com o Disk Manager do fabricante de seu HD, e recomece do zero, refazendo as partições.
É mais fácil e mais seguro. Por mais que alguém sempre consiga dar "um jeitinho" de neutralizar o
vírus, apagando arquivos e chaves no registro, seu sistema pode ainda assim estar vulnerável. Bad
blocks (setores defeituosos do HD) podem aparecer do nada, arquivos podem sumir ou serem
alterados... Com vírus não se brinca e, justamente por isso, concentrei meus esforços no assunto
segurança ao escrever matérias para o Superdownloads. O ideal é ter um sistema de backup
confiável para poder formatar o HD sem grandes perdas, nem choro, nem remorso.
Certa vez, um amigo disse que tinha encontrado uma foto engraçadíssima, e que iria envia-la em
meu e-mail. Recebi apenas um arquivo executável, suspeitíssimo de ser vírus. Resolvi executa-lo so
mesmo jeito, mas o anti-vírus alertou, confirmando as minhas suspeitas. Dane-se! Poderia ser uma
falsa detecção (já vi isso acontecer pelo menos duas vezes) mas, se fosse vírus, meu backup seria
restaurado imediatamente. Dito e feito! Não lembro qual foi o vírus mas, na mesma hora em que
cliquei, meu sistema entrou em pane geral. Com o Drive Image, em apenas cinco minutos o
sistema foi restaurado a um momento anterior. Meu prejuízo foi mínimo, já que mantenho o
backup atualizado. Para maiores informações, leia a matéria "Já fez o seu backup hoje?".
Outro passo importante ao suspeitar de um vírus que passa batido pelo antivírus, é enviar o mesmo
a algum desenvolvedor de anti-vírus, e esperar a resposta que confirme ou não a suspeita. Para
fazer isso no McAfee, é muito fácil: Vá no menu "Iniciar", escolha "Programas", e localize a pasta
que ele criou. Na última versão, essa pasta se chama "McAfee Office". Localize um ícone chamado
"McAfee Virus Scan Central", e clique nele. Uma janela se abrirá, escolha "Quarentine", adicione o
arquivo suspeito com o botão "Add" e, em seguida, clique em "Submit to McAfee". Outra janela se
abrirá, e você será instruído a preencher alguns dados, como nome, e-mail e servidor SMTP.
Pronto! Se realmente for um vírus novo, você receberá o mais rápido possível um dat adicional
para elimina-lo, e a proteção contra ele será inclusa na próxima atualização dos DATs regulares.
Além de tudo, você estará contribuindo diretamente para uma Internet mais segura.
Se desconfiar que seu anti-vírus está com problemas, utilize "EICAR Test File" para se certificar.
Trata-se de um arquivo que você mesmo pode fazer, criando um arquivo texto com o seguinte
conteúdo:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Depois renomeie a extensão de TXT para COM. Isso não é vírus, mas a grande maioria dos anti-
vírus está apta para detecta-lo como tal, pois é o resultado de uma convenção entre produtores de
anti-vírus. Se preferir, visite o site do EICAR e faça o download em "links relacionados", no fim
desta matéria.
Outra boa opção é fazer um scan on-line (varredura à procura de vírus) em seu sistema. Quase
todos os anti-vírus possuem essa opção, geralmente grátis. Basta acessar o site e preencher alguns
dados. É extremamente útil no caso de sistemas já infectados, onde o anti-vírus instalado não
funciona corretamente. Mas há problemas, como a demora para quem acessa a Internet via
conexão dial-up, ou certos vírus que não permitem o acesso a tais sites.
Como o assunto é muito extenso, concluirei esta matéria em uma segunda parte, onde escreverei
sobre nomenclatura dos vírus, onde obter informações sobre vírus, anti-vírus alternativos, arquivos
de exclusão, entre outras coisas. As melhores dúvidas e comentários que chegarem em meu e-mail
serão respondidas na continuação desta. Até lá!
Anti-vírus - Parte II
Por Doom
Publicado em 20.02.2001
T
odos os vírus podem infecta-lo 365 dias por ano. No entanto, muitos ficam quietinhos, sem alterar
absolutamente nada em seu sistema. Mas contêm informações em seu código que lhes instruem a
atacar em determinado dia do mês ou do ano. O CIH, mais conhecido como Chernobyl, ataca
somente no dia 26 de cada mês. A usina nuclear russa explodiu no dia 26 de abril de 1986.
Coincidência? De jeito nenhum, a intenção do programador que o desenvolveu foi justamente essa:
celebrar a data, não permitindo que acabasse no esquecimento.
Como atacar em data pré-determinada é uma característica comum a diversos vírus, estudiosos e
desenvolvedores de anti-vírus produzem calendários viróticos, identificando os dias de ação de cada
vírus. Isso pode dar uma idéia a usuários e administradores de rede sobre qual vírus pode ter
afetado o sistema, de acordo com o dia do ataque, por exemplo.
Aliás, certos administradores deveriam tomar mais cuidado. Na faculdade onde eu estudava, por
exemplo, até tinha anti-vírus atualizado. Porém, quando precisava de uma máquina de testes para
verificar na prática o poder de ação de algum vírus, bastava desabilitar o anti-vírus e executar o
"bichinho". Se as máquinas fossem administradas por alguém competente, certamente eu não
conseguiria fazer isso de forma tão fácil. Existem configurações nos anti-vírus, e programas de
terceiros, que simplesmente me impediriam de desabilitar a proteção e, se o administrador
quisesse, poderia até mesmo receber um aviso quando eu, ou qualquer outra pessoa tentasse faze-
lo. Mas quem liga pra segurança?
Nem todos os vírus são perigosos. Muitos apenas exibem mensagens sobre algum fato ou
idealismo, mas não destroem ou alteram absolutamente nada em seu HD. Mesmo assim, você
certamente não quer receber mensagens randômicas enquanto trabalha ou se diverte. Outros,
ainda, são vírus benignos, que infectam e se espalham do mesmo modo que os vírus
convencionais, mas procuram trazer algum benefício ao sistema. Conheço pelo menos dois assim;
um deles é o KOH, que evita a ação de outros vírus, criptografando arquivos. É tão educado que
pede permissão para infectar o HD. O outro (não tenho certeza do nome) compacta os arquivos,
garantindo mais espaço no HD, sem prejudicar os programas que atinge, ou o desempenho do
sistema.
Na realidade, muitos anti-vírus costumam se gabar que são capazes de te defender de quase
60.000 vírus. Para quem não sabe, sou colecionador de vírus, tenho mais de 27.000 diferentes (se
alguém quiser me mandar algum, especialmente os mais novos, agradeço), e perco muitas horas à
procura de vírus, mas não tenho nem a metade disso. A grande maioria dos vírus nunca foi nem
será vista por nós, usuários comuns. Isso porque contêm bugs em seus códigos que tornam sua
replicação ineficiente. São os chamados "vírus de laboratório", pois somente os produtores de anti-
vírus os conhecem, até porque tem muita gente que desenvolve um vírus e, ao invés de o espalhar
por aí, simplesmente o envia para os desenvolvedores de anti-vírus, só para poder dizer que criou
um vírus que é detectado pelo Norton e pelo McAfee, por exemplo. Isso explica porque alguns anti-
vírus, mesmo com uma capacidade de reconhecimento incrivelmente menor que de seus
adversários, conseguem ser tão ou mais eficientes que outros que reconhecem às vezes mais que o
dobro de vírus.
Muita gente me escreveu perguntando a respeito de anti-vírus alternativos. Costumo chamar assim
tudo o que não for McAfee ou Norton, certamente os dois anti-vírus mais utilizados do mundo.
Como sou colecionador, e tenho 27.000 vírus, realizo, sempre que posso, testes para avaliar a
capacidade dos mais diversos anti-vírus. Em minha opinião, o McAfee é o melhor. Tanto é o que
utilizo, que praticamente só falei a respeito dele em minhas matérias. Isso é o óbvio, já que se
trata de um produto que realmente entendo. Sei que muita gente vai discordar, mas discutir qual é
o melhor anti-vírus é o mesmo que discutir qual é melhor: Palmeiras ou Corinthians, Santos ou São
Paulo, Grêmio ou Internacional, Cruzeiro ou Atlético, Vasco ou Flamengo, e etc. Não leva a nada.
Mas, além do McAfee, posso destacar o AVP e o Sophos que detectaram sem problemas todos os
vírus realmente perigosos. O importante, repito, não é qual anti-vírus você usa, mas ter sempre a
última versão, com o mais recente DAT de atualização. Fazendo isso, todas as chances de
contaminação serão minimizadas.
N
ão existe uma convenção entre os produtores de anti-vírus quanto à nomenclatura a ser adotada
quando um vírus novo é identificado. Mas, pra quem se interessa, consulte a documentação que
acompanha o anti-vírus, ou o site do desenvolvedor, para saber mais sobre a nomenclatura
adotada. Realmente é interessante e pode dar uma idéia mais precisa quando algum vírus for
identificado como características básicas, forma de ação e etc. Abaixo, uma relação de alguns
prefixos, sufixos e outros termos utilizados pelo McAfee:
.@MM Vírus que utiliza o e-mail para se difundir
.A até Designação de variantes de um mesmo vírus
.ZZZ
.A97M Vírus de Macro. Ataca arquivos gerados pelo Microsoft® Access 97
.APP Indica vírus que insere seu código no arquivo infectado, mas contêm bugs que
impedem ou dificultam sua replicação
Backdoor Trojan
BV Vírus contidos em arquivos de lote (extensão BAT)
CSC Corel Script virus. Infecta scripts gerados pelo Corel Draw
.DAM Indica arquivo danificado ou corrompido pela infecção
.DR Dropper: Introduz o vírus no programa hospedeiro
.DUNpws Significa Dial Up Network password, ou seja, programa capaz de capturar senhas da
rede dial-up do Windows. Na maioria das vezes não se trata de vírus podendo ser útil
para quem esqueceu a senha de acesso à Internet
.GEN Detecção genérica, através da análise heurística
.GR Detecção e remoção genérica, através da análise heurística
.INTD Designa vírus que contêm bugs que impedem ou dificultam sua replicação
IRC Trojans ou Worms, tratam-se de scripts de IRC com códigos maliciosos
JV Vírus escrito na linguagem Java
Nuke Não é vírus, nem destrutivo. Trata-se simplesmente de uma variação do Nuke, tipo de
ataque que visa derrubar a conexão do Windows 95
Orifice Trojan, diretamente ligado ao Back Orifice, tal como seus componentes, plugins e etc.
.OW Overwritten (sobrescrito). Isso significa um arquivo irremediavelmente alterado pelo
vírus, que deve ser deletado.
.SRC Código Fonte de vírus. Não podem replicar-se ou infectar arquivos mas certos droppers
os adicionam a arquivos, como parte do ciclo de infecção
VBS Vírus ou Worm, desenvolvido na linguagem VBScript
W32 Vírus ou Worms que infectam e/ou corrompem arquivos, genéricos a todos os sistemas
Windows 32 Bits (95, 98, 98SE, Me, NT 3.51, NT 4.0, 2000)
W97M Vírus de Macro. Ataca arquivos gerados pelo Microsoft® Word 97
WIN95 Vírus que atacam as versões 9X e Me do Windows
WINNT Vírus que atacam as versões NT e 2000 do Windows
WM Vírus de Macro. Ataca arquivos gerados pelo Microsoft® Word 95
X97M Vírus de Macro. Ataca arquivos gerados pelo Microsoft® Excel 97
XM Vírus de Macro. Ataca arquivos gerados pelo Microsoft® Excel 95
Para saber detalhes de um vírus específico, basta acessar o banco de dados on-line que a maioria
dos sites de anti-vírus possui. Geralmente com ferramentas de busca e/ou ordem alfabética, basta
procurar para saber tudo a respeito de determinado vírus.
Para quem quer mexer com o nuke e outros programas "hackers" em paz (o que considero um
direito sagrado, até mesmo para aprendizado), está com o raro problema de falsa detecção de
vírus ou quer, como eu, colecionar ou mexer com vírus, uma dica: é possível criar diretórios de
exclusão, onde o anti-vírus não irá atuar. Para fazer isso no McAfee, clique com o botão direito no
ícone que ele criou ao lado do relógio, escolha "Properties" e "System Scan". Vá na aba "Exclusion"
e adicione os diretórios, subdiretórios e/ou arquivos que devem ser excluídos da varredura.
A
credito ter concluído aqui minha missão de ajudar os leigos sobre noções de vírus e anti-vírus mas,
realmente, esse é um assunto complexo, que talvez ainda renda mais uma terceira parte, pois os e-
mails não param de chegar. Abaixo, como prometido, as melhores perguntas recebidas por e-mail,
com suas respectivas respostas.
http://superdownloads.ubbi.com.br/materias/
http://pcworld.terra.com.br/pcw/testes/antivirus/0007.html
A palavra vírus possui uma mística toda própria, normalmente associada a algum tipo de
tragédia. De fato, muitos vírus de computador são chamados por nomes próprios, assim
como os furacões. E, como esses desastres naturais, os vírus podem espalhar o caos e a
devastação por toda uma comunidade do dia para noite, mesmo com aviso prévio.
Esse misticismo que circunda os vírus de computador faz com que muitos usuários
(normalmente gatos escaldados) associem qualquer problema de instabilidade ou pane do
sistema com esses agentes infecciosos.
Curiosamente, o inverso também é válido, ou seja, existem aqueles (normalmente gatos não
escaldados) que associam problemas de mau funcionamento ao hardware ou ao sistema
operacional, dificilmente considerando um ataque de vírus.
Convicções à parte, o fato é que o uso de um sistema antivírus não é a solução de todos os
problemas, já que a falta de manutenção ou operação incorreta de um aplicativo podem
realmente levar a panes no sistema mesmo sem a ajuda externa.
Um exemplo cabal é o da ventoinha do processador que deixa de funcionar, deixando-o
superaquecido e causando situações de instabilidade, que podem culminar na paralisação do
sistema após algum tempo. Esse tipo de problema é facilmente evitado por meio da
verificação periódica dos componentes (incluindo outros sistemas de ventilação), assim
como pela troca preventiva se o uso do sistema for muito intenso.
Um Windows desorganizado (cheio de referências perdidas, arquivos danificados, DLLs
abandonadas por programas desinstalados incorretamente, etc.) também é uma ótima fonte
de dor de cabeça, já que pode provocar panes, bem como a lentidão do sistema ou perda de
dados.
Para minimizar esses problemas, é aconselhável o uso de ferramentas de sistema para
deixar o Windows mais otimizado e ágil. Normalmente, esses produtos – quando não estão
disponíveis gratuitamente ou contidos no próprio pacote do Windows – costumam custar
pouco, pois são simples e voltados para resolver apenas um problema específico.
Pacotes mais sofisticados como o Norton Utilities podem ser mais caros, mas costumam
oferecem soluções que resolvem a maioria dos problemas dos usuários. Outro local onde o
usuário pode procurar por ajuda é na própria Internet, que reúne muitos utilitários valiosos,
disponíveis para download na forma de shareware ou freeware, e que nunca alcançam as
prateleiras das lojas.
Trotes cibernéticos
Além dos alarmes falsos provados por instabilidades do hardware ou do sistema
operacional, trotes cibernéticos podem alarmar a presença fictícia de vírus eletrônicos. São
os chamados hoax virus, um termo que poderia ser traduzido como “vírus fajuto”.
Uma citação famosa é o Good Times, cujas primeiras referências datam de 1994, na forma
de um e-mail que circulou pela Internet na época, alertando o destinatário que, sob hipótese
alguma, deveria abrir uma mensagem com o título “Good Times”. Tal e-mail conteria um
vírus que poderia apagar todo conteúdo do disco rígido. A mensagem também sugeria que
o leitor repassasse a informação para todos os seus conhecidos.
Variações dessa mensagem (ou de conteúdo ainda mais esdrúxulo, alarmista na maioria dos
casos, mas nem sempre relacionados com vírus) circulam ainda hoje pela Internet,
desafiando a inteligência do mais sensato dos leitores. Como também acontece fora dos
palcos cibernéticos, quando muitas pessoas começam a acreditar nos boatos, eles parecem
tornar-se verdadeiro, com todas as conseqüências possíveis e imagináveis.
A partir desse momento, um hoax pode transformar-se num hype – termo que descreve
qualquer informação que recebe muito mais atenção do que ela realmente merece.
Um exemplo famoso de hype foi o Michelangelo, um dos primeiros vírus “sexta-feira 13”
de que se tem notícia. Apesar de relatos iniciais indicarem que esse vírus não existia, o
excesso de informação e desinformação sobre ele foi tamanha que provavelmente levou
vários programadores a criarem seus próprios “Michelangelos”, num efeito cascata que faz
com que todo a sexta-feira 13 seja uma data realmente a ser temida por todo profissional de
suporte técnico, mesmo não sendo supersticioso.
Felizmente, os avisos desses vírus fajutos são prontamente desmentidos por sites
especializados ou desenvolvedores de antivírus que costumam manter informes detalhados
sobre o tema em seus sites na Internet.
Isso nos leva a crer que uma das armas mais simples de que o usuário dispõe para combater
essa verdadeira guerra de informações é o esclarecimento, de preferência por meio de
fontes confiáveis.
A maioria dos sites de antivírus que visitamos oferecem esse tipo de informativo com maior
ou menor grau de ênfase. Muitos deles produzem informação localmente, enquanto outros
repassam informações de sites especializados (ver box Mais informações sobre vírus).
Caso o usuário não tenha tempo de ficar procurando por informações sobre problemas que,
queira Deus, nunca o atinjam, uma solução oferecida por vários sites são os informativos
enviados por correio eletrônico. Algumas empresas, como a Command Software (fabricante
do Command Antivirus), oferecem serviços de mail list específicos para lançamentos de
produtos, atualizações ou vírus. Outras empresas como a McAfee (fabricante do VirusScan)
oferecem um serviço unificado, mais parecido com um e-mail de notícias.
http://pcworld.terra.com.br/pcw/testes/antivirus/0006.html
http://pcworld.terra.com.br/pcw/testes/antivirus/0005.html
Como em outras áreas da computação, o selvagem mundo dos vírus de computador possui
seus próprios termos e jargões que descrevem suas várias peculiaridades. Segue abaixo
alguns dos termos mais comuns que podem ser encontrados em documentos (em inglês ou
português) sobre o assunto:
- Os vírus de setor de inicialização (boot sector virus) afetam a área do disquete ou do disco
rígido responsável pela partida do sistema. Toda vez que o computador é iniciado com um
disco infectado, o vírus entra em ação.
- Como o próprio nome diz, os vírus de arquivo (file virus) infectam arquivos de programas
(.EXE ou .COM).
- Heurística (heuristics) é um método normalmente utilizado em sistemas antivírus que
procura por indícios de atividades de vírus, como códigos suspeitos ou mudanças
imprevistas nos arquivos.
- Os vírus epidêmicos (in the wild virus) estão literalmente à solta no seu ambiente (mundo
cibernético), fora do controle de seus criadores.
- Os vírus de macro (macro virus) são os tipos mais comuns. Macros do Microsoft Word e
Excel podem executar, sorrateiramente, uma série de comandos automaticamente toda vez
que um arquivo é aberto.
- O vírus bimodal (multipartite virus) utiliza uma combinação de técnicas para se espalhar.
A mais comum delas combina o processo de inicialização com vírus de arquivo.
- O vírus mutante (polymorphic virus) muda de aparência a cada vez que se auto-replica, já
que sua assinatura (ver abaixo) muda, muitas vezes aleatoriamente. Esse comportamento,
na maioria das vezes, permite escapar de técnicas comuns de detecção por assinaturas. Os
sistemas antivírus confiam em suas técnicas de heurística para identificar as pragas virtuais.
- O vírus furtivo (stealth virus) utiliza alguns truques para se esconder de sistemas antivírus.
Na maioria dos casos, esse tipo de vírus ataca o DOS.
- Assinatura de vírus (virus signature) refere-se às seqüências binárias (ou códigos de
máquina) que formam a maioria dos vírus (com exceção dos mutantes). Essa seqüência
padrão permite que um antivírus o detecte. Novos vírus contém novas assinaturas, fato que
explica por que o usuário deve manter a lista de vírus de seus sistemas antivírus sempre
atualizada.
- Os cavalos de Tróia (trojan horses) não são exatamente um vírus, mas um programa que
realiza intencionalmente uma tarefa diferente da esperada, além de ter que ser executado
pelo usuário para entrar em ação. Sua relação com o mundo dos vírus é devida ao fato de
alguns deles se propagarem como um vírus.
- O worm é um programa comum que se auto-replica em outros computadores –
normalmente pela rede – sem a necessidade de estar ligado a um hospedeiro (um programa,
por exemplo), como ocorre na definição clássica de vírus. Alguns tipos de worms
costumam instalar-se no disco rígido, criando cópias até encher o disco, paralisando o
sistema.
- Vírus de laboratório (Zoo virus) existem normalmente confinados em centros de pesquisa,
não se espalhando por outros ambientes.
http://pcworld.terra.com.br/pcw/testes/antivirus/0004.html
http://pcworld.terra.com.br/pcw/testes/antivirus/0003.html