|
Definição
de Vírus
Um vírus de computador é um programa pequeno desenvolvido
para alterar a forma como um computador opera, sem a permissão
ou o conhecimento do seu usuário. Um vírus precisa atender
a dois critérios. Primeiro, ele deverá executar a si próprio,
frequentemente inserindo alguma versão do seu próprio código
no caminho de execução de outro programa. Segundo, ele deve
se disseminar. Por exemplo, ele pode se copiar em outros arquivos executáveis
ou em discos que o usuário acessa. Os vírus podem invadir
tanto computadores desktop como servidores de rede.
Tipos
de Vírus
- Os vírus
de PC pertencem a uma dessas três principais categorias: vírus
de programa (ou parasitário), vírus de setor de boot e
vírus de macro.
- Os vírus
de programa infectam arquivos de programa. Esses arquivos normalmente
têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS,
.BIN e, até mesmo, .BAT. Exemplos de vírus de programa
conhecidos são Jerusalem e Cascade.
- Os vírus
de setor de boot infectam a área do sistema de um disco - ou
seja, o registro de inicialização em disquetes e discos
rígidos. Todos os disquetes e discos rígidos (incluindo
discos com dados apenas) contêm um pequeno programa no registro
de inicialização que é executado quando o computador
é iniciado. Os vírus de setor de boot anexam-se a esta
parte do disco e são ativados quando o usuário tenta iniciar
a partir do disco infectado. Exemplos de vírus de setor de boot
são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de
vírus, conhecida como vírus multiparticionados, infecta
os registros de boot e os arquivos de programa).
- Os vírus
de macro infectam os arquivos dos programas Microsoft Office Word, Excel,
PowerPoint e Access. Variações mais recentes também
estão aparecendo em outros programas. Todos estes vírus
usam a linguagem de programação interna do programa, que
foi criada para permitir que os usuários automatizem determinadas
tarefas neste programa. Devido à facilidade com que estes vírus
podem ser criados, existem milhares deles espalhados.
Como
os Vírus São Disseminados A forma mais comum de
um vírus de boot se espalhar é iniciar um computador com
um disquete infectado na unidade A:. Muitas vezes isto ocorre quando você
acidentalmente esquece um disco de dados na unidade A: ao iniciar o computador.
O disquete infectado imediatamente grava seu código no registro
mestre de inicialização (MBR). O MBR é executado
sempre que o computador é iniciado; portanto, deste momento em
diante, o vírus é executado sempre que o computador é
iniciado.
Em geral, os contaminadores
de arquivo são espalhados por um usuário que inadvertidamente
executa um programa infectado. O vírus é carregado na memória
junto com o programa. Em seguida, ele infecta todo programa executado
por este programa original ou por qualquer pessoa neste computador. Isto
ocorre até a próxima vez em que a máquina for desligada.
Danos
Provocados pelo Vírus A maioria dos arquivos tem uma "atividade"
ou "gatilho", a ação ou destruição que o vírus
executa. Alguns vírus são programados especificamente para
danificar o computador corrompendo programas, excluindo arquivos ou reformatando
o seu disco rígido. Outros não são desenvolvidos
para provocar danos, mas simplesmente para se reproduzirem e chamarem
a atenção sobre a sua presença com mensagens de texto,
vídeo e áudio. Mesmo estes vírus benignos, no entanto,
podem criar problemas para o usuário do computador. Normalmente,
eles consumem a memória do computador utilizada por programas legítimos.
Conseqüentemente, provocam comportamentos erráticos e quedas do
sistema. Além disso, muitos vírus são causados por
bugs. E bugs podem causar falhas no sistema e perda de dados.
Como
Usar o Computador com Segurança Com toda esta mobilização,
é fácil acreditar que há vírus em todos arquivos,
e-mails e sites na Web. No entanto, algumas precauções básicas
podem minimizar seu risco de infecção. Use seu computador
com segurança e incentive todos que você conhece a fazerem
o mesmo.
Verifique se as suas
definições de vírus estão atualizadas. Use
o LiveUpdate (ou o seu método preferido) para fazer download das
últimas definições de vírus, pelo menos, uma
vez por semana. Para mais informações sobre como atualizar
definições de vírus, consulte o documento "SUPORTE
DO SARC: Fazendo o download e usando definições de vírus."
Mantenha a Auto-Proteção
do Norton AntiVirus (NAV) sempre em execução com as opções
corretas no seu computador. As "Opções Corretas" são
definidas automaticamente quando o NAV é instalado e incluem:
Certificar-se de
que você definiu o NAV para verificar disquetes no acesso e ao desligar.
Para obter mais informações, consulte o documento "Checking
Floppies for Boot Viruses Upon Access" (Verificando disquetes quando a
vírus de boot no acesso).
p> Defina a Auto-Proteção
do NAV para ser ativada na inicialização e para verificar
os arquivos quando um destes arquivos ou operações de programa
ocorrerem:
Executar
Abrir
Copiar
Mover
Criar
Download
Estas precauções
o manterão protegido contra praticamente todas as ameaças
de vírus!
Vírus
de Setor de Inicialização
- Que São
Vírus de Setor de Inicialização
Os vírus do setor de inicialização são vírus
que infectam o "setor de inicialização" de um disco rígido
ou de um disquete. O que é um setor de inicialização?
Quando um computador é iniciado, uma das primeiras coisas que
ele precisa fazer é examinar uma parte especial do seu disco
rígido (ou disquete se estiver na unidade de disquete) para ler
informações ou códigos sobre como inicializar.
Isto é o setor de inicialização. Quando a máquina
é iniciada e lê este código especial, ela também
"carrega" parte deste código na RAM (memória).
Quando um vírus de setor de inicialização infecta
o setor de inicialização da unidade, esta parte do código
é substituída pelo vírus ou coexiste ele. Quando
o computador infectado é inicializado, ele carrega não
só o código normal "limpo", mas também o código
virótico. Quando o vírus é carregado na memória,
sempre que você tenta acessar um disquete na sua unidade de disquete,
este vírus residente na memória verifica se o código
está no disquete. Se estiver, nada acontece. Mas se o disquete
ainda não estiver infectado, o vírus grava uma cópia
dele mesmo nos setores de inicialização do disquete. Se
alguém deixar este disquete na unidade de disquete na próxima
vez em que o computador for inicializado, o vírus será
carregado na memória e recomeçará o processo.
- Que acontecerá
se você inicializar com um disquete infectado, mas a sua máquina
não estiver infectada? Se você reiniciar um computador
usando um disquete infectado, mas a própria máquina estiver
limpa, quando este vírus é carregado na memória,
ele verifica os setores de inicialização da unidade de
disco rígido local para ver se existe uma cópia dele mesmo.
Caso contrário, ele copiará a si próprio no setor
de inicialização da unidade de disco rígido e infecta
a máquina.
- Quais São
os Riscos dos Vírus de Setor de Inicialização?Embora
os vírus do setor de inicialização não estejam
recebendo tanta atenção quanto os vírus de macro,
eles ainda dão trabalho. Da mesma forma como você deve
tratar toda arma como se estivesse carregada, trate todo disquete como
se estivesse infectado. Como os vírus de setor de inicialização
se espalham através de disquetes e CDs inicializáveis,
todo disquete e CD deverá ser verificado quando à existência
de vírus. Softwares compactados, discos de demos de fornecedores
e software de teste NÃO são exceções a esta
regra. Já foram localizados vírus, até mesmo, em
software comercializados no varejo.
Além disso, tenha cuidado com discos utilizados no computador
de casa ou no laboratório de informática da escola. É
sempre possível que, nestes locais, a proteção
antivírus tenha sido desativada e o disquete possa estar infectado.
Se este disquete não for verificado, ele pode infectar o ambiente
de trabalho também. Atualize as suas definições
de vírus, pelo menos, uma vez por semana e ajuste o NAV para
verificar todos os disquetes no acesso e ao desligar.
Como
Evitar Vírus de Setor de Inicialização
- Evite deixar um
disco flexível no computador quando desligá-lo. Na reinicialização,
o computador tentará ler a unidade de disquete e é neste
momento que o vírus de setor de inicialização pode
infectar o disco rígido.
- Sempre proteja
seus disquetes contra gravação depois de terminar de gravar
neles.
Anexos
de e-mail
Simplesmente ler ou abrir uma mensagem de e-mail normalmente não
dissemina um vírus. No entanto, se o seu sistema de e-mail estiver
definido de alguma forma para executar anexos automaticamente, você
está correndo riscos.
NOTA:
Com a introdução do vírus de worm VBS.BUBBLEBOY,
é possível ser infectado apenas abrindo um e-mail no Microsoft
Outlook. Este vírus usa uma brecha conhecida na segurança
do Outlook. Você pode fazer o download da correção
para fechar esta brecha diretamente da Microsoft. VBS.BUBBLEBOY é
o que chamamos de um vírus ZOO, o que significa que ele não
é encontrado circulando livremente. Isto pode mudar ou outro vírus
que use a mesma brecha na segurança poderá ser criado; portanto,
é importante que você aplique a correção da
Microsoft.
Os anexos de e-mail
são uma fonte importante de infecção de vírus.
Os anexos do Microsoft Office para Word, Excel e Access podem ser infectados
por vírus de Macro. Outros anexos podem conter vírus "infectores
de arquivo". A Auto-Proteção do Norton AntiVirus verificará
estes anexos quanto à existência de vírus quando eles
forem abertos ou copiados. Mantenha a Auto-Proteção do NAV
em constante execução no seu computador para evitar infectar
seu computador ou o de terceiros por anexos de e-mail.
Além disso,
o NAV 2000 agora pode verificar anexos de e-mail antes que o e-mail hospedeiro
chegue a aparecer no seu programa de e-mail. Isto permite interceptar
os vírus antes mesmo que eles sejam vistos.
Práticas
Adicionais de Computação Segura Suspeite de anexos
de e-mail provenientes de origens desconhecidas. Abrir ou executar estes
anexos é como "aceitar carona de estranhos". Os vírus mais
recentes podem enviar mensagens de e-mail que parecem ter sido enviadas
por pessoas que você conhece. Alguns sinais de advertência:
Você
costuma receber e-mail desta pessoa?
Neste caso, esta pessoa normalmente usa frases como "Read me NOW!!" URGENT!!!?
O seu sistema de e-mail formata as linhas de assunto para "Mensagem importante
de "? Se o corpo do e-mail informar "Aqui está
o documento solicitado" ou "aqui estão as informações
solicitadas", você realmente solicitou alguma coisa?
Alarmes
Falsos de Vírus Os alarmes falsos são mensagens
sobre vírus que supostamente são espalhadas quando você
simplesmente lê um e-mail. Estas mensagens são extremamente
comuns. Na verdade, elas não passam de correntes. Os indicadores
mais comuns de um vírus de alarme falso estão relacionados
abaixo. Se você receber um e-mail com todas ou alguma das seguintes
frases, provavelmente ele é um alarme falso:
Se você receber
um e-mail chamado [nome do alarme falso de e-mail], não abra!
Exclua-o imediatamente!!!
Ele contém o vírus [nome de alarme falso].
Ele excluirá tudo no disco rígido e [perigo extremo e improvável
especificado aqui].
A existência deste vírus foi anunciada hoje pela [nome de
uma organização com boa reputação aqui].
Envie esta mensagem para todas as pessoas que você conhece!!!
A maioria dos avisos
de vírus de alarme falso não varia muito em relação
a este padrão. Se você não tiver certeza se um aviso
de vírus é legítimo ou um alarme falso, pesquise
no site da Symantec AntiVirus Research Center (SARC) na Web em http://www.symantec.com/avcenter/hoax.html.
Se o e-mail tiver um arquivo que você supostamente deveria executar,
ele é provavelmente um Cavalo de Tróia (veja a próxima
seção) e é recomendável que você o envie
para o Symantec AntiVirus Research Center (SARC). Consulte o documento
intitulado, "How to Submit a Possible Virus Sample to the Symantec AntiVirus
Research Center" para ajudá-lo a enviar uma amostra de vírus.
Vírus
de Cavalo de Tróia Os Cavalos de Tróia são
impostores - arquivos que afirmam ser desejáveis mas, na verdade,
são mal-intencionados. Uma distinção muito importante
dos verdadeiros vírus é que eles NÃO se reproduzem,
como os vírus. Eles não são exatamente vírus,
mas são freqüentemente chamados de vírus.
É extremamente
improvável que os sites públicos e de boa reputação
contenham arquivos de Cavalo de Tróia. No entanto, os anexos de
e-mail não solicitados ou arquivos para download certamente podem
ser Cavalos de Tróia. Muitos vírus de macro do Word também
são considerados Cavalos de Tróia. Para uma listagem completa
de Cavalos de Tróia, vá para o site do SARC na Web em http://www.symantec.com/avcenter/vinfodb.html
e pesquise "trojan."
Vírus
de Worm
- Os vírus
de worm são programas que se reproduzem de um sistema para outro
sem usar um arquivo hospedeiro. Em comparação aos vírus,
que exigem um arquivo hospedeiro para infectarem e se espalharem a partir
dele. Muitos vírus de macro são considerados worms.
- Embora os vírus
de worm em geral "residam" dentro de outros arquivos, normalmente documentos
do tipo Word ou Excel, há uma diferença entre como worms
e vírus usam o arquivo hospedeiro. O criador do worm costuma
divulgar um documento que já tem a macro "worm" dentro do documento.
Este documento não pode - e não deve - ser alterado devido
ao código ou especificação do worm. O documento
inteiro será transmitido de um computador a outro, portanto o
documento inteiro deve ser considerado o worm.
- Uma boa forma de
analisar isto é imaginar que você tenha um worm binário
(EXE ou executável). Ele tem um cabeçalho EXE e o corpo
do código. Conseqüentemente, o worm é o "cabeçalho"
+ "código" EXE e não apenas o "Código" EXE. Para
estender esta analogia a um worm, um documento worm é comparável
ao cabeçalho do executável. Sem o documento, o worm não
funcionaria e não seria um worm.
|