Make your own free website on Tripod.com

Vírus de Computador

Definicao:

Antes de mais nada, é preciso dizer que praticamente qualquer coisa de errado
que acontece com um computador durante uma sessão de trabalho é atribuida a
um vírus, independente da causa estar no programa ou na falta de experiencia do
usuario. De acordo com uma pesquisa da PC Magazine, 50 % dos prejuizos em
software sao culpa de mal uso ou inexperiência. Qualquer um que atualize o
software sabe os problemas de reaprender a mexer com novos botões de
salvamento de trabalho ou teclas de saida e apagamento que colidem com o uso
antigo de outro software. O usuário inexperiente destroi muito mais dados do que
qualquer virus. Mesmo programas bem desenvolvidos tem defeitos que destroem
o trabalho por conta de alguma falha no lançamento. Normalmente são as
versões X.0. Qualquer pessoa que utilize um software recem-lancado
(normalmente número ponto zero) se arrisca a ter dores de cabeça que nao
serão culpa de vírus de computador e que ninguém saberá como resolver. A
versao 5.01 de qualquer programa é quase sempre a versão com correção dos
erros encontrados na versão 5.0.

Um virus de computador é um programa que pode infectar outro programa de
computador atraves da modificacao dele de forma a incluir uma copia de si
mesmo (de acordo com Fred Cohen, autor de "A Short Course on Computer
Viruses").
A denominacao de programa-virus vem de uma analogia com o virus biologico,
que transforma a celula numa fabrica de copias dele.

Para o publico em geral qualquer programa que apague dados, ou atrapalhe o
trabalho pode levar a denominacao de vírus. Do ponto de vista de um
programador, o vírus de computador é algo bastante interessante. Pode ser
descrito como uma programa altamente sofisticado, capaz de tomar decisões
automaticamente, funcionar em diferentes tipos de computador, e apresentar um
índice mínimo de problemas ou mal-funcionamento. Stephen Hawking se referiu
ao vírus de computador como a primeira forma de vida construida pelo homem.
De fato: o vírus é capaz de se reproduzir sem a interferencia do homem e
tambem de garantir sozinho sua sobrevivencia. Como a auto-reprodução e a
manutencao da vida são para alguns cientistas, o básico para um organismo ser
descrito como vivo. O vírus Stoned é um exemplo que resiste até hoje, anos
depois da sua criação.

Sendo o vírus um programa de computador sofisticado, ainda que use técnicas de
inteligência artificial, ele obedece a um conjunto de instrucões contidas no seu
código. Portanto é possível se prevenir contra seu funcionamento, conhecendo
seus hábitos.

Bomba Lógica e Cavalo de Troia

O cavalo-de-troia se assemelha mais a um artefato militar como uma armadilha
explosiva ou "booby-trap". O princípio é o mesmo daquele cigarro-explosivo ou
de um daqueles livros que dão choque. Não se reproduz. A expressão
cavalo-de-troia tambem é usada para com programas que capturam senhas sem o
conhecimento do usuario. O criador do programa pode usufruir da senha de
acesso capturada. Um exemplo de bomba-lógica é um arquivo texto
"armadilhado" que redefina o teclado ao ser lido pelo comando TYPE. Em um
exemplo clássico, o sujetio digita:

C:\> type carta.txt

Os códigos acrescentados ao texto alteram a tecla x (ou qualquer tecla, nao
importa) de forma que, ao inves de escrever x na tela ela aciona uma macro que
ativa a formatação do disco rígido. Existe um software, chamado CHK4BOMB,
disponível no subdiretório msdos/vírus de qualquer "mirror" do Simtel20 que ajuda
a detectar a existência desse tipo de programa. Os antivirus comuns difícilmente
detectam, a não ser em casos mais famosos.


Modus Operandi

Até algum tempo atrás, os vírus se dividiam em dois grupos principais:

Vírus de disco - ex: Stoned, Michelangelo, Ping-Pong
------------------------------------------------------

Infectam o BOOT-SECTOR. Esta é a parte do disco responsável pela
manutenção dos arquivos. Da mesma forma que uma biblioteca precisa de um
fichário para saber onde se encontram os livros, um disco precisa de ter uma
tabela com o endereço dos dados armazenados. Qualquer operação de entrada e
saída (carregamento ou salvamento de um arquivo, por exemplo), precisária do
uso dessa tabela. Salvar ou carregar um arquivo num disquete infectado
possibilitaria a ativação do vírus, que poderia infectar outros disquetes e o disco
rígido.

Virus de Arquivo - ex: Jerusalem, Athenas, Freddy
---------------------------------------------------

Infectam arquivos executaveis ou de extensão .SYS, .OVL, . MNU, etc. Estes
virus se copiam para o inicio ou fim do arquivo. Dessa forma, ao se chamar o
programa X, o vírus se ativaria, executaria ou não outras tarefas e depois ativaria
o verdadeiro programa.

Atualmente existem uma terceria e quarta categorias

Virus Multi-partite- ex: Whale, Natas
--------------------------------------

Infectam tanto o boot-sector quanto os arquivos executáveis. São extremamente
sofisticados.

Virus como o DIR-II
----------------------

Alteram a tabela de arquivos de forma a serem chamados antes do arquivo
programa. Nem propriamente dito são FILE-INFECTORS nem são realmente
BOOT-INFECTORS muito menos multi-partites.


Outras caracteristicas:

Virus residentes e nao-residentes:
----------------------------------

Os primeiros vírus eram de concepção muito simples e funcionavam como
programas auto-reprodutores apenas. O usuário usava o programa infectado,
acionava o vírus, que infectava todos os outros programas no subdiretório (virus
cacadores, que procuram programas em outros subdiretórios são muito
bandeirosos) e depois colocava para funcionar o programa (o que o usuário
realmente queria usar). Ponto final. Se um programa não infectado for acionado,
ele não será infectado. Os vírus residentes, mais sofisticados permanecem na
memoria apos o uso do programa infectado. Portanto podem infectar qualquer
outro programa que for chamado durante a mesma sessão de programacao, até'
que o computador seja desligado. Como o sistema operacional é basicamente um
programa destinado a tornar comandos como DIR, TYPE, etc inteligíveis para os
chips do computador, ele se torna objeto de infecção. Neste caso, toda vez que o
computador for ligado, o vírus será carregado para a memória, podendo infectar
qualquer programa que for usado. A grande maioria dos vírus atuais pertence a
este tipo de virus.

Quanto a detecção:

Stealth - ex: Athenas, 4096, GenB, etc
--------------------------------------

Um vírus, como todo programa ocupa espaco em disco. O código, em linguagem
de máquina, mesmo ocupando um espaço mínimo, aumenta o tamanho do arquivo.
Ao se copiar para dentro do programa a ser infectado, duas coisas aconteciam: o
programa aumentava de tamanho e alterava a data de gravação. No caso do
vírus Jerusalem, por exemplo, o programa "engordava" a cada execução,
chegando a se auto-infectar até tamanhos absurdos. Para checar se o arquivo
estava infectado era só fazer uma copia do mesmo e acionar esta copia. Depois
bastava executar o comando "DIR" e o resultado mostraria que a data, hora de
criação e o tamanho do programa eram diferentes. Com o 4096, isso não
acontecia. Uma vez residente na memória, o vírus checava para a existência de
uma copia sua no arquivo .exe ou .com e restaurava uma data quase identica de
criacao de arquivo. Dessa forma, só um antivirus ou um usuario atento descobria
a diferenca. O vírus ATHENAS já é algo mais sofisticado. Ele altera tudo de
forma a evitar que um Antivirus detectasse a diferenca. Em outras palavras,
seria necessário que o vírus não fosse ativado para que fosse detectado. Se o
arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou .exe de
um disco rígido seriam infectados, cedo ou tarde. O usuário poderia usar o
antivirus que quisesse. O vírus continuaria invisível. Dai o uso do adjetivo
"STEALTH", do avião americano invísivel ao radar.

Como alguns desses vírus verificam até se já estao presentes na memória, o
funcionamento do computador não diminuiria de velocidade o suficiente para
alertar o usuário.

OBSERVAÇÃO: Uma vez que o vírus Stealth esconde sua presença de
qualquer programa antivirus, uma forma de descobri-lo é justamente guardar um
disquete com o programa infectado. Se o programa antivirus do micro "suspeito"
de infecção não descobrir a presenca de virus no disquete, entao provavelmente o
micro está infectado. Isso funciona principalmente com versões mais novas de
um mesmo virus, como o Athenas, o GenB (vulgo Brasil), etc..

Companheiros (Companion)
------------------------

Sao vírus que não infectam programas .exe. Ao invés disso criam um arquivo de
extensão .com, cujo o atributo é alterado para Hidden (escondido). Como o
arquivo .Com é executado antes do .exe, o vírus entra na memória e depois
chama o programa.É facil e dificil de detectar. Por nao alterar o programa,
escapa a algumas formas de detecção, como a checagem do CRC.
Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH mostra
todos os arquivos escondidos. Mas para se ter certeza, só quando o BOOT é
feito com um disquete limpo de vírus,já que nada impede de um vírus Companion
ser também Stealth (ou poli-morfico, ou multi-partite, tem vírus para todos os
gostos).

Polimorficos - ex: Natas, Freddy, etc
-------------------------------------

No tempo em que os primeiros antivirus contra o Jerusalem apareceram, alguns
"espertos" resolveram criar novas versões indetectáveis através da alteração do
vírus. Como o antivirus procura uma caracteristica do vírus para dar o alarme,
essa modificação obrigava a criacao de um novo detector de vírus. Isso é
bastante comum. Novas versoes de vírus sao feitas a cada dia, aproveitando-se
esqueletos de antigas versões, tendo alguns virus gerado verdadeiras "familias"
de "parentes", de versões mais antigas. O próprio virus Michelangelo seria uma
versão "acochambrada" do virus Stoned. A ultima moda (para os projetistas de
virus) é o uso da poliformia. O virus se altera a cada vez que infecta um novo
arquivo. Dessa forma o virus cria N variacoes de si proprio. Hipoteticamente, se
uma variações escapasse ao antivirus, ela poderia re-infectar todos os arquivos
novamente.

Retrovirus - ex: Goldbug, Crepate
---------------------------------

Sao virus que tem como alvo antivirus, como o Scan, Clean, CPAV NAV, ou
qualquer arquivo que contenha as strings AV, AN, SC, etc no nome. Pode ser o
objetivo principal ou paralelo. O Crepate, por exemplo, é multipartite (infecta tanto
o boot como arquivos executaveis). Alguns simplesmente deletam os arquivos
que contem o CRC dos programas analisados (uma especie de selo que alguns
antivirus, como o NAV, por exemplo, criam: um arquivo onde varias
caracteristicas pre-infecção (tais como tamanho, data, atributos) ficam
armazenadas). Um ou outro anti-virus tem codigo p. desativar anti-virus
residentes, como o V-SHIELD e o VACINA e passar desapercebido.

Virus-anti-virus
----------------

Existem virus que se especializam em detectar e infectar arquivos já infectados
por outros virus menos sofisticados.


Metodos de deteccao

Como vimos anteriormente, os virus mais antigos deixavam rastros que
possibilitavam sua descoberta:

Sintomas:
---------

Demora maior na execucao de um programa. O sistema fica mais lento como
um todo.

Aumento no tamanho dos programas.

Alteração na data de criacao do programa. Quando o virus infecta, o programa
aparece uma data de criacao recente.

No caso de virus de disco,é possivel que alguns arquivos do disquete pura e
simplesmente desaparecam.

Igualmente o aparecimento de mensagem acusando Bad Cluster em todos os
disquetes usados (nao confundir com o que acontece com um disquete de 360k
formatado por engano para 1.2 de capacidade). Nos tempos do virus Ping-pong,
essa era uma dica de infeccao.

Disquete funciona em PC-XT mas nao funciona em um PC-AT.

Antivirus alerta para modificacao em seu arquivo (os novos programas antivirus
nao funcionam quando sao modificados pela infeccao de um virus). Nao se deve
utiliza-los mesmo quando possivel se houver virus na memoria, pois isso infecta
todos os arquivos que forem examinados.

Utilizacao de ferramentas como Norton Utilities ou PCTOOLS para visualizacao
do setor de Boot mostram modificacoes (so' para quem sabe a diferenca).

Programa Windows deixa de funcionar ou congela repetidamente.


Para se "limpar" um virus
----------------------------------------------

O mais simples é o uso de um antivirus, como o Scan, NAV, Thunderbyte, ou
F-Prot. Cada um destes tem sua propria forma de utilizacao. Atualmente o
Thunderbyte e o F-Prot estao ganhando uma otima reputacao, embora o Scan
ainda seja capaz de proezas na limpeza de virus polimorficos, por exemplo. O
Norton Antivirus possui em seu pacote um programa denominado Vacina, que,
como o VShield (da mesma firma que fabrica o Scan) vigia para a entrada de
virus e é recomendavel. O NAV em si tem os seus defensores, mas alguns o
consideram um desperdicio de espaco na Winchester. O F-Prot possui um banco
de dados contendo descricoes de virus de computador já analisados por eles. A
firma edita tambem um boletim sobre virus, disponivel em ftp site e em www,
com boas descricoes sobre novos problemas causados por novos tipos de virus.
O Scan da MCafee alterou recentemente o formato original de programa.
Alguns o consideram mais vulneravel a acao de virus anti-virus (os chamados
retro-virus). Até a versao 6.2 do DOS existia um antivirus da Central Point junto
com o pacote. Gerou um rebuliço pela quantidade de falso-positivos (dava
alarmes falsos) que gerava, quando usado em conjunto com outros antivirus. Sua
eficacia era igualmente reduzida pelo fato de que nao é facil de atualizar. Novos
tipos de virus passariam indetectaveis.

Precaucoes:
-------------

Antes de qualquer tentativa de se limpar um micro ou um disco deve-se dar um
BOOT com um disquete limpo de virus. Este disquete, se nao existir, deve ser
feito em algum outro micro onde o virus nao apareceu, atraves do comando SYS.
Apos a copia do sistema operacional para o disquete, copia-se o antivirus para o
disquete e coloca-se a etiqueta de protecao. Desliga-se o micro e liga-o
novamente como o novo disquete de sistema, (devidamente protegido contra
gravacao atraves da etiqueta) no drive A:. Sabendo-se que determinado disquete
contem virus de disco, a forma correta de se limpa-lo sem recorrer a antivirus e'
atraves do comando SYS do DOS. E' necessario que o disquete tenha espaco
suficiente para que o comando funcione, portanto se usa o PCTOOLS ou algum
outro programa copiador de arquivos para copiar os arquivos antes de executar o
comando SYS A: ou SYS B:. O ideal é formatar o disquete. No caso do disco
rigido infectado com virus de disco, é necessario garantir o salvamento ou o
back-up dos dados mais importantes, como:

arquivos de configuracao:
autoexec.bat, config.sys, win.ini, etc

arquivos de dados:
aqueles com os quais voce trabalha desde o ultimo back-up.

Em seguida, usar o comando MIRROR para fazer uma copia do boot sector do
disco em disquete (que ficara' infectado, mas podera' ser limpo depois com mais
facilidade). Feito isso, pode-se apartir do prompt do DOS no drive C: digitar:

C:\> \dos\fdisk /mbr

Imediatamente se desliga o micro, para evitar reinfeccao. Essa tecnica funciona
em muitos casos, mas o inteligente e' executa-la tendo inicializado o micro com
um disquete limpo de virus no drive a: (nao existe nada melhor). No caso de
micro contaminado por virus de arquivo polimorfico(NATAS ou FREDDY), o
ideal e' a re-instalacao de todos os arquivos infectados, comecando pelo
command.com. Arquivos texto poderao ser salvos.


Como funciona um programa antivirus:
----------------------------------------------------

Pouca gente que trabalha com isso desconhece. Sao tres as principais formas de
se detectar a açao de um virus num sistema atraves do programa antivirus.

1) Vigiando a memoria do micro para acao de qualquer novo programa (quando
o virus e' residente, ele ocupa espaco na memoria e pode ser rastreado atraves
de programas como o CHKDSK ou MEM /c) ou outros sinais de infeccao.

2) Mantendo um arquivo com as caracteristicas do(s) arquivos antes da
infeccao. Assim, como se fosse um policial, ele ele examina o CRC, a data de
criacao do arquivo, o tamanho e outras caracteristicas cuja alteracao denunciaria
acao indevida.

3) Abrindo cada um dos arquivos passiveis de infeccao e examinando o codigo
do programa. Lembrar que o virus e' um programa de computador que se copia
sem intervencao humana para outro programa ou boot sector. Um programa e'
composto de as vezes milhares de instrucoes em linguagem de baixo nivel. O que
o programa anti-virus faz e' ler esse "texto" dos arquivos executaveis (de
extensao .COM, .EXE ou .OVL, entre outros) e procurar por uma linha de
codigo caracteristica de virus de computador. O programa, ao encontrar uma
semelhanca entre o codigo do virus e a linha de codigo que ele tem armazenada
na memoria como pertencente a um virus, aciona a mensagem de alerta para o
usuario.

Observacao: Alarmes falsos - Algumas vezes quando o antivirus nao foi bem
testado, o programa pode classificar outro programa como infectado, so porque
ele encontrou essa parte do codigo, sem que exista nenhum virus no computador
(a isso se chama o falso alarme). Esse tipo de busca e' tambem feito na memoria
do micro, algumas vezes tambem com o mesmo efeito, sendo famoso o antivirus
disponivel com a versao 6.2 do MSDOS. Se fosse usado junto com o antivirus
SCAN versao 108 (nao tenho certeza), este emitia a mensagem de que o virus
"Protector" estava ativo na memoria (quando na verdade o antivirus e' que
estava).


Para se estudar um virus:
----------------------------

Para as almas corajosas que querem, por uma razao ou outra colecionar virus
para estudo (atitude que aprovo, desde que o fim seja o de aprender alguma
forma de se livrar deles de forma mais facil), aqui vao algumas dicas.

Em primeiro lugar, nunca estudar o virus em um micro contendo arquivos de
outra pessoa com dados valiosos que possam ser perdidos. Se for usar o seu
micro, certifique-se de que tem todos os arquivos back-up guardados e faca novo
BACK-UP antes do inicio do trabalho.

Segundo lugar. Tenha o virus copiado para um disquete. Isso e' feito atraves da
copia do arquivo infectado para um disquete. No caso de virus de disco,
formatando um disquete (com sistema operacional, usando format a: /s na linha
de comando).

Terceiro lugar. Tenha um disquete de Boot, limpo de virus a mao. De
preferencia dois, todos com etiqueta. Quarto: modifique o autoexec.bat no
disquete, adicionando o comando subst da seguinte maneira:

Ex:

subst c: a:
subst b: a:
subst qualquer outro drive a:

Obs: Em teoria isto vaiimpedir o virus de se propagar para o drive C:, mas o
melhor ainda e' desligar a Winchester mexendo na configuracao da BIOS ou via
desligamento da placa da winchester.

Feitas essas preparacoes, comeca-se a testar o virus. O ideal e' ter um arquivo
de isca, com um codigo simple como esse:
{programa retirado da revista Virus Report - nr 4 pg 4 }
org 100h
code segment
assume cs:code, ds:code
programa proc
inicio:
mov ah, 4Ch
mov al, 0h
int 21h
programa endp
code ends
end inicio
A ideia e' ter um programa cujo codigo nao confunda na hora de examinar. Na
verdade, o programa poderia ser bem menor. So' que alguns virus se recusam a
infectar programas com menos de 500 bytes. Compilar com o MASM ou
TASM. Havendo tal programa que chamarei de isca, deve-se renomea-lo para
isca.xxx antes do inicio das experiencias. Para averiguar o comportamento do
virus desenvolvi o seguinte metodo:

1) Antes de ativar o programa infectado

Digitar;

dir isc*.* >> teste.doc
copy isca.xxx isca1.com
arquivo <------------ aciona-se o arquivo virotico
echo "arquivo virotico ativado" >> teste.doc
^
I

(Comando para inserir essa linha no arquivo de registro sem
editor de texto)

2) Uma vez o arquivo ativado ( o virus provavelmente na
memoria)

Digitar:

dir isc*.* >> teste.doc
isca1
echo "isca1.com ativado" >> teste.doc
dir isc*.* >> teste.doc

3) realizar novo boot para tirar o virus da memoria

Digitar:

echo "situacao apos boot" >> teste.doc
dir isc*.* >> teste

Podem ser estudados:

- O aumento do arquivo apos a infeccao
- As diferencas na quantidade de memoria livre existente apos ativacao (usando o
CHKDSK e o MEM)
- O tipo de arquivos que infecta e se tem um tempo de incubacao (tempo durante
o qual nada acontece).
- Colocar varios arquivos juntos de uma so' vez, para se determinar se e'
fast-infector.
- Pode ser considerado "Stealth" se conseguir esconder sua presenca.

Obs: Nao se deve em hipotese alguma executar o Debug com o virus na
memoria do micro.

Obs2: O virus pode ser considerado Stealth (furtivo) se as alteracoes no arquivo
ficarem visiveis com um boot feito com disquete limpo de virus (no caso de um
que ataque arquivos).

Os virus de Boot sao estudados dando-se o boot com um disquete infectado com
o mesmo. Usar-se o comando SYS do DOS para se implantar o sistema
operacional no disquete infectado apagara' o virus no disquete.

Exemplo de descricao de um virus que espalhou muita destruicao, na
Universidade de Sao Paulo ( e outros lugares, sem duvida)

Porque os virus sao escritos:
-------------------------------------

O chamado virus de computador e' um software que sempre capta atencao e
estimula a curiosidade. Esta pergunta foi feita na convencao de Hackers e
fabricantes de virus na Argentina. A primeira resposta foi:

- Because it's fun. (por diversao, entretenimento)

Outras respostas:

- Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo
com a frase de Stephen Hawkind "Os virus de computador sao a primeira forma
de vida feita pelo homem"). Esta proposta e' seguida por varios cientistas,
incluindo um que pos a disposicao seu virus (inofensivo) para aqueles que
estivessem interessados. Existe uma revista eletronica dedicada a isto, chamada
Artificial Life e varios livros sobre o assunto. Em suma algo serio.

- Para descobrir se sao capazes de fazer isso ou para mostrarem para os colegas
do que sao capazes de fazer com um micro. Testar seus conhecimentos de
computacao.

- Por frustracao ou desejo de vinganca. Muitos autores de virus sao
adolescentes. Um jovem (inconformado com o fato de que o pai nao esta' afim
de comprar aquele kit de multimidia para o seu micro), usa o que sabe para ... *
Esta hipotese e' pura imaginacao. Mas a vontade de sublimar uma raiva atraves
de atos de vandalismo existe, como demonstram os pichadores e quebradores de
telefones.

- Curiosidade. Algo muito forte, mesmo para aqueles que tem pouco
conhecimento de informatica. Uma das melhores formas de se aprender sobre
virus e' "criando" um.

- Para conseguir acesso a BBSes de virus. Existem BBSes que possuem
bibliotecas de virus e codigos fontes como a Viegas BBS (agora desativada) e
outras nos EUA e em outros paises. O usuario podia ter acesso a colecao de
virus se fornecesse um novo. Muitos criavam ou modificavam virus ja' existentes
p. ter esse acesso (alias dois tercos dos virus ja' registrados sao resultado desse
intento, sendo muitos considerados fracos ou pouco sofisticados, comparados
com os originais).

- Para punir aqueles que copiam programas de computador sem pagar direitos
autorais.

- Para conseguir fama.

- Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o uso de
uma outra arma de "atrapalhamento" do sistema de computadores do inimigo.
Ainda assim, os virus p. uso militar sao uma possibilidade.

etc, etc

Minha opiniao pessoal e' que as pessoas se interessam por virus de
computadores da mesma forma que curtem assistir filmes de guerra e
colecionam armas de fogo ou facas. O fato de que a pessoa coleciona virus de
computador ou cria novos especimes nao indica uma vontade de distribuir seus
"rebentos" para o publico em geral.


Virus benignos:
---------------

Existem. Um deles e' o KOH, criado por King of Hearts, um hacker mexicano.
Ele e' um virus que criptografa tudo, de acordo com uma senha escolhida pelo
usuario. Desenvolvido com o algoritmo IDEA, e' teoricamente dificil de ser
"quebrado". O utilizador desse virus pode "pedir" ao virus para nao infectar
disquetes ou disco rigidos e controlar sua acao, portanto. Usa tecnicas "stealth" e
e' invisivel portanto a antivirus, podendo mesmo ajudar a evitar alguns tipos de
virus. Outro, compacta, a semelhanca do programa PKLITE, todo e qualquer
arquivo executavel que "infecta". O unico virus que "reduz" o espaco fisico que
"ocupa". Sem prejudicar os programas que compacta.

Emuladores de virus
-------------------

Sao programas que simulam a acao de virus de computador, para treinamento ou
diversao (a custa dos outros). Existe um, antigo, que faz aparecer umas aranhas
na tela que "comem" todas as letras do texto digitado. Outro exibe mensagens de
erro, com os seguintes dizeres:

1- Erro tal. Sua Winchester esta' cheia de agua.
2- Barulho de Winchester "inundada" aparece no alto-falante do micro.
3- O sistema operacional avisa que vai centrifugar o disco rigido para tirar a
agua. Barulho de centrifugacao no alto-falante do micro.
4- Volta o sistema ao normal.

Durante esse tempo todo, nada aconteceu com o seu micro. O teclado ficou
travado, mas nenhum arquivo foi deletado, nem mudado de lugar. Mas quem nao
conhece o dito fica em panico, e se e' o usuario "TAO" (aquele que aperta
bo"TAO" de reset com a ideia de que vai ganhar presente depois), e' capaz de
desistir de aprender computacao. Mais util e' o Virsim2, um emulador de virus
feito especialmente para treinar gente no combate a antivirus. O programa
produz arquivos inofensivos (que sao detectados como se fossem infectados por
diferentes tipos de virus, ver sessao sobre o funcionamento do Scan). Tambem e'
capaz de "infectar" um disquete com um boot virotico (que nao infecta o disco
rigido ou outros disquetes) ou simular o efeito de um virus na memoria. A
instalacao do programa e' sofisticada, com uma voz (em ingles) explicando o que
o programa esta' fazendo no momento, e isso funciona sem placa sound-blaster.
Engracado e' que em algumas firmas onde este programa foi usado constatou-se
que nenhum dos arquivos ficticios infectados foi encontrado pelos funcionarios.
Constatou-se uma apatia total pelo uso de programas anti-virus (ja' que nao havia
virus, nao havia medo de virus, entao nao havia uso dos programas anti-virus
instalados).


Nomenclatura de virus:
------------------------------

Nao existe uma convencao sobre o assunto. Enquanto os fabricantes de virus
costumam trocar dicas e ideias, os fabricantes de antivirus normalmente se
fecham em si, cada qual defendendo o seu mercado. O que e' Athenas para o
Scan da Mcafee Software, e' Trojector para o F-Prot do Friedriek Skulasson. O
maior documento, e em formato hipertexto, sobre virus, e' o VSUM, produzido
pela Patricia Hoffman. Como parece que ela recebe dinheiro da Mcafee, ou
porque sua descricao e' duvidosa (nao sei o porque na verdade), o fato e' que
este documento nao e' aceito pela comunidade de pesquisadores anti-virus. Pelo
menos nao o e' na sua totalidade. Existem vozes discordantes. Num de seus
boletins, a firma que produz o F-Prot conta tudo sobre como elabora a
nomenclatura de seus virus, mas se trata de uma leitura chata. O "nosso" virus
Brazil nao aparece na lista deles nem do Scan como tal, por exemplo. Ja' um
virus chamado Xuxa, muito raro (parece que foi escrito so' p. fins de divulgacao)
e' chamado como tal. As vezes, o virus e' nomeado por se tratar de uma
modificacao de outro ja' existente ou pelo programa que o produziu (como
acontece com os virus produzidos com a ajuda do VCL - ver os kits de
producao de virus). As vezes o virus contem um sinal (ele tem que saber como
identificar um arquivo virotico, p. nao infectar repetidas vezes o mesmo arquivo)
e esta caracteristica "batiza" o virus.


Programas "falsos":
-------------------

Algumas vezes, aparecem "ultimas versoes" ou versoes "desprotegidas" de
softwares muito utilizados. O sujeito copia, usa em casa, e .. descobre que o
software e' na verdade um programa de formatacao fisica de Winchester
disfarcado de outra coisa. Esse e' o tipo de virus classificado como "cavalo de
troia" ou "bomba-logica". Na Viegas BBS havia alguns programas do genero,
inclusive um "Norton Virus Detector", antecipando em alguns anos a producao
do programa antivirus do Norton. Esse tipo de falsificacao aconteceu muito com
o Scan, o Pkzip e acho que ate' com o Arj. O programa na verdade instalava um
virus ou fazia alguma coisa ruim com os dados da winchester. Um caso que deu
muito o que falar foi o do "AIDS-virus". Era um programa com informacoes
sobre a AIDS. O sujeito respondia algumas perguntas, recebia alguma
informacao geral sobre o virus (biologico) e tudo bem. So' depois descobria que
todos os nomes, todas as extensoes de arquivo, tudo o que estava na Winchester
havia sido alterado. A seguinte mensagem aparecia:


"It is time to pay for your software lease from PC Cyborg Corporation. Complete
the INVOICE and attach payment for the lease option of your choice.If you
don't use the printed INVOICE, then be sure to refer to the important reference
numbers below in all correspondence.

In return you will recieve:
- a renewal software package with easy to follow, complete instructions;
- an automatic, self installing diskette that anyone can apply in minutes."



Isso podia ser uma propaganda contra software pirata, mas na verdade o
software foi distribuido gratuitamente como brinde numa convencao internacional
sobre AIDS e tambem numa revista de informatica tipo PC-Qualquer coisa.
Como ja' foi dito acima, a unica forma de prevencao contra esse tipo de
programa e' um software chamado CHK4BOMB, disponivel no subdiretorio
virus de qualquer "mirror" do Simtel20. Ainda assim nada realmente e' capaz de
garantir que um programa e' ou nao um "cavalo-de-troia".


Laboratorios de fabricacao de virus:
------------------------------------

Existem programas feitos especificamente com o proposito de auxiliar iniciantes
na arte de fabricar virus sofisticados. Sao os "Virus Construction Tools". Existem
bibliotecas de rotinas prontas que podem tornar um virus simples polimorfico
(mais dificil de detectar) sem grande dificuldade p. o programador. E programas
que fazem o servico completo ao gosto do "inteligente" que quiser construir seu
proprio "monstro". O primeiro foi o GENVIR, construido e distribuido na Franca.
Lancado como uma especie de Shareware, e' cheio de menus, mas na hora de
produzir o virus ele para. Para receber uma copia que realmente faca o trabalho,
a pessoa deveria enviar 120 francos para um endereco na Franca. Um grupo
alemao o "Verband Deutscher Virenliebhaber" escreveu o VCS (Virus
Construction Set). Esse incorpora um texto escolhido pelo usuario num virus
simples, que apos se reproduzir um numero x de vezes, deleta os arquivos de
configuracao, como AUTOEXEC.BAT e CONFIG.SYS. Outros kits mais
"completos" e "sofisticados" sao o VCL (Virus Construction Laboratory), o
PS-MPC (Phalcon/Skism - Mass Produced Code Generator), o IVP (Instant
Virus Production Kit) e o G2 (G ao quadrado). Alguns chegam a produzir virus
com caracteristicas avancadas, como criptografacao e otimizacao de codigo
virotico(!). Como os fabricantes de antivirus tambem se mantem atualizados, os
programas antivirus sao atualizados de forma a detectar os virus produzidos por
esses laboratorio.

Algumas crendices:
----------------------------------

Contaminacao por Modem de computador:
------------------------------------

Nao existe. Pode-se conseguir um numa BBS ou com um amigo atraves da
copia de um programa infectado, mas e' tecnicamente impossivel um micro
infectar outro atraves do uso de modem.

Contaminacao por cima da etiqueta de protecao:
---------------------------------------------

Tambem impossivel. O que pode ter acontecido e' a infeccao ter sido descoberta
depois da colocacao da etiqueta, coisa que acontece com virus "stealth". Essa
trava impede a gravacao no disquete e isso funciona a nivel de hardware, nao de
software.

E' necessario formatar todos os disquetes para se livrar do virus XXXX
------------------------------------------------------------------------

Nem sempre. Tudo depende de se ter ou nao o "disquete de sistema limpo de
virus". Com ele e' possivel so' apagar os programas infectados e evitar esse
trabalho. De acordo com a minha experiencia e' possivel usar uma ferramenta
como o PCTOOLS ou o XTREE para "salvar" os arquivos de dados, sem
aumentar a transmissao. Em alguns casos pode ser mais facil formatar e
re-instalar tudo do que fazer a limpeza, mas nem sempre.

So' software pirata contem virus
--------------------------------

Nem sempre. O Michelangelo foi distribuido pela primeira vez dentro de 20.000
disquetes distribuidos por uma firma de computacao a seus usuarios. O
computador que fazia as copias estava infectado. Houve tambem o caso de um
programa
famoso de Desktop Publishing cujos disquetes-matriz foram infectados na casa do
sujeito encarregado de dar uma ultima olhada, resultando que toda a producao foi
infectada.

Calendario de Virus:
--------------------

Essa e' uma favorita da imprensa. Nao se fazem mais as reportagens sobre
supersticao na Sexta-feira 13 (como antigamente). Mas com certeza se fazem
reportagem sobre o virus Sexta-Feira 13 e o problema dos virus que tem dia
certo para ativar. A maior incidencia de virus no Brasil, de acordo com
bate-papos com gente que faz acessoria de informatica sao de virus como o
Stoned, o Michelangelo, o Jerusalem, o Athenas (trojector) e ultimamente o
Freddy. Aqui e ali ocorrem surtos de alguns virus novos, como o GV-MG e o
Daniela. Desses, so' um ou dois tem ativacao por dia do ano. O Michelangelo, 6
de Marco, e o Sexta-Feira 13. O problema e' que se a pessoa for esperta e fizer
uma check-up regular no micro, com qualquer programa como o Vshield ou
Vacina (ate' mesmo o MSAV do Dos 6.2 e' o suficiente para isso), ira' descobrir
o intruso. Para se ter uma ideia, existem versoes modificadas tanto do sexta-feira
13 como do Miguelangelo, que detectam quando o dono do micro desligou para
"evitar" o dia fatidico. Funcionam no dia ou na semana seguinte.

Virus "Good Times"
--------------------

Esta e' aconteceu na Internet, mas nao duvido que tenha acontecido tambem em
BBSes por ai' afora. Era um aviso sobre um virus que apagava tudo no disco
rigido, veiculado em correio eletronico. Funcionava como uma daquelas correntes
da felicidade. O sujeito recebia o aviso e re-enviava para todo mundo que
conhecia, e esses tambem re-enviavam. O efeito do virus foi "torrar" a paciencia
e ajudar a encher o correio eletronico (em alguns servicos de BBS paga-se por
quantidade de correspondencia recebida) de muita gente. Depois veio uma
segunda onda, a daqueles que avisavam que o virus nao existia