Vírus de computador: o que é isso?

É um programa como outro qualquer, mas com um único diferencial: seu
código é nocivo aos sistemas operacionais e respectivos aplicativos.
Gerados como arquivos executáveis, têm como característica principal a
possibilidade de auto replicação, ou seja, uma vez executado, ele passa a ficar
ativo na memória do computador e é feita uma cópia de seu código para
dentro da unidade de armazenamento (disquete ou disco rígido) onde serão
rodadas suas instruções nocivas no sistema infectado.
As finalidades desses programas nocivos não são outras senão a de alterar,
corromper e ou destruir as informações acondicionadas em disquetes e discos
rígidos de microcomputadores.

Histórico: a evolução do vírus de computador

1983 – O pesquisador Fred Cohen (doutorando de engª. elétrica da Univ. da
Califórnia do Sul), entre suas análises, batizou os programas de códigos
nocivos como “Vírus de Computador”.
1987 - Surge o Brain, o primeiro vírus de computador de que se tem notícia.
Ele infecta o setor de boot de disquetes (na época de 360 Kb), e utiliza
técnicas para passar despercebido pelo sistema.
Stoned (primeiro vírus a infectar o registro mestre de boot, MBR) é liberado.
Ele danifica o MBR da unidade de disco rígido, corrompendo ou até mesmo
impedindo a inicialização do sistema operacional.
1988 – O primeiro software antivírus é oferecido por um programador da
Indonésia. Depois de detectar o vírus Brain, ele o extrai do computador e
imuniza o sistema contra outros ataques da mesma praga.
O Internet Worm é liberado na ainda emergente Internet e atinge cerca de
6.000 computadores.

1989 – Aparece o Dark Avenger, que contamina programas rapidamente, mas
o estrago subseqüente acontece devagar, permitindo que o vírus passe
despercebido por muito tempo.
A IBM fornece o primeiro antivírus comercial e é iniciada uma pesquisa
intensiva contra as pragas eletrônicas.
No início do ano, apenas 9% das empresas pesquisadas sofreram um ataque de
vírus. No final do ano, esse número saltou para 63%.
1992 – Michelangelo, o primeiro vírus a causar agitação na mídia. É
programado para sobregravar partes das unidades de disco rígido em 6 de
março, dia do nascimento do artista da Renascença. As vendas de software
antivírus disparam, embora apenas alguns casos de infecção real sejam
reportados.
1994 – O autor de um vírus chamado Pathogen, na Inglaterra, é rastreado pela
Scotland Yard e condenado a 18 meses de prisão. É a primeira vez que o autor
de um vírus é processado por disseminar código destruidor.
1995 – Surge o Concept, o primeiro vírus de macro. Escrito na linguagem
Word Basic da Microsoft, pode ser executado em qualquer plataforma com
Word - PC ou Macintosh.
O Concept desencadeia uma explosão no número de vírus de macro, pois são
muito fáceis de criar e se disseminar.
1999 – O vírus Chernobyl, que deixa a unidade de disco rígido e os dados do
usuário inacessíveis, chega em abril. Embora tenha contaminado poucos
computadores nos Estados Unidos, provocou danos difundidos no exterior. A
China sofre prejuízos de mais de US$ 291 milhões. Turquia e Coréia do Sul
também foram duramente atingidas.
2000 – O vírus LoveLetter, liberado nas Filipinas, varre a Europa e os
Estados Unidos em seis horas. Infecta cerca de 2,5 milhões a 3 milhões de
máquinas, causando danos estimados em US$ 8,7 bilhões.
2001 – A “moda” são os códigos nocivos do tipo Worm (proliferam-se por
páginas da Internet e principalmente por e-mail).
São descobertos programas que criam vírus. Um deles é o VBSWorms
Generator, que foi desenvolvido por um programador argentino de apenas 18
anos.

Infecção: como acontece ?

• Vírus por disquete
Para que um programa de código destrutivo(vírus) possa proliferar-se, é
necessário uma forma de transporte. Como os vírus biológicos, é preciso um
“hospedeiro” para entrar em contato com outro corpo e assim poder
disseminar o vírus.
Uma das formas mais usadas por muito tempo e até hoje é o uso de disquetes.
O criador do vírus grava seu código destrutivo em disquete, e posteriormente,
executa-o em máquinas que são usadas por várias pessoas, como
computadores de salas de treinamento ou de empresas. O próximo usuário a
utilizar o computador infectado, entrará com seu disquete e o vírus que já está
carregado na memória, se auto copiará ocultamente para o disquete, gerando
assim mais um “hospedeiro”.
• Vírus por e-mail
Outra forma, que hoje é a mais focada pelos criadores de vírus, é o correio
eletrônico.
É a forma mais eficiente de se disseminar um vírus, pois praticamente todas as
pessoas que usam computadores, possuem um e-mail.
Ao abrir uma mensagem que contenha em anexo um arquivo de código
nocivo, nada de anormal acontecerá, isso porque o conteúdo da mensagem não
pode ser executado, por se tratar de texto que não utiliza linguagens de
programação como recurso. Mas ao executar o arquivo anexado, será iniciado
o processo de execução das instruções contidas em seu código.
As principais instruções desses vírus são a de se auto copiar para o disco
rígido, buscar a lista de endereços eletrônicos do gerenciador de e-mail
utilizado (Outlook Express, Netscape Messenger, Eudora, etc.) e se auto
enviar para todos os nomes da lista.

Principais tipos de Vírus:

• Vírus de Boot:
A característica desses tipos de vírus é a infecção de códigos executáveis
localizados no setor de inicialização das unidades de armazenamento, tanto
disquetes, quanto discos rígidos.
As unidades de armazenamento reservam uma parte de seu espaço para
informações relacionadas à formatação do disco, diretórios e arquivos
armazenados, além de um pequeno programa chamado “Bootstrap”, que é
responsável por carregar o sistema operacional na memória do computador.
O Bootstrap é o principal alvo dos vírus de boot. Eles alteram seu código, que
por sua vez altera a seqüência de boot do computador, passando a carregar
após o BIOS, o setor de boot infectado e as instruções do código do vírus de
boot para a memória da máquina e posteriormente o sistema operacional.
Exemplos de alguns vírus de boot: Stoned; Ping-Pong; Leandro&Kelly;
AntiEXE.
• Vírus de Arquivo:
Esses tipos de vírus têm como principal missão a infecção de arquivos
executáveis, geralmente os arquivos de extensão EXE e COM. Podem também
infectar arquivos importantes como os de extensão: SYS; OVL; OVY; PRG;
MNU; BIN; DRV; DLL, etc. Um dos arquivos mais visados é o
COMMAND.COM, que é um dos arquivos do sistema operacional com maior
índice de execução.
Quando um programa é executado, ele fica carregado na memória do
computador para que seja lido pelo processador. Estando esse programa

infectado, as instruções do código do vírus também serão executadas pelo
processador, e uma das instruções é a de copiar o código nocivo para dentro
dos demais arquivos executáveis “saudáveis”, gerando assim uma infecção
generalizada.
Alguns vírus de arquivos: Dark Avenger; MaTriX; Freddy Kruegger,
Chernobyl, dentre tantos outros.
• Vírus de Macro:
Este é um tipo de vírus relativamente novo. O primeiro vírus de macro, o
Concept, surgiu em 1995.
A criação desse tipo de vírus se dá a partir da linguagem de programação
Word Basic, que é responsável por criar e executar macros(automatização de
textos) no processador de textos Microsoft Word e também no Microsoft
Excel.
O principal alvo dos vírus de macro é o arquivo NORMAL.DOT, que é
responsável pela configuração do Word. A partir de sua contaminação, se
torna ultra rápida a infecção de outros documentos, pois a cada vez que se
abre ou se cria um novo documento, o NORMAL.DOT é executado.
As avarias causadas pelos vírus de macro vão desde a alteração dos menus do
Microsoft Word, da fragmentação de textos, até a alteração de arquivos de lote
como o AUTOEXEC.BAT, que pode receber uma linha de comando do DOS,
como por exemplo: DELTREE, que apagará parcial ou totalmente o conteúdo
do disco rígido, assim que o computador for inicializado.
Exemplos de vírus de macro: Wazzu, CAP.A, Melissa.

Escaneamento

Este é o método mais antigo, e ainda hoje um dos principais métodos utilizados por todos os programas anti-vírus do mercado.
Envolve o escaneamento em busca de vírus já conhecidos, isto é aqueles vírus que já são conhecidos das empresas de anti-vírus.
Uma vez que as empresas recebem uma amostra de um vírus eles o desassemblam para que seja separada uma string (um grupo de caracteres seqüenciais) dentro do código viral que só seja encontrada nesse vírus, e em nenhum programa normal à venda no mundo. Essa string, uma espécie de impressão digital do vírus, passa a ser distribuída semanalmente pelos fabricantes, dentro de suas vacinas.
O "engine" do anti-vírus usa esse verdadeiro banco-de-dados de strings para ler cada arquivo do disco, um a um, do mesmo modo que o sistema operacional lê cada arquivo para carregá-lo na memória e/ou executá-lo. Se ele encontrar alguma das strings, identificadoras de vírus, o anti-vírus envia um alerta para o usuário, informando da existência do vírus.

Esse método não pode, entretanto, ser o único que o anti-vírus deva utilizar. Confiar apenas no conhecimento de vírus passados, pode ser pouco, deixando o usuário totalmente à descoberto quanto a novos vírus. Assim os fabricantes de anti-vírus passaram a utilizar de métodos adicionais, que permitissem detectar vírus novos, onde o escaneamento citado neste tópico não está ainda disponível.