Como Agem os
Vírus
PYP Informática: Sua Fonte Segura de
Informação.
© by Francisco Panizo Beceiro
|
As páginas deste Site
são atualizadas constantemente, de tal sorte que se você visitar sempre nossa
Home Page, a cada
vez poderá encontrar novidades, mais
informações sobre alguns vírus importantes - ou novos
vírus - novos métodos e/ou programas Anti-Vírus. Volte
sempre, mande seu recado ou experiência para que possamos divulgar neste espaço.
Vírus de Programa (File Infecting Viruses):
Os vírus de Programa são os vírus que mais danos causam, eles atacam
os arquivos executáveis, muitas vezes sobrescrevendo o código original, causando danos -
quase sempre - irreparáveis.
A única maneira de ser infectado por este tipo de vírus é rodando um
arquivo já infectado no seu computador. Várias fontes podem ter sido a origem do arquivo
infectado: Internet, Rede Local, BBS, um disquete. Não importa, após você rodar o
arquivo infectado o vírus se ativa, em geral se torna residente em memória, e passa a
contaminar outros executáveis, seja os que são executados após o vírus ser ativado, ou
mesmo os arquivos que estão no diretório atual, ou ainda nos novos disquetes que você
inserir à partir daí nos seus drives.
Alguns vírus de programa geram "arquivos companheiros" (do
inglês Companion Files), isto é, para um certo arquivo XPTO.EXE eles criam um
companheiro de mesmo nome mas com a extensão .COM (que o DOS sempre executa primeiro.
A partir do aumento da eficácia dos programas anti-vírus, que foram
aparecendo ao longo do tempo, os criadores de vírus foram utilizando diversas técnicas
para camuflar seus pequenos rebentos, entre as quais podemos citar:
- o POLIMORFISMO (onde o código do vírus se altera constantemente);
- a ENCRIPTAÇÃO (onde o código do vírus é encriptado);
- a INVISIBILIDADE (técnica de STEALTH, onde o código do vírus é
removido da memória)
Vírus de Boot (Master Boot Record / Boot Sector
Viruses):
Este tipo de vírus infecta o registro mestre do Sistema (o Master Boot
Record - MBR) dos discos rígidos e/ou a área de boot (Boot Sector) dos disquetes, e
devido a tais áreas sempre serem executadas antes de qualquer outro software (incluindo
qualquer programa Anti-Vírus), tais vírus são os mais comuns, e os mais bem sucedidos
do mundo. Em geral tais tipos de vírus respondem por mais de 65% (a McAfee diz serem mais
de 80%) das ocorrências de ataque de vírus.
A única maneira de um computador se contaminar com tal tipo de vírus
é na tentativa de dar boot através de um disquete contaminado. O setor de boot de um
disquete possui o código para determinar se um disquete é "bootável", ou para
mostrar a mensagem: "Disquete Sem-Sistema ou Erro de Disco". É este
código, gravado no setor de boot, que ao ser contaminado por um vírus de Boot assume o
controle do micro. E assim que a mensagem acima é mostrada na tela já será muito tarde,
seu computador já estará infectado.
Assim que o vírus é executado ele toma conta da memória do micro, e infecciona
o MBR do disco rígido. A cada vez que um disquete não contaminado é colocado
no drive, e se faz uma simples leitura do diretório, pronto: um novo disquete contaminado
está pronto para rodar o mundo, espalhando a infecção.
Enquanto tais vírus ficam residentes em memória é quase impossível
se descobrir o código do vírus, pois mesmo que se usem programas utilitários (tais como
o Norton Editor) o vírus intercepta qualquer chamada do sistema que se dirija à MBR e
redireciona tal chamada para um setor em que o vírus gravou o MBR original (e não
infectado) do disco.
Para dificultar ainda mais a detecção alguns vírus não tentam
contaminar todo o disquete que encontrar no drive, e alguns nem sempre ficam residentes em
memória no primeiro boot. Tais técnicas tornam ainda mais problemático o processo de se
detectarem tais vírus.
A maioria dos vírus de Boot causam danos, seja diretamente como
resultado do seu ataque, ou indiretamente ao gravar a área original do MBR ou do Boot
Sector em outro setor, que pode estar ocupado, sendo portanto sobrescrito.
Vírus de Macro (Macro Viruses):
Este tipo de vírus age através de macros embutidas num documento do
Word, ou mais recentemente numa planilha do Excel. A simples abertura do documento pode
ativar tal vírus. Quando a macro é ativada (em geral é a macro AutoOpen - tipo de
Autoexec das macros) os comandos nela existente se auto copia, além que qualquer outra
macro que o vírus necessite, em geral para a memória e em muitas vezes para o
MODELO global do Word, o arquivo NORMAL.DOT, donde o vírus contaminará qualquer
novo documento que for criado, ou qualquer documento que for aberto.
À partir deste momento os vírus de Macro tentam se disseminar para
outros documentos, seja através da troca de disquetes, seja pela Rede Local, ou mais
recentemente pelas mensagens de E-mail da Internet.
Documentos são muito móveis, muito mais que arquivos executáveis,
passando de mão-em-mão (e portanto de máquina em máquina) entre colegas de trabalho,
amigos e outras pessoas, que ao escreverem, editarem, ou simplesmente lerem tais arquivos
se contaminarão pelo vírus de Macro. Tal característica causa uma verdadeira epidemia -
em pouquíssimas horas - dentro de pequenas ou grandes empresas.
Atualmente pelo menos 60% dos novos vírus descobertos no mundo são do
tipo Vírus de Macro. Além de tudo são mais fáceis de escrever que os demais tipos de
vírus.
[topo][leia também:
Características dos Diversos Tipos de Vírus]
|
