Vírus são programas como outros quaisquer, com a diferença de que foram escritos com o único objetivo de atormentar a vida do usuário.
Para "contrair" um vírus, você deve, obrigatoriamente, ou executar um programa infectado ou acessar um disquete que tenha um vírus escondido. Não há outra forma de contaminação. Por isto, é impossível pegar vírus através de e-mail, por exemplo. Mesmo que você tenha um programa infectado, caso você não o execute, o vírus não irá contaminar o seu micro.
Na verdade, o micro não "pega" vírus nem "fica" com vírus.
Os vírus ficam alojados secretamente dentro de programas ou da área de boot de
disquetes ou do disco rígido. Por este motivo, é impossível que você compre
alguma peça de computador "com vírus"; eles necessitam estar
armazenados em algum lugar, normalmente disquetes e discos rígidos. Como são
programas, com o micro desligado os vírus não podem fazer nada, mesmo que o
micro esteja infectado.
Como funcionam
Ao executar um programa infectado ou acessar um disquete contaminado, o vírus passa para a memória (RAM) do micro. Estando residente em memória, ele passará a interceptar todas as rotinas de acesso a arquivo e disco do sistema operacional; sempre que um novo arquivo for acessado, o vírus adicionará uma cópia de si próprio neste arquivo (caso o vírus seja um "vírus de arquivo"). Outro tipo de vírus, conhecido como "vírus de boot" não se esconde em arquivos, mas no setor de boot de disquetes e de discos rígidos. Esse tipo de vírus grava uma cópia de si próprio em todos os disquetes que forem inseridos no drive. Essa é a "fase de contaminação", onde o vírus tenta se espalhar o máximo possível.
Repare que o vírus estará ativo a partir do momento em que está carregado em memória (RAM). No caso de vírus de arquivo, eles tratam de infectar logo o arquivo COMMAND.COM, que é um dos primeiros arquivos a serem carregados pelo sistema operacional. Como o COMMAND.COM é sempre carregado, o vírus sempre estará em memória. No caso de vírus de boot, o vírus é carregado antes do sistema operacional, pois há uma modificação na rotina de boot do disquete ou do disco rígido.
Por este motivo, não adianta nada executar um programa antivírus a partir de um micro infectado. Caso você "rode" o antivírus, o mais provável de ocorrer é o próprio vírus contaminá-lo, pois ele estará carregado em memória. Ou então, irá acontecer de você retirar o vírus e ele novamente contaminar arquivos ou o setor de boot, uma vez que ele ainda estará presente na memória (RAM).
Desta forma, para executar um programa antivírus, você deverá preparar um disquete de boot (com o comando FORMAT A:/S) e copiar o antivírus para este disquete. É claro que este procedimento deverá ser executado em um micro "limpo", sem vírus. Depois, basta dar um boot com o disquete antivírus que você preparou, ou seja inserir o disquete no drive e ligar o micro. Não se esqueça de alterar a seqüência de boot no setup. Para isto, pressione a tecla [DEL] durante a contagem de memória; altere a opção "boot sequence" de "C,A" para "A,C", no menu "advanced setup". Saia do setup gravando as alterações feitas.
Outro caso muito comum é o do usuário leigo que fica reclamando "este vírus é danado mesmo; já reformatei o disco rígido mais de 5 vezes e ele continua lá !" Primeiro que a formatação do disco rígido só é recomendada em último caso - quando o antivírus realmente não consegue retirar o vírus do disco rígido. Em segundo lugar, se você precisar reformatar o disco rígido, deverá fazê-lo dando um boot com um disquete "limpo", preparado em um micro não-infectado. Caso você tente formatar o disco rígido dando boot por ele mesmo, o vírus irá ser carregado em memória (RAM) e, logo após você ter acabado de formatar o disco, o vírus irá imediatamente se copiar para lá...
Os vírus ficam nesta fase de contaminação até entrarem em atividade. Há várias maneiras do vírus entrar em atividade, a mais divulgada pela mídia é através de uma data específica. O vírus Michelangelo, por exemplo, entra em atividade no dia 6 de março, quando, então, destrói dados do disco rígido.
Quando o vírus entra em atividade várias coisas podem ocorrer. Em geral o micro "enlouquece", com um comportamento totalmente anormal - o micro fica apresentando muitas mensagens de erro e "travando" constantemente. Alguns tipos de vírus destróem dados e outros simplesmente apresentam mensagens pacíficas.
Podemos classificar os vírus de acordo com o método utilizado para se carregarem em memória. Há basicamente dois métodos: alterando o setor de boot do disco ou adicionando seu código a arquivos executáveis.
Vírus de boot
Os vírus de boot alteram o setor de boot de todos os discos que encontrarem a partir do momento em que estiverem carregados em memória (RAM). Isto faz com que o vírus seja carregado automaticamente para a memória antes mesmo do sistema operacional toda a vez em que for dado um boot com um disco contaminado.
A seqüência de boot de um disco com MS-DOS é a seguinte: BIOS, Setor de boot, Sistema operacional (MSDOS.SYS e IO.SYS), COMMAND.COM, CONFIG.SYS, AUTOEXEC.BAT.
Após a execução do POST (Power On Self Test, aquele autoteste que há sempre em que ligamos o micro), o BIOS do computador carrega em memória (RAM) o setor de boot do disco de boot, que pode ser o disco rígido ou um disquete, dependendo do que o usuário optar. No setor de boot há um pequeno programa, chamado bootstrap, responsável por carregar o sistema operacional em memória.
O vírus, quando contamina um disco, altera o código do bootstrap, de modo que ele passe a carregar o vírus antes do sistema operacional. Portanto, em um disco infectado por um vírus de boot, a seqüência de boot seria alterada da seguinte forma:
BIOS, Setor de boot (infectado, bootstrap alterado), Vírus de boot, Sistema operacional (MSDOS.SYS e IO.SYS), COMMAND.COM, CONFIG.SYS, AUTOEXEC.BAT.
Como o código do bootstrap é sempre o mesmo para todos os micros que possuam MS-DOS ou Windows 95, um programa antivírus é capaz de identificar rapidamente se um micro possui ou não um vírus de boot, comparando o código bootstrap existente no disco com o código do bootstap padrão. Se eles forem diferentes, há um vírus de boot no disco. Isto dá a possibilidade, inclusive, do programa antivírus identificar um vírus de boot desconhecido.
A remoção de um vírus de boot geralmente é muito simples. Se copiarmos um setor de boot padrão por cima de um setor de boot contaminado, iremos desabilitar o carregamento do vírus de boot. Isto é feito facilmente através do comando FDISK /MBR. É claro que este procedimento deve ser feito dando-se um boot com um disquete "limpo", pois caso o vírus esteja residente em memória (RAM), ele contaminará novamente o setor de boot do disco rígido logo após você ter limpado o setor de boot.
Alguns exemplos de vírus de boot: Michelangelo, Stoned, Ping-Pong, Leandro & Kelly, AntiEXE, etc.
Vírus de arquivo
Os vírus de arquivo ficam armazenados "dentro" de arquivos executáveis - geralmente os arquivos com extensão EXE ou COM. Eles alteram o arquivo original de forma que sejam carregados para a memória (RAM) antes do arquivo original. Uma vez na memória, o vírus contamina todos os arquivos executáveis que forem chamados a partir de então.
O arquivo preferido dos vírus é o COMMAND.COM, que é sempre executado. Com o COMMAND.COM infectado, todos os programas que forem executados após o "contágio" serão automaticamente infectados pelo vírus, que tratará de copiar para cada arquivo uma cópia de seu próprio código.
Caso você "rode" um arquivo executável infectado em um micro "limpo", isto fará com que o micro seja igualmente "infectado": muito provavelmente o vírus procurará o COMMAND.COM do micro "limpo" para lá armazenar uma cópia de seu código.
Importante notar que os vírus de arquivo são carregados para a memória (RAM) somente após você ter executado um arquivo contaminado. Se você possuir um arquivo contaminado porém não o executar, ele não terá como infectar o micro nem como destruir dados, já que o vírus não terá como passar para a memória (RAM).
A seguir ilustramos o funcionamento de um vírus de arquivo chamado Barrotes. Este vírus possui 1.310 bytes de código. O arquivo COMMAND.COM do MS-DOS possui 54.619 bytes (este tamanho varia conforme a versão utilizada). O arquivo, quando infectado, "engordou" 1.310 bytes, passando a ter 55.929 bytes.
COMMAND.COM (54.619 bytes)
Vírus Barrotes (1.310 bytes)
Total: Arquivo com 55.929 bytes
Alguns programas antivírus (como o CPAV e o MSAV) criam uma lista (checklist) dos arquivos executáveis e de seus tamanhos. Caso um arquivo executável aumente misteriosamente de tamanho, o programa antivírus alerta ao usuário a possibilidade do arquivo estar infectado por um vírus desconhecido.
É claro que os criadores de vírus conseguiram burlar este "problema". Em geral, os vírus mais recentes, quando estão em memória (RAM), forçam o sistema operacional a indicar o antigo tamanho do arquivo e não o tamanho com que ele ficou após estar infectado.
Vírus de arquivo só podem ser removidos através de programas antivírus. O programa antivírus possui um banco de dados contendo o código de vários vírus. Ele compara todos os arquivos do disco rígido (ou disquete) com este banco de dados, na procura por vírus. Encontrando, este mesmo banco de dados aponta como desinfectar o arquivo contaminado.
Como, em geral, o vírus apenas "cola" o seu código ao arquivo executável, a remoção do vírus é possível sem "estragar" o arquivo infectado.
Entretanto, há certos tipos de vírus que sobrepõem parte do código do arquivo executável, destruindo automaticamente parte do arquivo ao infectá-lo. Com isto, a remoção do vírus torna-se impossível, pois o arquivo original não poderá ser recuperado. Contudo, o antivírus é capaz de apontar os arquivos infectados por vírus deste tipo e recomendar que eles sejam apagados. Este é o caso do vírus Freddy Krueger, por exemplo.
Existem milhares de vírus de arquivo. Alguns dos mais conhecidos são o Atenas (Trojector) e o Natas, além dos já citados na coluna de hoje.
Vírus de Macro
Dissemos que os vírus são ativados somente quando executamos algum programa infectado. Graças à uma falha de segurança do processador de textos Word, é possível fazer com que vírus sejam escritos na linguagem de programação do Word - Word Basic -, que é utilizada na criaação e execução de macros.
Macros são pequenas rotinas com a finalidade de executar processos pré-estabelecidos muito utilizados. Podem ser utilizados através da opção "Macro" existente no menu "Ferramentas" do Word.
No caso do vírus de macro, eles gostam de bagunçar com o processador de textos, como por exemplo, trocar opções e comandos, bagunçar a impressão, enfim fazer com que o seu Word tenha um comportamento anormal.
É claro que os vírus de macro atacam exclusivamente o processador de textos. Além disto, este é o único tipo de vírus capaz de se alastrar utilizando um arquivo de dados como meio de propagação.
Um dos grandes problemas do vírus de macro é que ele é multiplataforma, ou seja, roda em qualquer sistema operacional, seja Windows, Windows 95, OS/2 ou Mac/Os, pois o vírus é escrito baseado na linguagem de programação do Word.
Aliás, o grande problema hoje em dia é em relação à este tipo de vírus. A maioria dos usuários sabe do perigo que os vírus representam. Daí, quase todo mundo tem um programa antivírus. Entretanto, programas antivírus mais antigos dificilmente irão detectar vírus de macro. Somente as versões mais novas dos programas antivírus detectam com precisão este tipo de vírus.
Figura 1:
Arquivos infectados com vírus de macro.
Com um arquivo infectado carregado, observamos as macros que eram trazias com ele. Observe na figura a existência de uma macro "AutoOpen", responsável pelo "estrago" do vírus.
Figura 2: Texto com vírus de macro. Note a presença da macro "AutoOpen".
Este tipo de vírus alastra-se em proporções assustadoras e a contaminação é facílima. Basta você abrir qualquer documento infectado para que o vírus infecte o modelo global NORMAL.DOT, responsável pela configuração do Word. Como o NORMAL.DOT é sempre carregado, qualquer arquivo que você crie ou abra depois do "contágio" estarão contaminados também.
Como este é um tipo de vírus muito novo, a maioria dos usuários se esquece de passar um programa antivírus em disquetes contendo arquivos DOC emprestados por colegas ou disponíveis no trabalho. Até mesmo pela Internet é muito fácil pegar este tipo de vírus. Basta que alguém lhe envie um arquivo "DOC" infectado anexado a um e-mail (em "attach").
Aliás, já que tocamos no assunto, é impossível que um e-mail contenha um vírus, somente o arquivo anexado a este, certo ? São totalmente falsas as afirmações de que existem certas mensagens de e-mail que "estragam" o computador quando abertas, pois contém "perigosíssimos" vírus. Mensagens divulgando fatos falsos como este são chamadas "spam" e são altamente condenadas pela "etiqueta" da Internet.
Antivírus
Contra vírus usamos programas antivírus, é claro. Acontece que devemos ter muito cuidado quando usamos um programa deste tipo. O antivírus deve ser o mais recente possível, de forma a detectar vírus mais novos. Além disto, o programa deve ser recente o bastante para reconhecer e eliminar vírus de macro, como vimos na semana passada. Todos os antivírus mais novos eliminam vírus de macro.
O maior cuidado que devemos ter é em relação à descontaminação. Alguns vírus (como o AntiEXE, por exemplo) "tapeiam" o antivírus. Caso você execute o antivírus com o vírus na memória, o programa acusa que não há nenhum vírus em seu micro ! Além disto, caso você execute um programa antivírus diretamente do disco rígido de um micro com vírus, o mais provável de ocorrer é o próprio antivírus ser contaminado !
Por isso, você deverá utilizar o antivírus através de um disquete "limpo" (descontaminado). Vejamos passo-a-passo como proceder.
Prepare um disquete de boot "limpo" em um micro que você tenha certeza absoluta que não há vírus. Utilize o comando FORMAT A:/S para esta operação.
Em seguida, copie o programa antivírus para o disquete. Caso o programa não caiba inteiro no disquete, elimine arquivos desnecessários para a sua execução, como arquivos ZIP, arquivos com extensão DOC e TXT e arquivos do tipo READ.ME.
Crie um AUTOEXEC.BAT no disquete para que o programa antivírus seja executado automaticamente. Isto pode ser feito com o comando EDIT A:\AUTOEXEC.BAT. Basta você colocar no AUTOEXEC.BAT o comando necessário para executar o antivírus. No caso do F-Prot, bastaria colocar a linha "f-prot".
O seu disquete "caça-vírus" está criado. Quando você quiser executá-lo, basta inseri-lo no drive e ligar o micro (ou dar um "reset"). Você deverá verificar se o micro está com o boot habilitado pelo drive A de modo que você possa utilizar o seu disquete. Isto pode ser feito entrando-se no setup do micro (basta ficar pressionando a tecla [DEL] durante a contagem de memória), alterando a opção "Boot Sequence" (presente em "Advanced Setup") para "A,C".
Todos os antivírus possuem versões shareware e que você poderá obter de graça na Internet. Na nossa área de Download você poderá encontrar links para os mais conhecidos antivirus. Confira!
Vírus: dúvidas mais comuns
Como eu pego um vírus ?
Através de um disquete ou arquivo contaminado ou ainda através de documentos do Word e do Excel, no caso de vírus de macro. Por este motivo é muito importante que você passe um antivírus em todos os disquetes que você trouxer do trabalho, do curso ou for emprestado por amigos, por mais inocentes que os disquetes possam parecer.
Um vírus pode "destruir" o meu computador ?
Literalmente falando, não. O máximo que os vírus fazem é destruir dados ou corromper programas. O seu hardware (ou seja, as peças do seu micro) não tem como ser "destruído" ou "queimado" por um vírus. Por este motivo, nunca deixe de fazer cópias de segurança (backup) de seus arquivos de dados.
Posso pegar um vírus pela Internet ?
Sim, pode. Mas é importante lembrar que você precisa executar o vírus. O fato de baixar um arquivo ou abrir o seu correio eletrônico (e-mail) não faz com que um vírus seja ativado. Em outras palavras, você obrigatoriamente precisa "rodar" um arquivo que esteja contaminado, ou então abrir um documento infectado por um vírus de macro no Word para que o vírus seja ativado.
Existem vírus de e-mail ? E estas mensagens de alerta que de vez em quando recebo avisando sobre um novo vírus de e-mail ?
Não existem vírus de e-mail. Mensagens contendo alertas sobre novos vírus que são pegos via e-mail são completamente falsas. Trata-se de spam, circular uma notícia falsa pela Internet. Quando você receber uma mensagem deste tipo, responda a quem te enviou para parar e alerte-o que trata-se de uma notícia falsa. Através de e-mail você pode pegar vírus através de arquivos anexados (attach). Entretanto o vírus estará no arquivo e não no e-mail. Este procedimento equivale a um disquete emprestado por um amigo: o arquivo pode ou não estar contaminado.
Eu posso pegar vírus através de fotos (arquivos GIF e JPG) que eu pegue na Internet ou através de algum amigo ?
Não. Os vírus se propagam somente através de arquivos executáveis (extensões EXE, COM, SYS, DLL, etc). Como imagens são arquivos de dados e não de programas, nunca serão executados e, por isto, não há sentido um vírus se propagar em um arquivo deste tipo. O único tipo de vírus que contamina arquivos de dados é o vírus de macro, que se alastra através de arquivos do Word ou do Excel.
Quais são os sintomas típicos de um micro infectado ?
Os vírus possuem duas fases: a de contaminação e a de ataque. Em geral, quando chegam à fase de ataque, você logo perceberá que o seu micro está infectado, pois os vírus, em geral, avisam que estão realizando um "estrago" (algo como "ha ha ha ! Você pegou o vírus Xpto e agora estou apagando todos os dados de seu disco rígido !"). Na fase de contaminação, geralmente o micro fica mais lento e apresentando problemas aleatórios, tais como travamentos e alterações no comportamento normal do micro. Em relação aos vírus de macro, eles são ativados imediatamente após a contaminação de Word. Em geral, o Word fica com um comportamento anormal, trocando opções e comandos.
CONHEÇA UM POUCO SOBRE / LINKS E REFERÊNCIA BIBLIOGRÁFICAS
/