Características gerais dos vírus

O que comumente chamamos de "vírus de computador" são programas que possuem algumas
características em comum com os vírus biológicos:

* são pequenos;

* não funcionam por si só. Ou seja, devem infectar um arquivo executável ou arquivos que
utilizam macros. Portanto, em geral o vírus fica escondido dentro da série de comandos de um
programa maior;

* contém instruções para parasitar e criar cópias de si mesmo de forma autônoma e sem
autorização específica (e, em geral, sem o conhecimento) do usuário para isso - eles são,
portanto, auto-replicantes.

História
Em 1986 foi identificado o primeiro vírus de computador. Não existe uma data exata, mas
janeiro de 2006 marca o aniversário de 20 anos do vírus, que foi denominado "Brain.A".

O Brain era inofensivo, ou seja, apenas se espalhava para outros sistemas, sem causar danos
significativos aos computadores. Entretanto, logo os programadores criaram versões mais hostis,
os chamados "vírus de boot", que se tornaram um problema para muitos usuários.

Nessa época, pré-internet, a disseminação ocoria por meio de disquetes. Assim, passavam-se
meses para que um vírus de computador se espalhasse pelo planeta.

Em 1995, quando se iniciaram as operações comerciais da Web, eram conhecidos

aproximadamente 5 mil vírus. Note-se que o tempo para que essas pragas se alastrassem permitia
às empresas de programas antivírus até enviar suas atualizações pelo correio comum.

Mas, tudo mudou com a internet, pois o ambiente "online" possibilita que milhares de
computadores sejam atacados em poucas horas. ADeve-se considerar que admite-se que são
criados cerca de 10 novos vírus por dia, além de suas variantes, causando o mau funcionamento
de máquinas, a perda de arquivos e, também, o roubo de informações. Assim, aconteceu uma
explosão na criação desses programas danosos e, atualmente, já foram catalogados mais de 100
mil vírus diferentes. Note-se que os programadores começaram se aproveitando das falhas do
sistema operacional Windows e criaram pragas que varreram a rede, especialmente depois da
criação de versões de vírus que se espalham por correio eletrônico, o e-mail.

O "Brain.A" está extinto, assim como muitos vírus semelhantes a ele. Entretanto, vírus mais
potentes circulam pela internet e, de quando em quando, causam não apenas estragos localizados,
mas conseguem reduzir a eficiência da rede em escala mundial.

Existem diversas formas de programas danosos atualmente. Uma das mais famosas é o "verme"
(ou "worm", em inglês), cujo maior objetivo é a rápida propagação na rede, mas que não causa
grandes danos aos sistemas. Outra é o Cavalo de Tróia (ou "Trojan horse"), que embute um
código que possibilita que um estranho acesse o computador infectado e envie dados dele para
outras máquinas, sem que o proprietário saiba.

Tipos de Vírus
Vírus de Boot (Master Boot Record / Boot Sector Viruses)

Todos os discos e disquetes possuem uma área de inicialização reservada para informações
relacionadas à formatação do disco, dos diretórios e dos arquivos nele armazenados (registro
mestre do Sistema, o Master Boot Record - MBR dos discos rígidos ou a área de boot dos
disquetes - Boot Sector).

Como essa área é executada antes de qualquer outro programa (incluindo qualquer programa
Anti-Vírus), esses vírus são muito bem sucedidos. Para esse sucesso também contribui o fato da
infecção poder ocorrer por meio de um ato simples do usuário: esquecer um disquete
contaminado dentro do drive A.

Como todos os discos possuem também um pequeno programa de boot (que determina onde está
ou não o sistema operacional e reconhece, inclusive, os periféricos instalados no computador), os
vírus de boot podem se "esconder" em qualquer disco ou disquete.

A contaminação ocorre quando um boot é feito através de um disquete contaminado. O setor de

boot do disquete possui o código para determinar se um disquete é "bootável" ou para mostrar a
mensagem: "Disquete Sem Sistema ou Erro de Disco". É este código, gravado no setor de boot
que, ao ser contaminado, assume o controle do micro. Assim que o vírus é executado ele toma
conta da memória do micro e infecciona o MBR do disco rígido.

A disseminação é fácil: cada disquete não contaminado, ao ser colocado no drive e ser lido pode
passar a ter uma cópia do código e, nesse caso, é contaminado e passa a ser um "vetor", ou seja
um disseminador potencial do programa danoso.

Vírus de Programa (File Infecting Viruses)

Os vírus de programa infectam - normalmente - os arquivos com extensão.exe e.com (alguns
contaminam arquivos com outras extensões, como os.dll, as bibliotecas compartilhadas e os.ovl).
Alguns deles se replicam, contaminando outros arquivos, de maneira silenciosa, sem interferir
com a execução dos programas que estão contaminados. Assim sendo, pode não haver sinais
perceptíveis do que está acontecendo no micro.

Alguns dos vírus de programa vão se reproduzindo até que uma determinada data, ou conjunto
de fatores, seja alcançado. Somente aí é que começa a sua ação.

A infecção se dá pela execução de um arquivo já infectado no computador. Há diversas origens

possíveis para o arquivo infectado: Internet, Rede Local, BBS, disquete.
Vírus Multipartite
São uma mistura dos tipos de boot e de programa, podendo infectar ambos: arquivos de
programas e setores de boot. São mais eficazes na tarefa de se espalhar, contaminando outros
arquivos e/ou discos e são mais difíceis de serem detectados e removidos.

Capacidades extras
Entretanto, para tentar impedir a detecção pelos anti-vírus algumas capacidades foram dadas a
qualquer um dos tipos de vírus acima. Assim, cada um desses três tipos de vírus podem ter outras
características, podendo ser:

- Polimorfismo
(em que o código do vírus se altera constantemente)

Têm como principal característica o fato de estar sempre em mutação, ou seja, esse vírus muda
ao criar cópias dele mesmo , alterando seu código. Mas, os clones são tão funcionais quanto seu
original, ou mais. O objetivo da mudança é tentar dificultar a ação dos antivírus, criando uma
mutação, algo diferente daquilo que a vacina procura.

- Invisibilidade
(Stealth, onde o código do vírus é removido da memória)

Têm a capacidade de, entre outras coisas, temporariamente se auto remover da memória, para
escapar da ação dos programas anti-vírus.

- Encriptação
(onde o código do vírus é encriptado)

Nesses é muito difícil a ação da vacina.

Um caso especial: os vírus de macro

Quando se usa alguns programas, por exemplo um editor de texto, e necessita-se executar uma
tarefa repetidas vezes em seqüência (por exemplo substituir todos os "eh" por "é") pode-se editar
um comando único para efetuá-las. Esse comando é chamado de macro, que pode ser salvo em
um modelo para ser aplicado em outros arquivos.

Além dessa opção da própria pessoa fazer um modelo os comandos básicos dos editores de texto
também funcionam com modelos. Os vírus de macro atacam justamente esses arquivos
comprometendo o funcionamento do programa. Os alvos principais são os próprios editores de
texto (Word) e as planilhas de cálculo (Excel).

A disseminação desse tipo de vírus é muito mais acentuada pois documentos são muito móveis e
passam de máquina em máquina (entre colegas de trabalho, estudantes, amigos e outras pessoas).
Ao escrever, editar ou, simplesmente, ler arquivos vindos de computadores infectados a
contaminação ocorre. Assim, verdadeiras "epidemias" podem acontecer em pouco tempo.

Além disso, os macrovírus constituem a primeira categoria de vírus multiplataforma, ou seja, não
se limitam aos computadores de um certo tipo, podendo infectar também outras plataformas que
usem o mesmo sistema operacional, como os computadores com o sistema Macintosh, por
exemplo.

Um outro agravante em relação a esses vírus é a facilidade de lidar com as linguagens de macro,
dispensando que o criador seja um especialista em programação. Isso acarretou no
desenvolvimento de uma grande quantidade de vírus e inúmeras variantes, num período curto de
tempo. (Para obter outras informações sobre proteção contra vírus de macro clique aqui).

A infecção
Há várias manifestações visíveis da atividade dos vírus: mostrar mensagens, alterar ou deletar
determinados tipos de arquivos, corromper a tabela de alocação, diminuir a performance do
sistema ou até formatar o disco rígido.

Muitas vezes a ação de um vírus só se inicia a partir de eventos ou condições que seu criador
pré-estipulou: atingir uma certa data, um número de vezes que um programa é rodado, um
comando específico ser executado, etc.

Um vírus pode atingir um computador a partir de diferentes "vetores" todos previamente

infectados: documentos, programas, disquetes, arquivos de sistema, etc.

Arquivos executáveis ( __.exe. __.bat, __.com) são particularmente perigosos e deve-se evitar
enviá-los ou recebê-los. (Obtenha mais informações clicando aqui).

Após infectar o computador, eles podem passar a atacar outros arquivos. Se um destes arquivos
infectados for transferido para outro computador, o vírus vai junto e, quando for executado irá
contaminar a segundo máquina.

Arquivos de dados, som (.wav, .mid), imagem (.bmp,.pcx, .gif, .jpg), vídeo (.avi, .mov) e os de
texto que não contenham macros (.txt, .wri) podem ser abertos sem problemas.

Mas, tanto o download (cópia de programas, via http ou ftp) como o serviço de correio eletrônico
(e-mail) possibilitam a entrada de arquivos no computador. Assim, a internet tornou-se um
grande foco de disseminação de vírus, worms, trojans e outros programas maliciosos, por
facilitar em muito o envio e recepção de arquivos (o que antes era feito basicamente por meio de
disquetes).

Como um dos mais populares serviços da Internet é o correio eletrônico, o envio de programas
invasores por mail é preocupante.

Como regra geral pode-se assumir que não se deve executar arquivos recebidos, especialmente
os arquivos executáveis, mesmo que se conheça o remetente e que se tenha certeza que ele é
cuidadoso e usa antivírus atualizado.

Mas, na quase totalidade dos casos pode-se admitir que a simples recepção e a visualização de
uma mensagem não contamina o computador receptor.

Vírus de E-mail
Até pouco tempo atrás não existiam vírus de E-mail e todos os textos que circulavam sobre isso
eram Hoax (trotes).

Recentemente surgiram novos tipos de worm, que se propagam por mensagens de correio
eletrônico e não necessitam que se execute qualquer programa anexado ou não a mensagens. São
conhecidos alguns programas que agem desse modo: KakWorm, Romeu e Julieta, Davinia e
Bubbleboy.

KakWorm

Só ataca as versões inglesa e francesa do Outlook, aproveitando-se de um bug de programação

da Microsoft. Para que a contaminação aconteça basta que uma mensagem contaminada seja
exibida no "Preview pane" (painel de visualização), sem necessidade de abrir o mail.

Além de sua autopropagação, o principal efeito do KakWorm consiste no desligamento do

computador. Ele se aloja no final de cada mensagem enviada como se fosse uma assinatura e
todas as mensagens levarão consigo o KakWorm. Em todo primeiro dia do mês, às17hs, é
apresentada a mensagem: "Kagou-Anti-Kro$oft says not today!". Em seguida, o computador é
desligado.

Romeu e Julieta

O Romeu e Julieta (ou BleBla, Verona, Romeo, Juliet) ataca os computadores que usam as
versões 4.0, 4.01, 5.0, e 5.01 do navegador Internet Explorer em computadores que usam o
Windows 95, 98, Me ou 2000. Ele se autopropaga por meio do envio de mensagens e causa
instabilidades no computador contaminado.

Uma característica desse worm é que o assunto (subject) da mensagem que contém o vírus varia
e é selecionado aleatoriamente entre os seguintes: Romeo&Juliet - where is my juliet - where is
my romeo ? - hi - last wish ??? - lol :) - ,,,... - !!! - newborn - merry christmas! - surprise ! -
Caution: NEW VIRUS ! - scandal ! - ^_^ - Re: - Romeo&Juliet -
<> :)))))) - hello world - !!??!?!? - subject - ble bla, bee - I Love You ;) - sorry... - Hey you ! -
Matrix has you... - my picture from shake-beer -

Davinia

O Davinia também é capaz de contaminar e de autopropagar-se sem a existência de um arquivo

anexado à mensagem. É danoso pois danifica todos os arquivos .html e os deixa irrecuperáveis.
Bubleboy

Para obter informações sobre o Bubbleboy clique aqui.

Programas Antivírus
Atualmente, muitos desses programas não são apenas antivírus, mas também tem atividade
antitrojan, antiworm e antibackdoors. é absolutamente necessário instalar um deles (ou mais que
um) no computador e atualizá-lo freqüentemente. Felizmente existem vários programas antivírus
bons e gratuitos, disponíveis na Internet. Importante é notar o uso de antivírus exige outras
medidas de prevenção.

Vacinas, as ferramentas de remoção

Muitas empresas desenvolvem outros programas, pequenos, que são capazes de eliminar um ou
alguns vírus apenas: são as ferramentas de remoção ou vacinas. Uma particularidade que deve
ser ressaltada é que esses programas não ficam residentes na memória, ou seja, só eliminam os
programas nocivos no momento em que estão sendo executados.

Para se obter uma vacina deve-se acessar o site da empresa e, nele, a página correta, copiar a
ferramenta e executá-la no computador. (Algumas ferramentas estão disponíveis aqui).

Symantec:
http://www.symantec.com/region/br/avcenter/toolslist.html

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas
maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos
conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta
que o contenha.
2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas
distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).
3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.
4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.
Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://www.splitnet.com/index1.html
http://users.sti.com.br/helpdesk/