Tudo sobre vírus (destaque)
VÍRUS E ANTIVÍRUS
O que são vírus de computador?
Efetivamente, vírus não surgem do nada no seu computador. Eles
são escritos por alguém e colocados em circulação
até atingirem o seu computador através de um programa ou disquete
infectado. Um vírus é um pequeno programa que se autocopia e
/ ou faz alterações em outros arquivos e programas, de preferência
sem o seu conhecimento e sem autorização.
As manifestações dos vírus podem ser as mais diversas como mostrar mensagens, alterar determinados tipos de arquivos, diminuir a performance do sistema, deletar arquivos, corromper a tabela de alocação ou mesmo apagar todo o disco rígido. Um vírus é basicamente um conjunto de instruções com dois objetivos básicos: Se atracar à um arquivo para posteriormente se disseminar sistematicamente de um arquivo para outro, sem a permissão ou comando do usuário nesse sentido. Eles são, portanto, auto-replicantes. Além disso, os vírus contêm instruções objetivas no sentido de concretizar uma intenção do seu criador (mostrar mensagens, apagar o disco, corromper programas, etc.).
Usualmente eles se multiplicam a partir de um arquivo ou disquete infectado. Quando você roda um arquivo infectado ou inicializa um computador com um disco infectado, o vírus alcança a memória do seu computador. Dali ele passa a infectar outros arquivos, normalmente os chamados arquivos executáveis (extensão .COM e .EXE), podendo também infectar outros arquivos que sejam requisitados para a execução de algum programa, como os arquivos de extensão .SYS, .OVL, .OVY, .PRG, .MNU, .BIN, .DRV.
Entretanto já existem vírus que infectam arquivos de dados, como os arquivos do Word (.DOC) e excel (.XLS). Chamado de Macrovírus, eles são uma nova categoria de vírus de computador que atacam arquivos específicos não executáveis, ao contrário do que ocorria anteriormente, quando tais arquivos jamais eram infectados. Outra capacidade inédita destes tipos de vírus é a sua disseminação multiplataforma, infectando de um tipo de sistema (Windows e Mac, por exemplo).
É difícil termos um número exato dos tipos de vírus, porque literalmente vírus novos surgem a cada dia. Pois além do estimado de quase 20.000 vírus (com um incremento de cerca de 100 novos por mês), os pesquisadores de vírus utilizam-se de critérios diferentes para classificar os vírus conhecidos. Entretanto, apesar do enorme número de espécies conhecidas, apenas uma pequena parcela é a responsável por quase totalidade dos registros de infecções no mundo (estima-se cerca de 98%).
Existem vírus que não têm por objetivo provocar danos reais ao seu computador, por exemplo, vírus que nada façam além de apresentar mensagens em um determinado dia podem ser considerados benignos. Em sentido oposto, malignos seriam os vírus que infligem danos ao seu computador. Entretanto, muitos vírus que causam danos não o fazem intencionalmente. Muitas vezes são consequências de erros de programação do criador ou bugs.
Um vírus maligno pode provocar:
§ erros na hora de execução de um programa;
§ baixa de memória;
§ lentidão para entrar em programas;
§ danificação de dados;
§ danificação de drives;
§ formatação indesejada do HD;
§ alocação desnecessária da memória do computador
Tipos de Vírus de Computador:
Vírus de Arquivos
Esse tipo de vírus agrega-se a arquivos executáveis (normalmente extensão COM e EXE), embora possam também infectar arquivos que sejam requisitados para a execução de algum programa, como os arquivos de extensão SYS, DLL, PRG, OVL, BIN, DRV (esta última é a extensão dos arquivos que controlam o funcionamento do mouse, do CD-ROM, da impressora, do scanner ...).
Arquivo de extensão SCR, que é a extensão dos screen saver (protetores de tela), também podem ser infectado, pois este arquivos são, na verdade, executáveis comuns, salvos com outra extensão. Isto é feito para que o Windows possa reconhecer automaticamente esse tipo de arquivo.
Neste tipo de virose, programas limpos normalmente se infectam quando são executados com o vírus na memória em um computador corrompido.
Os vírus de arquivos dividem-se em duas classes, os de Ação Direta e os Residentes.
Vírus de Ação Direta
Essa classe de vírus seleciona um ou mais programas para infectar cada
vez que o programa que o contém é executado. Ou seja, toda vez
que o arquivo infectado for executado, novos programas são contaminados,
mesmo não sendo usados.
Como isto acontece?
Uma vez contaminado um arquivo, o programa (vírus) faz uma procura no winchester por arquivos executáveis. Cada arquivo encontrado é colocado em uma lista, após, na nova execução do arquivo contaminado, o vírus seleciona aleatoriamente um ou mais arquivos, e esses também serão contaminados.
Vírus Residentes
Essa classe esconde-se em algum lugar na memória na primeira vez que
um programa infectado é executado. Da memória do computador,
passa a infectar os demais programas que forem executados, ampliando progressivamente
as frentes de contaminação.
Um vírus também pode ser ativado a partir de eventos ou condições pré determinadas pelo criador, como data (como o Sexta-feira 13, por exemplo), número de vezes que um programa é rodado, um comando específico, etc.
Vírus de Sistema ou Vírus de Boot
Infectam códigos executáveis localizados nas áreas de
sistema do disco. Todo drive físico, seja disco rígido, disquete
ou cd-rom, contém um setor de boot. Esse setor de boot contém
informações relacionadas à formatação do
disco, dos diretórios e dos arquivos armazenados nele.
Além disso pode conter um pequeno programa chamado de programa de boot (responsável pela inicialização do sistema), que executa a “carga” dos arquivos do sistema operacional (o DOS, por exemplo). Contudo, como todos os discos possuem área de boot, o vírus pode esconder-se em qualquer disco ou disquete, mesmo que ele não seja de inicialização ou de sistema (de boot).
Um comportamento comum entre os vírus de boot que empregam técnicas mais avançadas invisibilidade é exibir os arquivos de boot originais sempre que for feita uma solicitação de leitura do sector 1 da track 0. Enquanto o vírus estiver residente na memória, ele redireciona todas as solicitações de leitura desse setor para o local onde o conteúdo original está armazenado. Essa técnica engana as versões mais antigas de alguns antivírus. Alguns vírus, ainda mais avançados, chegam a marcar o setor onde o os arquivos de boot originais foram colocado, como sendo um setor ilegível, para que os usuários não possam descobrir o setor de boot em um lugar considerado incomum.
Uma explicação técnica:
O primeiro setor físico (track 0, sector 1, head 0) de qualquer disco rígido de um PC, contém o Registro de Partida e a Tabela de Alocação de Arquivos (FAT). Os vírus de MBR (Master Boot Record) atacam esta região dos discos rígidos e se disseminam pelo setor de boot do disco. Quando a FAT é corrompida, por exemplo, você perde o acesso à diretórios e arquivos, não porque eles em foram atacados, mas porque o seu computador não consegue mais acessá-los.
Observações:
§ Track ou Trilha: uma série de anéis concêntricos finos em um disco magnético, que a cabeça de leitura / gravação acessa e ao longo da qual os dados são armazenados em setores separados.
§ Sector ou Setor: menor área em um disco magnético que pode ser endereçada por um computador. Um disco é dividido em trilhas, que por sua vez são divididos em setores que podem armazenar um certo número de bits.
§ Head ou Cabeça: transdutor que pode ler ou gravar dados da e na superfície de um meio magnético de armazenamento, como um disquete ou um winchester.
Vírus Múltiplos
São aqueles que visam tanto os arquivos de programas comuns como os
setores de Boot do DOS e / ou MBR. Ou seja, correspondem a combinação
dos dois tipos descritos acima. Tais vírus são relativamente
raros, mas o número de casos aumenta constantemente. Esse tipo de vírus
é extremamente poderoso, pois pode agir tanto no setor de boot infectando
arquivos assim que eles forem usados, como pode agir como um vírus
de ação direta, infectando arquivos sem que eles sejam executados.
Vírus de Macro
É a categoria de vírus mais recente, ocorreu pela primeira vez
em 1995, quando aconteceu o ataque do vírus CONCEPT, que se esconde
em macros do processador de textos MicroSoft WORD.
Esse tipo de vírus se dissemina e age de forma diferente das citadas acima, sua dissiminação foi rápida especialmente em função da popularidade do editor de textos Word (embora também encontramos o vírus na planilha eletrônica Excel, da própria MicroSoft).
Eles contaminam planilhas e documentos (extensões XLS e DOC). São feitos com a própria
linguagem de programação do Word. Entretanto a tendência é de que eles sejam cada vez mais eficazes, devido ao fato da possibilidade do uso da linguagem Visual Basic, da própria Microsoft, para programar macros do Word.
O vírus macro é adquirido quando se abre um arquivo contaminado. Ele se autocopia para o modelo global do aplicativo, e, a partir daí, se propaga para todos os documentos que forem abertos. Outra capacidade inédita deste tipo de vírus é a sua disseminação multiplataforma, infectando mais de um tipo de sistema (Windows e Mac, por exemplo).
Vírus Stealth ou Furtivo
Por volta de 1990 surgiu o primeiro vírus furtivo(ou stealth, inspirado
no caça Stealth, invisível a radares). Esse tipo de vírus
utiliza técnicas de dissimulação para que sua presença
não seja detectada nem pelos antivírus nem pelos usuários.
Por exemplo se o vírus detectar a presença de um antivírus
na memória, ele não ficará na atividade. Interferirá
em comandos como Dir e o Chkdsk do DOS, apresentando os tamanhos originais
dos arquivos infectados, fazendo com que tudo pareça normal. Também
efetuam a desinfecção de arquivos no momento em que eles forem
executados, caso haja um antivírus em ação; com esta
atitude não haverá detecção e consequente alarme.
Vírus Encripitados
Um dos mais recentes vírus. Os encripitados são vírus que, por estarem codificados dificultam a ação de qualquer antivírus. Felizmente, esses arquivos não são fáceis de criar e nem muito populares.
Vírus mutantes ou polimórficos
Têm a capacidade de gerar réplicas de si mesmo utilizando-se de chaves de encripitação diversas, fazendo que as cópias finais possuam formas diferentes. A polimorfia visa dificultar a detecção de utilitários antivírus, já que as cópias não podem ser detectadas a partir de uma única referência do vírus. Tal referência normalmente é um pedaço do código virótico, que no caso dos vírus polimórficos varia de cópia para cópia.
Precauções
O ideal seria jamais ser infectado, mas pode-se afirmar que nenhum computador está imune aos vírus e que não existem programas que possam nos dar 100% de proteção para todos os tipos de vírus. Portanto, é preciso ficar atento com as possibilidade do computador ser contaminado. É muito importante detectar o vírus antes que ele provoque danos ao seu sistema.
Um vírus sempre objetiva se disseminar o máximo possível até ser descoberto ou deflagrar um evento fatal para o qual foi construído, como por exemplo apagar todo disco rígido. Entretanto, é comum o aparecimento de alguns sintomas quando o computador está infectado, sendo que muitos deles são propositadamente incluídos na programação dos vírus pelos próprios criadores, como: mensagens, músicas, ruídos ou figuras e desenhos.
Usualmente, os vírus provocam alterações na performance do sistema e principalmente, costumam alterar o tamanho dos arquivos que infectam. Uma redução na quantidade de memória disponível pode também ser um importante indicador de virose. Atividades demoradas no disco rígido e outros comportamentos suspeitos do seu hardware podem ser causados por vírus, mas também podem ser causadas por softwares genuínos, por programas inofensivos destinados à brincadeiras ou por falhas e panes do próprio hardware.
Todos os sintomas descritos não são provas ou evidências da existência de vírus, entretanto, deve-se prestar atenção à alterações do sistema nesse sentido. Para um nível maior de certeza é essencial ter um antivírus com atualização recente, já que a lista de vírus aumenta constantemente. Para evitar contaminação é indispensável checar disquetes desconhecidos com um antivírus antes de inseri-los no computador. Pois, muitas vezes sequer é necessário abrir arquivos ou rodar um programa a partir um disquete contaminado para infectar o computador, pelo fato de todos os discos e disquetes possuírem uma região de boot (mesmo os que não são inicializáveis), basta o computador inicializar ou tentar a inicialização com um disquete contaminado no drive para abrir caminho para a disseminação. Um vírus pode atacar o programa de antivírus instalado no computador, portanto sempre bom ter à mão um disquete “limpo” de boot com a inicialização do sistema operacional e um antivírus que possa ser rodado a partir dele.
Outra recomendação bastante importante: ao fazer um download de algum arquivo na Internet ou BBS, antes de executar o programa, é preciso testá-lo com o antivírus de sua preferência.
Atenção: Lembre-se que os arquivos compactados (extensão como por exemplo ZIP, ARJ ou LHA) podem estar infectados. Na realidade não existe nenhum tipo de vírus que possa infectar os arquivos com essa, mas são raros os lotes de arquivos compactados que não contenham pelo menos UM arquivo executável ou algum documento do MicroSoft Word ou Excel. Como regra de prudência, é melhor descompactá-lo em um diretório isolado e testá-lo com o antivírus de sua preferência.
Protegendo-se Contra Infecções
Algumas medidas podem ser tomadas para proteger-nos de infecções, são elas:
§ Tenha certeza de utilizar a proteção de um bom software Antivírus. A proteção será mais eficaz se for utilizada a última versão disponível no mercado (os principais fabricantes atualizam seus softwares em média a cada 30 ou 60 dias);
§ Se seu produto antivírus possuir um módulo de auto-proteção, deixe-a sempre ligada, mesmo nos casos de instalação de novos programas, que muitas vezes pedem para o usuário encerrar todos os programas que estejam em uso antes da instalação (desligue todos os aplicativos em uso menos a auto-proteção);
§ Cheque sempre cada arquivo que receber, seja por meio de um disquete, Internet ou de qualquer outra forma;
§ Se você possui as versão Word 95a ou Word 97 (versão 8.0), habilite a proteção interna contra da seguinte maneira:
1.Selecione o menu Ferramentas depois Opções;
2.Clique em Geral;
3.Após selecione Ativar Proteção contra Vírus de Macro;
5.Se você vai fazer um upgrade para o Word 97, e fez poucas alterações no
modelo NORMAL.DOT, considere a possibilidade de deletar o mesmo
antes de fazer oupgrade;
§ A maioria dos vírus de macro atacam infectando o modelo NORMAL.DOT, se você usa a versão 97, poderá proteger o seu arquivo com uma senha, assim só quem souber a senha poderá fazer qualquer tipo de uma alteração nesse modelo. Para fazer isso siga os seguintes passos:
1. No menu Ferramentas, clique em Macro, depois de um clique na sub-
opção Editor do Visual Basic;
2. No menu Exibir escolha Explorer de Projeto, irá abrir uma janela;
3. Na janela, clique com o botão direito do mouse, sobre a opção Normal,
depois Propriedades;
4. Selecione a aba Proteção;
5. Deixe selecionado o CHECK-BOX Protege projeto para visualização;
6. Informe a senha que você desejar;
7. Clique no botão [ OK ] e saia do Editor do Visual Basic.
Pronto, agora toda a vez que alguém quiser fazer alguma alteração na configuração do Word, será necessário informar a senha, ou seja, os vírus de macros não poderão alterar o seu sistema.
Programas Antivírus
São programas utilizados para detectar vírus num computador
ou disquete. A
maioria usa método simples de procura por uma sequência de bytes que constituem o programa vírus. Desde que alguém tenha detectado e analisado a sequência de bytes de um vírus, é possível escrever um programa que procura por essa sequência. Se existe algo parecido, o programa antivírus anuncia que encontrou um vírus. O antivírus, por sua vez, funciona como uma vacina dotada de um banco de dados que cataloga milhares de vírus conhecidos. Quando o computador é ligado ou quando o usuário deseja examinar algum programa suspeito, ele varre o disco rígido em busca de sinais de invasores.
Quando um possível vírus é detectado, o antivírus parte para o extermínio. Alguns
antivírus conseguem reparar os arquivos contaminados, entretanto nem sempre isso é possível. Muitas vezes a única saída é substituir o arquivo infectado pelo mesmo arquivo “clean” do software original, ou de outro computador com programas e sistema operacional idênticos ao infectado. Dependendo do vírus e das proporções dos danos ocasionados pela virose, apenas alguém que realmente compreenda do assunto poderá limpar o seu computador e, se possível, recuperar os arquivos afetados.
Alguns antivírus são dotados de alguns recursos especiais, são eles:
§ Tecnologia Push : atualiza a lista de vírus. Ao conectar-se à INTERNET, o micro aciona o software Backweb, que busca automaticamente novas versões da lista de vírus no site da McAfee sem a necessidade do usuário fazer dowloads manuais;
§ ScreenScan: varre o disco rígido enquanto o micro está ocioso. Funciona da seguinte maneira: toda vez que o screen saver é acionado, o VirusScan entra em ação. Além de não atrapallar a rotina do usuário, evita a queda de desempenho do PC.
Os Melhores Antivírus
Após o computador ser infectado por um vírus, a única solução são esses programas. Alguns antivírus conseguem reparar os arquivos contaminados, entretanto nem sempre isso é possível. Muitas vezes, neste caso, o arquivo infectado pode e deve ser substituído pelo mesmo arquivo “clean” do software original ou de outro computador com programas e sistema operacional idênticos ao infectado. Mas, muitas vezes, dependendo do vírus e da extensão dos danos ocasionados pela virose, apenas alguém que realmente compreenda do assunto poderá desinfectar o seu computador e recuperar os arquivos (quando possível). No processo de descontaminação do computador é importante checar todos os seus disquetes, mesmo aqueles com programas e drives originais a fim de evitar uma recontaminação.
Existem muitos programas antivírus que podem ser adquiridos no formato shareware em sites de pesquisadores, empresas ou em BBS. As versões shareware são programas que normalmente não possuem todas as funções da versão comercial plena, eventualmente estas versões possuem tempo de uso limitado, a vantagem é que geralmente são gratuitas.
Não basta apenas instalar um bom antivírus no computador para estar livres desses invasores para sempre, pois, como já foi dito anteriormente, cerca de 100 novos vírus surgem todos os meses, então é preciso estar sempre atualizado. A maioria dos antivírus oferecem atualizações mensais ou bimestrais que podem ser adquiridas gratuitamente por até um ano, por quem comprou o antivírus.
A seguir serão apresentados alguns dos mais conhecidos e usados antivírus, aconselho ter UM deles no seu computador, porém o ideal é pelo menos DOIS. Escolha o seu na lista a seguir:
VirusScan
O VirusScan, produzido pela McAfee , é o antivírus mais conhecido do mundo. É possível encontrar versões para vários sistemas operacionais desde o MS-DOS até o Windows. O antivírus possui 10.160 vírus listados.
As novas versões desse programa possuem um sistema chamado de Hunter (Caçador), que possui uma execução multiponto de 32 bits projetada para utilizar os avanços mais atuais em termos de memória e gerenciamento de hardware, conferindo ao software um alto nível de detecção de vírus e rápido rastreamento. Quando entra em ação o sistema cruza informações sobre comportamentos virais para detectar invasores não catalogados. O Hunter é um sistema inteligente, que utiliza webcasting para atualizar seus registros via Internet.
O software possui um módulo chamado ScreenScan que lança automaticamente o programa de análise quando se ativa o protetor de tela, ou seja, enquanto sua máquina estiver ligada e você não estiver trabalhando o programa procura sozinho por vírus.
Além disso, devido ao aumento dos Applets Hostis, a McAfee está lançando uma nova versão do VirusScan, trata-se do WebScanX, especializado em policiar o comportamento de aplicações Java, ActiveX e programas que “viajam” de carona em mensagens de e-mail.
Norton Antivirus - NAV
Produzido pela Symantec, o Norton AntiVirus (também conhecido como
NAV) ganhou a confiança de seus usuários, e passou a ser um
mais usados atualmente.
Possui 9.600 vírus listados, além de um sistema de procura por desconhecidos. Mas o que chama a atenção na sua nova versão é um sistema desenvolvido especialmente para o Netscape Navigator , que monitora a presença de vírus durante a realização de download de arquivos na Internet. Se um vírus for encontrado ele automaticamente trata de reparar o arquivo que está sendo baixado.
Tem detecção polifórmica, que utiliza um compartimento de limpeza virtual, no qual os vírus mutantes são introduzidos antes que possam atuar sobre os arquivos no disco rígido. Além disso também trabalha em segundo plano vigiando a entrada de invasores.
Dr. Solomons Tool Kit
Possui aproximadamente 13.000 vírus listados. Um dos destaques do kit é o módulo MailGuard, que foi desenvolvido para proteger o computador dos vírus que chegam pela Internet ou correios eletrônicos, como o Lotus Notes e o Microsoft Exchange. O sistema elimina automaticamente o vírus, caso ele seja encontrado.
Mas o que está fazendo do antivírus ficar conhecido, e ter o seu uso cada vez mais constante, é um teste publicado pela revista americana PC Magazine, que mostra que o DR. Solomon’s é o primeiro antivírus que detecta 100% dos vírus eletrônicos. Segundo a revista, o antivírus, na versão para o Windows NT, detectou todos os Vírus de Macros e Polifórmicos conhecidos.
Também possui um módulo, que trabalha em segundo plano, que fica constantemente procurando por vírus enquanto você trabalha.
Se você copia arquivos de programas pela Internet a partir de instalações FTP ou de outros computadores, ou usa disquetes para transferir dados entre computadores, é bem possível que seu computador pegue um vírus. Entretanto você não precisa se preocupar em pegar vírus quando carregar arquivos de texto ou de dados pela Internet.
§ Um arquivo de programa carregado da Internet ou transferido de qualquer outro computador pode estar infectado por um vírus. Disquetes usados em outros computadores também são passíveis de estarem infectados. Os vírus são específicos para as plataformas porque os arquivos de programa que infectam são feitos para serem executados em um tipo de computadores. Os computadores executando MS-DOS parecem ter maiores riscos que outros tipos de computadores, provavelmente devido ao maior número de computadores MS-DOS no mundo. Entretanto, outros tipos de computadores - especialmente os das linhas Macintosh e Amiga, e sistemas Unix - também correm riscos.
§ Ao executar um programa infectado ou dar um BOOT de um disco infectado, o vírus anexa cópias de si mesmo em outros programas e discos usados pelo computador.
§ Os vírus podem danificar o software, corrompendo arquivos de programas ou de dados que passam a se comportar erraticamente. Um vírus pode alterar os arquivos de sistema necessários ao computador quando este é ligado. Um vírus pode desordenar o sistema de diretórios nos discos, provocando a perda do registro dos outros arquivos.
§ Programas chamados vasculhadores (anti-vírus) procuram vírus e alertam sua presença. Alguns vasculhadores verificam todos os arquivos que chegam ao computador à procura de vírus. Programas de monitoração vigiam as operações do computador, procurando sinais de que um ataque de vírus pode estar se iniciando.
§ Alguns programas desinfetam, ou removem, os vírus. Programas desinfetantes não funcionam com todos os tipos de vírus, entretanto.
§ vírus adere ao topo de um programa executável. Quando este programa é executado, o vírus inicia seu trabalho sujo. A partir do momento em que o programa de vírus está em execução, ele toma conta do resto do programa executável original. Pode-se não perceber que o programa está infectado até que o vírus começe a causar problemas.
§ Uma excelente maneira de proteger seus programas é fazer cópias regulares de todos os seus arquivos. Ao descobrir que o computador foi infectado basta descartar os arquivos infectados, reformatar o disco e reinstalar os programas a partir de suas cópias de segurança. Dá bastante trabalho, mas em alguns casos é a única alternativa.
By Rossini Gonçalves ( Certification Microsoft )
