Vírus de
Computador
Definicao:
Antes de mais nada, é preciso dizer que praticamente qualquer
coisa de errado
que acontece com um computador durante uma sessão de trabalho é
atribuida a
um vírus, independente da causa estar no programa ou na falta de
experiencia do
usuario. De acordo com uma pesquisa da PC Magazine, 50 % dos
prejuizos em
software sao culpa de mal uso ou inexperiência. Qualquer um que
atualize o
software sabe os problemas de reaprender a mexer com novos botões
de
salvamento de trabalho ou teclas de saida e apagamento que
colidem com o uso
antigo de outro software. O usuário inexperiente destroi muito
mais dados do que
qualquer virus. Mesmo programas bem desenvolvidos tem defeitos
que destroem
o trabalho por conta de alguma falha no lançamento. Normalmente
são as
versões X.0. Qualquer pessoa que utilize um software
recem-lancado
(normalmente número ponto zero) se arrisca a ter dores de cabeça
que nao
serão culpa de vírus de computador e que ninguém saberá como
resolver. A
versao 5.01 de qualquer programa é quase sempre a versão com
correção dos
erros encontrados na versão 5.0.
Um virus de computador é um programa que pode infectar outro
programa de
computador atraves da modificacao dele de forma a incluir uma
copia de si
mesmo (de acordo com Fred Cohen, autor de "A Short Course on
Computer
Viruses").
A denominacao de programa-virus vem de uma analogia com o virus
biologico,
que transforma a celula numa fabrica de copias dele.
Para o publico em geral qualquer programa que apague dados, ou
atrapalhe o
trabalho pode levar a denominacao de vírus. Do ponto de vista de
um
programador, o vírus de computador é algo bastante
interessante. Pode ser
descrito como uma programa altamente sofisticado, capaz de tomar
decisões
automaticamente, funcionar em diferentes tipos de computador, e
apresentar um
índice mínimo de problemas ou mal-funcionamento. Stephen
Hawking se referiu
ao vírus de computador como a primeira forma de vida construida
pelo homem.
De fato: o vírus é capaz de se reproduzir sem a interferencia
do homem e
tambem de garantir sozinho sua sobrevivencia. Como a auto-reprodução
e a
manutencao da vida são para alguns cientistas, o básico para um
organismo ser
descrito como vivo. O vírus Stoned é um exemplo que resiste até
hoje, anos
depois da sua criação.
Sendo o vírus um programa de computador sofisticado, ainda que
use técnicas de
inteligência artificial, ele obedece a um conjunto de instrucões
contidas no seu
código. Portanto é possível se prevenir contra seu
funcionamento, conhecendo
seus hábitos.
Bomba Lógica e Cavalo de Troia
O cavalo-de-troia se assemelha mais a um artefato militar como
uma armadilha
explosiva ou "booby-trap". O princípio é o mesmo
daquele cigarro-explosivo ou
de um daqueles livros que dão choque. Não se reproduz. A
expressão
cavalo-de-troia tambem é usada para com programas que capturam
senhas sem o
conhecimento do usuario. O criador do programa pode usufruir da
senha de
acesso capturada. Um exemplo de bomba-lógica é um arquivo texto
"armadilhado" que redefina o teclado ao ser lido pelo
comando TYPE. Em um
exemplo clássico, o sujetio digita:
C:\> type carta.txt
Os códigos acrescentados ao texto alteram a tecla x (ou qualquer
tecla, nao
importa) de forma que, ao inves de escrever x na tela ela aciona
uma macro que
ativa a formatação do disco rígido. Existe um software,
chamado CHK4BOMB,
disponível no subdiretório msdos/vírus de qualquer
"mirror" do Simtel20 que ajuda
a detectar a existência desse tipo de programa. Os antivirus
comuns difícilmente
detectam, a não ser em casos mais famosos.
Modus Operandi
Até algum tempo atrás, os vírus se dividiam em dois grupos
principais:
Vírus de disco - ex: Stoned, Michelangelo, Ping-Pong
------------------------------------------------------
Infectam o BOOT-SECTOR. Esta é a parte do disco responsável
pela
manutenção dos arquivos. Da mesma forma que uma biblioteca
precisa de um
fichário para saber onde se encontram os livros, um disco
precisa de ter uma
tabela com o endereço dos dados armazenados. Qualquer operação
de entrada e
saída (carregamento ou salvamento de um arquivo, por exemplo),
precisária do
uso dessa tabela. Salvar ou carregar um arquivo num disquete
infectado
possibilitaria a ativação do vírus, que poderia infectar
outros disquetes e o disco
rígido.
Virus de Arquivo - ex: Jerusalem, Athenas, Freddy
---------------------------------------------------
Infectam arquivos executaveis ou de extensão .SYS, .OVL, . MNU,
etc. Estes
virus se copiam para o inicio ou fim do arquivo. Dessa forma, ao
se chamar o
programa X, o vírus se ativaria, executaria ou não outras
tarefas e depois ativaria
o verdadeiro programa.
Atualmente existem uma terceria e quarta categorias
Virus Multi-partite- ex: Whale, Natas
--------------------------------------
Infectam tanto o boot-sector quanto os arquivos executáveis. São
extremamente
sofisticados.
Virus como o DIR-II
----------------------
Alteram a tabela de arquivos de forma a serem chamados antes do
arquivo
programa. Nem propriamente dito são FILE-INFECTORS nem são
realmente
BOOT-INFECTORS muito menos multi-partites.
Outras caracteristicas:
Virus residentes e nao-residentes:
----------------------------------
Os primeiros vírus eram de concepção muito simples e
funcionavam como
programas auto-reprodutores apenas. O usuário usava o programa
infectado,
acionava o vírus, que infectava todos os outros programas no
subdiretório (virus
cacadores, que procuram programas em outros subdiretórios são
muito
bandeirosos) e depois colocava para funcionar o programa (o que o
usuário
realmente queria usar). Ponto final. Se um programa não
infectado for acionado,
ele não será infectado. Os vírus residentes, mais sofisticados
permanecem na
memoria apos o uso do programa infectado. Portanto podem infectar
qualquer
outro programa que for chamado durante a mesma sessão de
programacao, até'
que o computador seja desligado. Como o sistema operacional é
basicamente um
programa destinado a tornar comandos como DIR, TYPE, etc inteligíveis
para os
chips do computador, ele se torna objeto de infecção. Neste
caso, toda vez que o
computador for ligado, o vírus será carregado para a memória,
podendo infectar
qualquer programa que for usado. A grande maioria dos vírus
atuais pertence a
este tipo de virus.
Quanto a detecção:
Stealth - ex: Athenas, 4096, GenB, etc
--------------------------------------
Um vírus, como todo programa ocupa espaco em disco. O código,
em linguagem
de máquina, mesmo ocupando um espaço mínimo, aumenta o tamanho
do arquivo.
Ao se copiar para dentro do programa a ser infectado, duas coisas
aconteciam: o
programa aumentava de tamanho e alterava a data de gravação. No
caso do
vírus Jerusalem, por exemplo, o programa "engordava" a
cada execução,
chegando a se auto-infectar até tamanhos absurdos. Para checar
se o arquivo
estava infectado era só fazer uma copia do mesmo e acionar esta
copia. Depois
bastava executar o comando "DIR" e o resultado
mostraria que a data, hora de
criação e o tamanho do programa eram diferentes. Com o 4096,
isso não
acontecia. Uma vez residente na memória, o vírus checava para a
existência de
uma copia sua no arquivo .exe ou .com e restaurava uma data quase
identica de
criacao de arquivo. Dessa forma, só um antivirus ou um usuario
atento descobria
a diferenca. O vírus ATHENAS já é algo mais sofisticado. Ele
altera tudo de
forma a evitar que um Antivirus detectasse a diferenca. Em outras
palavras,
seria necessário que o vírus não fosse ativado para que fosse
detectado. Se o
arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou
.exe de
um disco rígido seriam infectados, cedo ou tarde. O usuário
poderia usar o
antivirus que quisesse. O vírus continuaria invisível. Dai o
uso do adjetivo
"STEALTH", do avião americano invísivel ao radar.
Como alguns desses vírus verificam até se já estao presentes
na memória, o
funcionamento do computador não diminuiria de velocidade o
suficiente para
alertar o usuário.
OBSERVAÇÃO: Uma vez que o vírus Stealth esconde sua presença
de
qualquer programa antivirus, uma forma de descobri-lo é
justamente guardar um
disquete com o programa infectado. Se o programa antivirus do
micro "suspeito"
de infecção não descobrir a presenca de virus no disquete,
entao provavelmente o
micro está infectado. Isso funciona principalmente com versões
mais novas de
um mesmo virus, como o Athenas, o GenB (vulgo Brasil), etc..
Companheiros (Companion)
------------------------
Sao vírus que não infectam programas .exe. Ao invés disso
criam um arquivo de
extensão .com, cujo o atributo é alterado para Hidden
(escondido). Como o
arquivo .Com é executado antes do .exe, o vírus entra na memória
e depois
chama o programa.É facil e dificil de detectar. Por nao alterar
o programa,
escapa a algumas formas de detecção, como a checagem do CRC.
Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH
mostra
todos os arquivos escondidos. Mas para se ter certeza, só quando
o BOOT é
feito com um disquete limpo de vírus,já que nada impede de um vírus
Companion
ser também Stealth (ou poli-morfico, ou multi-partite, tem vírus
para todos os
gostos).
Polimorficos - ex: Natas, Freddy, etc
-------------------------------------
No tempo em que os primeiros antivirus contra o Jerusalem
apareceram, alguns
"espertos" resolveram criar novas versões indetectáveis
através da alteração do
vírus. Como o antivirus procura uma caracteristica do vírus
para dar o alarme,
essa modificação obrigava a criacao de um novo detector de vírus.
Isso é
bastante comum. Novas versoes de vírus sao feitas a cada dia,
aproveitando-se
esqueletos de antigas versões, tendo alguns virus gerado
verdadeiras "familias"
de "parentes", de versões mais antigas. O próprio
virus Michelangelo seria uma
versão "acochambrada" do virus Stoned. A ultima moda
(para os projetistas de
virus) é o uso da poliformia. O virus se altera a cada vez que
infecta um novo
arquivo. Dessa forma o virus cria N variacoes de si proprio.
Hipoteticamente, se
uma variações escapasse ao antivirus, ela poderia re-infectar
todos os arquivos
novamente.
Retrovirus - ex: Goldbug, Crepate
---------------------------------
Sao virus que tem como alvo antivirus, como o Scan, Clean, CPAV
NAV, ou
qualquer arquivo que contenha as strings AV, AN, SC, etc no nome.
Pode ser o
objetivo principal ou paralelo. O Crepate, por exemplo, é
multipartite (infecta tanto
o boot como arquivos executaveis). Alguns simplesmente deletam os
arquivos
que contem o CRC dos programas analisados (uma especie de selo
que alguns
antivirus, como o NAV, por exemplo, criam: um arquivo onde varias
caracteristicas pre-infecção (tais como tamanho, data,
atributos) ficam
armazenadas). Um ou outro anti-virus tem codigo p. desativar
anti-virus
residentes, como o V-SHIELD e o VACINA e passar desapercebido.
Virus-anti-virus
----------------
Existem virus que se especializam em detectar e infectar arquivos
já infectados
por outros virus menos sofisticados.
Metodos de deteccao
Como vimos anteriormente, os virus mais antigos deixavam rastros
que
possibilitavam sua descoberta:
Sintomas:
---------
Demora maior na execucao de um programa. O sistema fica mais
lento como
um todo.
Aumento no tamanho dos programas.
Alteração na data de criacao do programa. Quando o virus
infecta, o programa
aparece uma data de criacao recente.
No caso de virus de disco,é possivel que alguns arquivos do
disquete pura e
simplesmente desaparecam.
Igualmente o aparecimento de mensagem acusando Bad Cluster em
todos os
disquetes usados (nao confundir com o que acontece com um
disquete de 360k
formatado por engano para 1.2 de capacidade). Nos tempos do virus
Ping-pong,
essa era uma dica de infeccao.
Disquete funciona em PC-XT mas nao funciona em um PC-AT.
Antivirus alerta para modificacao em seu arquivo (os novos
programas antivirus
nao funcionam quando sao modificados pela infeccao de um virus).
Nao se deve
utiliza-los mesmo quando possivel se houver virus na memoria,
pois isso infecta
todos os arquivos que forem examinados.
Utilizacao de ferramentas como Norton Utilities ou PCTOOLS para
visualizacao
do setor de Boot mostram modificacoes (so' para quem sabe a
diferenca).
Programa Windows deixa de funcionar ou congela repetidamente.
Para se "limpar" um virus
----------------------------------------------
O mais simples é o uso de um antivirus, como o Scan, NAV,
Thunderbyte, ou
F-Prot. Cada um destes tem sua propria forma de utilizacao.
Atualmente o
Thunderbyte e o F-Prot estao ganhando uma otima reputacao, embora
o Scan
ainda seja capaz de proezas na limpeza de virus polimorficos, por
exemplo. O
Norton Antivirus possui em seu pacote um programa denominado
Vacina, que,
como o VShield (da mesma firma que fabrica o Scan) vigia para a
entrada de
virus e é recomendavel. O NAV em si tem os seus defensores, mas
alguns o
consideram um desperdicio de espaco na Winchester. O F-Prot
possui um banco
de dados contendo descricoes de virus de computador já
analisados por eles. A
firma edita tambem um boletim sobre virus, disponivel em ftp site
e em www,
com boas descricoes sobre novos problemas causados por novos
tipos de virus.
O Scan da MCafee alterou recentemente o formato original de
programa.
Alguns o consideram mais vulneravel a acao de virus anti-virus
(os chamados
retro-virus). Até a versao 6.2 do DOS existia um antivirus da
Central Point junto
com o pacote. Gerou um rebuliço pela quantidade de
falso-positivos (dava
alarmes falsos) que gerava, quando usado em conjunto com outros
antivirus. Sua
eficacia era igualmente reduzida pelo fato de que nao é facil de
atualizar. Novos
tipos de virus passariam indetectaveis.
Precaucoes:
-------------
Antes de qualquer tentativa de se limpar um micro ou um disco
deve-se dar um
BOOT com um disquete limpo de virus. Este disquete, se nao
existir, deve ser
feito em algum outro micro onde o virus nao apareceu, atraves do
comando SYS.
Apos a copia do sistema operacional para o disquete, copia-se o
antivirus para o
disquete e coloca-se a etiqueta de protecao. Desliga-se o micro e
liga-o
novamente como o novo disquete de sistema, (devidamente protegido
contra
gravacao atraves da etiqueta) no drive A:. Sabendo-se que
determinado disquete
contem virus de disco, a forma correta de se limpa-lo sem
recorrer a antivirus e'
atraves do comando SYS do DOS. E' necessario que o disquete tenha
espaco
suficiente para que o comando funcione, portanto se usa o PCTOOLS
ou algum
outro programa copiador de arquivos para copiar os arquivos antes
de executar o
comando SYS A: ou SYS B:. O ideal é formatar o disquete. No caso
do disco
rigido infectado com virus de disco, é necessario garantir o
salvamento ou o
back-up dos dados mais importantes, como:
arquivos de configuracao:
autoexec.bat, config.sys, win.ini, etc
arquivos de dados:
aqueles com os quais voce trabalha desde o ultimo back-up.
Em seguida, usar o comando MIRROR para fazer uma copia do boot
sector do
disco em disquete (que ficara' infectado, mas podera' ser limpo
depois com mais
facilidade). Feito isso, pode-se apartir do prompt do DOS no
drive C: digitar:
C:\> \dos\fdisk /mbr
Imediatamente se desliga o micro, para evitar reinfeccao. Essa
tecnica funciona
em muitos casos, mas o inteligente e' executa-la tendo
inicializado o micro com
um disquete limpo de virus no drive a: (nao existe nada melhor).
No caso de
micro contaminado por virus de arquivo polimorfico(NATAS ou
FREDDY), o
ideal e' a re-instalacao de todos os arquivos infectados,
comecando pelo
command.com. Arquivos texto poderao ser salvos.
Como funciona um programa antivirus:
----------------------------------------------------
Pouca gente que trabalha com isso desconhece. Sao tres as
principais formas de
se detectar a açao de um virus num sistema atraves do programa
antivirus.
1) Vigiando a memoria do micro para acao de qualquer novo
programa (quando
o virus e' residente, ele ocupa espaco na memoria e pode ser
rastreado atraves
de programas como o CHKDSK ou MEM /c) ou outros sinais de
infeccao.
2) Mantendo um arquivo com as caracteristicas do(s) arquivos
antes da
infeccao. Assim, como se fosse um policial, ele ele examina o
CRC, a data de
criacao do arquivo, o tamanho e outras caracteristicas cuja
alteracao denunciaria
acao indevida.
3) Abrindo cada um dos arquivos passiveis de infeccao e
examinando o codigo
do programa. Lembrar que o virus e' um programa de computador que
se copia
sem intervencao humana para outro programa ou boot sector. Um
programa e'
composto de as vezes milhares de instrucoes em linguagem de baixo
nivel. O que
o programa anti-virus faz e' ler esse "texto" dos
arquivos executaveis (de
extensao .COM, .EXE ou .OVL, entre outros) e procurar por uma
linha de
codigo caracteristica de virus de computador. O programa, ao
encontrar uma
semelhanca entre o codigo do virus e a linha de codigo que ele
tem armazenada
na memoria como pertencente a um virus, aciona a mensagem de
alerta para o
usuario.
Observacao: Alarmes falsos - Algumas vezes quando o antivirus nao
foi bem
testado, o programa pode classificar outro programa como
infectado, so porque
ele encontrou essa parte do codigo, sem que exista nenhum virus
no computador
(a isso se chama o falso alarme). Esse tipo de busca e' tambem
feito na memoria
do micro, algumas vezes tambem com o mesmo efeito, sendo famoso o
antivirus
disponivel com a versao 6.2 do MSDOS. Se fosse usado junto com o
antivirus
SCAN versao 108 (nao tenho certeza), este emitia a mensagem de
que o virus
"Protector" estava ativo na memoria (quando na verdade
o antivirus e' que
estava).
Para se estudar um virus:
----------------------------
Para as almas corajosas que querem, por uma razao ou outra
colecionar virus
para estudo (atitude que aprovo, desde que o fim seja o de
aprender alguma
forma de se livrar deles de forma mais facil), aqui vao algumas
dicas.
Em primeiro lugar, nunca estudar o virus em um micro contendo
arquivos de
outra pessoa com dados valiosos que possam ser perdidos. Se for
usar o seu
micro, certifique-se de que tem todos os arquivos back-up
guardados e faca novo
BACK-UP antes do inicio do trabalho.
Segundo lugar. Tenha o virus copiado para um disquete. Isso e'
feito atraves da
copia do arquivo infectado para um disquete. No caso de virus de
disco,
formatando um disquete (com sistema operacional, usando format a:
/s na linha
de comando).
Terceiro lugar. Tenha um disquete de Boot, limpo de virus a mao.
De
preferencia dois, todos com etiqueta. Quarto: modifique o
autoexec.bat no
disquete, adicionando o comando subst da seguinte maneira:
Ex:
subst c: a:
subst b: a:
subst qualquer outro drive a:
Obs: Em teoria isto vaiimpedir o virus de se propagar para o
drive C:, mas o
melhor ainda e' desligar a Winchester mexendo na configuracao da
BIOS ou via
desligamento da placa da winchester.
Feitas essas preparacoes, comeca-se a testar o virus. O ideal e'
ter um arquivo
de isca, com um codigo simple como esse:
{programa retirado da revista Virus Report - nr 4 pg 4 }
org 100h
code segment
assume cs:code, ds:code
programa proc
inicio:
mov ah, 4Ch
mov al, 0h
int 21h
programa endp
code ends
end inicio
A ideia e' ter um programa cujo codigo nao confunda na hora de
examinar. Na
verdade, o programa poderia ser bem menor. So' que alguns virus
se recusam a
infectar programas com menos de 500 bytes. Compilar com o MASM ou
TASM. Havendo tal programa que chamarei de isca, deve-se
renomea-lo para
isca.xxx antes do inicio das experiencias. Para averiguar o
comportamento do
virus desenvolvi o seguinte metodo:
1) Antes de ativar o programa infectado
Digitar;
dir isc*.* >> teste.doc
copy isca.xxx isca1.com
arquivo <------------ aciona-se o arquivo virotico
echo "arquivo virotico ativado" >> teste.doc
^
I
(Comando para inserir essa linha no arquivo de registro sem
editor de texto)
2) Uma vez o arquivo ativado ( o virus provavelmente na
memoria)
Digitar:
dir isc*.* >> teste.doc
isca1
echo "isca1.com ativado" >> teste.doc
dir isc*.* >> teste.doc
3) realizar novo boot para tirar o virus da memoria
Digitar:
echo "situacao apos boot" >> teste.doc
dir isc*.* >> teste
Podem ser estudados:
- O aumento do arquivo apos a infeccao
- As diferencas na quantidade de memoria livre existente apos
ativacao (usando o
CHKDSK e o MEM)
- O tipo de arquivos que infecta e se tem um tempo de incubacao
(tempo durante
o qual nada acontece).
- Colocar varios arquivos juntos de uma so' vez, para se
determinar se e'
fast-infector.
- Pode ser considerado "Stealth" se conseguir esconder
sua presenca.
Obs: Nao se deve em hipotese alguma executar o Debug com o virus
na
memoria do micro.
Obs2: O virus pode ser considerado Stealth (furtivo) se as
alteracoes no arquivo
ficarem visiveis com um boot feito com disquete limpo de virus
(no caso de um
que ataque arquivos).
Os virus de Boot sao estudados dando-se o boot com um disquete
infectado com
o mesmo. Usar-se o comando SYS do DOS para se implantar o sistema
operacional no disquete infectado apagara' o virus no disquete.
Exemplo de descricao de um virus que espalhou muita destruicao,
na
Universidade de Sao Paulo ( e outros lugares, sem duvida)
Porque os virus sao escritos:
-------------------------------------
O chamado virus de computador e' um software que sempre capta
atencao e
estimula a curiosidade. Esta pergunta foi feita na convencao de
Hackers e
fabricantes de virus na Argentina. A primeira resposta foi:
- Because it's fun. (por diversao, entretenimento)
Outras respostas:
- Para estudar as possibilidades relativas ao estudo de vida
artificial (de acordo
com a frase de Stephen Hawkind "Os virus de computador sao a
primeira forma
de vida feita pelo homem"). Esta proposta e' seguida por
varios cientistas,
incluindo um que pos a disposicao seu virus (inofensivo) para
aqueles que
estivessem interessados. Existe uma revista eletronica dedicada a
isto, chamada
Artificial Life e varios livros sobre o assunto. Em suma algo
serio.
- Para descobrir se sao capazes de fazer isso ou para mostrarem
para os colegas
do que sao capazes de fazer com um micro. Testar seus
conhecimentos de
computacao.
- Por frustracao ou desejo de vinganca. Muitos autores de virus
sao
adolescentes. Um jovem (inconformado com o fato de que o pai nao
esta' afim
de comprar aquele kit de multimidia para o seu micro), usa o que
sabe para ... *
Esta hipotese e' pura imaginacao. Mas a vontade de sublimar uma
raiva atraves
de atos de vandalismo existe, como demonstram os pichadores e
quebradores de
telefones.
- Curiosidade. Algo muito forte, mesmo para aqueles que tem pouco
conhecimento de informatica. Uma das melhores formas de se
aprender sobre
virus e' "criando" um.
- Para conseguir acesso a BBSes de virus. Existem BBSes que
possuem
bibliotecas de virus e codigos fontes como a Viegas BBS (agora
desativada) e
outras nos EUA e em outros paises. O usuario podia ter acesso a
colecao de
virus se fornecesse um novo. Muitos criavam ou modificavam virus
ja' existentes
p. ter esse acesso (alias dois tercos dos virus ja' registrados
sao resultado desse
intento, sendo muitos considerados fracos ou pouco sofisticados,
comparados
com os originais).
- Para punir aqueles que copiam programas de computador sem pagar
direitos
autorais.
- Para conseguir fama.
- Fins militares. Falou-se sobre isso na guerra do golfo, para
esconder o uso de
uma outra arma de "atrapalhamento" do sistema de
computadores do inimigo.
Ainda assim, os virus p. uso militar sao uma possibilidade.
etc, etc
Minha opiniao pessoal e' que as pessoas se interessam por virus
de
computadores da mesma forma que curtem assistir filmes de guerra
e
colecionam armas de fogo ou facas. O fato de que a pessoa
coleciona virus de
computador ou cria novos especimes nao indica uma vontade de
distribuir seus
"rebentos" para o publico em geral.
Virus benignos:
---------------
Existem. Um deles e' o KOH, criado por King of Hearts, um hacker
mexicano.
Ele e' um virus que criptografa tudo, de acordo com uma senha
escolhida pelo
usuario. Desenvolvido com o algoritmo IDEA, e' teoricamente
dificil de ser
"quebrado". O utilizador desse virus pode
"pedir" ao virus para nao infectar
disquetes ou disco rigidos e controlar sua acao, portanto. Usa
tecnicas "stealth" e
e' invisivel portanto a antivirus, podendo mesmo ajudar a evitar
alguns tipos de
virus. Outro, compacta, a semelhanca do programa PKLITE, todo e
qualquer
arquivo executavel que "infecta". O unico virus que
"reduz" o espaco fisico que
"ocupa". Sem prejudicar os programas que compacta.
Emuladores de virus
-------------------
Sao programas que simulam a acao de virus de computador, para
treinamento ou
diversao (a custa dos outros). Existe um, antigo, que faz
aparecer umas aranhas
na tela que "comem" todas as letras do texto digitado.
Outro exibe mensagens de
erro, com os seguintes dizeres:
1- Erro tal. Sua Winchester esta' cheia de agua.
2- Barulho de Winchester "inundada" aparece no
alto-falante do micro.
3- O sistema operacional avisa que vai centrifugar o disco rigido
para tirar a
agua. Barulho de centrifugacao no alto-falante do micro.
4- Volta o sistema ao normal.
Durante esse tempo todo, nada aconteceu com o seu micro. O
teclado ficou
travado, mas nenhum arquivo foi deletado, nem mudado de lugar.
Mas quem nao
conhece o dito fica em panico, e se e' o usuario "TAO"
(aquele que aperta
bo"TAO" de reset com a ideia de que vai ganhar presente
depois), e' capaz de
desistir de aprender computacao. Mais util e' o Virsim2, um
emulador de virus
feito especialmente para treinar gente no combate a antivirus. O
programa
produz arquivos inofensivos (que sao detectados como se fossem
infectados por
diferentes tipos de virus, ver sessao sobre o funcionamento do
Scan). Tambem e'
capaz de "infectar" um disquete com um boot virotico
(que nao infecta o disco
rigido ou outros disquetes) ou simular o efeito de um virus na
memoria. A
instalacao do programa e' sofisticada, com uma voz (em ingles)
explicando o que
o programa esta' fazendo no momento, e isso funciona sem placa
sound-blaster.
Engracado e' que em algumas firmas onde este programa foi usado
constatou-se
que nenhum dos arquivos ficticios infectados foi encontrado pelos
funcionarios.
Constatou-se uma apatia total pelo uso de programas anti-virus
(ja' que nao havia
virus, nao havia medo de virus, entao nao havia uso dos programas
anti-virus
instalados).
Nomenclatura de virus:
------------------------------
Nao existe uma convencao sobre o assunto. Enquanto os fabricantes
de virus
costumam trocar dicas e ideias, os fabricantes de antivirus
normalmente se
fecham em si, cada qual defendendo o seu mercado. O que e'
Athenas para o
Scan da Mcafee Software, e' Trojector para o F-Prot do Friedriek
Skulasson. O
maior documento, e em formato hipertexto, sobre virus, e' o VSUM,
produzido
pela Patricia Hoffman. Como parece que ela recebe dinheiro da
Mcafee, ou
porque sua descricao e' duvidosa (nao sei o porque na verdade), o
fato e' que
este documento nao e' aceito pela comunidade de pesquisadores
anti-virus. Pelo
menos nao o e' na sua totalidade. Existem vozes discordantes. Num
de seus
boletins, a firma que produz o F-Prot conta tudo sobre como
elabora a
nomenclatura de seus virus, mas se trata de uma leitura chata. O
"nosso" virus
Brazil nao aparece na lista deles nem do Scan como tal, por
exemplo. Ja' um
virus chamado Xuxa, muito raro (parece que foi escrito so' p.
fins de divulgacao)
e' chamado como tal. As vezes, o virus e' nomeado por se tratar
de uma
modificacao de outro ja' existente ou pelo programa que o
produziu (como
acontece com os virus produzidos com a ajuda do VCL - ver os kits
de
producao de virus). As vezes o virus contem um sinal (ele tem que
saber como
identificar um arquivo virotico, p. nao infectar repetidas vezes
o mesmo arquivo)
e esta caracteristica "batiza" o virus.
Programas "falsos":
-------------------
Algumas vezes, aparecem "ultimas versoes" ou versoes
"desprotegidas" de
softwares muito utilizados. O sujeito copia, usa em casa, e ..
descobre que o
software e' na verdade um programa de formatacao fisica de
Winchester
disfarcado de outra coisa. Esse e' o tipo de virus classificado
como "cavalo de
troia" ou "bomba-logica". Na Viegas BBS havia
alguns programas do genero,
inclusive um "Norton Virus Detector", antecipando em
alguns anos a producao
do programa antivirus do Norton. Esse tipo de falsificacao
aconteceu muito com
o Scan, o Pkzip e acho que ate' com o Arj. O programa na verdade
instalava um
virus ou fazia alguma coisa ruim com os dados da winchester. Um
caso que deu
muito o que falar foi o do "AIDS-virus". Era um
programa com informacoes
sobre a AIDS. O sujeito respondia algumas perguntas, recebia
alguma
informacao geral sobre o virus (biologico) e tudo bem. So' depois
descobria que
todos os nomes, todas as extensoes de arquivo, tudo o que estava
na Winchester
havia sido alterado. A seguinte mensagem aparecia:
"It is time to pay for your software lease from PC Cyborg
Corporation. Complete
the INVOICE and attach payment for the lease option of your
choice.If you
don't use the printed INVOICE, then be sure to refer to the
important reference
numbers below in all correspondence.
In return you will recieve:
- a renewal software package with easy to follow, complete
instructions;
- an automatic, self installing diskette that anyone can apply in
minutes."
Isso podia ser uma propaganda contra software pirata, mas na
verdade o
software foi distribuido gratuitamente como brinde numa convencao
internacional
sobre AIDS e tambem numa revista de informatica tipo PC-Qualquer
coisa.
Como ja' foi dito acima, a unica forma de prevencao contra esse
tipo de
programa e' um software chamado CHK4BOMB, disponivel no
subdiretorio
virus de qualquer "mirror" do Simtel20. Ainda assim
nada realmente e' capaz de
garantir que um programa e' ou nao um
"cavalo-de-troia".
Laboratorios de fabricacao de virus:
------------------------------------
Existem programas feitos especificamente com o proposito de
auxiliar iniciantes
na arte de fabricar virus sofisticados. Sao os "Virus
Construction Tools". Existem
bibliotecas de rotinas prontas que podem tornar um virus simples
polimorfico
(mais dificil de detectar) sem grande dificuldade p. o
programador. E programas
que fazem o servico completo ao gosto do "inteligente"
que quiser construir seu
proprio "monstro". O primeiro foi o GENVIR, construido
e distribuido na Franca.
Lancado como uma especie de Shareware, e' cheio de menus, mas na
hora de
produzir o virus ele para. Para receber uma copia que realmente
faca o trabalho,
a pessoa deveria enviar 120 francos para um endereco na Franca.
Um grupo
alemao o "Verband Deutscher Virenliebhaber" escreveu o
VCS (Virus
Construction Set). Esse incorpora um texto escolhido pelo usuario
num virus
simples, que apos se reproduzir um numero x de vezes, deleta os
arquivos de
configuracao, como AUTOEXEC.BAT e CONFIG.SYS. Outros kits mais
"completos" e "sofisticados" sao o VCL (Virus
Construction Laboratory), o
PS-MPC (Phalcon/Skism - Mass Produced Code Generator), o IVP
(Instant
Virus Production Kit) e o G2 (G ao quadrado). Alguns chegam a
produzir virus
com caracteristicas avancadas, como criptografacao e otimizacao
de codigo
virotico(!). Como os fabricantes de antivirus tambem se mantem
atualizados, os
programas antivirus sao atualizados de forma a detectar os virus
produzidos por
esses laboratorio.
Algumas crendices:
----------------------------------
Contaminacao por Modem de computador:
------------------------------------
Nao existe. Pode-se conseguir um numa BBS ou com um amigo atraves
da
copia de um programa infectado, mas e' tecnicamente impossivel um
micro
infectar outro atraves do uso de modem.
Contaminacao por cima da etiqueta de protecao:
---------------------------------------------
Tambem impossivel. O que pode ter acontecido e' a infeccao ter
sido descoberta
depois da colocacao da etiqueta, coisa que acontece com virus
"stealth". Essa
trava impede a gravacao no disquete e isso funciona a nivel de
hardware, nao de
software.
E' necessario formatar todos os disquetes para se livrar do virus
XXXX
------------------------------------------------------------------------
Nem sempre. Tudo depende de se ter ou nao o "disquete de
sistema limpo de
virus". Com ele e' possivel so' apagar os programas
infectados e evitar esse
trabalho. De acordo com a minha experiencia e' possivel usar uma
ferramenta
como o PCTOOLS ou o XTREE para "salvar" os arquivos de
dados, sem
aumentar a transmissao. Em alguns casos pode ser mais facil
formatar e
re-instalar tudo do que fazer a limpeza, mas nem sempre.
So' software pirata contem virus
--------------------------------
Nem sempre. O Michelangelo foi distribuido pela primeira vez
dentro de 20.000
disquetes distribuidos por uma firma de computacao a seus
usuarios. O
computador que fazia as copias estava infectado. Houve tambem o
caso de um
programa
famoso de Desktop Publishing cujos disquetes-matriz foram
infectados na casa do
sujeito encarregado de dar uma ultima olhada, resultando que toda
a producao foi
infectada.
Calendario de Virus:
--------------------
Essa e' uma favorita da imprensa. Nao se fazem mais as
reportagens sobre
supersticao na Sexta-feira 13 (como antigamente). Mas com certeza
se fazem
reportagem sobre o virus Sexta-Feira 13 e o problema dos virus
que tem dia
certo para ativar. A maior incidencia de virus no Brasil, de
acordo com
bate-papos com gente que faz acessoria de informatica sao de
virus como o
Stoned, o Michelangelo, o Jerusalem, o Athenas (trojector) e
ultimamente o
Freddy. Aqui e ali ocorrem surtos de alguns virus novos, como o
GV-MG e o
Daniela. Desses, so' um ou dois tem ativacao por dia do ano. O
Michelangelo, 6
de Marco, e o Sexta-Feira 13. O problema e' que se a pessoa for
esperta e fizer
uma check-up regular no micro, com qualquer programa como o
Vshield ou
Vacina (ate' mesmo o MSAV do Dos 6.2 e' o suficiente para isso),
ira' descobrir
o intruso. Para se ter uma ideia, existem versoes modificadas
tanto do sexta-feira
13 como do Miguelangelo, que detectam quando o dono do micro
desligou para
"evitar" o dia fatidico. Funcionam no dia ou na semana
seguinte.
Virus "Good Times"
--------------------
Esta e' aconteceu na Internet, mas nao duvido que tenha
acontecido tambem em
BBSes por ai' afora. Era um aviso sobre um virus que apagava tudo
no disco
rigido, veiculado em correio eletronico. Funcionava como uma
daquelas correntes
da felicidade. O sujeito recebia o aviso e re-enviava para todo
mundo que
conhecia, e esses tambem re-enviavam. O efeito do virus foi
"torrar" a paciencia
e ajudar a encher o correio eletronico (em alguns servicos de BBS
paga-se por
quantidade de correspondencia recebida) de muita gente. Depois
veio uma
segunda onda, a daqueles que avisavam que o virus nao existia