|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 - Virus e Antivirus (artigo muito bom)
Colaboração enviada por:
Handerson - http://handerson.cjb.net
(filho do servidor Marco)
O que são vírus de computador?
Efetivamente, vírus não surgem do nada no seu computador. Eles são criados por alguém e colocados em circulação até atingirem o seu computador através de um programa ou disquete infectado.
Um vírus é um pequeno programa que se copia e/ou faz alterações em outros arquivos e programas, de preferência sem o seu conhecimento e autorização.
As manifestações dos vírus podem ser as mais diversas como mostrar mensagens, alterar determinados tipos de arquivos, diminuir a performance do sistema, deletar arquivos, corromper a tabela de alocação, remover o programa da BIOS ou mesmo apagar todo o disco rígido.
Um vírus é basicamente um conjunto de instruções com dois objetivos básicos: Se atracar à um arquivo para posteriormente se disseminar sistematicamente de um arquivo para outro, sem a permissão ou comando do usuário nesse sentido. Eles são, portanto, auto-replicantes. Além disso, os vírus contêm instruções objetivas no sentido de concretizar uma intenção do seu criador (mostrar mensagens, apagar o disco, corromper programas, etc.) e talvez, veladamente, promover de maneira não muito usual esse criador.
Usualmente eles se multiplicam a partir de um arquivo
ou disquete infectado. Quando você roda um arquivo infectado ou inicializa
um computador através de um disco de boot infectado, o vírus
alcança a memória do seu computador. Dali ele passa a infectar
outros arquivos que forem executados, normalmente os chamados arquivos
executáveis (extensão .COM, .EXE e .BAT), podendo também
infectar outros arquivos que sejam requisitados para a execução
de algum programa, como os arquivos de extensão .SYS, .OVL, .OVY,
.PRG, .MNU, .BIN, .DRV.
Entretanto já existem vírus que infectam arquivos de
dados, como os arquivos do Word (.DOC) e excel (.XLS). Chamado de Virus
de macro, eles são uma nova categoria de vírus de computador
que atacam arquivos específicos não executáveis, ao
contrário do que ocorria anteriormente, quando tais arquivos jamais
eram infectados. Estes são os virus mais comuns nos nossos dias
(agosto/2000). Outra capacidade inédita destes tipos de vírus
é a sua disseminação multiplataforma, infectando de
um tipo de sistema (Windows e Mac, por exemplo).
É difícil termos um número exato dos tipos de vírus, porque literalmente vírus novos surgem a cada dia. Pois além do estimado de quase 20.000 vírus (com um incremento de cerca de 100 novos por mês), os pesquisadores de vírus utilizam-se de critérios diferentes para classificar os vírus conhecidos. Entretanto, apesar do enorme número de espécies conhecidas, apenas uma pequena parcela é a responsável por quase totalidade dos registros de infecções no mundo (estima-se cerca de 98%).
Existem vírus que não têm por objetivo provocar danos reais ao seu computador, por exemplo, vírus que nada façam além de apresentar mensagens em um determinado dia podem ser considerados benignos. Em sentido oposto, malignos seriam os vírus que infligem danos ao seu computador. Entretanto, muitos vírus que causam danos não o fazem intencionalmente. Muitas vezes são consequências de erros de programação (ou bugs) do criador de um programa que nunca imaginou criar algo parecido.
Um vírus maligno pode provocar:
a) erros na hora de execução de um programa;
b) baixa de memória;
c) lentidão para entrar em programas;
d) danificação de dados;
e) danificação de drives;
f) formatação indesejada do HD;
g) alocação desnecessária da memória do
computador;
h) destruição do programa da BIOS (tornando o micro unitilizável).
Tipos de Vírus de Computador:
1 - Vírus de Arquivos
Esse tipo de vírus agrega-se a arquivos executáveis (normalmente extensão COM e EXE), embora possam também infectar arquivos que sejam requisitados para a execução de algum programa, como os arquivos de extensão SYS, DLL, PRG, OVL, BIN, DRV (esta última é a extensão dos arquivos que controlam o funcionamento do mouse, do CD-ROM, da impressora, do scanner ...).
Arquivo de extensão SCR, que é a extensão dos screen saver (protetores de tela), também podem ser infectado, pois este arquivos são, na verdade, executáveis comuns, salvos com outra extensão. Isto é feito para que o Windows possa reconhecer automaticamente esse tipo de arquivo.
Neste tipo de virose, programas limpos normalmente se infectam quando são executados com o vírus na memória em um computador corrompido.
Os vírus de arquivos dividem-se em duas classes, os de Ação Direta e os Residentes.
2 - Vírus de Ação Direta
Essa classe de vírus seleciona um ou mais programas para infectar cada vez que o programa que o contém é executado. Ou seja, toda vez que o arquivo infectado for executado, novos programas são contaminados, mesmo não sendo usados.
Como isto acontece?
Uma vez contaminado um arquivo, o programa (vírus) faz uma procura no winchester por arquivos executáveis. Cada arquivo encontrado é colocado em uma lista, após, na nova execução do arquivo contaminado, o vírus seleciona aleatoriamente um ou mais arquivos, e esses também serão contaminados.
3 - Vírus Residentes
Essa classe esconde-se em algum lugar na memória na primeira vez que um programa infectado é executado. Da memória do computador, passa a infectar os demais programas que forem executados, ampliando progressivamente as frentes de contaminação.
Um vírus também pode ser ativado a partir de eventos ou condições pré determinadas pelo criador, como data (como o Sexta-feira 13, por exemplo), número de vezes que um programa é rodado, um comando específico, etc.
4 - Vírus de Sistema ou Vírus de Boot
Infectam códigos executáveis localizados nas áreas de sistema do disco. Todo drive físico, seja disco rígido, disquete ou cd-rom, contém um setor de boot. Esse setor de boot contém informações relacionadas à formatação do disco, dos diretórios e dos arquivos armazenados nele.
Além disso pode conter um pequeno programa chamado de programa de boot (responsável pela inicialização do sistema), que executa a "carga" dos arquivos do sistema operacional (o DOS, por exemplo). Contudo, como todos os discos possuem área de boot, o vírus pode esconder-se em qualquer disco ou disquete, mesmo que ele não seja de inicialização ou de sistema (de boot).
Um comportamento comum entre os vírus de boot que empregam técnicas mais avançadas invisibilidade é exibir os arquivos de boot originais sempre que for feita uma solicitação de leitura do sector 1 da track 0. Enquanto o vírus estiver residente na memória, ele redireciona todas as solicitações de leitura desse setor para o local onde o conteúdo original está armazenado. Essa técnica engana as versões mais antigas de alguns antivírus. Alguns vírus, ainda mais avançados, chegam a marcar o setor onde o os arquivos de boot originais foram colocado, como sendo um setor ilegível, para que os usuários não possam descobrir o setor de boot em um lugar considerado incomum.
Uma explicação técnica:
O primeiro setor físico (track 0, sector 1, head 0) de qualquer disco rígido de um PC, contém o Registro de Partida e a Tabela de Alocação de Arquivos (FAT). Os vírus de MBR (Master Boot Record) atacam esta região dos discos rígidos e se disseminam pelo setor de boot do disco. Quando a FAT é corrompida, por exemplo, você perde o acesso à diretórios e arquivos, não porque eles em foram atacados, mas porque o seu computador não consegue mais acessá-los.
Observações:
a) Track ou Trilha: uma série de anéis concêntricos finos em um disco magnético, que a cabeça de leitura / gravação acessa e ao longo da qual os dados são armazenados em setores separados.
b) Sector ou Setor: menor área em um disco magnético que pode ser endereçada por um computador. Um disco é dividido em trilhas, que por sua vez são divididos em setores que podem armazenar um certo número de bits.
c) Head ou Cabeça: transdutor que pode ler ou gravar dados da e na superfície de um meio magnético de armazenamento, como um disquete ou um winchester.
5 - Vírus Múltiplos
São aqueles que visam tanto os arquivos de programas comuns como os setores de Boot do DOS e / ou MBR. Ou seja, correspondem a combinação dos dois tipos descritos acima. Tais vírus são relativamente raros, mas o número de casos aumenta constantemente. Esse tipo de vírus é extremamente poderoso, pois pode agir tanto no setor de boot infectando arquivos assim que eles forem usados, como pode agir como um vírus de ação direta, infectando arquivos sem que eles sejam executados.
6 - Vírus de Macro
É a categoria de vírus mais recente, ocorreu pela primeira vez em 1995, quando aconteceu o ataque do vírus CONCEPT, que se esconde em macros do processador de textos MicroSoft WORD.
Esse tipo de vírus se dissemina e age de forma diferente das citadas acima, sua dissiminação foi rápida especialmente em função da popularidade do editor de textos Word (embora também encontramos o vírus na planilha eletrônica Excel, da própria MicroSoft).
Eles contaminam planilhas e documentos (extensões
XLS e DOC). São feitos com a própria
linguagem de programação do Word. Entretanto a tendência
é de que eles sejam cada vez mais eficazes, devido ao fato da possibilidade
do uso da linguagem Visual Basic, da própria Microsoft, para programar
macros do Word.
O vírus macro é adquirido quando se abre um arquivo contaminado. Ele se autocopia para o modelo global do aplicativo, e, a partir daí, se propaga para todos os documentos que forem abertos. Outra capacidade inédita deste tipo de vírus é a sua disseminação multiplataforma, infectando mais de um tipo de sistema (Windows e Mac, por exemplo).
7 - Vírus Stealth ou Furtivo
Por volta de 1990 surgiu o primeiro vírus furtivo(ou stealth, inspirado no caça Stealth, invisível a radares). Esse tipo de vírus utiliza técnicas de dissimulação para que sua presença não seja detectada nem pelos antivírus nem pelos usuários. Por exemplo se o vírus detectar a presença de um antivírus na memória, ele não ficará na atividade. Interferirá em comandos como Dir e o Chkdsk do DOS, apresentando os tamanhos originais dos arquivos infectados, fazendo com que tudo pareça normal. Também efetuam a desinfecção de arquivos no momento em que eles forem executados, caso haja um antivírus em ação; com esta atitude não haverá detecção e consequente alarme.
8 - Vírus Encripitados
Um dos mais recentes vírus. Os encripitados são vírus que, por estarem codificados dificultam a ação de qualquer antivírus. Felizmente, esses arquivos não são fáceis de criar e nem muito populares.
9 - Vírus mutantes ou polimórficos
Têm a capacidade de gerar réplicas de si mesmo utilizando-se
de chaves de encripitação diversas, fazendo que as cópias
finais possuam formas diferentes. A polimorfia visa dificultar a detecção
de utilitários antivírus, já que as cópias
não podem ser detectadas a partir de uma única referência
do vírus. Tal referência normalmente é um pedaço
do código virótico, que no caso dos vírus polimórficos
varia de cópia para cópia.
Precauções
O ideal seria jamais ser infectado, mas pode-se afirmar
que nenhum computador está imune aos vírus e que não
existem programas que possam nos dar 100% de proteção para
todos os tipos de vírus. Portanto, é preciso ficar atento
com as possibilidade do computador ser contaminado. É muito importante
detectar o vírus antes que ele provoque danos ao seu sistema.
Um vírus sempre objetiva se disseminar o máximo possível
até ser descoberto ou deflagrar um evento fatal para o qual foi
construído, como por exemplo apagar todo disco rígido. Entretanto,
é comum o aparecimento de alguns sintomas quando o computador está
infectado, sendo que muitos deles são propositadamente incluídos
na programação dos vírus pelos próprios criadores,
como: mensagens, músicas, ruídos ou figuras e desenhos.
Usualmente, os vírus provocam alterações na performance do sistema e principalmente, costumam alterar o tamanho dos arquivos que infectam. Uma redução na quantidade de memória disponível pode também ser um importante indicador de virose. Atividades demoradas no disco rígido e outros comportamentos suspeitos do seu hardware podem ser causados por vírus, mas também podem ser causadas por softwares genuínos, por programas inofensivos destinados à brincadeiras ou por falhas e panes do próprio hardware.
Todos os sintomas descritos não são provas ou evidências da existência de vírus, entretanto, deve-se prestar atenção à alterações do sistema nesse sentido. Para um nível maior de certeza é essencial ter um antivírus com atualização recente, já que a lista de vírus aumenta constantemente. Para evitar contaminação é indispensável checar disquetes desconhecidos com um antivírus antes de inseri-los no computador. Pois, muitas vezes sequer é necessário abrir arquivos ou rodar um programa a partir um disquete contaminado para infectar o computador, pelo fato de todos os discos e disquetes possuírem uma região de boot (mesmo os que não são inicializáveis), basta o computador inicializar ou tentar a inicialização com um disquete contaminado no drive para abrir caminho para a disseminação. Um vírus pode atacar o programa de antivírus instalado no computador, portanto sempre bom ter à mão um disquete "limpo" de boot com a inicialização do sistema operacional e um antivírus que possa ser rodado a partir dele.
Outra recomendação bastante importante:
ao fazer um download de algum arquivo na Internet ou BBS, antes de executar
o programa, é preciso testá-lo com o antivírus de
sua preferência.
Atenção: Lembre-se que os arquivos compactados (extensão
como por exemplo ZIP, ARJ ou LHA) podem estar infectados. Na realidade
não existe nenhum tipo de vírus que possa infectar os arquivos
com essa, mas são raros os lotes de arquivos compactados que não
contenham pelo menos UM arquivo executável ou algum documento do
MicroSoft Word ou Excel. Como regra de prudência, é melhor
descompactá-lo em um diretório isolado e testá-lo
com o antivírus de sua preferência.
Protegendo-se Contra Infecções
Algumas medidas podem ser tomadas para proteger-nos de infecções, são elas:
a) Tenha certeza de utilizar a proteção de um bom software Antivírus. A proteção será mais eficaz se for utilizada a última versão disponível no mercado (os principais fabricantes atualizam seus softwares em média a cada 30 ou 60 dias);
b) Se seu produto antivírus possuir um módulo de auto-proteção, deixe-a sempre ligada, mesmo nos casos de instalação de novos programas, que muitas vezes pedem para o usuário encerrar todos os programas que estejam em uso antes da instalação (desligue todos os aplicativos em uso menos a auto-proteção);
c) Cheque sempre cada arquivo que receber, seja por meio de um
disquete, Internet ou de
qualquer outra forma;
d) Se você possui as versão Word 95a ou Word 97 (versão
8.0), habilite a proteção interna contra da seguinte maneira:
1.Selecione o menu Ferramentas depois Opções;
2.Clique em Geral;
3.Após selecione Ativar Proteção contra Vírus
de Macro;
5.Se você vai fazer um upgrade para o Word 97, e fez poucas alterações
no
modelo NORMAL.DOT, considere
a possibilidade de deletar o mesmo
antes de fazer oupgrade;
e) A maioria dos vírus de macro atacam infectando o modelo
NORMAL.DOT, se você usa a versão 97, poderá proteger
o seu arquivo com uma senha, assim só quem souber a senha poderá
fazer qualquer tipo de uma alteração nesse modelo. Para fazer
isso siga os seguintes passos:
1. No menu Ferramentas, clique em Macro, depois de um clique na sub-opção
Editor do Visual Basic;
2. No menu Exibir escolha Explorer de Projeto, irá abrir
uma janela;
3. Na janela, clique com o botão direito do mouse, sobre
a opção Normal,
depois Propriedades;
4. Selecione a aba Proteção;
5. Deixe selecionado o CHECK-BOX Protege projeto para visualização;
6. Informe a senha que você desejar;
7. Clique no botão [ OK ] e saia do Editor do Visual
Basic.
Pronto, agora toda a vez que alguém quiser fazer alguma alteração na configuração do Word, será necessário informar a senha, ou seja, os vírus de macros não poderão alterar o seu sistema.
Programas Antivírus
São programas utilizados para detectar vírus num computador ou disquete. A maioria usa método simples de procura por uma sequência de bytes que constituem o programa vírus. Desde que alguém tenha detectado e analisado a sequência de bytes de um vírus, é possível escrever um programa que procura por essa sequência. Se existe algo parecido, o programa antivírus anuncia que encontrou um vírus. O antivírus, por sua vez, funciona como uma vacina dotada de um banco de dados que cataloga milhares de vírus conhecidos. Quando o computador é ligado ou quando o usuário deseja examinar algum programa suspeito, ele varre o disco rígido em busca de sinais de invasores.
Quando um possível vírus é detectado, o antivírus parte para o extermínio. Alguns antivírus conseguem reparar os arquivos contaminados, entretanto nem sempre isso é possível. Muitas vezes a única saída é substituir o arquivo infectado pelo mesmo arquivo "clean" do software original, ou de outro computador com programas e sistema operacional idênticos ao infectado. Dependendo do vírus e das proporções dos danos ocasionados pela virose, apenas alguém que realmente compreenda do assunto poderá limpar o seu computador e, se possível, recuperar os arquivos afetados.
Alguns antivírus são dotados de alguns
recursos especiais, são eles:
1) Tecnologia Push : atualiza a lista de vírus. Ao conectar-se
à INTERNET, o micro aciona o software Backweb, que busca automaticamente
novas versões da lista de vírus no site da McAfee sem a necessidade
do usuário fazer dowloads manuais;
2) ScreenScan: varre o disco rígido enquanto o micro está
ocioso. Funciona da seguinte maneira: toda vez que o screen saver é
acionado, o VirusScan entra em ação. Além de não
atrapallar a rotina do usuário, evita a queda de desempenho do PC.
Os programas antivirus, como os outros programas dividem-se em três principais categorias: Comerciais (Norton), Shareware (Scan) e Freware (Inoculate).
Gostariamos de ressaltar diversas vantagens do Inoculate:
- Freeware (você não precisa pagar nada por ele, baixa
da internet e ele avisa para fazer as atualizações na data
correta, mais ou menos um mês após e é feita automatizamente
pela internet). Faz também que não precisemos estar pirateando
programas (Norton) nem correndo o risco de ter um antivirus vencido em
30 dias (Scan) ;
- É eficiente, tem mostrado-se eficiente em todos os testes
que efetuamos;
- Ao encontrar um virus ele remove e depois avisa que removeu (ideal
para leigos);
- Vem com um utilitário de recuperação do HD;
- Funciona também em rede.
- É o menor dos três citados (menos de 3MB) e também
o mais leve (não fica pesado em 486).
Tá certo, com tudo isso e por esse preço eu vou levar, mas onde consigo? :)
Site oficial do fabricante (uma grande empresa, a CA - Computer Assosiate):